Configuration des composants du serveur MBAM 2.5 à l'aide de Windows PowerShell

  • Article

Mis à jour: octobre 2014

S'applique à: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Après avoir installé le logiciel serveur MBAM 2.5, vous pouvez configurer les composants du serveur MBAM 2.5 à l'aide des applets de commande Windows PowerShell ou de l'Assistant Configuration du serveur MBAM. Cette rubrique explique comment configurer MBAM 2.5 à l'aide des applets de commande Windows PowerShell. Pour utiliser plutôt l'Assistant, consultez Configuration des composants du serveur MBAM 2.5.

Dans cette rubrique

Cette rubrique contient les informations suivantes sur l'utilisation de Windows PowerShell pour configurer MBAM :

  • Comment charger l'aide de Windows PowerShell pour MBAM 2.5

  • Comment obtenir de l'aide sur une applet de commande Windows PowerShell pour MBAM

  • Configurations que vous pouvez effectuer uniquement avec Windows PowerShell, mais pas avec l'Assistant Configuration du serveur MBAM

  • Conditions préalables et conditions requises en matière d'utilisation de Windows PowerShell pour configurer les composants du serveur MBAM

  • Utilisation de Windows PowerShell pour configurer MBAM sur un ordinateur distant

  • Comptes requis et paramètres d'applet de commande Windows PowerShell correspondants

Pour plus d'informations sur les applets de commande Windows PowerShell Get-MbamBitLockerRecoveryKey et Get-MbamTPMOwnerPassword, qui permettent d'administrer MBAM, consultez Utilisation de Windows PowerShell pour administrer MBAM 2.5.

Comment charger l'aide de Windows PowerShell pour MBAM 2.5

Pour obtenir la liste des applets de commande Windows PowerShell sur TechNet, consultez la page relative à Microsoft Desktop Optimization Pack Automation avec Windows PowerShell.

Pour charger l'aide de MBAM 2.5 sur les applets de commande Windows PowerShell après l'installation du logiciel serveur MBAM

  1. Ouvrez Windows PowerShell ou l'environnement d'écriture de scripts intégré de Windows PowerShell.

  2. Tapez Update-Help –Module Microsoft.MBAM.

Comment obtenir de l'aide sur une applet de commande Windows PowerShell pour MBAM

L'aide de Windows PowerShell sur MBAM est disponible dans les formats suivants :

Format de l'aide de Windows PowerShell Plus d'informations

À une invite de commandes Windows PowerShell, taper Get-Help <applet de commande>

Pour télécharger les dernières applets de commande Windows PowerShell, suivez les instructions de la section précédente concernant le chargement de l'aide de Windows PowerShell pour MBAM.

Sur TechNet, sous forme de pages Web

https://go.microsoft.com/fwlink/?LinkId=393498

Dans le Centre de téléchargement, sous forme de fichier Word .docx

https://go.microsoft.com/fwlink/?LinkId=393497

Dans le Centre de téléchargement, sous forme de fichier .pdf

https://go.microsoft.com/fwlink/?LinkId=393499

Configurations que vous pouvez effectuer uniquement avec Windows PowerShell, mais pas avec l'Assistant Configuration du serveur MBAM

Configurations que vous pouvez effectuer uniquement à l'aide de Windows PowerShell Détails

Installer les services Web sur un ordinateur distinct des applications Web.

Avec l'Assistant, vous devez installer les services Web et les applications Web sur le même ordinateur.

Activer les rapports sur un point de Reporting Services distinct sans installer la totalité des objets Configuration Manager.

Supprimer tous les objets de Configuration Manager.

La suppression des objets entraîne la suppression de toutes les données de conformité de Configuration Manager.

Entrer une chaîne de connexion personnalisée pour les bases de données.

Exemple : Pour configurer les applications Web afin qu'elles prennent en charge la mise en miroir, vous devez utiliser l'applet de commande Enable-MbamWebApplication et spécifier la syntaxe appropriée relative au partenaire de basculement dans la chaîne de connexion.

Ignorer la validation et configurer un composant, même en cas d'échec de la vérification des conditions préalables.

  

Notes

Vous ne pouvez pas désactiver les bases de données MBAM avec une applet de commande Windows PowerShell ou l'Assistant Configuration du serveur MBAM. Pour éviter la suppression accidentelle des données de conformité et d'audit, les administrateurs de bases de données doivent supprimer les bases de données manuellement.

Conditions préalables et conditions requises en matière d'utilisation de Windows PowerShell pour configurer les composants du serveur MBAM

Avant de démarrer la configuration, vérifiez que les conditions préalables suivantes sont remplies.

Conditions préalables relatives aux comptes

Condition préalable Détails ou informations supplémentaires

Créez les comptes requis.

Consultez la section Comptes requis et paramètres d'applet de commande Windows PowerShell correspondants plus loin dans cette rubrique.

Les comptes et les groupes d'utilisateurs que vous passez en tant que paramètres aux applets de commande Windows PowerShell doivent correspondre à des comptes valides dans le domaine.

Vous ne pouvez pas utiliser de comptes locaux.

Spécifiez les comptes au format bas niveau.

Exemples :

nom_NetBios_domaine\utilisateur
nom_NetBios_domaine\groupe

Conditions préalables relatives aux autorisations

Condition préalable Détails ou informations supplémentaires

Vous devez être un administrateur sur l'ordinateur local où vous configurez le composant MBAM.

Utilisez une invite de commandes Windows PowerShell avec élévation de privilèges pour exécuter toutes les applets de commande Windows PowerShell.

Pour l'applet de commande Enable-MbamDatabase uniquement :

Vous devez disposer de l'autorisation CREATE ANY DATABASE sur l'instance de la base de données Microsoft SQL Server cible.

Ce compte d'utilisateur doit être membre du groupe Administrateurs local ou du groupe Opérateurs de sauvegarde pour inscrire l'enregistreur du service VSS (Volume Shadow Copy Service) pour MBAM.

Par défaut, l'administrateur de base de données ou l'administrateur système dispose de l'autorisation CREATE ANY DATABASE requise.

Pour plus d'informations sur l'enregistreur VSS, consultez la page relative au service VSS.

Pour le composant Intégration System Center Configuration Manager uniquement :

L'utilisateur qui active ce composant doit disposer des droits suivants dans Configuration Manager :

 

Type des droits dans Configuration Manager Droits obligatoires

Droits de site Configuration Manager :

- Lecture

Droits de regroupement Configuration Manager :

- Créer
- Supprimer
- Lire
- Modifier
- Déployer des éléments de configuration

Droits d'élément de configuration Configuration Manager :

- Créer
- Supprimer
- Lire

Utilisation de Windows PowerShell pour configurer MBAM sur un ordinateur distant

Quand utiliser cette fonctionnalité

Lorsque vous voulez configurer les composants du serveur MBAM 2.5 sur un ordinateur distant. Les applets de commande Windows PowerShell s'exécutent sur un ordinateur spécifique, et vous configurez les composants sur un autre ordinateur, qui est distant.

Ce que vous devez faire

Pour utiliser Windows PowerShell afin de configurer les composants du serveur MBAM 2.5 sur un ordinateur distant, vous devez effectuer les tâches suivantes :

  • Assurez-vous que le logiciel serveur MBAM 2.5 est installé sur l'ordinateur distant.

  • Utilisez le protocole CredSSP (Credential Security Support Provider) pour ouvrir la session Windows PowerShell.

  • Activez le service Gestion à distance de Windows (WinRM). Si vous ne parvenez pas à activer WinRM afin de le configurer correctement, l'applet de commande New-PSSession décrite dans ce tableau affiche une erreur et indique comment corriger le problème. Pour plus d'informations sur WinRM, consultez la page relative à l'utilisation du service Gestion à distance de Windows.

Pourquoi vous devez le faire

Ce protocole permet aux applets de commande Windows PowerShell de se connecter aux services de domaine Active Directory à l'aide des informations d'identification d'administration de l'utilisateur. Vous risquez de recevoir une erreur de validation si vous démarrez la session Windows PowerShell sans ce protocole.

Comment démarrer une session Windows PowerShell avec le protocole CredSSP

Tapez le code suivant à l'invite Windows PowerShell :

$s = New-PSSession -ComputerName xxx -Authentication Credssp -Credential xxx

Voici un exemple dans le code suivant.

$session = New-PSSession -ComputerName <MBAM_server_name> -Authentication Credssp -Credential (Get-Credential)

Enter-PSSession $session

Comptes requis et paramètres d'applet de commande Windows PowerShell correspondants

Le tableau suivant décrit les comptes requis pour configurer les composants du serveur MBAM 2.5. Il répertorie également les applets de commande et les paramètres Windows PowerShell correspondants pour lesquels vous devez spécifier le compte durant la configuration.

Applet de commande Paramètre Type (utilisateur ou groupe) Description 

Enable-MBAMDatabase

AccessAccount

Utilisateur ou groupe

Spécifie un utilisateur ou un groupe d'utilisateurs de domaine qui dispose de l'autorisation de lecture/écriture dans cette base de données pour permettre aux applications Web d'accéder aux données et rapports de cette base de données. Si la valeur correspond à un utilisateur de domaine, le paramètre WebServiceApplicationPoolCredential utilisé lors de l'exécution de l'applet de commande Enable-MbamWebApplication doit utiliser le même compte d'utilisateur. Si la valeur correspond à un groupe d'utilisateurs de domaine, le compte de domaine utilisé par le paramètre WebServiceApplicationPoolCredential doit être membre de ce groupe.

ReportAccount

Utilisateur ou groupe

Spécifie un utilisateur ou un groupe d'utilisateurs de domaine qui dispose de l'autorisation d'accès en lecture seule à cette base de données pour permettre aux rapports MBAM d'accéder aux données de conformité et d'audit. Si la valeur correspond à un utilisateur de domaine, le paramètre ComplianceAndAuditDBCredential de l'applet de commande Enable-MbamReport doit utiliser le même compte d'utilisateur. Si la valeur correspond à un groupe d'utilisateurs de domaine, le compte de domaine utilisé par le paramètre ComplianceAndAuditDBCredential doit être membre de ce groupe.

Enable-MbamReport

ComplianceAndAuditDBCredential

Utilisateur

Spécifie les informations d'identification d'administration dont l'instance SSRS locale se sert pour se connecter à la base de données de conformité et d'audit MBAM. L'utilisateur de domaine contenu dans les informations d'identification d'administration doit correspondre exactement au compte d'utilisateur utilisé pour le paramètre ReportAccount, lequel est utilisé lors de l'exécution de l'applet de commande Enable-MbamDatabase. Si un groupe d'utilisateurs de domaine est utilisé avec le paramètre ReportAccount, ce compte doit être membre de ce groupe.

ImportantImportant
Le compte spécifié dans les informations d'identification d'administration doit disposer de droits de l'utilisateur limités pour améliorer la sécurité. En outre, le mot de passe du compte doit être configuré pour ne pas expirer.

ReportsReadOnlyAccessGroup

Groupe

Spécifie le groupe d'utilisateurs de domaine qui dispose d'autorisations d'accès en lecture aux rapports. Le groupe spécifié doit correspondre exactement au groupe utilisé pour le paramètre ReportsReadOnlyAccessGroup dans l'applet de commande Enable-MbamWebApplication.

Enable-MBAMWebApplication

AdvancedHelpdeskAccessGroup

Groupe

Spécifie le groupe d'utilisateurs de domaine qui a accès à l'ensemble des zones du site Web d'administration et de surveillance, à l'exception de la zone Rapports.

HelpdeskAccessGroup

Groupe

Spécifie le groupe d'utilisateurs de domaine qui a accès aux zones Gérer le module de plateforme sécurisée et Récupération de lecteur du site Web d'administration et de surveillance.

ReportsReadOnlyAccessGroup

Groupe

Spécifie le groupe d'utilisateurs de domaine qui dispose de l'autorisation d'accès en lecture à la zone Rapports du site Web d'administration et de surveillance. Le groupe spécifié doit correspondre exactement au groupe utilisé pour le paramètre ReportsReadOnlyAccessGroup dans l'applet de commande Enable-MbamReport.

WebServiceApplicationPoolCredential

Utilisateur

Spécifie l'utilisateur de domaine qui doit être utilisé par le pool d'applications pour les applications Web MBAM. Il doit s'agir du même compte d'utilisateur de domaine que celui spécifié dans le paramètre AccessAccount de l'applet de commande Enable-MbamDatabase. Si un groupe d'utilisateurs de domaine est utilisé par le paramètre AccessAccount lors de l'exécution de l'applet de commande Enable-MbamDatabase, l'utilisateur de domaine spécifié ici doit être membre de ce groupe. Si vous ne spécifiez pas d'informations d'identification d'administration, les informations d'identification d'administration spécifiées par une application Web autorisée précédemment sont utilisées. Toutes les applications Web utilisent la même identité du pool d'applications. Si elle est spécifiée plusieurs fois, la dernière valeur spécifiée est utilisée.

ImportantImportant
Pour optimiser la sécurité, affectez au compte spécifié dans les informations d'identification d'administration des droits de l'utilisateur limités. Par ailleurs, configurez le mot de passe du compte afin qu'il n'expire jamais. Veillez à ce que le compte IIS_IUSRS intégré ou le compte utilisé pour le paramètre WebServiceApplicationPoolCredential soit ajouté au paramètre de sécurité locale Emprunter l'identité d'un client après l'authentification.

Pour afficher le paramètre de sécurité locale, ouvrez l'éditeur Stratégie de sécurité locale, développez le nœud Stratégies locales, sélectionnez le nœud Attribution des droits utilisateur, puis double-cliquez sur les paramètres de stratégie de groupe Emprunter l'identité d'un client après l'authentification et Se connecter en tant que traitement par lots dans le volet d'informations.

Vous avez une suggestion pour MBAM ?

Ajoutez des suggestions ou votez pour les meilleures ici. Pour les problèmes relatifs à MBAM, utilisez le Forum TechNet MBAM.

Voir aussi

Concepts

Validation de la configuration des composants serveur de MBAM 2.5
Utilisation de Windows PowerShell pour administrer MBAM 2.5

Autres ressources

Configuration des composants du serveur MBAM 2.5