Share via

Grundlegende Architektur von MBAM 2.5 mit Configuration Manager mit Configuration Manager Integration-Topologie

  • Artikel

Letzte Aktualisierung: Mai 2014

Betrifft: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

In diesem Thema wird die empfohlene Architektur für die Bereitstellung von Microsoft BitLocker Administration and Monitoring (MBAM) mit der Configuration Manager-Integrationstopologie erläutert. Diese Topologie integriert MBAM in System Center Configuration Manager. Anweisungen zum Bereitstellen von MBAM mit der eigenständigen Topologie finden Sie unter Grundlegende Architektur von MBAM 2.5 mit eigenständiger Topologie.

Eine Liste der unterstützten Versionen für die Software, die in diesem Thema genannt wird, finden Sie unter MBAM 2.5 – Unterstützte Konfigurationen.

Wichtig

Wenn Sie Configuration Manager verwenden, wird Windows To Go für die Installation der Configuration Manager 2007-Integrationstopologie nicht unterstützt.

Empfohlene Anzahl Server und unterstützte Anzahl Clients

Die folgende Tabelle gibt die empfohlene Anzahl von Servern und die unterstützte Anzahl von Clients in einer Produktionsumgebung an:

Empfohlene Architektur Details

Anzahl Server und anderer Computer

Drei Server

Eine Arbeitsstation

Unterstützte Anzahl Clientcomputer

500,000

Unterschiede zwischen Configuration Manager-Integrationstopologie und eigenständiger Topologie

Zwischen den Topologien bestehen die folgenden wesentlichen Unterschiede:

  • Die Konformitäts- und Berichtsfeatures wurden aus MBAM entfernt und werden von Configuration Manager aus aufgerufen.

  • Berichte werden über die Configuration Manager-Verwaltungskonsole angezeigt; eine Ausnahme bildet der Überwachungsberichts für die Wiederherstellung, auf den weiterhin von der MBAM Administration and Monitoring-Website aus zugegriffen wird.

Empfohlene grundlegende Architektur von MBAM mit Configuration Manager-Integrationstopologie

Im folgenden Diagramm und der Tabelle wird die empfohlene grundlegende Architektur für MBAM mit der Configuration Manager-Integrationstopologie beschrieben. Für MBAM-Bereitstellungen mit mehreren Gesamtstrukturen ist eine uni- oder bidirektionale Vertrauensstellung erforderlich. Bei einer unidirektionalen Vertrauensstellung muss die Serverdomäne der Clientdomäne vertrauen.

MBAM2_5

Server Auf diesem Server zu konfigurierende Features Beschreibung

Datenbankserver

Wiederherstellungsdatenbank

Dieses Feature wird auf einem Computer konfiguriert, auf dem Windows Server und eine unterstützte SQL Server-Instanz ausgeführt werden.

In der Wiederherstellungsdatenbank werden Wiederherstellungsdaten gespeichert, die von MBAM-Clientcomputern gesammelt werden.

Überwachungsdatenbank

Dieses Feature wird auf einem Computer konfiguriert, auf dem Windows Server und eine unterstützte SQL Server-Instanz ausgeführt werden.

In der Überwachungsdatenbank werden Daten von Überwachungsaktivitäten gespeichert, die von Clientcomputern gesammelt werden, die auf Wiederherstellungsdaten zugegriffen haben.

Berichte

Dieses Feature wird auf einem Computer konfiguriert, auf dem Windows Server und eine unterstützte SQL Server-Instanz ausgeführt werden.

Die Berichte liefern Überwachungsdaten für die Wiederherstellung für die Clientcomputer im Unternehmen. Berichte können über die Configuration Manager-Konsole oder direkt aus SQL Server Reporting Services angezeigt werden.

Primärer Configuration Manager-Standortserver

System Center Configuration Manager-Integration
  • Dieses Feature wird auf dem primären Configuration Manager-Standortserver konfiguriert, dem Server der obersten Ebene in der Configuration Manager-Infrastruktur.

  • Der Configuration Manager-Server sammelt Hardwareinventarinformationen von Clientcomputern und meldet die BitLocker-Konformität der Clientcomputer.

  • Wenn Sie den Microsoft BitLocker Administration and Monitoring-Setup-Assistenten zum Installieren der Serversoftware ausführen, werden die Sammlung „Von MBAM unterstützte Computer“, die Konfigurationsbasislinie und Berichte auf dem primären Configuration Manager-Standortserver konfiguriert.

  • Die Configuration Manager-Konsole muss auf demselben Computer installiert werden wie die MBAM-Serversoftware.

Administration and Monitoring-Server

Administration and Monitoring-Website

Diese Funktion wird auf einem Computer konfiguriert, auf dem Windows Server ausgeführt wird.

Die Administration and Monitoring-Website wird für Folgendes verwendet:

  • Unterstützen der Endbenutzer beim erneuten Zugreifen auf ihre Computer im Fall einer Sperre. (Dieser Bereich der Website wird in der Regel als „Helpdesk“ bezeichnet.)

  • Anzeigen des Überwachungsberichts für die Wiederherstellung, der Wiederherstellungsaktivitäten für Clientcomputer enthält. Andere Berichte können über die Configuration Manager-Konsole angezeigt werden.

Self-Service-Portal

Diese Funktion wird auf einem Computer konfiguriert, auf dem Windows Server ausgeführt wird.

Das Self-Service-Portal ist eine Website, die es Endbenutzern auf Clientcomputern ermöglicht, sich unabhängig bei einer Website anzumelden, um einen Wiederherstellungsschlüssel zu beziehen, falls sie ihr BitLocker-Kennwort verlieren oder vergessen.

Monitoring-Webdienste für diese Website

Diese Funktion wird auf einem Computer installiert, auf dem Windows Server ausgeführt wird.

Über die Monitoring-Webdienste kommunizieren der MBAM-Client und die Websites mit der Datenbank.

ImportantWichtig
Der Monitoring-Webdienst ist in Microsoft BitLocker Administration and Monitoring (MBAM) 2,5 SP1 nicht mehr verfügbar, da der MBAM-Client und die Websites direkt mit der Wiederherstellungsdatenbank kommunizieren.

Verwaltungsarbeitsstation

MBAM-Gruppenrichtlinienvorlagen
  • Bei den MBAM-Gruppenrichtlinienvorlagen handelt es sich um Gruppenrichtlinieneinstellungen, die Implementierungseinstellungen für MBAM definieren, mit denen Sie die BitLocker-Laufwerkverschlüsselung verwalten können.

  • Bevor Sie MBAM ausführen, müssen Sie die Gruppenrichtlinienvorlagen unter Verwaltungsvorlagen für Microsoft Desktop Optimization Pack V2.0 herunterladen und auf einen Server oder eine Arbeitsstation kopieren, auf dem bzw. der ein unterstütztes Windows Server- oder Windows-Betriebssystem ausgeführt wird.

    noteHinweis
    Bei der Arbeitsstation muss es sich nicht um einen dedizierten Computer handeln.

MBAM-Client und Configuration Manager-Clientcomputer

MBAM-Clientsoftware

Funktionen des MBAM-Client:

  • Verwenden von Gruppenrichtlinienobjekten zum Erzwingen der BitLocker-Laufwerkverschlüsselung auf Clientcomputern im Unternehmen

  • Sammeln des BitLocker-Wiederherstellungsschlüssels für drei Datenlaufwerkstypen: Betriebssystemlaufwerke, Festplattenlaufwerke und Wechseldatenträger (USB-Laufwerke)

  • Sammeln von Wiederherstellungs- und Computerinformationen zu den Clientcomputern

Configuration Manager-Client

Der Configuration Manager-Client ermöglicht Configuration Manager das Sammeln von Hardwarekonformitätsdaten über die Clientcomputer und das Melden von Konformitätsinformationen.

Unterschiede bei der MBAM-Bereitstellung für unterstützte Configuration Manager-Versionen

Wenn Sie MBAM mit der Configuration Manager-Integrationstopologie bereitstellen, können Sie MBAM auf einem primären Standortserver installieren. Die MBAM-Installation ist jedoch für System Center 2012 Configuration Manager und Configuration Manager 2007 verschieden.

Configuration Manager-Version Beschreibung

System Center 2012 R2 Configuration Manager

System Center 2012 Configuration Manager

Installieren Sie MBAM auf einem primären Standortserver oder einem Server der zentralen Verwaltung, dann werden alle Installationsaktionen von MBAM auf diesem Standortserver durchgeführt.

Configuration Manager 2007 R2

Configuration Manager 2007

Wenn Sie MBAM auf einem primären Standortserver installieren, der Bestandteil einer größeren Configuration Manager-Hierarchie mit einem übergeordneten Server des zentralen Standorts ist, wird der übergeordnete Server des zentralen Standorts von MBAM identifiziert, und alle Installationsaktionen werden auf diesem übergeordneten Server ausgeführt. Zu den Installationsaktionen gehören die Überprüfung der Voraussetzungen und die Installation der Configuration Manager-Objekte und -Berichte.

Wenn Sie beispielsweise MBAM auf einem primären Standortserver installieren, der einem übergeordneten Server eines zentralen Standorts untergeordnet ist, werden alle Configuration Manager-Objekte und -Berichte von MBAM auf dem übergeordneten Server installiert. Installieren Sie MBAM auf dem übergeordneten Server, dann werden alle Installationsaktionen von MBAM auf diesem übergeordneten Server durchgeführt.

Interaktion von MBAM und Configuration Manager

Die Integration von MBAM in Configuration Manager basiert auf einem Konfigurationspaket, von dem die in der folgenden Tabelle beschriebenen Elemente installiert werden.

In Configuration Manager installierte Elemente Beschreibung

Konfigurationsdaten

Von den Konfigurationsdaten wird eine Konfigurationsbasislinie mit dem Namen „BitLocker-Schutz“ installiert, die zwei Konfigurationsobjekte (CIs) enthält:

  • BitLocker-Schutz von Betriebssystemlaufwerken

  • BitLocker-Schutz von Festplattenlaufwerken

Die Konfigurationsbasislinie wird für die Sammlung „Von MBAM unterstützte Computer“ bereitgestellt, die bei der Installation von MBAM ebenfalls erstellt wird.

Die beiden Konfigurationselemente stellen die Basis zum Auswerten des Konformitätsstatus der Clientcomputer dar. Diese Informationen werden in Configuration Manager erfasst, gespeichert und ausgewertet.

Die Konfigurationselemente basieren auf den Konformitätsanforderungen für Betriebssystem- und Festplattenlaufwerke. Für die bereitgestellten Computer werden die erforderlichen Details gesammelt, sodass die Konformität dieser Laufwerkstypen ausgewertet werden kann.

Standardmäßig wird der Komformitätsstatus alle 12 Stunden von der Konfigurationsbasislinie ausgewertet, und die Konformitätsdaten werden an Configuration Manager gesendet.

Sammlung der von MBAM unterstützten Computer

Von MBAM wird eine Sammlung mit dem Namen „Von MBAM unterstützte Computer“ erstellt. Die Clientcomputer in dieser Sammlung sind das Ziel der Konfigurationsbasislinie der Verwaltung gewünschter Konfigurationen.

Es handelt sich um eine dynamische Sammlung. Sie wird standardmäßig alle 12 Stunden ausgeführt und wertet die Mitgliedschaft anhand von drei Kriterien aus:

  • Der Computer ist eine unterstützte Windows-Betriebssystemversion.

  • Der Computer ist ein physischer Computer. Virtuelle Computer werden nicht unterstützt.

  • Der Computer enthält ein verfügbares Trusted Platform Module (TPM). Für Windows 7 ist eine kompatible Version von TPM 1.2 oder höher erforderlich. Windows 10, Windows 8.1, Windows 8 und Windows To Go erfordern kein TPM.

Die Sammlung wird gegen alle Computer ausgewertet, und es wird eine Untermenge konformer Computer erstellt, die als Basis für die Konformitätsbewertung und Berichterstattung für die MBAM-Integration verwendet wird.

Berichte

Wenn Sie MBAM mit der Configuration Manager-Integrationstopologie konfigurieren, können Sie alle Berichte in Configuration Manager anzeigen, ausgenommen den Überwachungsbericht für die Wiederherstellung, auf den Sie weiterhin auf der MBAM Administration and Monitoring-Website zugreifen. In Configuration Manager stehen die folgenden Berichte zur Verfügung:

 

Bericht Beschreibung

Bitlocker-Dashboard für unternehmensweite Konformität

Hier stehen IT-Administratoren drei Informationsansichten in einem einzelnen Bericht zur Verfügung: Verteilung des Konformitätsstatus, Verteilung der Konformitätsfehler sowie Verteilung des Konformitätsstatus nach Laufwerkstyp. Mithilfe von Detailoptionen des Berichts können IT-Administratoren durch die Daten navigieren und eine Liste von Computern anzeigen, die den ausgewählten Status aufweisen.

Bitlocker - Details zur unternehmensweiten Konformität

Hier können IT-Administratoren Informationen zum unternehmensweiten Konformitätsstatus der BitLocker-Verschlüsselung und zum Konformitätsstatus der einzelnen Computer anzeigen. Mithilfe von Detailoptionen des Berichts können IT-Administratoren durch die Daten navigieren und eine Liste von Computern anzeigen, die den ausgewählten Status aufweisen.

BitLocker - Computerkonformität

Hier können IT-Administratoren einzelne Computer anzeigen und ermitteln, warum Computer mit dem Status „Konform“ oder „Nicht konform“ gemeldet wurden. Im Bericht wird außerdem der Verschlüsselungsstatus der Betriebssystem- und Festplattenlaufwerke angezeigt.

Bitlocker - Übersicht über die unternehmensweite Konformität

Hier können IT-Administratoren den Status der unternehmensweiten Konformität mit der MBAM-Richtlinie anzeigen. Der Status aller Computer wird ausgewertet, und der Bericht enthält eine Zusammenfassung der Richtlinienkonformität sämtlicher Computer im Unternehmen. Mithilfe von Detailoptionen des Berichts können IT-Administratoren durch die Daten navigieren und eine Liste von Computern anzeigen, die den ausgewählten Status aufweisen.

Haben Sie einen Vorschlag für MBAM?

Fügen Sie hier Vorschläge hinzu, oder stimmen Sie über Vorschläge ab. Verwenden Sie bei Problemen mit MBAM das MBAM-TechNet-Forum.

Siehe auch

Konzepte

Grundlegende Architektur von MBAM 2.5 mit eigenständiger Topologie
Illustrierte Beschreibung der Funktionen einer MBAM 2.5-Bereitstellung

Weitere Ressourcen

Erste Schritte mit MBAM 2.5