獨立和 Configuration Manager 整合拓撲的 MBAM 2.5 伺服器必要條件
開始安裝 Microsoft BitLocker Administration and Monitoring (MBAM) 之前,您必須先完成本文所列的必要條件。 這些必要條件適用於 MBAM 獨立拓撲和 System Center Configuration Manager 整合拓撲。
如果您要使用 System Center Configuration Manager 部署 MBAM,則必須完成其他必要條件,這些必要條件會列在 僅適用於 Configuration Manager 整合拓撲的 MBAM 2.5 伺服器必要條件中。
如需 MBAM 支援的硬體和作業系統清單,請參閱 MBAM 2.5 支援的設定。
重要
如果使用 BitLocker 時沒有 MBAM,您必須解密磁碟驅動器,然後使用 tpm.msc 清除 TPM。 如果裝置已加密且已建立 TPM 擁有者密碼,MBAM 就無法取得 TPM 的擁有權。
必要的 MBAM 角色和帳戶
如需在 Active Directory Domain Services (ADDS) 中建立之群組的詳細資訊,請參閱 規劃 MBAM 2.5 群組和帳戶。
復原資料庫的必要條件
| 先決條件 | 詳細資料 |
|---|---|
| 支援的 SQL Server 版本 | 使用SQL_Latin1_General_CP1_CI_AS定序安裝Microsoft SQL Server。 如需支援的版本,請參閱 MBAM 2.5 支援的 設定。 |
| 必要的 SQL Server 許可權 | 必要權限: - SQL Server 實例登入伺服器角色: - dbcreator- processadmin- SQL Server Reporting Services 實例許可權: - 建立資料夾 - 發佈報表 |
| 選擇性 - 安裝 SQL Server 中可用的透明數據加密 (TDE) 功能 | TDE SQL Server 功能會執行數據和記錄檔的即時 I/O 加密和解密,這可協助您遵守適用於各種產業的法律、法規和指導方針。 注意: TDE 會執行資料庫信息的即時解密。 如果您在 SQL Server 資料庫中檢視修復金鑰資訊,而且您是在具有資料庫許可權的帳戶下登入,則會顯示修復金鑰資訊。 若要深入瞭解 TDE,請參閱 MBAM 2.5 安全性考慮。 |
| SQL Server Database Engine Services | SQL Server Database Engine Services 必須在 MBAM Server 安裝期間安裝並執行。 |
| Windows PowerShell 3.0 或更新版本 | 如果您使用 Windows PowerShell 從遠端電腦設定資料庫,則不需要在復原資料庫伺服器上安裝 Windows PowerShell。 |
合規性和稽核資料庫的必要條件
| 先決條件 | 詳細資料 |
|---|---|
| 支援的 SQL Server 版本 | 使用SQL_Latin1_General_CP1_CI_AS定序安裝 SQL Server。 如需支援的版本,請參閱 MBAM 2.5 支援的 設定。 |
| 必要的 SQL Server 許可權 | 必要權限: - SQL Server 實例登入伺服器角色: - dbcreator- processadmin- SQL Server Reporting Services 實例許可權: - 建立資料夾 - 發佈報表 |
| 選擇性 - 在 SQL Server 中安裝透明數據加密 (TDE) 功能 | TDE SQL Server 功能會執行數據和記錄檔的即時 I/O 加密和解密,這可協助您遵守適用於各種產業的法律、法規和指導方針。 TDE 會執行資料庫信息的即時解密。 這表示,如果您在 SQL Server 資料庫中檢視修復密鑰資訊,而且您是在具有資料庫許可權的帳戶下登入,則會顯示修復密鑰資訊。 若要深入瞭解 TDE,請參閱 MBAM 2.5 安全性考慮。 |
| SQL Server Database Engine Services | SQL Server Database Engine Services 必須在 MBAM Server 安裝期間安裝並執行。 不過,SQL Server 可以從遠端執行;它不一定位於您要安裝 MBAM 伺服器軟體的相同伺服器上。 |
| Windows PowerShell 3.0 或更新版本 | 如果您使用 Windows PowerShell 從遠端電腦設定資料庫,則不需要在合規性和稽核資料庫伺服器上安裝 Windows PowerShell。 |
報表的必要條件
| 先決條件 | 詳細資料 |
|---|---|
| 支援的 SQL Server 版本 | 使用SQL_Latin1_General_CP1_CI_AS定序安裝 SQL Server。 如需支援的版本,請參閱 MBAM 2.5 支援的 設定。 |
| SQL Server Reporting Services (SSRS) | SSRS 必須在 MBAM 伺服器安裝期間安裝並執行。 以「原生」模式設定 SSRS,而不是以未設定或「SharePoint」模式設定。 |
| SSRS 實例許可權 - 只有當您要在設定報表的伺服器的不同伺服器上安裝資料庫時,才需要 SSRS 實例許可權。 | 必要的實體權限: - 建立資料夾 - 發佈報表 |
| Windows PowerShell 3.0 或更新版本 | 如果您使用 Windows PowerShell 從遠端電腦設定資料庫,則不需要在此資料庫伺服器上安裝 Windows PowerShell。 |
Administration and Monitoring Server 的必要條件
下列各節列出 MBAM Administration and Monitoring Server 的安裝必要條件。
Windows Server 網頁伺服器角色
此角色必須新增至 Administration and Monitoring Server 功能支援的伺服器操作系統。
Web 伺服器 (IIS) 管理工具
選 取 [IIS 管理文本和工具]。
SSL 憑證
選用。 若要保護用戶端電腦與 Web 服務之間的通訊,您必須取得並安裝信任的安全性授權單位所簽署的憑證。
Web 伺服器角色服務
一般 HTTP 功能
- 靜態內容
- 默認檔
應用程式開發
- ASP.NET
- .NET 擴充性
- ISAPI 擴充功能
- ISAPI 篩選
安全性
- Windows 驗證
- 要求篩選
Windows Server 功能
.NET Framework 4.5 功能
.NET Framework 4.5 或 4.6
- Windows Server 2016 - 已針對這些版本的 Windows Server 安裝 .NET Framework 4.6,但您必須加以啟用。
- Windows Server 2012 或 Windows Server 2012 R2 - 已針對這些版本的 Windows Server 安裝 .NET Framework 4.5,但您必須加以啟用。
- Windows Server 2008 R2 - .NET Framework 4.5 不包含在 Windows Server 2008 R2 中,因此您必須 下載 Microsoft .NET Framework 4.5 並個別安裝。
WCF 啟用
- HTTP 啟用
- 僅適用於 Windows Server 2008、2012 和 2012 R2 的非 HTTP 啟用 ()
TCP 啟用
Windows 處理序啟用服務
- 進程模型
- .NET Framework 環境
- 組態 API
ASP.NET MVC 4.0
注意
在 2023 年 1 月維護更新 (HF08) 之後,不再需要 MVC 4.0 ASP.NET。
SPN) (服務主體名稱
Web 應用程式需要 SPN 作為您用於 Web 應用程式集區之網域帳戶下的虛擬主機名。
如果您的系統管理許可權允許您在 Active Directory 網域服務中建立 SPN,MBAM 會為您建立 SPN。 如需建立SPN所需許可權的相關信息,請參閱 Setspn 。
如果您沒有建立 SPN 的系統管理許可權,您必須要求組織中的 Active Directory 系統管理員使用下列命令為您建立 SPN:
Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
在程式代碼範例中,虛擬主機名稱是 mbamvirtual.contoso.com,而用於 Web 應用程式集區的網域帳戶是 contoso\mbamapppooluser。
注意
如果您設定負載平衡,請在所有伺服器上使用相同的應用程式集區帳戶。
如需註冊完整、NetBIOS 和自定義主機名之 SPN 的詳細資訊,請參閱 規劃如何保護 MBAM 網站。
Self-Service 入口網站的必要條件
支援的 Windows Server 版本
如需支援的版本清單,請參閱 MBAM 2.5 支援的設定。
ASP.NET MVC 4.0
注意
在 2023 年 1 月維護更新 (HF08) 之後,不再需要 MVC 4.0 ASP.NET。
Web 服務 IIS 管理工具
選 取 [IIS 管理文本和工具]。
SPN) (服務主體名稱
Web 應用程式需要 SPN 作為您用於 Web 應用程式集區之網域帳戶下的虛擬主機名。
如果您的系統管理許可權允許您在 Active Directory 網域服務中建立 SPN,MBAM 會為您建立 SPN。 如需建立SPN所需許可權的相關信息,請參閱 Setspn 。
如果您沒有建立 SPN 的系統管理許可權,您必須要求組織中的 Active Directory 系統管理員使用下列命令為您建立 SPN:
Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
在程式代碼範例中,虛擬主機名稱是 mbamvirtual.contoso.com,而用於 Web 應用程式集區的網域帳戶是 contoso\mbamapppooluser。
注意
如果您設定負載平衡,請在所有伺服器上使用相同的應用程式集區帳戶。
如需註冊完整、NetBIOS 和自定義主機名之 SPN 的詳細資訊,請參閱 規劃如何保護 MBAM 網站。
管理工作站的必要條件
安裝 MBAM 用戶端之前, 請下載 MBAM 組策略範本。 使用您想要在環境中針對 BitLocker 磁碟驅動器加密實作的設定進行設定。
安裝 MBAM 用戶端之前,也請執行下列步驟: