Guia de Introdução – Usando o MBAM com o Configuration Manager

  • Artigo

Aplica-se a: Microsoft BitLocker Administration and Monitoring 2.0

Ao instalar o Microsoft BitLocker Administration and Monitoring (MBAM), você pode escolher uma topologia que integre o MBAM com o Configuration Manager 2007 ou o System Center 2012 Configuration Manager. Para obter uma lista de versões com suporte do Configuration Manager que o MBAM oferece suporte, consulte Planejando a implantação do MBAM com o Configuration Manager. Na topologia integrada, os recursos de conformidade de hardware e de relatório são removidos do MBAM e acessados pelo Configuration Manager.

Importante

O Windows To Go não é suportado quando você instala a topologia integrada do MBAM com o Configuration Manager 2007.

Usando o MBAM com o Configuration Manager

A integração do MBAM tem como base um novo Pacote de Configuração que instala os três seguintes itens no Configuration Manager 2007 ou no System Center 2012 Configuration Manager, que são descritos em detalhes nas seções a seguir:

  • Dados de configuração que consistem em uma linha de base e itens de configuração

  • Coleção

  • Relatórios

Dados de configuração

Os dados de configuração instalam uma linha de base, chamada "Proteção do BitLocker", que contém dois itens de configuração: "Proteção de Unidade de Sistema Operacional BitLocker" e "Proteção de Unidades de Dados Fixas BitLocker". A linha de base de configuração é implantada na coleção, que é também criada quando o MBAM é instalado. Os dois itens de configuração fornecem a base para avaliar o status de conformidade dos computadores cliente. Essas informações são capturadas, armazenadas e avaliadas no Configuration Manager. Os itens de configuração têm como base os requisitos de conformidade de OSDs (unidades de sistema operacional) e FDDs (Unidades de Dados Fixas). Os detalhes necessários para os computadores implantados são coletados, de forma que a conformidade desses tipos de unidade possa ser avaliada. Por padrão, a linha de base de configuração avalia o status da conformidade a cada 12 horas e envia os dados de conformidade ao Configuration Manager.

Coleção

O MBAM cria uma coleção chamada Computadores com Suporte do MBAM. A linha de base de configuração é destinada aos computadores cliente que estão nessa coleção. Esse é um conjunto dinâmico que, por padrão, é executado a cada 12 horas e avalia a associação. A associação é baseada em três critérios:

  • É uma versão com suporte do sistema operacional Windows. Atualmente, o MBAM dá suporte apenas a Windows 7 Enterprise e Windows 7 Ultimate, Windows 8 Enterprise e Windows To Go, quando o Windows To Go está em execução no Windows 8 Enterprise.

  • É um computador físico. Não há suporte para máquinas virtuais.

  • O Trusted Platform Module (TPM) está disponível. Uma versão compatível do TPM 1.2 ou posterior é necessária para que Windows 7, Windows 8 e Windows To Go não precisem de um TPM.

A coleção é avaliada com base em todos os computadores e cria um subconjunto de computadores compatíveis que fornece a base para a avaliação de conformidade e relatórios da integração do MBAM.

Relatórios

Há quatro relatórios que você pode usar para exibir a conformidade. Eles são:

  • Painel de Conformidade da Empresa do Bitlocker – fornece aos administradores de TI três exibições diferentes de informações sobre um relatório único: Distribuição do Status de Conformidade, Fora de Conformidade - Distribuição de Erros e Distribuição do Status de Conformidade por Tipo de Unidade. As opções de realização de busca detalhada no relatório permitem aos administradores de TI clicar nos dados e exibir uma lista de computadores que correspondem ao estado selecionado.

  • Detalhes da Conformidade Bitlocker Enterprise – permite que os administradores de TI exibam informações sobre o status de conformidade de criptografia BitLocker da empresa e inclui o status de conformidade de cada computador. As opções de realização de busca detalhada no relatório permitem aos administradores de TI clicar nos dados e exibir uma lista de computadores que correspondem ao estado selecionado.

  • Conformidade do Computador BitLocker – permite aos administradores de TI exibir um computador individual e determinar por que foi informado com um determinado status de conformidade ou não conformidade. O relatório também exibe o estado de criptografia de unidades do sistema operacional (OSD) e unidades de dados fixas (FDDs).

  • Resumo de Conformidade Bitlocker Enterprise – permite aos administradores de TI exibir o status de conformidade da empresa com a política do MBAM: O estado de cada computador é avaliado, e o relatório mostra um resumo da conformidade de todos os computadores na empresa com base na política. As opções de realização de busca detalhada no relatório permitem aos administradores de TI clicar nos dados e exibir uma lista de computadores que correspondem ao estado selecionado.

Arquitetura de alto nível do MBAM com o Configuration Manager

A imagem a seguir mostra a arquitetura do MBAM com a topologia do Configuration Manager. Essa configuração dá suporte a até 200.000 clientes do MBAM em um ambiente de produção.

Arquitetura MBAM com o Configuration Manager

Segue uma descrição dos servidores, dos bancos de dados e dos recursos dessa arquitetura. Os recursos e os bancos de dados do servidor na imagem de arquitetura são listados no computador ou no servidor no qual recomendamos a instalação deles.

  • Servidor de Banco de Dados – O Banco de Dados de Recuperação e o Banco de Dados de Auditoria são instalados em um servidor Windows e possuem o suporte de uma instância SQL Server. O banco de dados de Recuperação armazena dados de recuperação coletados de computadores clientes do MBAM. O Banco de Dados de Auditoria armazena dados da atividade de auditoria que são coletados de computadores cliente que acessaram os dados de recuperação.

  • Servidor de Site Primário do Configuration Manager – o Configuration Manager Server consiste na instalação do servidor do MBAM, que deve ser instalado em um servidor de site primário do Configuration Manager. O Servidor do Configuration Manager coleta as informações de inventário de hardware de computadores clientes e é usado para relatar a conformidade de BitLocker de computadores clientes. Quando você executa a instalação do servidor de Instalação do MBAM, a coleção e os dados de configuração são instalados no Servidor de Site Primário do Configuration Manager.

  • Servidor de Administração e Monitoramento - O Servidor de Administração e Monitoramento é instalado em um servidor Windows e consiste no site de Administração e Monitoramento e nos serviços Web de monitoramento. O site de Administração e Monitoramento é usado para auditar a atividade e acessar dados de recuperação (por exemplo, chaves de recuperação BitLocker). O Portal de Autoatendimento está também instalado no Servidor de Administração e Monitoramento. O Portal permite que os usuários finais em computadores clientes façam logon de forma independente em um site para obter uma chave de recuperação, caso percam sua senha do BitLocker ou se esqueçam dela. Os relatórios de auditoria também são instalados no Servidor de Administração e Monitoramento.

  • Estação de Trabalho de Gerenciamento - O Modelo de Política consiste em Objetos de Política de Grupo que definem configurações de implementação do MBAM para criptografia de unidade BitLocker. Você pode instalar o modelo de Política em qualquer servidor ou estação de trabalho, mas ele é normalmente instalado em uma estação de trabalho de gerenciamento, que é um servidor Windows ou um computador cliente com suporte. A estação de trabalho não precisa ser um computador dedicado.

  • Computador Cliente do MBAM e Cliente do Configuration Manager

    • O Cliente do MBAM executa as seguintes tarefas:

      • Usa os Objetos da Política de Grupo para impor a criptografia BitLocker de computadores clientes na empresa.

      • Coleta a chave de recuperação para os três tipos de unidade de dados BitLocker: unidades do sistema operacional, unidades de dados fixas e unidades de dados removíveis (USB).

      • Coleta informações de recuperação e informações de computador sobre computadores cliente.

    • Cliente do Configuration Manager – O cliente do Configuration Manager permite que o Configuration Manager colete dados de compatibilidade de hardware sobre os computadores clientes e permite que o Configuration Manager forneça informações de conformidade.

Consulte Também

Outros Recursos

Usando o MBAM com o Configuration Manager

-----
Você pode saber mais sobre o MDOP na Biblioteca do TechNet, pesquisar por solução de problemas no TechNet Wiki ou nos seguir no Facebook ou Twitter.
-----