Erste Schritte – Verwenden von MBAM mit Configuration Manager

  • Artikel

Letzte Aktualisierung: April 2013

Betrifft: Microsoft BitLocker Administration and Monitoring 2.0

Bei der Installation von Microsoft BitLocker-Administration und Überwachung (MBAM) können Sie eine Topologie auswählen, mit der Sie MBAM mit Configuration Manager 2007 oder System Center 2012 Configuration Manager integrieren können. Eine Liste der von MBAM unterstützten Konfigurationsmanager-Versionen finden Sie unter Planen der Bereitstellung von MBAM mit Configuration Manager. Bei der integrierten Topologie werden die Hardwarekonformitäts- und Berichtsfunktionen von MBAM entfernt und von Konfigurationsmanager abgerufen.

Wichtig

Windows To Go wird nicht unterstützt, wenn die integrierte Topologie von MBAM mit Configuration Manager 2007 installiert wird.

Verwenden von MBAM mit Configuration Manager

Die Integration von MBAM basiert auf einem neuen Konfigurationspaket, von dem die folgenden drei Objekte in Configuration Manager 2007 oder System Center 2012 Configuration Manager installiert werden. Diese Objekte werden in den folgenden Abschnitten ausführlich beschrieben:

  • Konfigurationsdaten, die Konfigurationselemente und eine Konfigurationsbasislinie umfassen

  • Sammlung

  • Berichte

Konfigurationsdaten

Von den Konfigurationsdaten wird eine Konfigurationsbasislinie mit dem Namen „BitLocker-Schutz“ installiert, die zwei Konfigurationsobjekte (CIs) enthält: „BitLocker-Schutz von Betriebssystemlaufwerken“ und „BitLocker-Schutz von Festplattenlaufwerken“. Die Konfigurationsbasislinie wird für die Sammlung bereitgestellt, welche bei der Installation von MBAM ebenfalls erstellt wird. Die beiden Konfigurationselemente stellen die Basis zum Auswerten des Kompatibilitätsstatus der Clientcomputer dar. Diese Informationen werden in Konfigurationsmanager erfasst, gespeichert und ausgewertet. Die Konfigurationselemente basieren auf den Kompatibilitätsanforderungen für Betriebssystemlaufwerke (OSDs) und Festplattenlaufwerke (FDDs). Für die bereitgestellten Computer werden die erforderlichen Details gesammelt, sodass die Konformität dieser Laufwerkstypen ausgewertet werden kann. Standardmäßig wird der Kompatibilitätsstatus alle 12 Stunden von der Konfigurationsbasislinie ausgewertet, und die Kompatibilitätsdaten werden an Konfigurationsmanager gesendet.

Sammlung

Von MBAM wird eine Sammlung mit dem Namen „Von MBAM unterstützte Computer“ erstellt. Die Clientcomputer in dieser Sammlung sind das Ziel der Konfigurationsbasislinie der Verwaltung gewünschter Konfigurationen. Es handelt sich um eine dynamische Sammlung, die standardmäßig alle 12 Stunden ausgeführt wird, wobei die Mitgliedschaft ausgewertet wird. Die Mitgliedschaft basiert auf drei Kriterien:

  • Es handelt sich um eine unterstützte Windows-Betriebssystemversion. Zurzeit werden von MBAM nur Windows 7 Enterprise und Windows 7 Ultimate, Windows 8 Enterprise und Windows To Go unterstützt, sofern Windows To Go auf Windows 8 Enterprise ausgeführt wird.

  • Es handelt sich um einen physischen Computer. Virtuelle Computer werden nicht unterstützt.

  • Trusted Platform Module (TPM) ist verfügbar. Für Windows 7 ist eine kompatible Version von TPM 1.2 oder höher erforderlich. Für Windows 8 und Windows To Go ist TPM nicht erforderlich.

Die Sammlung wird gegen alle Computer ausgewertet, und es wird eine Untermenge konformer Computer erstellt, die als Basis für die Konformitätsbewertung und Berichterstattung für die MBAM-Integration verwendet wird.

Berichte

Sie können die Konformität anhand von vier verschiedenen Berichten bewerten. Diese Berichte sind:

  • Bitlocker-Dashboard für unternehmensweite Konformität: Hier stehen IT-Administratoren drei verschiedene Informationsansichten in einem einzelnen Bericht zur Verfügung: Verteilung des Konformitätsstatus, Verteilung der Konformitätsfehler sowie Verteilung des Konformitätsstatus nach Laufwerkstyp. Mithilfe von Detailoptionen des Berichts können IT-Administratoren durch die Daten navigieren und eine Liste von Computern anzeigen, die den ausgewählten Status aufweisen.

  • Bitlocker - Details zur unternehmensweiten Konformität: Hier können IT-Administratoren Informationen zum unternehmensweiten Konformitätsstatus der BitLocker-Verschlüsselung und zum Konformitätsstatus der einzelnen Computer anzeigen. Mithilfe von Detailoptionen des Berichts können IT-Administratoren durch die Daten navigieren und eine Liste von Computern anzeigen, die den ausgewählten Status aufweisen.

  • BitLocker - Computerkonformität: Hier können IT-Administratoren einzelne Computer anzeigen und bestimmen, weswegen Computer mit einem gegebenen Status „Konform“ oder „Nicht konform“ gemeldet werden. Im Bericht wird außerdem der Verschlüsselungsstatus der Betriebssystemlaufwerke (OSDs) und der Festplattenlaufwerke (FDDs) angezeigt.

  • Bitlocker - Übersicht über die unternehmensweite Konformität: Hier können IT-Administratoren den Status der unternehmensweiten Konformität mit der MBAM-Richtlinie anzeigen. Der Status aller Computer wird ausgewertet, und der Bericht enthält eine Zusammenfassung der Richtlinienkonformität sämtlicher Computer im Unternehmen. Mithilfe von Detailoptionen des Berichts können IT-Administratoren durch die Daten navigieren und eine Liste von Computern anzeigen, die den ausgewählten Status aufweisen.

Grundlegende Architektur von MBAM mit Configuration Manager

In der folgenden Abbildung ist die MBAM-Architektur mit der Konfigurationsmanager-Topologie dargestellt. Mit dieser Konfiguration können bis zu 200.000 MBAM-Clients in einer Produktionsumgebung unterstützt werden.

MBAM-Architektur mit Configuration Manager

Nachfolgend finden Sie eine Beschreibung der Server, Datenbanken und Funktionen dieser Architektur. Die Serverfunktionen und Datenbanken in der Architekturabbildung sind jeweils unter dem Computer oder Server aufgelistet, auf dem sie installiert werden sollten.

  • Datenbankserver: Die Wiederherstellungsdatenbank und die Überwachungsdatenbank werden auf einem Windows-Server und einer unterstützten Instanz von SQL Server installiert. In der Wiederherstellungsdatenbank werden Wiederherstellungsdaten gespeichert, die von MBAM-Clientcomputern gesammelt werden. In der Überwachungsdatenbank werden Daten von Überwachungsaktivitäten von Clientcomputern gesammelt, von welchen auf Wiederherstellungsdaten zugegriffen wurde.

  • Primärer Konfigurationsmanager-Standortserver: Der Konfigurationsmanager-Server umfasst die MBAM-Serverinstallation, die auf einem primären Konfigurationsmanager-Standortserver installiert sein muss. Vom Konfigurationsmanager-Server werden Hardwareinventarinformationen von Clientcomputern gesammelt, und er wird zum Melden der BitLocker-Konformität der Clientcomputer verwendet. Wenn Sie die MBAM-Setup-Serverinstallation ausführen, werden eine Sammlung und die Konfigurationsdaten auf dem primären Konfigurationsmanager-Standortserver installiert.

  • Verwaltungs- und Überwachungsserver: Der Verwaltungs- und Überwachungsserver wird auf einem Windows-Server installiert. Er besteht aus der Verwaltungs- und Überwachungswebsite und den Überwachungswebdiensten. Die Verwaltungs- und Überwachungswebsite wird zum Überwachen von Aktivitäten und zum Zugreifen auf Wiederherstellungsdaten wie BitLocker-Wiederherstellungsschlüssel verwendet. Das Self-Service-Portal wird ebenfalls auf dem Verwaltungs- und Überwachungsserver installiert. Das Portal ermöglicht Endbenutzern an Clientcomputern, sich unabhängig bei einer Website anzumelden, von der sie einen Wiederherstellungsschlüssel beziehen können, falls sie ihr BitLocker-Kennwort verloren oder vergessen haben. Die Überwachungsberichte sind auch auf dem Verwaltungs- und Überwachungsserver installiert.

  • Verwaltungsarbeitsstation: Die Richtlinienvorlage besteht aus Gruppenrichtlinienobjekten, von denen MBAM-Implementierungseinstellungen für die BitLocker-Laufwerkverschlüsselung definiert werden. Sie können die Richtlinienvorlage auf einem beliebigen Server bzw. einer beliebigen Arbeitsstation installieren. Normalerweise wird sie jedoch auf einer Verwaltungsarbeitsstation installiert, bei der es sich um einen unterstützten Windows-Server oder Clientcomputer handelt. Bei der Arbeitsstation muss es sich nicht um einen dedizierten Computer handeln.

  • MBAM-Client und Configuration Manager-Clientcomputer

    • Vom MBAM-Client werden die folgenden Tasks ausgeführt:

      • Verwenden von Gruppenrichtlinienobjekten zum Erzwingen der BitLocker-Verschlüsselung von Clientcomputern im Unternehmen

      • Erfassen des Wiederherstellungsschlüssels für die drei BitLocker-Datenlaufwerkstypen: Betriebssystemlaufwerke, Festplattenlaufwerke und Wechseldatenträger (USB-Laufwerke)

      • Sammeln von Wiederherstellungs- und Computerinformationen zu den Clientcomputern

    • Konfigurationsmanager-Client: Mithilfe des Konfigurationsmanager-Clients können von Konfigurationsmanager Hardwarekonformitätsdaten zu den Clientcomputern gesammelt und Konformitätsinformationen gemeldet werden.

Siehe auch

Andere Ressourcen

Verwenden von MBAM mit Configuration Manager

-----
Sie können in der TechNet-Bibliothek weitere Informationen zu MDOP lesen, im TechNet Wiki nach „Troubleshooting“ suchen oder uns auf Facebook oder Twitter folgen.
-----