MBAM 2.5 與Configuration Manager整合拓撲的高階架構
本文說明使用 Configuration Manager 整合拓撲部署 Microsoft BitLocker Administration and Monitoring (MBAM) 的建議架構。 此拓撲會將 MBAM 與System Center Configuration Manager整合。 若要使用獨立拓撲部署 MBAM,請參閱 MBAM 2.5 與獨立拓撲的高階架構。
如需本文所述軟體支援的版本清單,請參閱 MBAM 2.5 支援的設定。
重要
當您使用 Configuration Manager 2007 時,Configuration Manager整合拓撲安裝不支援 Windows To Go。
建議的伺服器數目和支援的用戶端數目
在生產環境中,建議的伺服器數目和支援的用戶端數目如下:
| 建議的架構 | 詳細資料 |
|---|---|
伺服器和其他電腦的數目 |
三部伺服器 一個工作站 |
支援的用戶端電腦數目 |
500,000 |
Configuration Manager整合與獨立拓撲之間的差異
拓撲之間的主要差異如下:
合規性和報告功能會從 MBAM 中移除,並從Configuration Manager存取。
您可以從 Configuration Manager 管理主控台檢視報告,但您繼續從 MBAM Administration and Monitoring Website 檢視的復原稽核報告除外。
使用Configuration Manager整合拓撲的建議 MBAM 高階架構
下圖和表格說明使用 Configuration Manager 整合拓撲的 MBAM 建議的高階架構。 MBAM 多樹系部署需要單向或雙向信任。 單向信任需要伺服器網域信任用戶端網域。
資料庫伺服器
復原資料庫
這項功能是在執行 Windows Server 的電腦上設定,並支援SQL Server實例。
復原資料庫會儲存從 MBAM 用戶端電腦收集的復原資料。
稽核資料庫
這項功能是在執行 Windows Server 的電腦上設定,並支援SQL Server實例。
稽 核資料庫 會儲存從已存取復原資料的用戶端電腦收集的稽核活動資料。
報告
這項功能是在執行 Windows Server 的電腦上設定,並支援SQL Server實例。
報表會為您企業中的用戶端電腦提供復原稽核資料。 您可以從Configuration Manager主控台或直接從SQL Server Reporting Services檢視報表。
Configuration Manager主要月臺伺服器
System Center Configuration Manager整合功能
這項功能是在Configuration Manager主要月臺伺服器上設定,這是您Configuration Manager基礎結構中的最上層伺服器。
Configuration Manager Server會從用戶端電腦收集硬體清查資訊,並用來報告用戶端電腦的 BitLocker 合規性。
當您執行 Microsoft BitLocker Administration and Monitoring 安裝精靈來安裝伺服器軟體時,會在Configuration Manager主要月臺伺服器上設定 MBAM 支援的電腦集合、設定基準和報告。
Configuration Manager主控台必須安裝在您安裝 MBAM 伺服器軟體的相同電腦上。
管理與監視伺服器
管理和監視網站
這項功能是在執行 Windows Server 的電腦上設定。
系統管理和監視網站可用來:
協助使用者在電腦遭到鎖定時重新取得其電腦的存取權。 (網站的這個區域通常稱為技術支援中心)
檢視 [復原稽核報告],其中顯示用戶端電腦的復原活動。 從 Configuration Manager 主控台檢視其他報告。
自助入口網站
這項功能是在執行 Windows Server 的電腦上設定。
自助入口網站是一個網站,可讓用戶端電腦上的終端使用者在遺失或忘記 BitLocker 密碼時,獨立登入網站以取得修復金鑰。
監視此網站的 Web 服務
這項功能會安裝在執行 Windows Server 的電腦上。
MBAM 用戶端和網站會使用 監視 Web 服務 來與資料庫通訊。
重要
Microsoft MBAM) 2.5 SP1 的 BitLocker 管理與監視 (不再提供監視 Web 服務,因為 MBAM 網站會直接與復原資料庫通訊。
管理工作站
MBAM 群組原則範本
MBAM 群組原則範本是定義 MBAM實作設定的群組原則設定,可讓您管理 BitLocker 磁片磁碟機加密。
執行 MBAM 之前,您必須先從如何下載和部署 MDOP 群組原則 (.admx) 範本下載群組原則範本,並將其複製到執行支援 Windows Server 或 Windows 作業系統的伺服器或工作站。
注意
工作站不需要是專用電腦。
MBAM 用戶端和Configuration Manager用戶端電腦
MBAM 用戶端軟體
MBAM 用戶端:
使用 群組原則 物件在企業中的用戶端電腦上強制執行 BitLocker 磁片磁碟機加密。
收集三種資料磁片磁碟機類型的 BitLocker 修復金鑰:作業系統磁片磁碟機、固定資料磁片磁碟機和卸載式 (USB) 資料磁片磁碟機。
收集有關用戶端電腦的復原資訊和電腦資訊。
Configuration Manager 用戶端
Configuration Manager客戶端可讓Configuration Manager收集用戶端電腦的硬體相容性資料,並報告合規性資訊。
支援之 Configuration Manager 版本的 MBAM 部署差異
當您使用Configuration Manager整合拓撲部署 MBAM 時,可以在主要月臺伺服器上安裝 MBAM。 不過,MBAM 安裝對於 System Center 2012 Configuration Manager 和 Configuration Manager 2007 的運作方式不同。
| Configuration Manager版本 | 描述 |
|---|---|
System Center 2012 R2 Configuration Manager System Center 2012 Configuration Manager |
如果您在主要月臺伺服器或管理中心伺服器上安裝 MBAM,MBAM 會在該月臺伺服器上執行所有安裝動作。 |
Configuration Manager 2007 R2 Configuration Manager 2007 |
如果您在主要月臺伺服器上安裝 MBAM,而該伺服器屬於具有中央月臺父伺服器的較大Configuration Manager階層,MBAM 會識別中央月臺父伺服器,並在該父伺服器上執行所有安裝動作。 安裝包括檢查必要條件,以及安裝Configuration Manager物件和報表。 例如,如果您在主要月臺伺服器上安裝 MBAM,而該伺服器是中央月臺父伺服器的子系,則 MBAM 會在父伺服器上安裝所有Configuration Manager物件和報表。 如果您在父伺服器上安裝 MBAM,MBAM 會在該父伺服器上執行所有安裝動作。 |
MBAM 如何搭配 Configuration Manager
MBAM 與 Configuration Manager 的整合是以安裝下表所述專案的組態套件為基礎。
| 安裝到Configuration Manager的專案 | 說明 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
設定資料 |
設定資料會安裝名為 「BitLocker Protection」 的設定基準,其中包含兩個設定專案:
組態基準會部署到 MBAM 支援的電腦集合,該集合也會在安裝 MBAM 時建立。 這兩個設定專案提供評估用戶端電腦合規性狀態的基礎。 這項資訊會在Configuration Manager中擷取、儲存及評估。 設定專案是以作業系統磁片磁碟機和固定資料磁片磁碟機的合規性需求為基礎。 系統會收集已部署電腦的必要詳細資料,以便評估這些磁片磁碟機類型的合規性。 根據預設,設定基準會每隔 12 小時評估一次合規性狀態,並將合規性資料傳送至Configuration Manager。 |
||||||||||
MBAM 支援的電腦集合 |
MBAM 會建立稱為 MBAM 支援的電腦的集合。 組態基準是以此集合中的用戶端電腦為目標。 這是動態集合。 根據預設,它會每隔 12 小時執行一次,並根據三個準則來評估成員資格:
集合會針對所有電腦進行評估,並建立相容電腦的子集,以提供 MBAM 整合合規性評估和報告的基礎。 |
||||||||||
報告 |
當您使用Configuration Manager整合拓撲設定 MBAM 時,您會在Configuration Manager中檢視所有報告,但復原稽核報告除外,後者會繼續在 MBAM Administration and Monitoring 網站中檢視。 Configuration Manager中可用的報告如下:
|
相關文章
有 MBAM 的建議嗎?
針對 MBAM 問題,請使用 MBAM TechNet 論壇。