Condividi tramite

Architettura di alto livello di MBAM 2.5 con la topologia di integrazione di Configuration Manager

  • Articolo

Aggiornamento: maggio 2014

Si applica a: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

In questo argomento viene descritta l'architettura consigliata per la distribuzione di Microsoft BitLocker Administration and Monitoring (MBAM) con la topologia di integrazione di Configuration Manager che integra MBAM con System Center Configuration Manager. Per distribuire MBAM con la topologia autonoma, consultare Architettura di alto livello di MBAM 2.5 con la topologia autonoma.

Per un elenco delle versioni supportate del software citato in questo argomento, vedere Configurazioni supportate di MBAM 2.5.

Importante

Windows To Go non è supportato per l'installazione della topologia di integrazione di Configuration Manager quando si usa Configuration Manager 2007.

Numero di server consigliato e numero di client supportato

Di seguito sono illustrati il numero di server consigliato e il numero di client supportato in un ambiente di produzione:

Architettura consigliata Dettagli

Numero di server e altri computer

Tre server

Una workstation

Numero di computer client supportato

500,000

Differenze tra la topologia di Configuration Manager Integration e la topologia autonoma

Le differenze principali tra le topologie sono le seguenti:

  • Le funzionalità relative ai report e alla conformità sono rimosse da MBAM e accessibili da Configuration Manager.

  • Ad eccezione del Report controllo ripristino, che continua a essere visualizzato mediante il sito Web di Administration and Monitoring di MBAM, i report vengono visualizzati dalla console di gestione di Configuration Manager.

Architettura di alto livello di MBAM consigliata con la topologia di integrazione di Configuration Manager

Nel diagramma e nella tabella seguenti è descritta l'architettura di alto livello consigliata per MBAM con topologia di integrazione di Configuration Manager. Le distribuzioni a più foreste di MBAM richiedono un trust unidirezionale o bidirezionale. Per i trust unidirezionali è necessario che il dominio del server ritenga attendibile il dominio del client.

MBAM2_5

Server Funzionalità da configurare nel server Descrizione 

Server di database

Database di ripristino

Questa funzionalità viene configurata su un computer che esegue Windows Server e un'istanza di SQL Server supportata.

Nel Database di ripristino vengono archiviati i dati di ripristino raccolti da computer client di MBAM.

Database di controllo

Questa funzionalità viene configurata su un computer che esegue Windows Server e un'istanza di SQL Server supportata.

Nel Database di controllo vengono archiviati i dati dell'attività di controllo raccolti dai computer client che hanno ottenuto accesso ai dati di ripristino.

Report

Questa funzionalità viene configurata su un computer che esegue Windows Server e un'istanza di SQL Server supportata.

I report forniscono i dati di controllo sul ripristino per i computer client dell'organizzazione. È possibile visualizzare i report dalla console di Configuration Manager oppure direttamente da SQL Server Reporting Services.

Server di sito primario di Configuration Manager

Funzionalità di integrazione di System Center Configuration Manager
  • Questa funzionalità è configurata nel server di sito primario di Configuration Manager, il server di livello più alto nell'infrastruttura di Configuration Manager.

  • Il server di Configuration Manager raccoglie le informazioni dell'inventario hardware dai computer client e viene usato per segnalare la conformità BitLocker dei computer client.

  • Quando si esegue l'installazione guidata di Microsoft BitLocker Administration and Monitoring per il software server, la raccolta Computer supportati da MBAM, la linea di base di configurazione e i report vengono configurati nel server di sito primario di Configuration Manager.

  • La console di Configuration Manager deve essere installata nel computer in cui viene installato il software server di MBAM.

Server di Administration and Monitoring

Sito Web di Administration and Monitoring

Questa funzionalità viene configurata in un computer che esegue Windows Server.

Il sito Web di Administration and Monitoring viene usato per:

  • Consentire all'utente finale di ottenere nuovamente l'accesso al computer quando è bloccato. Questa area del sito Web è comunemente denominata Help Desk.

  • Visualizzare il Report controllo ripristino, in cui sono visualizzate le attività dei computer client. Gli altri report vengono visualizzati nella console di Configuration Manager.

Portale self-service

Questa funzionalità viene configurata in un computer che esegue Windows Server.

Il portale self-service è un sito Web che consente agli utenti finali sui computer client di connettersi indipendentemente a un sito Web per ottenere una chiave di ripristino qualora perdano o dimentichino le password BitLocker.

Monitoraggio dei servizi Web per il sito Web

Questa funzionalità viene installata in un computer che esegue Windows Server.

I servizi Web di monitoraggio sono usati dal client di MBAM e dai siti Web per comunicare con il database.

ImportantImportante
Il servizio Web di monitoraggio non è più disponibile in Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 da quando il client e i siti Web MBAM comunicano direttamente con il database di ripristino.

Workstation di gestione

Modelli Criteri di gruppo di MBAM
  • I modelli Criteri di gruppo di MBAM sono impostazioni di Criteri di gruppo che definiscono le impostazioni di implementazione di MBAM per la gestione di Crittografia unità BitLocker.

  • Prima di eseguire MBAM, è necessario scaricare i modelli Criteri di gruppo da Come ottenere i modelli Criteri di gruppo MDOP (.admx) e copiarli in un server o una workstation in cui è in esecuzione un sistema operativo Windows Server o Windows supportato.

    noteNota
    Non è necessario che la workstation sia un computer dedicato.

Client di MBAM e computer client di Configuration Manager

Software client di MBAM

Client di MBAM:

  • Utilizza oggetti Criteri di gruppo per applicare Crittografia unità BitLocker nei computer client aziendali.

  • Raccoglie la chiave di ripristino di BitLocker per tre tipi di unità dati: unità del sistema operativo, unità dati fisse e unità dati rimovibili (USB).

  • Raccoglie le informazioni sul ripristino e sull'hardware dei computer client.

Configuration Manager Client

Il client di Configuration Manager consente a Configuration Manager di raccogliere i dati di compatibilità hardware sui computer client e di generare report con le informazioni di conformità.

Differenze nella distribuzione di MBAM per le versioni supportate di Configuration Manager

Quando si distribuisce MBAM con la topologia di integrazione di Configuration Manager, è possibile installare MBAM su un server di sito primario. Tuttavia, l'installazione di MBAM funziona in modo diverso per System Center 2012 Configuration Manager e Configuration Manager 2007.

Versione di Configuration Manager Descrizione 

System Center 2012 R2 Configuration Manager

System Center 2012 Configuration Manager

Se si installa MBAM in un server di sito primario o in un server di amministrazione centrale, MBAM esegue tutte le operazioni di installazione nel server del sito.

Configuration Manager 2007 R2

Configuration Manager 2007

Se si installa MBAM in un server di sito primario che fa parte di una gerarchia più ampia di Configuration Manager con un server padre del sito centrale, MBAM identifica il server padre del sito centrale ed esegue tutte le operazioni di installazione nel server padre. Le operazioni di installazione includono la verifica dei prerequisiti e l'installazione degli oggetti e dei report di Configuration Manager.

Ad esempio, se si installa MBAM in un server di sito primario figlio di un server padre del sito centrale, MBAM installa tutti gli oggetti e i report di Configuration Manager nel server padre. Se si installa MBAM in un server padre, MBAM esegue tutte le azioni di installazione nel server padre.

Funzionamento di MBAM con Configuration Manager

L'integrazione di MBAM con Configuration Manager è basata su un pacchetto di configurazione che consente di installare gli elementi descritti nella seguente tabella.

Elementi installati in Configuration Manager Descrizione 

Dati di configurazione

I dati di configurazione consentono di installare una linea di base, denominata "Protezione BitLocker", che contiene due elementi di configurazione:

  • Protezione BitLocker delle unità del sistema operativo

  • Protezione BitLocker delle unità dati fisse

La linea di base di configurazione viene distribuita nella raccolta Computer supportati da MBAM creata durante l'installazione di MBAM.

I due elementi di configurazione forniscono la base per valutare lo stato di conformità dei computer client. Queste informazioni sono acquisite, archiviate e valutate in Configuration Manager.

Gli elementi di configurazione si basano sui requisiti di conformità per unità del sistema operativo e unità dati fisse. I dettagli necessari per i computer distribuiti vengono raccolti in modo da consentire la valutazione della conformità per quei tipi di unità.

Per impostazione predefinita, la linea di base di configurazione consente di valutare lo stato di conformità ogni 12 ore e di inviare i dati di conformità a Configuration Manager.

MBAMRaccolta Computer supportati da

MBAM crea una raccolta chiamata Computer supportati da MBAM. La linea di base di configurazione è destinata ai computer client contenuti nella raccolta.

Si tratta di una raccolta dinamica che, per impostazione predefinita, viene eseguita ogni 12 ore e consente di valutare l'appartenenza dei sistemi in base a tre criteri:

  • È necessario che sia disponibile una versione supportata del sistema operativo Windows.

  • È necessario che si tratti di un computer fisico. Le macchine virtuali non sono supportate.

  • È necessario che sia disponibile TPM (Trusted Platform Module). Per Windows 7 è richiesta una versione compatibile di TPM 1.2 o successiva. Windows 10, Windows 8.1, Windows 8 e Windows To Go non richiedono un TPM.

La raccolta viene valutata rispetto a tutti i computer e viene creato un sottoinsieme di computer compatibili che forniscono la base per la valutazione e i report di conformità per l'integrazione di MBAM.

Report

Se si configura MBAM con la tipologia di integrazione di Configuration Manager, tutti i report vengono visualizzati in Configuration Manager, ad eccezione del Report controllo ripristino che continua a essere visualizzato mediante il sito Web di Administration and Monitoring di MBAM. I report disponibili in Configuration Manager sono:

 

Report Descrizione 

Dashboard di conformità organizzazione BitLocker

Offre agli amministratori IT tre visualizzazioni delle informazioni in un unico report: Distribuzione stato di conformità, Distribuzione non compatibile con errori e Distribuzione stato di conformità per tipo di unità. Opzioni dettagliate nel report consentono agli amministratori IT di selezionare i dati e visualizzare un elenco di computer che corrispondono allo stato selezionato.

Dettagli conformità organizzazione BitLocker

Consente agli amministratori IT di visualizzare informazioni relative allo stato di conformità della crittografia BitLocker aziendale includendo lo stato di conformità per ogni computer. Opzioni dettagliate nel report consentono agli amministratori IT di selezionare i dati e visualizzare un elenco di computer che corrispondono allo stato selezionato.

Conformità computer BitLocker

Consente agli amministratori IT di visualizzare un singolo computer e determinare i motivi per cui è stato segnalato con stato conforme o non conforme. Il report visualizza inoltre lo stato di crittografia delle unità del sistema operativo e delle unità dati fisse.

Riepilogo conformità organizzazione BitLocker

Consente agli amministratori IT di visualizzare lo stato della conformità dei criteri di MBAM nell'organizzazione. Lo stato di ogni computer viene valutato e il report visualizza un riepilogo di conformità di tutti i computer aziendali rispetto ai criteri. Opzioni dettagliate nel report consentono agli amministratori IT di selezionare i dati e visualizzare un elenco di computer che corrispondono allo stato selezionato.

Come inviare suggerimenti per MBAM?

Aggiungere o votare i suggerimenti qui. Per problemi relativi a MBAM, usare il forum di TechNet su MBAM.

Vedere anche

Concetti

Architettura di alto livello di MBAM 2.5 con la topologia autonoma
Illustrazione delle caratteristiche di una distribuzione di MBAM 2.5

Altre risorse

Introduzione a MBAM 2.5