Comment configurer les applications Web MBAM 2.5
Mis à jour: août 2015
S'applique à: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
Cette rubrique explique comment configurer les applications web Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 pour l'architecture recommandée dans Architecture de haut niveau pour MBAM 2.5 à l'aide de l'une des méthodes suivantes :
une applet de commande Windows PowerShell ;
l'Assistant Configuration du serveur MBAM.
Les applications web comprennent les sites web suivants et leurs services web correspondants :
| Site web | Description |
|---|---|
Site web d'administration et de surveillance |
Site web où les utilisateurs spécifiés peuvent afficher des rapports et aider d'autres utilisateurs à récupérer l'accès à leurs ordinateurs lorsqu'ils oublient leur code confidentiel ou leur mot de passe |
Portail libre-service |
Site auquel les utilisateurs peuvent accéder pour récupérer eux-mêmes l'accès à leurs ordinateurs s'ils oublient leur code confidentiel ou leur mot de passe |
Avant de commencer la configuration :
| Étape | Où trouver des instructions |
|---|---|
Passez en revue l'architecture recommandée pour MBAM. |
|
Passez en revue les configurations prises en charge pour MBAM. |
|
Vérifiez que les conditions préalables sont remplies sur chaque serveur. Notes Veillez à configurer SQL Server Reporting Services (SSRS) afin d'utiliser le protocole SSL (Secure Sockets Layer) avant de configurer le site web d'administration et de surveillance. Sinon, le composant Rapports utilisera le protocole HTTP au lieu du protocole HTTPS. |
|
Inscrivez les noms de principal du service qui correspondent au compte du pool d'applications des sites web. N'effectuez cette étape que si vous ne disposez pas de droits d'administration de domaine dans les services de domaine Active Directory (AD DS). Si vous disposez de ces droits dans AD DS, MBAM crée les noms de principal du service à votre place. |
|
Installez le logiciel serveur MBAM sur chaque serveur où vous allez configurer un composant du serveur MBAM. Notes Si vous envisagez d'installer les sites web sur un serveur et les services web sur un autre serveur, vous ne pourrez les configurer qu'à l'aide de l'applet de commande Windows PowerShell Enable-MbamWebApplication. L'Assistant Configuration du serveur MBAM ne prend pas en charge la configuration de ces éléments sur des serveurs distincts. |
|
Consultez les conditions préalables à l'utilisation de Windows PowerShell si vous prévoyez d'utiliser des applets de commande pour configurer les composants du serveur MBAM. |
Configuration des composants du serveur MBAM 2.5 à l'aide de Windows PowerShell |
Pour configurer les applications web à l'aide de Windows PowerShell
Avant de commencer la configuration, consultez Configuration des composants du serveur MBAM 2.5 à l'aide de Windows PowerShell afin de prendre connaissance des conditions préalables à l'utilisation de Windows PowerShell.
Utilisez l'applet de commande Enable-MbamWebApplication pour configurer les applications web à l'aide de Windows PowerShell. Pour obtenir des informations sur cette applet de commande, tapez Get-Help Enable-MbamWebApplication.
Pour configurer les paramètres de toutes les applications web à l'aide de l'Assistant
Sur le serveur où vous voulez configurer les applications web, démarrez l'Assistant Configuration du serveur MBAM. Vous pouvez sélectionner Configuration du serveur MBAM dans le menu Démarrer pour ouvrir l'Assistant.
Cliquez sur Ajouter de nouveaux composants, sélectionnez Site web d'administration et de surveillance et Portail libre-service, puis cliquez sur Suivant. L'Assistant vérifie que toutes les conditions préalables relatives aux applications web ont été remplies.
Si la vérification des conditions préalables ne détecte aucun problème, cliquez sur Suivant pour continuer. Sinon, faites le nécessaire afin que toutes les conditions préalables soient remplies, puis cliquez sur Revérifier la configuration requise.
Utilisez les descriptions suivantes pour entrer les valeurs de champs dans l'Assistant.
Champ Description Certificat de sécurité
Sélectionnez un certificat créé au préalable pour chiffrer éventuellement la communication entre les services web et le serveur sur lequel vous configurez les sites web. Si vous choisissez Ne pas utiliser de certificat, votre communication web risque de ne pas être sécurisée.
Nom d'hôte
Nom de l'ordinateur hôte sur lequel vous configurez les sites web.
Chemin d'installation
Chemin d'accès où vous installez les sites web.
Port
Numéro de port à utiliser pour la communication avec les sites web et les services.
Notes
Vous devez définir une exception de pare-feu pour permettre la communication via le port spécifié.
Mot de passe et compte de domaine du pool d'applications de services web
Compte d'utilisateur et mot de passe du domaine du pool d'applications de services web.
Si vous entrez un nom d'utilisateur dans le champ Utilisateur ou groupe d'utilisateurs de domaine avec accès en lecture et en écriture de la page Configurer les bases de données, vous devez entrer la même valeur dans ce champ.
Si vous entrez un nom de groupe dans le champ Utilisateur ou groupe d'utilisateurs de domaine avec accès en lecture et en écriture de la page Configurer les bases de données, la valeur que vous entrez dans ce champ doit être celle d'un membre de ce groupe.
Si vous ne spécifiez pas d'informations d'identification, les informations d'identification spécifiées par une application web autorisée précédemment sont utilisées. Toutes les applications web doivent utiliser les mêmes informations d'identification du pool d'applications. Si vous spécifiez des informations d'identification distinctes pour les différentes applications web, la dernière valeur spécifiée est utilisée.
Important
Pour optimiser la sécurité, affectez au compte spécifié dans les informations d'identification des droits de l'utilisateur limités. Par ailleurs, configurez le mot de passe du compte afin qu'il n'expire jamais.
Vérifiez que le compte IIS_IUSRS intégré ou le compte du pool d'applications a été ajouté aux paramètres de sécurité locale Emprunter l'identité d'un client après l'authentification et Ouvrir une session en tant que tâche.
Pour vérifier si l'ajout aux paramètres de sécurité locale a bien été effectué, ouvrez l'éditeur Stratégie de sécurité locale, développez le nœud Stratégies locales, cliquez sur le nœud Attribution des droits utilisateur, puis double-cliquez sur les stratégies Emprunter l'identité d'un client après l'authentification et Ouvrir une session en tant que tâche.
Pour configurer les informations de connexion des bases de données à l'aide de l'Assistant
Utilisez les descriptions de champ suivantes afin de configurer les informations de connexion de l'Assistant pour la base de données de conformité et d'audit.
Champ Description Nom du serveur SQL Server
Nom du serveur sur lequel la base de données de conformité et d'audit est configurée.
Instance de base de données SQL Server
Nom de l'instance SQL Server où la base de données de conformité et d'audit est configurée.
Nom de la base de données
Nom de la base de données de conformité et d'audit.
Utilisez les descriptions de champ suivantes afin de configurer les informations de connexion de l'Assistant pour la base de données de récupération.
Champ Description Nom du serveur SQL Server
Nom du serveur sur lequel la base de données de récupération est configurée.
Instance de base de données SQL Server
Nom de l'instance SQL Server où la base de données de récupération est configurée.
Nom de la base de données
Nom de la base de données de récupération.
Pour configurer les applications web à l'aide de l'Assistant
Utilisez les descriptions suivantes pour entrer les valeurs de champs dans l'Assistant afin de configurer le site web d'administration et de surveillance.
Champ Description Groupe de domaine avec le rôle de support technique avancé
Groupe d'utilisateurs de domaine dont les membres ont accès à l'ensemble des zones du site web d'administration et de surveillance, à l'exception de la zone Rapports.
Groupe de domaine avec le rôle de support technique
Groupe d'utilisateurs de domaine dont les membres ont accès aux zones Gérer le module de plateforme sécurisée et Récupération de lecteur du site web d'administration et de surveillance.
Utiliser l'intégration à System Center Configuration Manager
Activez cette case à cocher si vous configurez MBAM avec la topologie Intégration Configuration Manager. L'activation de cette case à cocher permet d'afficher tous les rapports, à l'exception du rapport d'audit de récupération, dans Configuration Manager au lieu du site web d'administration et de surveillance.
Groupe de domaine avec le rôle d'opérateur de rapports
Groupe d'utilisateurs de domaine dont les membres ont un accès en lecture seule à la zone Rapports du site web d'administration et de surveillance.
URL de SQL Server Reporting Services
URL du serveur SSRS où les rapports MBAM sont configurés.
Exemples d'URL de rapports :
Type de nom d'hôte Exemple Exemple avec nom de domaine complet
https://mon_serveur_de_rapports.Contoso.com/serveur_de_rapports
Exemple avec nom d'hôte personnalisé
https://mon_serveur_de_rapports/serveur_de_rapports
Répertoire virtuel
Répertoire virtuel du site web d'administration et de surveillance. Ce nom, qui correspond au répertoire physique du site web sur le serveur, est ajouté au nom d'hôte du site web, par exemple :
http(s)://<nom_hôte>:<port>/HelpDesk/
Si vous ne spécifiez aucun répertoire virtuel, la valeur HelpDesk est utilisée.
Groupe de domaines du rôle Migration de données (facultatif)
Groupe d'utilisateurs de domaine dont les membres sont autorisés à utiliser les applets de commande Write-Mbam*Information pour écrire des informations de récupération via ce point de terminaison.
Utilisez la description suivante pour entrer les valeurs de champs dans l'Assistant afin de configurer le portail libre-service.
Champ Description Répertoire virtuel
Répertoire virtuel de l'application web. Ce nom, qui correspond au répertoire physique du site web sur le serveur, est ajouté au nom d'hôte du site web, par exemple :
http(s)://<nom_hôte>:<port>/SelfService/
Si vous ne spécifiez aucun répertoire virtuel, la valeur SelfService est utilisée.
Nom de la société
Spécifiez un nom de société pour le portail libre-service, par exemple :
Contoso IT
Ce nom de société est vu par tous les utilisateurs du portail libre-service.
Texte de l'URL du support technique
Spécifiez un texte qui dirige les utilisateurs vers le site web de support technique de votre organisation, par exemple :
Contactez le support technique ou le service informatique
URL du support technique
Spécifiez l'URL du site web de support technique de votre organisation, par exemple :
http(s)://<URL_Support_Technique_Société>/
Fichier texte de l'avis
Sélectionnez un fichier qui contient l'avis à présenter aux utilisateurs dans la page d'accueil du portail libre-service.
Ne pas afficher le texte de l'avis pour les utilisateurs
Cochez cette case pour faire en sorte que le texte d'avis ne soit pas présenté aux utilisateurs.
Lorsque vous avez terminé de spécifier les entrées souhaitées, cliquez sur Suivant.
L'Assistant vérifie que toutes les conditions préalables relatives aux applications web ont été remplies.
Cliquez sur Suivant pour continuer.
Dans la page Résumé, passez en revue les composants qui seront ajoutés.
Notes
Pour créer un script Windows PowerShell pour les entrées que vous avez effectuées, cliquez sur Export PowerShell Script, puis enregistrez le script.
Cliquez sur Ajouter pour ajouter les applications web au serveur, puis cliquez sur Fermer.
Pour personnaliser le portail libre-service en ajoutant un texte d'avis personnalisé, le nom de votre société, des pointeurs vers des informations supplémentaires, etc., consultez Personnalisation du portail libre-service de votre organisation.
Pour configurer le portail libre-service si les ordinateurs clients ne peuvent pas accéder au CDN
Déterminez si vous exécutez Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1. Si c'est le cas, ne faites rien. Votre configuration du portail libre-service est terminée.
Notes
Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 installe les fichiers JavaScript lors de l'installation et ne doit donc pas être connecté à Microsoft Ajax Content Delivery Network pour configurer le portail libre-service. Les étapes suivantes sont nécessaires uniquement si vous utilisez une version de Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 antérieure à SP1.
Déterminez si vos ordinateurs clients ont accès au réseau de distribution de contenu (CDN) Microsoft Ajax.
Le CDN permet au portail libre-service d'accéder à certains fichiers JavaScript. Si vous ne configurez pas le portail libre-service alors que les ordinateurs clients ne peuvent pas accéder au CDN, seuls s'affichent le nom de la société et le compte sous lequel l'utilisateur final s'est connecté. Aucun message d'erreur ne s'affiche.
Effectuez l'une des opérations suivantes :
Si vos ordinateurs clients ont accès au CDN, ne faites rien. Votre configuration du portail libre-service est terminée.
Si vos ordinateurs clients n'ont pas accès au CDN, effectuez les étapes décrites dans Comment configurer le portail libre-service lorsque les ordinateurs clients ne peuvent pas accéder au réseau de distribution de contenu Microsoft.
Vous avez une suggestion pour MBAM ? Ajoutez des suggestions ou votez pour les meilleures ici.
Vous rencontrez un problème avec MBAM ? Utilisez le Forum TechNet MBAM.
Voir aussi
Tâches
Concepts
Journaux des événements serveur
Validation de la configuration des composants serveur de MBAM 2.5
Autres ressources
Configuration des composants du serveur MBAM 2.5
Personnalisation du portail libre-service de votre organisation