Conditions préalables pour le serveur MBAM 2.5 pour les topologies Intégration Configuration Manager et autonome

  • Article

Mis à jour: janvier 2015

S'applique à: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Avant de démarrer l'installation de Microsoft BitLocker Administration and Monitoring (MBAM), vous devez remplir les conditions préalables requises répertoriées dans cette rubrique. Ces conditions préalables requises s'appliquent à la topologie autonome de MBAM et à la topologie Intégration System Center Configuration Manager.

Si vous déployez MBAM avec System Center Configuration Manager, vous devez remplir d'autres conditions préalables requises qui sont répertoriées dans Conditions préalables pour le serveur MBAM 2.5 qui s'appliquent uniquement à la topologie Intégration Configuration Manager.

Pour obtenir la liste du matériel et des systèmes d'exploitation pris en charge pour MBAM, consultez Configurations prises en charge par MBAM 2.5.

Rôles et comptes MBAM requis

Condition préalable Détails

Groupes créés dans les services de domaine Active Directory (AD DS)

Consultez Planification des comptes et groupes MBAM 2.5 pour obtenir une description de ces groupes et comptes.

Conditions préalables pour la base de données de récupération

Condition préalable Détails

Version prise en charge de SQL Server

Installez Microsoft SQL Server avec le classement SQL_Latin1_General_CP1_CI_AS.

Consultez Configurations prises en charge par MBAM 2.5 pour connaître les versions prises en charge.

Autorisations SQL Server requises

Autorisations requises :

  • Rôles de serveur de connexion à une instance SQL Server :

    • dbcreator

    • processadmin

  • Droits d'instance SQL Server Reporting Services :

    • Créer des dossiers

    • Publier des rapports

Facultatif : installer le composant de chiffrement transparent des données (TDE) disponible dans SQL Server

Le composant TDE de SQL Server effectue le chiffrement d'E/S en temps réel et le déchiffrement des fichiers journaux et des données, ce qui peut vous aider à vous conformer aux lois, réglementations et directives applicables à de nombreux secteurs.

Notes

TDE effectue un déchiffrement en temps réel des informations de la base de données. Cela signifie que, si vous affichez les informations de la clé de récupération dans la base de données SQL Server et que le compte avec lequel vous avez ouvert une session possède des autorisations pour la base de données, les informations de la clé de récupération sont visibles. Pour plus d'informations sur le composant TDE, consultez Considérations relatives à la sécurité pour MBAM 2.5.

Services Moteur de base de données SQL Server

Les services Moteur de base de données SQL Server doivent être installés et en cours d'exécution pendant l'installation du serveur MBAM.

Windows PowerShell 3.0 ou version ultérieure

Il n'est pas nécessaire d'installer Windows PowerShell sur le serveur de la base de données de récupération si vous utilisez Windows PowerShell pour configurer la base de données à partir d'un ordinateur distant.

Conditions préalables pour la base de données de conformité et d'audit

Condition préalable Détails

Version prise en charge de SQL Server

Installez SQL Server avec le classement SQL_Latin1_General_CP1_CI_AS.

Consultez Configurations prises en charge par MBAM 2.5 pour connaître les versions prises en charge.

Autorisations SQL Server requises

Autorisations requises :

  • Rôles de serveur de connexion à une instance SQL Server :

    • dbcreator

    • processadmin

  • Droits d'instance SQL Server Reporting Services :

    • Créer des dossiers

    • Publier des rapports

Facultatif : installer le composant de chiffrement transparent des données (TDE) dans SQL Server

Le composant TDE de SQL Server effectue le chiffrement d'E/S en temps réel et le déchiffrement des fichiers journaux et des données, ce qui peut vous aider à vous conformer aux lois, réglementations et directives applicables à de nombreux secteurs.

TDE effectue un déchiffrement en temps réel des informations de la base de données. Cela signifie que, si vous affichez les informations de la clé de récupération dans la base de données SQL Server et que le compte avec lequel vous avez ouvert une session possède des autorisations pour la base de données, les informations de la clé de récupération sont visibles. Pour plus d'informations sur le composant TDE, consultez Considérations relatives à la sécurité pour MBAM 2.5.

Services Moteur de base de données SQL Server

Les services Moteur de base de données SQL Server doivent être installés et en cours d'exécution pendant l'installation du serveur MBAM. Toutefois, SQL Server peut être exécuté à distance ; il n'est pas nécessaire qu'il se trouve sur le même serveur que celui sur lequel vous installez le logiciel serveur MBAM.

Windows PowerShell 3.0 ou version ultérieure

Il n'est pas nécessaire d'installer Windows PowerShell sur le serveur de la base de données de conformité et d'audit si vous utilisez Windows PowerShell pour configurer la base de données à partir d'un ordinateur distant.

Conditions préalables pour les rapports

Condition préalable Détails

Version prise en charge de SQL Server

Installez SQL Server avec le classement SQL_Latin1_General_CP1_CI_AS.

Consultez Configurations prises en charge par MBAM 2.5 pour connaître les versions prises en charge.

SQL Server Reporting Services (SSRS)

SSRS doit être installé et en cours d'exécution pendant l'installation du serveur MBAM.

Configurez SSRS en mode « natif » et non en mode non configuré ni « SharePoint ».

Droits d'instance SSRS : requis pour la configuration des rapports uniquement si vous installez des bases de données sur un serveur distinct de celui où les rapports sont configurés.

Droits d'instance requis :

  • Créer des dossiers

  • Publier des rapports

Windows PowerShell 3.0 ou version ultérieure

Il n'est pas nécessaire d'installer Windows PowerShell sur ce serveur de base de données si vous utilisez Windows PowerShell pour configurer la base de données à partir d'un ordinateur distant.

Conditions préalables pour le serveur Administration and Monitoring

Le tableau suivant répertorie les conditions préalables à l'installation du serveur Administration and Monitoring MBAM.

Condition préalable Détails

Rôle serveur web Windows Server

Ce rôle doit être ajouté à un système d'exploitation serveur pris en charge pour le composant Administration and Monitoring Server.

Outils de gestion (IIS) de serveur web

Cliquez sur Scripts et outils de gestion d'IIS.

Certificat SSL

Facultatif. Pour sécuriser les communications entre les ordinateurs clients et les services web, vous devez obtenir et installer un certificat signé par une autorité de sécurité approuvée.

Services de rôle serveur web

Fonctionnalités HTTP courantes :

  • Contenu statique

  • Document par défaut

Développement d'applications :

  • ASP.NET

  • Extensibilité .NET

  • Extensions ISAPI

  • Filtres ISAPI

Sécurité :

  • Authentification Windows

  • Filtrage des demandes

Fonctionnalités Windows Server

Fonctionnalités de .NET Framework 4.5 :

  • .NET Framework 4.5

    • Windows Server 2012 ou Windows Server 2012 R2 : .NET Framework 4.5 est déjà installé pour ces versions de Windows Server, mais vous devez l'activer.

    • Windows Server 2008 R2  : .NET Framework 4.5 n'étant pas fourni avec Windows Server 2008 R2, vous devez télécharger Microsoft .NET Framework 4.5 et l'installer séparément.

      Notes

      Si vous effectuez une mise à niveau à partir de MBAM 2.0 ou MBAM 2.0 SP1 et devez installer .NET Framework 4.5, consultez Notes de publication de MBAM 2.5 pour afficher une étape requise supplémentaire permettant de faire fonctionner les sites Web.

  • Activation de Windows Communication Foundation

    • Activation HTTP

    • Activation non-HTTP



  • Activation TCP

Service d'activation des processus Windows :

  • Modèle de processus

  • Environnement .NET Framework

  • API de configuration

Nom de principal du service (SPN)

Les applications Web nécessitent un nom de principal du service pour le nom d'hôte virtuel sous le compte de domaine que vous utilisez pour les pools d'applications Web.

Si vos droits d'administrateur vous permettent de créer des noms SPN dans les services de domaine Active Directory, MBAM crée automatiquement le SPN pour vous. Consultez Setspn pour plus d'informations sur les droits requis pour créer des noms SPN.

Si vous ne disposez pas des droits d'administrateur pour créer des SPN, vous devez demander aux administrateurs Active Directory de votre organisation de créer le SPN pour vous à l'aide de la commande suivante.

Setspn -s http/mbamvirtual contoso\mbamapppooluser

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

Dans l'exemple de code, le nom d'hôte virtuel est mbamvirtual.contoso.com et le compte de domaine utilisé pour les pools d'applications Web est contoso\mbamapppooluser.

Notes

Si vous configurez l'équilibrage de la charge, utilisez le même compte de pool d'applications sur tous les serveurs.

Pour plus d'informations sur l'enregistrement de noms de principal du service pour des noms d'hôte complets, NetBIOS et personnalisés, consultez Planification de la sécurisation des sites web MBAM.

Conditions préalables pour le portail libre-service

Condition préalable Détails

Version prise en charge de Windows Server

Consultez Configurations prises en charge par MBAM 2.5 pour connaître les versions prises en charge.

ASP.NET MVC 4.0

Téléchargement d'ASP.NET MVC 4.0

Outils de gestion IIS du service Web

Nom de principal du service (SPN)

Les applications Web nécessitent un nom de principal du service pour le nom d'hôte virtuel sous le compte de domaine que vous utilisez pour les pools d'applications Web.

Si vos droits d'administrateur vous permettent de créer des noms SPN dans les services de domaine Active Directory, MBAM crée automatiquement le SPN pour vous. Consultez Setspn pour plus d'informations sur les droits requis pour créer des noms SPN.

Si vous ne disposez pas des droits d'administrateur pour créer des SPN, vous devez demander aux administrateurs Active Directory de votre organisation de créer le SPN pour vous à l'aide de la commande suivante.

Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

Dans l'exemple de code, le nom d'hôte virtuel est mbamvirtual.contoso.com et le compte de domaine utilisé pour les pools d'applications Web est contoso\mbamapppooluser.

Notes

Si vous configurez l'équilibrage de la charge, utilisez le même compte de pool d'applications sur tous les serveurs.

Pour plus d'informations sur l'enregistrement de noms de principal du service pour des noms d'hôte complets, NetBIOS et personnalisés, consultez Planification de la sécurisation des sites web MBAM.

Conditions préalables pour la station de travail de gestion

Condition préalable Détails

Avant d'installer le client MBAM, téléchargez les modèles de stratégie de groupe MBAM à partir de Comment obtenir des modèles de stratégie de groupe (.admx) pour MDOP et configurez-les avec les paramètres que vous voulez implémenter dans votre entreprise pour le chiffrement de lecteur BitLocker.

Avant d'installer le client MBAM, procédez comme suit :

 

À faire Où trouver des instructions

Copier les modèles de stratégie de groupe MBAM

Copie des modèles de stratégie de groupe MBAM 2.5

Modifier les paramètres de stratégie de groupe

Modification des paramètres de stratégie de groupe MBAM 2.5

Vous avez une suggestion pour MBAM ?

Ajoutez des suggestions ou votez pour les meilleures ici. Pour les problèmes relatifs à MBAM, utilisez le Forum TechNet MBAM.

Voir aussi

Concepts

Configurations prises en charge par MBAM 2.5

Autres ressources

Préparation de votre environnement pour MBAM 2.5
Planification du déploiement de MBAM 2.5