Высокоуровневая архитектура MBAM 2.5 с топологией интеграции Configuration Manager

В этой статье описывается рекомендуемая архитектура для развертывания Microsoft BitLocker Administration and Monitoring (MBAM) с топологией интеграции Configuration Manager. Эта топология интегрирует MBAM с System Center Configuration Manager. Сведения о развертывании MBAM с изолированной топологией см. в статье Высокоуровневая архитектура MBAM 2.5 с изолированной топологией.

Список поддерживаемых версий программного обеспечения, упомянутых в этой статье, см. в статье Поддерживаемые конфигурации MBAM 2.5.

Важно.

Windows To Go не поддерживается для установки топологии интеграции Configuration Manager при использовании Configuration Manager 2007.

Рекомендуемое количество серверов и поддерживаемое число клиентов

В следующей таблице указано рекомендуемое количество серверов и поддерживаемое число клиентов в рабочей среде.

Рекомендуемая архитектура	Сведения
Количество серверов и других компьютеров	Три сервера Одна рабочая станция
Число поддерживаемых клиентских компьютеров	500,000

Различия между интеграцией Configuration Manager и автономными топологиями

Основные различия между топологиями:

• Функции соответствия требованиям и отчетов удаляются из MBAM и доступны из Configuration Manager.

• Отчеты просматриваются из консоли управления Configuration Manager, за исключением отчета об аудите восстановления, который вы продолжаете просматривать на веб-сайте администрирования и мониторинга MBAM.

Рекомендуемая высокоуровневая архитектура MBAM с топологией интеграции Configuration Manager

На следующей схеме и в разделах описана рекомендуемая высокоуровневая архитектура для MBAM с топологией интеграции Configuration Manager. Для развертываний MBAM с несколькими лесами требуется односторонняя или двусторонняя доверия. Для односторонних отношений доверия требуется, чтобы домен сервера доверял домену клиента.

Сервер базы данных

База данных восстановления

Эта функция настроена на компьютере под управлением Windows Server и поддерживаемом экземпляре SQL Server.

База данных восстановления хранит данные восстановления, собранные с клиентских компьютеров MBAM.

Аудит базы данных

Эта функция настроена на компьютере под управлением Windows Server и поддерживаемом экземпляре SQL Server.

База данных аудита хранит данные о действиях аудита, собранные с клиентских компьютеров, имеющих доступ к данным восстановления.

Отчеты

Эта функция настроена на компьютере под управлением Windows Server и поддерживаемом экземпляре SQL Server.

Отчеты предоставляют данные аудита восстановления для клиентских компьютеров в вашем предприятии. Отчеты можно просматривать в консоли Configuration Manager или непосредственно из служб SQL Server Reporting Services.

Сервер первичного сайта Configuration Manager

Функция интеграции System Center Configuration Manager

• Эта функция настраивается на сервере первичного сайта Configuration Manager, который является сервером верхнего уровня в инфраструктуре Configuration Manager.

• Сервер Configuration Manager собирает данные инвентаризации оборудования с клиентских компьютеров и используется для передачи данных о соответствии BitLocker клиентских компьютеров.

• При запуске мастера настройки администрирования и мониторинга Microsoft BitLocker для установки серверного программного обеспечения на основном сервере сайта Configuration Manager настраиваются коллекция компьютеров с поддержкой MBAM, базовый план конфигурации и отчеты.

• Консоль Configuration Manager должна быть установлена на том же компьютере, на котором устанавливается программное обеспечение СЕРВЕРА MBAM.

Сервер администрирования и мониторинга

Веб-сайт администрирования и мониторинга

Эта функция настраивается на компьютере под управлением Windows Server.

Веб-сайт администрирования и мониторинга используется для:

• Помогите конечным пользователям восстановить доступ к своим компьютерам, когда они заблокированы. (Эта область веб-сайта обычно называется службой технической поддержки.)

• Просмотрите отчет об аудите восстановления, в котором показаны действия восстановления для клиентских компьютеров. Другие отчеты отображаются в консоли Configuration Manager.

Портал самообслуживания

Эта функция настраивается на компьютере под управлением Windows Server.

Портал самообслуживания — это веб-сайт, который позволяет пользователям на клиентских компьютерах независимо входить на веб-сайт, чтобы получить ключ восстановления, если они потеряют или забудут пароль BitLocker.

Мониторинг веб-служб для этого веб-сайта

Эта функция устанавливается на компьютере под управлением Windows Server.

Веб-службы мониторинга используются клиентом MBAM и веб-сайтами для связи с базой данных.

Важно.

Веб-служба мониторинга больше не доступна в Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 с пакетом обновления 1 (SP1), так как веб-сайты MBAM взаимодействуют напрямую с базой данных восстановления.

Рабочая станция управления

Шаблоны групповой политики MBAM

• Шаблоны групповой политики MBAM — это параметры групповой политики, определяющие параметры реализации для MBAM, которые позволяют управлять шифрованием диска BitLocker.

• Перед запуском MBAM необходимо скачать шаблоны групповой политики из раздела Скачивание и развертывание шаблонов групповой политики MDOP (.admx) и скопировать их на сервер или рабочую станцию под управлением поддерживаемой операционной системы Windows Server или Windows.

  Примечание.

  Рабочая станция не обязательно должна быть выделенным компьютером.

Клиент MBAM и клиентский компьютер Configuration Manager

Клиентское программное обеспечение MBAM

Клиент MBAM:

• Использует объекты групповой политики для принудительного шифрования диска BitLocker на клиентских компьютерах в организации.

• Собирает ключ восстановления BitLocker для трех типов дисков данных: дисков операционной системы, фиксированных дисков с данными и съемных (USB) дисков данных.

• Собирает сведения о восстановлении и сведения о компьютерах клиента.

Клиент Configuration Manager

Клиент Configuration Manager позволяет Configuration Manager собирать данные о совместимости оборудования о клиентских компьютерах и сообщать сведения о соответствии.

Различия в развертывании MBAM для поддерживаемых версий Configuration Manager

При развертывании MBAM с топологией интеграции Configuration Manager можно установить MBAM на сервере первичного сайта. Однако установка MBAM работает по-разному для System Center 2012 Configuration Manager и Configuration Manager 2007.

Версия Configuration Manager	Описание
System Center 2012 R2 Configuration Manager System Center 2012 Configuration Manager	При установке MBAM на сервере первичного сайта или на сервере центра администрирования MBAM выполняет все действия по установке на этом сервере сайта.
Configuration Manager 2007 R2 Configuration Manager 2007	При установке MBAM на сервере первичного сайта, который является частью более крупной иерархии Configuration Manager с родительским сервером центрального сайта, MBAM определяет родительский сервер центрального сайта и выполняет все действия по установке на этом родительском сервере. Установка включает проверку необходимых компонентов и установку объектов и отчетов Configuration Manager. Например, при установке MBAM на сервере первичного сайта, который является дочерним для родительского сервера центрального сайта, MBAM устанавливает все объекты Configuration Manager и отчеты на родительском сервере. При установке MBAM на родительском сервере MBAM выполняет все действия по установке на этом родительском сервере.

Как MBAM работает с Configuration Manager

Интеграция MBAM с Configuration Manager основана на пакете конфигурации, который устанавливает элементы, описанные в следующих разделах.

Данные конфигурации

Данные конфигурации устанавливают базовый план конфигурации с именем "Защита BitLocker", который содержит два элемента конфигурации:

• Защита диска операционной системы BitLocker
• Защита фиксированных дисков с данными BitLocker

Базовая конфигурация развертывается в коллекции Поддерживаемые компьютеры MBAM, которая также создается при установке MBAM. Два элемента конфигурации обеспечивают основу для оценки состояния соответствия клиентских компьютеров. Эти сведения собираются, хранятся и оцениваются в Configuration Manager. Элементы конфигурации основаны на требованиях к соответствию для дисков операционной системы и фиксированных дисков данных. Необходимые сведения для развернутых компьютеров собираются, чтобы можно было оценить соответствие для этих типов дисков. По умолчанию базовый план конфигурации оценивает состояние соответствия каждые 12 часов и отправляет данные о соответствии в Configuration Manager.

Коллекция "Поддерживаемые компьютеры MBAM"

MBAM создает коллекцию, которая называется MBAM Supported Computers. Базовый план конфигурации предназначен для клиентских компьютеров, которые находятся в этой коллекции. Это динамическая коллекция. По умолчанию он выполняется каждые 12 часов и оценивает членство на основе трех критериев:

• Компьютер является поддерживаемой версией операционной системы Windows.
• Компьютер является физическим компьютером. Виртуальные машины не поддерживаются.
• Компьютер имеет доступный доверенный платформенный модуль (TPM). Для Windows 7 требуется совместимая версия TPM 1.2 или более поздней версии. Windows 11, Windows 10, Windows 8.1, Windows 8 и Windows To Go не требуют TPM.

Коллекция оценивается по всем компьютерам, и создается подмножество совместимых компьютеров, что обеспечивает основу для оценки соответствия требованиям и создания отчетов для интеграции MBAM.

Отчеты

При настройке MBAM с топологией интеграции Configuration Manager вы просматриваете все отчеты в Configuration Manager, за исключением отчета об аудите восстановления, последний из которых вы продолжаете просматривать на веб-сайте администрирования и мониторинга MBAM. В Configuration Manager доступны следующие отчеты:

• Панель мониторинга соответствия bitLocker Enterprise. Предоставляет ИТ-администраторам три представления сведений в одном отчете: распределение состояния соответствия требованиям, распределение ошибок не соответствует и распределение состояния соответствия по типу диска. Параметры детализации в отчете позволяют ИТ-администраторам выбирать данные и просматривать список компьютеров, соответствующих выбранному состоянию.
• Сведения о соответствии BitLocker Enterprise: Позволяет ИТ-администраторам просматривать сведения о состоянии соответствия шифрования BitLocker предприятия и включает состояние соответствия для каждого компьютера. Параметры детализации в отчете позволяют ИТ-администраторам выбирать данные и просматривать список компьютеров, соответствующих выбранному состоянию.
• Соответствие компьютера BitLocker. Позволяет ИТ-администраторам просматривать отдельный компьютер и определять, почему он был зарегистрирован с состоянием соответствия или несоответствия. В отчете также отображается состояние шифрования дисков операционной системы и фиксированных дисков данных.
• Сводка по соответствию BitLocker Enterprise: Позволяет ИТ-администраторам просматривать состояние соответствия политик MBAM на предприятии. Состояние каждого компьютера оценивается, и в отчете отображается сводка о соответствии всех компьютеров предприятия политике. Параметры детализации в отчете позволяют ИТ-администраторам выбирать данные и просматривать список компьютеров, соответствующих выбранному состоянию.

Связанные статьи

Сведения о программе MBAM 2.5 с пакетом обновления 1 (SP1)

Высокоуровневая архитектура MBAM 2.5 с изолированной топологией

Иллюстрированные функции развертывания MBAM 2.5