共用方式為

MBAM 2.5 與 Configuration Manager 整合拓撲的高階架構

  • 發行項

本文說明使用 Configuration Manager 整合拓撲部署 Microsoft BitLocker Administration and Monitoring (MBAM) 的建議架構。 此拓撲會將 MBAM 與 System Center Configuration Manager 整合。 若要使用獨立拓撲部署 MBAM,請參閱 MBAM 2.5 與獨立拓撲的高階架構

如需本文所述軟體支援的版本清單,請參閱 MBAM 2.5 支援的設定

重要

當您使用 Configuration Manager 2007 時,Configuration Manager 整合拓撲安裝不支援 Windows To Go。

下表列出生產環境中建議的伺服器數目和支援的用戶端數目:

建議的架構 詳細資料
伺服器和其他計算機的數目 三部伺服器
一個工作站
支援的用戶端電腦數目 500,000

Configuration Manager 整合與獨立拓撲之間的差異

拓撲之間的主要差異如下:

  • 合規性和報告功能會從 MBAM 中移除,並從 Configuration Manager 存取。

  • 除了您繼續從 MBAM Administration and Monitoring Website 檢視的復原稽核報告之外,系統會從 Configuration Manager 管理控制台檢視報告。

下圖和章節說明搭配 Configuration Manager 整合拓撲之 MBAM 的建議高階架構。 MBAM 多樹系部署需要單向或雙向信任。 單向信任需要伺服器網域信任用戶端網域。

Configuration Manager 的 MBAM 高階架構概念圖。

資料庫伺服器

復原資料庫

這項功能是在執行 Windows Server 和支援 SQL Server 實例的電腦上設定。

復原資料庫會儲存從MBAM用戶端計算機收集的復原數據。

稽核資料庫

這項功能是在執行 Windows Server 和支援 SQL Server 實例的電腦上設定。

核資料庫 會儲存從已存取復原數據的用戶端電腦收集的稽核活動數據。

報告

這項功能是在執行 Windows Server 和支援 SQL Server 實例的電腦上設定。

報表會為您企業中的用戶端計算機提供複原稽核數據。 您可以從 Configuration Manager 控制台或直接從 SQL Server Reporting Services 檢視報告。

Configuration Manager 主要月台伺服器

System Center Configuration Manager 整合功能

  • 這項功能是在 Configuration Manager 主要月臺伺服器上設定,這是 Configuration Manager 基礎結構中的最上層伺服器。

  • Configuration Manager 伺服器 會從用戶端電腦收集硬體清查資訊,並用來報告用戶端計算機的 BitLocker 合規性。

  • 當您執行 Microsoft BitLocker Administration and Monitoring 安裝精靈以安裝伺服器軟體時,Configuration Manager 主要月台伺服器上會設定 MBAM 支援的電腦集合、設定基準和報告。

  • Configuration Manager 控制台 必須安裝在您安裝 MBAM 伺服器軟體的相同電腦上。

管理與監視伺服器

管理和監視網站

這項功能是在執行 Windows Server 的電腦上設定。

系統管理和監視網站可用來:

  • 協助使用者在電腦遭到鎖定時重新取得其計算機的存取權。 (網站的這個區域通常稱為技術支援中心 )

  • 檢視 [複原稽核報告],其中顯示用戶端計算機的復原活動。 從 Configuration Manager 控制台檢視其他報告。

自助入口網站

這項功能是在執行 Windows Server 的電腦上設定。

自助入口網站是一個網站,可讓用戶端電腦上的終端用戶在遺失或忘記 BitLocker 密碼時,獨立登入網站以取得修復密鑰。

監視此網站的Web服務

這項功能會安裝在執行 Windows Server 的電腦上。

MBAM 用戶端和網站會使用 監視 Web 服務 來與資料庫通訊。

重要

由於 MBAM 網站直接與復原資料庫通訊,因此 MBAM (MBAM) 2.5 SP1 Microsoft不再提供監視 Web 服務。

管理工作站

MBAM 組策略範本

  • MBAM 組策略範本是組策略設定,可定義 MBAM 的實作設定,可讓您管理 BitLocker 磁碟驅動器加密。

  • 執行 MBAM 之前,您必須先從 How to Download and Deploy MDOP 組策略 (.admx) 範本 下載組策略範本,並將其複製到執行支援 Windows Server 或 Windows 操作系統的伺服器或工作站。

    注意

    工作站不需要是專用計算機。

MBAM 用戶端和 Configuration Manager 用戶端電腦

MBAM 用戶端軟體

MBAM 用戶端

  • 使用組策略物件,在企業中的用戶端計算機上強制執行 BitLocker 磁碟驅動器加密。

  • 收集三種數據磁碟驅動器類型的 BitLocker 修復金鑰:操作系統磁碟驅動器、固定數據磁碟驅動器和卸載式 (USB) 數據磁碟驅動器。

  • 收集有關用戶端電腦的復原資訊和計算機資訊。

Configuration Manager 用戶端

Configuration Manager 客戶 端可讓 Configuration Manager 收集有關用戶端電腦的硬體相容性數據,並報告合規性資訊。

支援的 Configuration Manager 版本的 MBAM 部署差異

當您使用 Configuration Manager 整合拓撲部署 MBAM 時,可以在主要站台伺服器上安裝 MBAM。 不過,MBAM 安裝對於 System Center 2012 Configuration Manager 和 Configuration Manager 2007 的運作方式不同。

Configuration Manager 版本 描述
System Center 2012 R2 Configuration Manager
System Center 2012 Configuration Manager		 如果您在主要站台伺服器或管理中心伺服器上安裝 MBAM,MBAM 會在該站台伺服器上執行所有安裝動作。
Configuration Manager 2007 R2
Configuration Manager 2007		 如果您在具有中央月臺父伺服器的較大 Configuration Manager 階層中的主要月臺伺服器上安裝 MBAM,MBAM 會識別中央月臺父伺服器,並在該父伺服器上執行所有安裝動作。 安裝包括檢查必要條件,以及安裝 Configuration Manager 對象和報表。

例如,如果您在主要月台伺服器上安裝 MBAM,而該伺服器是中央月臺父伺服器的子系,則 MBAM 會在父伺服器上安裝所有 Configuration Manager 物件和報表。 如果您在父伺服器上安裝 MBAM,MBAM 會在該父伺服器上執行所有安裝動作。

MBAM 如何與 Configuration Manager 搭配運作

MBAM 與 Configuration Manager 的整合是以安裝下列各節所述專案的組態套件為基礎。

設定數據

設定數據會安裝名為 「BitLocker Protection」 的設定基準,其中包含兩個設定專案:

  • BitLocker 作業系統磁碟驅動器保護
  • BitLocker 固定數據磁碟驅動器保護

組態基準會部署到 MBAM 支援的電腦集合,該集合也會在安裝 MBAM 時建立。 這兩個設定專案提供評估用戶端計算機合規性狀態的基礎。 這項資訊會在 Configuration Manager 中擷取、儲存及評估。 設定專案是以操作系統磁碟驅動器和固定數據磁碟驅動器的合規性需求為基礎。 系統會收集已部署計算機的必要詳細數據,以便評估這些磁碟驅動器類型的合規性。 根據預設,設定基準會每隔 12 小時評估一次合規性狀態,並將合規性數據傳送至 Configuration Manager。

MBAM 支援的計算機集合

MBAM 會建立稱為MBAM支援的計算機的集合。 組態基準是以此集合中的用戶端計算機為目標。 這是動態集合。 根據預設,它會每隔 12 小時執行一次,並根據三個準則來評估成員資格:

  • 計算機是支援的 Windows 作業系統版本。
  • 計算機是實體計算機。 不支援虛擬機。
  • 計算機有可使用的信賴平臺模組 (TPM) 。 Windows 7 需要相容版本的 TPM 1.2 或更新版本。 Windows 11、Windows 10、Windows 8.1、Windows 8 和 Windows To Go 不需要 TPM。

集合會針對所有計算機進行評估,並建立相容計算機的子集,以提供 MBAM 整合合規性評估和報告的基礎。

報告

當您使用 Configuration Manager 整合拓撲設定 MBAM 時,您會在 Configuration Manager 中檢視所有報告,但復原稽核報告除外,後者會繼續在 MBAM Administration and Monitoring Website 中檢視。 Configuration Manager 中可用的報告如下:

  • BitLocker 企業合規性儀錶板: 在單一報告中為IT系統管理員提供三個資訊檢視:合規性狀態發佈、不符合規範 - 錯誤發佈,以及依磁碟驅動器類型發佈合規性狀態。 報表上的向下切入選項可讓IT系統管理員透過資料進行選取,並檢視符合所選狀態的計算機清單。
  • BitLocker 企業合規性詳細數據: 讓IT系統管理員檢視企業 BitLocker 加密合規性狀態的相關信息,並包含每部計算機的合規性狀態。 報表上的向下切入選項可讓IT系統管理員透過資料進行選取,並檢視符合所選狀態的計算機清單。
  • BitLocker 計算機合規性: 可讓IT系統管理員檢視個別電腦,並判斷為何報告其狀態為符合規範或不符合規範。 報表也會顯示操作系統磁碟驅動器和固定數據磁碟驅動器的加密狀態。
  • BitLocker 企業合規性摘要: 可讓IT系統管理員檢視企業中 MBAM 原則合規性的狀態。 系統會評估每部計算機的狀態,且報表會顯示企業中所有計算機對原則的合規性摘要。 報表上的向下切入選項可讓IT系統管理員透過資料進行選取,並檢視符合所選狀態的計算機清單。

關於 MBAM 2.5 SP1

具有獨立拓撲的 MBAM 2.5 高階架構

說明 MBAM 2.5 部署的功能