共用方式為

在獨立設定中部署 MBAM 2.5

  • 發行項

本文提供在獨立設定中安裝 Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 的逐步指示。 本指南使用雙伺服器組態。 其中一部伺服器是執行 SQL Server 2012 Microsoft資料庫伺服器。 此伺服器裝載 MBAM 資料庫和報表。 另一部伺服器是裝載「系統管理與監視伺服器」和「自助入口網站」的 Windows Server 2012 網頁伺服器。

安裝 MBAM 2.5 伺服器軟體之前的準備步驟

步驟 1:安裝和設定伺服器

首先,請確定這兩部伺服器都已設定 MBAM 系統需求。 如需詳細資訊,請參閱 MBAM 2.5 支援的設定。 選取符合這些需求的組態。

步驟 1.1:部署資料庫和報表伺服器的必要條件

  1. 安裝及設定執行 Windows Server 2008 R2 (或更新版本的伺服器) 操作系統。

  2. 安裝 Windows PowerShell 3.0。

  3. 安裝 Microsoft SQL Server 2008 R2 或更新版本,其中包含最新的 Service Pack。 如果您要安裝適用於 MBAM 的新 SQL Server 實例,請確定您安裝的 SQL Server 包含SQL_Latin1_General_CP1_CI_AS序。 您必須安裝下列 SQL Server 功能:

    • Database Engine
    • Reporting Services
    • 用戶端工具連線能力
    • 管理工具 - 完成

    注意

    您也可以選擇性地在 SQL Server 中安裝透明數據加密 (TDE) 功能。 如需詳細資訊,請 參閱 MBAM 2.5 安全性考慮

    SQL Server Reporting Services 必須以「原生」模式安裝及設定,而不是在未設定或「SharePoint」模式中。

    SQL Server 2014 安裝程式的螢幕快照,其中醒目提示所需的功能。

  4. 如果您打算針對 Administration and Monitoring 網站使用 SSL,請務必先將 SQL Server Reporting Services (SSRS) 設定為使用安全套接字層 (SSL) 通訊協定,再設定 Administration and Monitoring 網站。 否則,報表功能會使用未加密的 (HTTP) 數據傳輸,而不是加密 (HTTPS) 。

    您可以遵循在原生模式報表伺服器上設定 SSL 連線 ,在報表伺服器上設定 SSL。

    注意

    您可以遵循 SQL Server 個別版本的 SQL Server 安裝指南來安裝 SQL Server。 連結如下: > - SQL Server 2014> - SQL Server 2012> - SQL Server 2008 R2

  5. 在 SQL Server 安裝後,請確定您在 SQL Server 中布建用戶帳戶,並將下列許可權指派給在資料庫伺服器上設定 MBAM 資料庫和報告角色的使用者。

    SQL Server 實例的角色:

    • dbcreator
    • processadmin

    SQL Server Reporting Services 實例的許可權:

    • 建立資料夾
    • 發佈報表

您的資料庫伺服器已準備好設定 MBAM 2.5 角色。 讓我們移至下一部伺服器。

步驟 1.2:部署管理和監視伺服器的必要條件

選擇符合必要硬體組態的伺服器。 如需詳細資訊,請參閱 MBAM 2.5 支援的設定。 它必須執行 Windows Server 2008 R2 或更新版本的作業系統,以及最新的 Service Pack 和更新。 伺服器就緒之後,請安裝下列角色和功能:

角色

  • IIS 管理文本和工具

  • Web 伺服器角色服務

    • 一般 HTTP 功能

      • 靜態內容
      • 默認檔

    • 應用程式開發

      • ASP.NET
      • .NET 擴充性
      • ISAPI 擴充功能
      • ISAPI 篩選
      • 安全性
      • Windows 驗證
      • 要求篩選

    • Web 服務 IIS 管理工具

功能

  • .NET Framework 4.5 功能

    • Microsoft .NET Framework 4.5

      針對 Windows Server 2012 或 Windows Server 2012 R2,這些版本的 Windows Server 已安裝 .NET Framework 4.5。 不過,您必須啟用它。

      針對 Windows Server 2008 R2,.NET Framework 4.5 不包含在 Windows Server 2008 R2 中。 因此,您必須下載 .NET Framework 4.5 並個別安裝。

    • WCF 啟用

      • HTTP 啟用
      • 非 HTTP 啟用

    • TCP 啟用

    • Windows Process Activation Service:

      • 進程模型
      • .NET Framework 環境
      • 組態 API

若要讓自助入口網站運作,您也應該 下載並安裝 ASP.NET MVC 4.0

下一個步驟是在Active Directory 中建立必要的MBAM使用者和群組。

步驟 2:在 Active Directory 網域服務中建立使用者和群組

在必要條件中,定義 MBAM 用來為特定伺服器和功能提供安全性和訪問許可權的特定角色和帳戶。 例如,在 SQL Server 實例上執行的資料庫,以及在 Administration and Monitoring Server 上執行的 Web 應用程式。

在 Active Directory 中建立下列群組和使用者。 (您可以針對群組和使用者使用任何名稱。) 使用者不需要有更大的用戶權力。 網域用戶帳戶已足夠。 您必須在 MBAM 2.5 設定期間指定這些群組的名稱:

MBAMAppPool

類型:網域使用者

描述:具有合規性與稽核資料庫和復原資料庫之讀取或寫入許可權的網域使用者,可讓 Web 應用程式存取這些資料庫中的數據和報表。 應用程式集區也會將它用於 Web 應用程式。

在設定 MBAM) 期間 (帳戶角色

  1. Web 服務應用程式集區網域帳戶
  2. 報表的合規性與稽核資料庫和復原資料庫讀取/寫入使用者

MBAMROUser

類型:網域使用者

描述:具有合規性與稽核資料庫 Read-Only 存取權的網域使用者,可讓報表存取此資料庫中的合規性和稽核數據。 它也是本機 SQL Server Reporting Services 實例用來存取合規性和稽核資料庫的網域用戶帳戶。

在設定 MBAM) 期間 (帳戶角色

  1. 報表的合規性和稽核資料庫唯讀使用者
  2. 合規性和稽核資料庫網域用戶帳戶

MBAMAdvHelpDsk

類型:網域群組

描述:MBAM 進階技術服務人員使用者存取群組:其成員可存取管理和監視網站所有區域的網域使用者群組。 具有此角色的使用者在協助用戶復原磁碟驅動器時,只需要輸入修復密鑰,而非使用者的網域和用戶名稱。 如果用戶同時是 MBAM Helpdesk Users 群組和 MBAM 進階技術服務人員使用者群組的成員,則 MBAM 進階技術服務台使用者群組許可權會覆寫 MBAM 技術服務人員群組許可權。

MBAM) 設定期間 (帳戶角色 :MBAM 進階技術服務人員使用者

MBAMHelpDsk

類型:網域群組

描述:MBAM 技術服務人員使用者存取群組:網域使用者群組,其成員可存取 MBAM Administration and Monitoring Website 的管理 TPM 和磁碟驅動器復原區域。 具有此角色的人員在使用任一選項時,必須填入所有欄位。 這些欄位包括使用者的網域和帳戶名稱。

MBAM) 設定期間 (帳戶角色 :MBAM 技術服務人員使用者

MBAMRUGrp

類型:網域群組

描述: 網域使用者群組,其成員在 Administration and Monitoring Website 的 [報告] 區域中具有報表的只讀存取權。

在設定 MBAM) 期間 (帳戶角色

  1. 報告只讀網域存取群組
  2. MBAM 報表使用者存取群組

步驟 3 (選擇性) :在管理和監視伺服器上設定及安裝 SSL 憑證

雖然這是選擇性的,但我們強烈建議您使用憑證來協助保護 MBAM 用戶端與管理與監視網站與 Self-Service 入口網站之間的通訊。 基於明顯的安全性理由,我們不建議您使用自我簽署憑證。 建議您使用來自受信任證書頒發機構單位的 Web 伺服器類型憑證。 如需詳細資訊,請參閱 MBAM 和安全網路通訊

簽發憑證之後,您應該將憑證新增至 Administration and Monitoring Server 的個人存放區。 若要新增憑證,請在本機計算機上開啟憑證存放區。 若要完成此動作,請遵循下列步驟:

  1. 以滑鼠右鍵選取 [開始],然後選取 [執行]。

    顯示從 [開始] 選單選取 [執行] 位置的螢幕快照。

  2. 輸入 「MMC.EXE」 (不含引號) ,然後選取 [ 確定]

    [執行] 方塊的螢幕快照,其中包含 'mmc.exe' 命令。

  3. 在您開啟的新 MMC 中選取 [ 檔案 ],然後選取 [新增/移除嵌入式管理單元]

    MMC 的螢幕快照,其中 [檔案] 功能表醒目提示 [新增/移除嵌入式管理單元] 選項。

  4. 反白顯示 [憑證 ] 嵌入式管理單元,然後選取 [ 新增]

    [新增或移除嵌入式管理單元] 視窗的螢幕快照,其中新增了 [憑證] 嵌入式管理單元。

  5. 選取 [ 計算機帳戶] 選項,然後選取 [ 下一步]

    [憑證] 嵌入式管理單元視窗的螢幕快照,其中選取 [計算機帳戶] 選項。

  6. 在下一個畫面上選取 [ 本機計算機 ],然後選取 [ 完成]

    選取 [本機計算機] 選項之 [選取計算機] 視窗的螢幕快照。

  7. 您已新增 [憑證] 嵌入式管理單元。 它可讓您使用計算機證書存儲中的任何憑證。

    [新增或移除嵌入式管理單元] 視窗的螢幕快照,其中已新增 [本機計算機 (憑證) 嵌入式管理單元。

  8. 將 Web 伺服器憑證匯入電腦的證書存儲。

    既然您可以存取憑證嵌入式管理單元,您可以將 Web 伺服器證書匯入計算機的證書存儲。

  9. 開啟 [本機計算機 (憑證) 嵌入式管理單元,然後流覽至 [ 個人 ] 和 [ 憑證]

    [本機計算機 (憑證]) 嵌入式管理單元視窗的螢幕快照,其中已展開 [個人] 節點,並已選取 [憑證] 節點。

    注意

    [憑證] 嵌入式管理單元可能不會列出。 如果不是,則不會安裝任何憑證。

  10. 以滑鼠右鍵選 取 [憑證],選取 [ 所有工作],然後選取 [ 匯入]

    [本機計算機 (憑證]) 嵌入式管理單元視窗的螢幕快照,其中顯示 [憑證] 節點上的內容功能表。選取 [所有工作],然後選取 [匯入] 選項。

  11. 當精靈啟動時,選取 [ 下一步]。 流覽至您建立且包含伺服器證書和私鑰的檔案,然後選取 [ 下一步]

    [憑證匯入精靈] 視窗的螢幕快照,其中已醒目提示 [流覽] 按鈕。

  12. 如果您在建立檔案時為檔案指定密碼,請輸入密碼。

[輸入密碼] 視窗的螢幕快照。它會指定密碼,並醒目提示 [將此金鑰標示為可匯出] 的匯入選項。

注意

如果您想要再次從這部計算機匯出密鑰組,請確定已選取 [將 密鑰標示為可匯出] 選項。 作為新增的安全性措施,您可能想要將此選項保持清除,以確保沒有人可以備份您的私鑰。

  1. 選取 [下一步],然後選取您要儲存憑證的證書 存儲

    [憑證匯入精靈] 視窗的螢幕快照,其中選取 [將所有憑證放置在個人存放區] 選項。

    注意

    您應該選取 [個人],因為它是 Web 伺服器證書。 如果將憑證包含在認證階層中,它也會新增至此存放區。

  2. 選取 [下一步],然後選取 [ 完成]

    [憑證匯入精靈] 視窗的螢幕快照,其中已完成精靈並摘要設定。

您現在會在 [個人憑證] 清單中看到 Web 伺服器的伺服器證書。 它會依伺服器的一般名稱列出。 您可以在憑證的主體區段中找到此名稱。

如需詳細資訊,請參閱下列文章:

下一個步驟是註冊應用程式集區帳戶的服務主體名稱。

步驟 4:設定 MBAM Web Server 的 SSL 憑證

如果您在用戶端和伺服器之間使用 SSL 通訊,您應該確定憑證具有 () 1.3.6.1.5.5.7.3.1 和 (1.3.6.1.5.5.7.3.2) 的增強金鑰使用識別碼。 換句話說,您應該確定已新增伺服器驗證和客戶端驗證。

如果您在嘗試瀏覽服務 URL 時收到憑證錯誤,則憑證可能會簽發給不同的名稱,或是您使用不正確的 URL 進行流覽。

雖然瀏覽器可能會提示您顯示憑證錯誤訊息,但可讓您繼續,但 MBAM Web 服務不會忽略憑證錯誤並封鎖連線。 MBAM 用戶端的 MBAM 管理事件記錄檔會顯示憑證相關錯誤。 如果您使用別名連線到 Administration and Monitoring 伺服器,您應該將憑證簽發給別名名稱。 也就是說,憑證的主體名稱應該是別名名稱,而本地伺服器的 DNS 名稱應該新增至憑證的 [ 主體別名] 字 段。

範例 1

如果虛擬名稱為「bitlocker.contoso.com」,且 MBAM Administration and Monitoring 伺服器名稱為「adminserver.contoso.com」,則應該將憑證簽發給 bitlocker.contoso.com (主体名称) ,adminserver.contoso.com 應新增至憑證的 [ 主體別名] 字 段。

同樣地,如果您已安裝多部 Administration and Monitoring 伺服器,以使用負載平衡器來平衡負載,您應該將 SSL 憑證簽發給虛擬名稱。 也就是說,憑證的主體名稱字段應該具有虛擬名稱,而且所有本地伺服器的名稱都應該加入憑證的 [ 主體別名] 字 段中。

範例 2

如果虛擬名稱為 「bitlocker.contoso.com」,且伺服器為 「adminserver1.contoso.com」 和 「adminiserver2.contoso.com」,則應該將憑證發行至 bitlocker.contoso.com (主体名称) 和 adminserver1.contoso.com,adminiserver2.contoso.com 應新增至憑證的 [ 主體別名] 字 段。

如需如何設定 MBAM SSL 通訊的詳細資訊,請參閱 MBAM 和安全網路通訊

步驟 5:註冊應用程式集區帳戶的 SPN 並設定限制委派

注意

限制委派僅適用於 2.5,2.5 Service Pack 1 和更新版本則不需要。

若要讓 MBAM 伺服器能夠驗證來自管理與監視網站和 Self-Service 入口網站的通訊,您必須在用於 Web 應用程式集區的網域帳戶下,為主機名註冊服務主體名稱 (SPN) 。 如需註冊 SPN 之逐步指示的詳細資訊,請參閱 規劃如何保護 MBAM 網站

設定SPN之後,您應該在SPN上設定限制委派。 若要完成此動作,請遵循下列步驟:

  1. 移至 Active Directory,並尋找您在先前步驟中為 MBAM 網站設定的應用程式集區認證。

  2. 以滑鼠右鍵按兩下認證,然後選取 [屬性]

  3. 選取 [委 派] 索引 標籤。

  4. 選取 Kerberos 驗證的選項。

  5. 取 [瀏覽],然後再次瀏覽您的應用程式集區認證。 接著,您應該會看到應用程式集區認證帳戶上設定的所有SPN。 SPN 應該類似 http/bitlocker.fqdn.com。 反白顯示與您在 MBAM 安裝期間指定的主機名相同的 SPN。

  6. 選取 [確定]

必要條件已完成。 在後續步驟中,請在伺服器上安裝 MBAM 軟體並進行設定。

安裝和設定 MBAM 2.5 伺服器軟體

步驟 6:安裝 MBAM 2.5 伺服器軟體

若要在資料庫伺服器及 Administration and Monitoring Server 上使用 [Microsoft BitLocker 管理與監視安裝精靈] 來安裝 MBAM 伺服器軟體,請遵循下列步驟。

  1. 在您要安裝 MBAM 的伺服器上,執行 MBAMserversetup.exe 以啟動Microsoft BitLocker 管理與監視安裝精靈。

  2. 在 [歡迎使用] 頁面上,選取 [ 下一步]

  3. 閱讀並接受Microsoft軟體許可協議,然後選取 [ 下一步 ] 繼續安裝。

  4. 決定是否要在檢查更新時使用 Microsoft Update],然後選取 [ 下一步]

  5. 決定是否要參與客戶經驗改進計劃,然後選取 [ 下一步]

  6. 若要開始安裝,請選取 [ 安裝]

  7. 取 [完成]

  8. 繼續設定 MBAM 之前,請先安裝最新的 MDOP 服務版本更新。 否則無法辨識或支援您的資料庫伺服器。 當您嘗試驗證資料庫設定時,設定精靈會報告錯誤。

    Microsoft桌面優化套件的 2020 年 10 月服務版本

  9. 您可以使用伺服器安裝在 [開始] 選單上建立的 MBAM 伺服器設定快捷方式來設定 MBAM。

如需詳細資訊,請 參閱安裝 MBAM 2.5 伺服器軟體

步驟 7:設定 MBAM 2.5 資料庫和報告角色

使用 MBAM 精靈來設定 MBAM 2.5 資料庫和報告元件:

  1. 使用精靈設定合規性與稽核資料庫和復原資料庫:

    1. 在您要設定資料庫的伺服器上,啟動 MBAM 伺服器組態精靈。 您可以在 [開始] 選單上選取 [MBAM 伺服器組態] 來開啟精靈。

    2. 取 [新增功能],選取 [ 合規性與稽核資料庫]、[ 複原資料庫和報告],然後選取 [ 下一步]。 精靈會檢查是否符合資料庫的所有必要條件。

    3. 如果必要條件檢查成功,請選取 [下一步 ] 繼續。 否則,請解決任何遺漏的必要條件,然後 再次選取 [檢查必要條件]

    4. 使用下列描述,在精靈中輸入域值:

  2. 合規性與稽核資料庫

    欄位 描述
    SQL Server 名稱 您設定合規性與稽核資料庫的伺服器名稱。
    您必須在合規性和稽核資料庫計算機上新增例外狀況,才能在 SQL Server 埠上啟用連入流量。 默認埠號碼為 1433。
    SQL Server 資料庫實例 MBAM 儲存合規性和稽核數據的資料庫實例名稱。 如果您使用預設實例,則必須將此欄位保留空白。 您也必須指定資料庫資訊的所在位置。
    資料庫名稱 儲存合規性數據的資料庫名稱。 請記下您在此處指定的資料庫名稱,因為您必須在後續步驟中提供這項資訊。
    讀取/寫入許可權網域使用者或群組 指定步驟 2 中所設定的 MBAMAppPool 用戶名稱。
    唯讀存取網域使用者或群組 指定步驟 2 中所設定的 MBAMROUser 用戶名稱。

  3. 復原資料庫。

    欄位 描述
    SQL Server 名稱 您在其中設定復原資料庫的伺服器名稱。 您必須在復原資料庫計算機上新增例外狀況,才能在 SQL Server 埠上啟用連入流量。 默認埠號碼為 1433。
    SQL Server 資料庫實例 儲存復原數據的資料庫實例名稱。 如果您使用預設實例,則必須將此欄位保留空白。 您也必須指定資料庫資訊的所在位置。
    資料庫名稱 儲存復原數據的資料庫名稱。
    讀取/寫入許可權網域使用者或群組 具有此資料庫讀取/寫入許可權的網域使用者或群組,可讓 Web 應用程式存取此資料庫中的數據和報表。
    如果您在此欄位中輸入使用者,其值必須與 [設定 Web 應用程式] 頁面上 [Web 服務應用程式集區網域帳戶] 字段中的值相同。
    如果您在此欄位中輸入群組,則 [設定 Web 應用程式] 頁面上的 [Web 服務應用程式集區網域帳戶] 字段中的值必須是您在此欄位中輸入之群組的成員。

    當您完成專案時,請選取 [ 下一步]。 精靈會檢查是否符合資料庫的所有必要條件。

    如果必要條件檢查成功,請選取 [下一步 ] 繼續。 否則,請解決任何遺漏的必要條件,然後再次選取 [下一步]

  4. 報告。

    欄位 描述
    SQL Server Reporting Services 實例 您在其中設定報表的 SQL Server Reporting Services 實例。 如果您使用預設實例,則必須將此欄位保留空白。
    報告角色網域群組 指定步驟 2 中所述的 MBAMRUGrp 名稱。
    SQL Server 名稱 設定合規性和稽核資料庫的伺服器名稱。
    SQL Server 資料庫實例 設定合規性和稽核數據的資料庫實例名稱。 如果您使用預設實例,則必須將此欄位保留空白。
    您必須在報表電腦上新增例外狀況,才能在報表伺服器的埠上啟用連入流量。 (預設埠為80.)
    資料庫名稱 合規性和稽核資料庫的名稱。 根據預設,資料庫名稱為 MBAM 合規性狀態。
    合規性和稽核資料庫網域帳戶 指定步驟 2 中所設定的 MBAMROUser 用戶名稱。

    當您完成專案時,請選取 [ 下一步]。 精靈會檢查是否符合報表功能的所有必要條件。 選取 [下一步] 以繼續。 在 [ 摘要] 頁面上,檢閱新增的功能。

    如需詳細資訊,請參閱下列文章: 如何設定 MBAM 2.5 資料庫

步驟 8:設定 MBAM 2.5 Web 應用程式角色

  1. 在您要設定 Web 應用程式的伺服器上,啟動 MBAM 伺服器組態精靈。 您可以在 [開始] 選單上選取 [MBAM 伺服器組態] 來開啟精靈。

  2. 取 [新增功能],選取 [ 系統管理與監視網站 ] 和 [自助入口網站],然後選取 [ 下一步]。 精靈會檢查是否符合資料庫的所有必要條件。

  3. 如果必要條件檢查成功,請選取 [下一步 ] 繼續。 否則,請解決任何遺漏的必要條件,然後 再次選取 [檢查必要條件]

  4. 使用下列描述在精靈中輸入域值。

    欄位 描述
    安全性憑證 在步驟 3 中選取先前建立的憑證,選擇性地加密 Web 服務與您設定 Administration and Monitoring 網站之伺服器之間的通訊。 如果您選取 [不要使用憑證],您的 Web 通訊可能不安全。
    主機名稱 您在其中設定 Administration and Monitoring 網站的主計算機名稱。
    它不一定必須是計算機的主機名,它可以是任何專案。 不過,如果主機名與計算機的 netbios 名稱不同,您必須建立 A 記錄,並確定 SPN 使用自定義主機名,而不是 netbios 名稱。 此設定在負載平衡案例中很常見。
    安裝路徑 您安裝 Administration and Monitoring 網站的路徑。
    連接埠 用於網站通訊的埠號碼。
    您必須設定防火牆例外狀況,才能透過指定的埠啟用通訊。
    Web 服務應用程式集區網域帳戶和密碼 指定步驟 2 中所設定之 MBAMAppPool 使用者的使用者帳戶和密碼。
    為了改善安全性,請將認證中指定的帳戶設定為具有有限的用戶權力。 此外,請將帳戶的密碼設定為永不過期。

  5. 確認內建IIS_IUSRS帳戶或應用程式集區帳戶已在 驗證后新增至模擬客戶 端,以及以 批作業 本機安全性設定登入。

    若要檢查帳戶是否已新增至本機安全性設定,請開啟本機 安全策略編輯器,展開 [ 機原則] 節點,選取 [用戶權力指派 ] 節點,然後在驗證后按兩下 [ 模擬客戶 端],然後在右側窗格中以 批次作業 原則登入。

  6. 使用下列欄位描述,在精靈中設定合規性和稽核資料庫的聯機資訊。

    欄位 描述
    SQL Server 名稱 設定合規性和稽核資料庫的伺服器名稱。
    SQL Server 資料庫實例 SQL Server 實例的名稱 (例如, <伺服器名稱>) ,以及設定合規性和稽核資料庫的名稱。 如果您使用預設實例,請將此欄位保留空白。
    資料庫名稱 合規性和稽核資料庫的名稱。 根據預設,這是「MBAM 合規性狀態」。

  7. 使用下列欄位描述,在復原資料庫精靈中設定連線資訊。

    欄位 描述
    SQL Server 名稱 設定復原資料庫的伺服器名稱。
    SQL Server 資料庫實例 SQL Server 實例的名稱 (例如, <設定復原資料庫的伺服器名稱>) 。 如果您使用預設實例,請將此欄位保留空白。
    資料庫名稱 復原資料庫的名稱。 根據預設,其為「MBAM 復原與硬體」。

  8. 使用下列描述在精靈中輸入域值,以設定 Administration and Monitoring Website。

    欄位 描述
    進階技術服務人員角色網域群組 指定步驟 2 中設定的 MBAMAdvHelpDsk 群組名稱。
    技術服務人員角色網域群組 指定步驟 2 中所設定的 MBAMHelpDsk 群組名稱。
    使用 System Center Configuration Manager 整合 選取即可清除此複選框。
    報告角色網域群組 指定步驟 2 中設定的 MBAMRUGrp 群組名稱。
    SQL Server Reporting Services URL 指定設定 MBAM 報告所在之 SSRS 伺服器的 Web 服務 URL。 您可以藉由登入資料庫伺服器上的 Reporting Services 組態管理員來找到這項資訊。
    完整功能變數名稱的範例: https://MyReportServer.Contoso.com/ReportServer
    自訂主機名稱的範例: https://MyReportServer/ReportServer
    虛擬目錄 管理與監視網站的虛擬目錄。 此名稱會對應至伺服器上的網站實體目錄,並附加至網站的主機名。 例如:
    https://<host name>:<port>/HelpDesk/
    如果您未指定虛擬目錄,則會使用值 「HelpDesk」。。

  9. 使用下列描述在精靈中輸入域值,以設定 Self-Service 入口網站。

    欄位 描述
    虛擬目錄 Web 應用程式的虛擬目錄。 此名稱會對應至伺服器上的網站實體目錄,並附加至網站的主機名。 例如:
    https://<host name>:<port>/SelfService/
    如果您未指定虛擬目錄,則會使用值 「SelfService」。

  10. 當您完成專案時,請選取 [ 下一步]。 精靈會檢查是否符合 Web 應用程式的所有必要條件。

  11. 取 [下一步 ] 繼續。

  12. 在 [ 摘要] 頁面上,檢閱新增的功能。

  13. 選取 [新增 ] 將 Web 應用程式新增至伺服器,然後選取 [ 關閉]

安裝 MBAM 2.5 伺服器軟體之後的自定義和驗證步驟

步驟 9:為您的組織自定義自我伺服器入口網站

若要藉由新增自定義通知文字、公司名稱、詳細資訊的指標等來自定義 Self-Service 入口網站,請參閱 為您的組織自定義 Self-Service 入口網站

步驟 10:如果用戶端電腦無法存取 CDN,請設定自我伺服器入口網站

判斷您的用戶端電腦是否能夠存取CDN) (Microsoft AJAX 內容傳遞網路。 CDN 會提供 Self-Service 入口網站對特定 JavaScript 檔案所需的存取權。 如果您未在用戶端電腦無法存取 CDN 時設定 Self-Service 入口網站,則只會顯示使用者登入的公司名稱和帳戶。 它不會顯示錯誤訊息。

執行下列其中一個動作:

步驟 11:驗證 MBAM 2.5 伺服器功能設定

若要驗證您的 MBAM 伺服器部署以使用獨立拓撲,請遵循下列步驟。

  1. 在部署 MBAM 功能的每部伺服器上,選取 [ 控制面板>程式程式>和功能]。 確認Microsoft程式和功能清單中顯示 BitLocker 系統管理與監視

    注意

    若要進行驗證,您必須在每部伺服器上使用具有本機計算機系統管理認證的網域帳戶。

  2. 在設定復原資料庫的伺服器上,開啟 SQL Server Management Studio,並確認已設定 MBAM Recovery and Hardware 資料庫。

  3. 在設定合規性和稽核資料庫的伺服器上,開啟 SQL Server Management Studio,並確認已設定 MBAM 合規性狀態資料庫。

  4. 在設定報表功能的伺服器上,使用系統管理認證開啟網頁瀏覽器,然後流覽至 SQL Server Reporting Services 網站的首頁。

    SQL Server Reporting Services 月台實例的預設首頁位置如下:

    https://<MBAM Reports Server Name>:<port>/Reports.aspx

    若要尋找實際的 URL,請使用 Reporting Services 組態管理員工具,然後選取您在安裝期間指定的實例。

  5. 確認名為 Microsoft BitLocker Administration and Monitoring 的 reports 資料夾包含名為[許可權][數據源] 的數據源。 此數據源包含的資料夾,其名稱代表語言地區設定 (例如 en-us) 。 報表位於語言資料夾中。

    注意

    如果您將 SQL Server Reporting Services (SSRS) 設定為具名實例,URL 應該類似下列範例:

    https://<MBAM Reports Server Name>:<port>/Reports_<SSRS Instance Name>

    如果您未將 SSRS 設定為使用安全套接字層 (SSL) ,當您安裝 MBAM 伺服器時,報表的 URL 會設定為 “HTTP”,而不是 “HTTPS”。 如果您接著移至管理與監視網站 (也稱為技術服務人員) 並選取報告,您會收到下列訊息:「僅顯示安全內容」。若要顯示報表,請選取 [顯示所有內容]

  6. 在設定 [系統管理與監視網站] 功能的伺服器上,執行 [伺服器管理員],流覽至 [ 角色],然後選取 [ Web 伺服器 (IIS) >Internet Information Services (IIS) Manager]。

  7. 在 [ 連線] 中,流覽至 <計算機名稱> ,然後選取 [ >臺Microsoft BitLocker 管理和監視]。 確認已列出下列專案:

    • MBAMAdministrationService
    • MBAMComplianceStatusService
    • MBAMRecoveryAndHardwareService

  8. 在設定 Administration and Monitoring Website 和 Self-Service Portal 的伺服器上,使用系統管理認證開啟網頁瀏覽器。

  9. 瀏覽至下列網站以確認其載入成功:

    • httpss://<MBAM Administration Server Name>:<port>/HelpDesk/ (確認導覽和報表) 的每個連結
    • https://<MBAM Administration Server Name>:<port>/SelfService/

    注意

    假設您在預設埠上設定了伺服器功能,而不需要網路加密。 如果您在不同的埠或虛擬目錄上設定伺服器功能,請變更 URL 以包含適當的埠。 例如:

    • https://<host name>:<port>/HelpDesk/
    • https://<host name>:<port>/<virtualdirectory>/

    如果您在沒有網路加密的情況下設定伺服器功能,請將 變更 https://http://

  10. 流覽至下列 Web 服務,以確認它們已成功載入。 隨即會開啟一個頁面,指出服務正在執行。 不過,頁面不會顯示任何元數據。

    • https://<MBAM Administration Server Name>:<port>/MBAMAdministrationService/AdministrationService.svc
    • https://<MBAM Administration Server Name>:<port>/MBAMUserSupportService/UserSupportService.svc
    • https://<MBAM Administration Server Name>:<port>/MBAMComplianceStatusService/StatusReportingService.svc
    • https://<MBAM Administration Server Name>:<port>/MBAMRecoveryAndHardwareService/CoreService.svc

步驟 12:設定 MBAM 組策略範本

若要部署 MBAM,您必須設定組策略設定,以定義 BitLocker 磁碟驅動器加密的 MBAM 實作設定。 若要完成這項工作,您必須將 MBAM 組策略範本複製到可 (GPMC) 或進階組策略管理 (AGPM) 執行組策略管理控制台的伺服器或工作站,然後編輯設定。

重要

請勿變更 BitLocker 磁碟驅動器加密 節點中的組策略設定,否則 MBAM 將無法正常運作。 當您在 MDOP MBAM (BitLocker Management) 節點中設定組策略設定時,MBAM 會自動為您設定 BitLocker 磁碟驅動器加密 設定。

複製 MBAM 2.5 組策略範本

安裝 MBAM 用戶端之前,您必須將 MBAM 特定組策略物件複製 (GPO) 至管理工作站。 這些 GPO 會定義 BitLocker 的 MBAM 實作設定。 您可以將組策略範本複製到支援之 Windows 伺服器或用戶端電腦的任何伺服器或工作站,而且可以執行組策略管理主控台 (GPMC) 或進階組策略管理 (AGPM) 。

如需詳細資訊,請 參閱複製 MBAM 2.5 組策略範本

編輯 MBAM 2.5 GPO 設定

建立必要的 GPO 之後,您必須將 MBAM 組策略設定部署到組織的用戶端電腦。 若要檢視和建立 GPO,您必須安裝組策略管理主控台 (GPMC) 或進階組策略管理 (AGPM) 。

如需詳細資訊,請 參閱編輯 MBAM 2.5 組策略設定規劃 MBAM 2.5 組策略需求

步驟 13:部署 MBAM 2.5 用戶端

視您部署 MBAM 用戶端軟體的時機而定,您可以在使用者接收電腦之前或之後,使用企業軟體部署系統設定組策略並部署 MBAM 用戶端軟體,在組織中的電腦上啟用 BitLocker。

將 MBAM 用戶端部署到桌面電腦或可攜式電腦

設定組策略設定之後,您可以使用企業軟體部署系統產品,例如 Microsoft System Center 2012 Configuration Manager 或 Active Directory Domain Services (AD DS) ,將 MBAM 用戶端安裝 Windows Installer 檔案部署到目標計算機。 您可以使用 32 位或 64 位 MbamClientSetup.exe 檔案或 32 位或 64 位 MBAMClient.msi 檔案。 這些檔案會與 MBAM 用戶端軟體一起提供。

如需詳細資訊,請 參閱如何將 MBAM 用戶端部署到桌面電腦或膝上型電腦

將 MBAM 用戶端部署為 Windows 部署的一部分

在集中接收和設定計算機的組織中,您可以安裝 MBAM 用戶端來管理每部電腦上的 BitLocker 磁碟驅動器加密,再將任何用戶數據寫入計算機。 此程式的優點是每部計算機都符合 BitLocker 規範。 此方法不依賴使用者動作,因為系統管理員已加密計算機。 此案例的主要假設是組織的原則是在將計算機傳遞給使用者之前,先安裝公司 Windows 映射。 如果組策略設定設定為需要 PIN,系統會提示使用者在收到原則之後設定 PIN。

如需詳細資訊,請 參閱如何將 MBAM 用戶端部署為 Windows 部署的一部分

如何使用命令行部署 MBAM 用戶端

如需詳細資訊,請 參閱如何使用命令行部署 MBAM 用戶端

用戶端部署後

接下來,檢閱下列記錄,並判斷用戶端是否成功向 MBAM 資料庫報告。

常見問題 (FAQ)

如何建立負載平衡的 IIS 伺服器

  • SPN 必須只註冊為易記名稱 (例如:bitlocker.corp.net) ,且不得向個別 IIS 伺服器註冊。

  • 如果使用憑證,則憑證必須同時在負載平衡群組中所有 IIS 伺服器的 [ 主體別名] 字 段中輸入 FQDN 和 NetBIOS 名稱,以及 [易記名稱] (例如:bitlocker.corp.net) 。 否則,當您瀏覽負載平衡的位址時,瀏覽器不會信任憑證。

如需詳細資訊,請參閱 IIS 網路負載平衡註冊應用程式集區帳戶的 SPN

如何設定憑證

  • 您需要兩個憑證。 一個憑證用於 SQL Server,另一個用於 IIS。 在開始安裝MBAM之前,必須先安裝它們。

  • 建議您使用安裝程式將憑證新增至 IIS 組態,而不是手動編輯 web.config 檔案。

  • 如果憑證上的 [發行至] 字段不符合伺服器的名稱,MBAM 設定程式就不會接受憑證。 從 IIS 主控台暫時建立自我簽署憑證,並在設定程式中使用它。 此動作可確保已針對 SSL 和 HTTPS 安裝 Web 應用程式。 之後,您可以從 MBAM 網站的 IIS 系結將憑證變更為一個憑證。

安裝的 SQL 許可權需求

建立 MBAM 應用程式集區的帳戶,並只 SecurityAdmin提供、 PublicDBCreator 許可權。

如需詳細資訊,請參閱 MBAM 資料庫設定 - 最低許可權

注意

  • 在某些情況下,初始安裝和升級作業需要更多許可權。
  • 使用具有暫時 SA 的帳戶進行安裝。
  • 請勿在用戶帳戶的內容中啟動 Configurator (執行身分) 沒有足夠的許可權可對 SQL Server 進行變更。 此動作會造成安裝錯誤。
  • 您必須使用具有 SQL Server 許可權的帳戶登入。 只有 SQL Server 資料庫可以透過遠端執行 MBAM 設定器來建立或更新。 針對 SSRS 伺服器,您必須在本機安裝 MBAM 並執行 Configurator 以安裝或更新 MBAM SSRS 報告。

SPN 註冊所需的許可權

用於 IIS 入口網站安裝的帳戶必須具有 Write ServicePrincipalName 和 Write Validated SPN 許可權。 如果沒有這些許可權,安裝會傳回警告訊息,指出它無法註冊SPN。

注意

您會收到此警告訊息兩次。 這並不表示SPN必須向它註冊兩個物件。

我是否必須將ADMX樣本更新為最新版本?

將 ADMX 範本更新為其最新版本之後,您會在 GPO 的 MBAM 根節點中看到多個 OS 選項。 例如,Windows 7、Windows 8.1和 Windows 10 版本 1511 和更新版本。

如需如何更新 ADMX 範本的詳細資訊,請參閱下列文章: