Mise en route - Utilisation de MBAM avec Configuration Manager

  • Article

Mis à jour: avril 2013

S'applique à: Microsoft BitLocker Administration and Monitoring 2.0

Lorsque vous installez Microsoft BitLocker Administration and Monitoring (MBAM), vous pouvez choisir une topologie qui intègre MBAM avec Configuration Manager 2007 ou System Center 2012 Configuration Manager. Pour obtenir la liste des versions de Configuration Manager prises en charge par MBAM, voir Planification du déploiement de MBAM avec Configuration Manager. Dans la topologie intégrée, les composants de conformité matérielle et de création de rapports sont supprimés de MBAM et accessibles à partir de Configuration Manager.

Important

Windows To Go n'est pas pris en charge lorsque vous installez la topologie intégrée de MBAM avec Configuration Manager 2007.

Utilisation de MBAM avec Configuration Manager

L'intégration de MBAM est basée sur un nouveau pack de configuration qui installe trois éléments dans Configuration Manager 2007 ou System Center 2012 Configuration Manager, décrits en détail dans les sections suivantes :

  • Données de configuration comprenant des éléments de configuration et une ligne de base de configuration

  • Regroupement

  • Rapports

Données de configuration

Les données de configuration installent une ligne de base de configuration, appelée « Protection BitLocker », qui contient deux éléments de configuration : « Protection BitLocker du lecteur du système d'exploitation » et « Protection BitLocker des lecteurs de données fixes ». La ligne de base de configuration est déployée sur le regroupement et est également créée lors de l'installation de MBAM. Les deux éléments de configuration fournissent la base permettant d'évaluer l'état de conformité des ordinateurs clients. Ces informations sont capturées, stockées et évaluées dans Configuration Manager. Les éléments de configuration sont basés sur les exigences de conformité des lecteurs de système d'exploitation et des lecteurs de données fixes. Les informations requises pour les ordinateurs déployés sont collectées afin que la conformité de ces types de lecteur puisse être évaluée. Par défaut, la ligne de base de configuration évalue l'état de conformité toutes les 12 heures et envoie les données de conformité à Configuration Manager.

Regroupement

MBAM crée un regroupement appelé Ordinateurs pris en charge par MBAM. La ligne de base de configuration souhaitée est destinée aux ordinateurs clients qui se trouvent dans ce regroupement. Il s'agit d'un regroupement dynamique qui, par défaut, s'exécute toutes les 12 heures et évalue l'appartenance. L'appartenance est basée sur trois critères :

  • Il doit s'agir d'une version prise en charge du système d'exploitation Windows. Actuellement, MBAM prend uniquement en charge Windows 7 Entreprise et Windows 7 Édition intégrale, Windows 8 Entreprise et Windows To Go, quand Windows To Go s'exécute sur Windows 8 Entreprise.

  • Il doit s'agir d'un ordinateur physique. Les ordinateurs virtuels ne sont pas pris en charge.

  • Un module de plateforme sécurisée (TPM) doit être disponible. Une version compatible de TPM 1.2 ou ultérieur est requise pour Windows 7. Windows 8 et Windows To Go ne nécessitent pas un module de plateforme sécurisée.

Le regroupement est évalué sur tous les ordinateurs et crée le sous-ensemble des ordinateurs compatibles qui permet d'évaluer la conformité et de créer des rapports pour l'intégration de MBAM.

Rapports

Il existe quatre rapports qui vous permettent de vérifier la conformité. Ils sont les suivants :

  • Tableau de bord de conformité d'entreprise BitLocker : donne aux administrateurs informatiques trois modes d'affichage d'informations sur un seul rapport : Distribution d'état de conformité, non conforme – Distribution des erreurs et Distribution d'état de conformité par type de lecteur. Des options d'analyse détaillée du rapport permettent aux administrateurs informatiques de parcourir les données en un clic et d'afficher la liste des ordinateurs qui correspondent à l'état que vous sélectionnez.

  • Détail de conformité d'entreprise BitLocker : permet aux administrateurs informatiques d'afficher des informations sur l'état de conformité du chiffrement BitLocker de l'entreprise et inclut l'état de conformité de chaque ordinateur. Des options d'analyse détaillée du rapport permettent aux administrateurs informatiques de parcourir les données en un clic et d'afficher la liste des ordinateurs qui correspondent à l'état que vous sélectionnez.

  • Conformité de l'ordinateur BitLocker : permet aux administrateurs informatiques de consulter un ordinateur individuel et de déterminer pourquoi son rapport mentionne un état de conformité ou de non-conformité. Le rapport affiche également l'état de chiffrement des lecteurs de système d'exploitation et des lecteurs de données fixes.

  • Résumé de la conformité d'entreprise BitLocker : permet aux administrateurs informatiques d'afficher l'état de conformité de l'entreprise avec la stratégie MBAM. L'état de chaque ordinateur est évalué et le rapport affiche un résumé de la conformité de tous les ordinateurs de l'entreprise par rapport à la stratégie. Des options d'analyse détaillée du rapport permettent aux administrateurs informatiques de parcourir les données en un clic et d'afficher la liste des ordinateurs qui correspondent à l'état que vous sélectionnez.

Architecture de haut niveau de MBAM avec Configuration Manager

L'image suivante affiche l'architecture MBAM avec la topologie Configuration Manager. Cette configuration prend en charge jusqu'à 200 000 clients MBAM dans un environnement de production.

Architecture MBAM avec Configuration Manager

Vous trouverez ci-dessous une description des serveurs, bases de données et composants de cette architecture. Les composants serveur et les bases de données de l'image de l'architecture sont répertoriés sous l'ordinateur ou le serveur où il est recommandé de les installer.

  • Serveur de base de données : la Base de données de récupération et la Base de données d'audit sont installées sur un serveur Windows et une instance SQL Server prise en charge. La base de données de récupération stocke les données de récupération collectées sur des ordinateurs clients MBAM. La base de données d'audit stocke les données d'activité d'audit collectées sur des ordinateurs clients qui ont accédé à des données de récupération.

  • Serveur de site principal Configuration Manager : le serveur Configuration Manager comprend l'installation de serveur MBAM qui doit être installé sur un serveur de site principal Configuration Manager. Le serveur Configuration Manager collecte les informations d'inventaire matériel sur des ordinateurs clients et est utilisé pour les rapports de conformité BitLocker d'ordinateurs clients. Lorsque l'installation du serveur MBAM est exécutée, un regroupement et les données de configuration sont installés sur le serveur de site principal Configuration Manager.

  • Serveur d'administration et de surveillance : le serveur d'administration et de surveillance est installé sur un serveur Windows et intègre le site Web d'administration et de surveillance et les services Web de surveillance. Le site Web d'administration et de surveillance est utilisé pour auditer les activités et accéder aux données de récupération (par exemple, les clés de récupération de BitLocker). Le Portail libre-service est également installé sur le serveur d'administration et de surveillance. Le portail permet aux utilisateurs finaux des ordinateurs clients de se connecter indépendamment sur un site Web pour obtenir une clé de récupération s'ils perdent ou oublient leur mot de passe BitLocker. Les rapports d'audit sont également installés sur le serveur d'administration et de surveillance.

  • Station de gestion : le Modèle de stratégie comprend des objets de stratégie de groupe qui définissent les paramètres d'implémentation de MBAM pour le chiffrement de lecteur BitLocker. Vous pouvez installer le modèle de stratégie sur n'importe quel serveur ou station de travail, mais il est généralement installé sur une station de gestion, qui est un serveur Windows ou un ordinateur client pris en charge. La station de travail n'a pas à être un ordinateur dédié.

  • Ordinateur Client MBAM et Client Configuration Manager

    • Le client MBAM effectue les tâches suivantes :

      • Utilise des objets de stratégie de groupe pour appliquer le chiffrement BitLocker des ordinateurs clients de l'entreprise.

      • Collecte la clé de récupération pour les trois types de lecteur de données BitLocker : lecteurs de système d'exploitation, lecteurs de données fixes et lecteurs de données amovibles (USB).

      • Collecte des informations de récupération et des informations sur les ordinateurs clients.

    • Client Configuration Manager – Le client Configuration Manager permet à Configuration Manager de collecter des données relatives à la compatibilité matérielle des ordinateurs clients, et à Configuration Manager de créer un rapport d'informations sur la conformité.

Voir aussi

Autres ressources

Utilisation de MBAM avec Configuration Manager

-----
Vous pouvez obtenir davantage d'informations sur MDOP dans la Librairie TechNet, rechercher des solutions de dépannage dans le TechNet Wiki ou nous suivre sur Facebook ou Twitter.
-----