次の方法で共有

Configuration Manager 統合トポロジを使用した MBAM 2.5 のアーキテクチャ概要

  • [アーティクル]

適用対象: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

このトピックでは、Microsoft BitLocker Administration and Monitoring (MBAM) を Configuration Manager 統合トポロジで展開する際に推奨されるアーキテクチャについて説明します。このトポロジでは、MBAM と System Center Configuration Manager が統合されます。スタンドアロン トポロジで MBAM を展開するには、「スタンドアロン トポロジを使用した MBAM 2.5 のアーキテクチャ概要」をご覧ください。

このトピックで取り上げたソフトウェアのサポートされているバージョンの一覧については、「MBAM 2.5 がサポートされる構成」をご覧ください。

重要

Configuration Manager を使用する際、Configuration Manager 2007 統合トポロジのインストールでは、Windows To Go はサポートされません。

推奨されるサーバー数とサポートされるクライアント数

運用環境で推奨されるサーバー数とサポートされるクライアント数は次のとおりです。

推奨アーキテクチャ 詳細情報

サーバーとその他のコンピューターの数

サーバー3台

ワークステーション1台

サポートされるクライアント コンピューターの数

500,000

Configuration Manager の統合トポロジとスタンドアロン トポロジの違い

両者のトポロジの主な違いを次に示します。

  • 準拠と監査レポート機能が MBAM から削除され、Configuration Manager からアクセスします。

  • レポートは、Configuration Manager の管理コンソールから閲覧します。ただし、回復の監査レポートについては、引き続き MBAM Administration and Monitoring Web サイトから閲覧します。

Configuration Manager 統合トポロジを使用した推奨される MBAM アーキテクチャの概要

次の図と表は、Configuration Manager 統合トポロジを使用した MBAM の推奨アーキテクチャの概要です。MBAM のマルチ フォレスト環境には、一方向または双方向の信頼が必要です。一方向の信頼では、サーバー ドメインがクライアント ドメインを信頼する必要があります。

MBAM2_5

サーバー このサーバーで構成する機能 説明

データベース サーバー

回復データベース

この機能は、サポート対象の SQL Server インスタンスと Windows Server とを実行するコンピューター上に構成されます。

回復データベースには、MBAM クライアント コンピューターから収集された回復データが格納されます。

監査データベース

この機能は、サポート対象の SQL Server インスタンスと Windows Server とを実行するコンピューター上に構成されます。

監査データベースには、回復データにアクセスしたクライアント コンピューターから収集された監査操作データが保存されます。

レポート

この機能は、サポート対象の SQL Server インスタンスと Windows Server とを実行するコンピューター上に構成されます。

社内のクライアント コンピューターに対する回復の監査データは、レポートによって提供されます。レポートは、Configuration Manager コンソールから閲覧できるほか、SQL Server Reporting Services から直接閲覧することもできます。

Configuration Manager プライマリ サイト サーバー

System Center Configuration Manager 統合機能
  • この機能は、Configuration Manager インフラストラクチャの最上階層のサーバーである Configuration Manager プライマリ サイト サーバー上に構成されます。

  • Configuration Manager サーバーは、クライアント コンピューターからハードウェアのインベントリ情報を収集し、クライアント コンピューターの BitLocker 準拠レポートに使用します。

  • Microsoft BitLocker Administration and Monitoring のセットアップ ウィザードを実行してサーバー ソフトウェアをインストールすると、Configuration Manager プライマリ サイト サーバー上に、"MBAM サポート対象コンピューター" コレクション、構成ベースライン、およびレポートが構成されます。

  • Configuration Manager コンソールは、MBAM サーバー ソフトウェアと同じコンピューターにインストールする必要があります。

Administration and Monitoring サーバー

Administration and Monitoring Web サイト

この機能は、Windows Server を実行するコンピューターに構成されます。

Administration and Monitoring Web サイトは次の目的で使用します。

  • ロックアウトされたエンド ユーザーが再度コンピューターにアクセスできるよう支援する (この Web サイト領域は通常、ヘルプ デスクと呼ばれます)。

  • 回復の監査レポートを閲覧する。このレポートには、クライアント コンピューターの回復操作が表示されます。その他のレポートは、Configuration Manager コンソールから閲覧します。

セルフサービス ポータル

この機能は、Windows Server を実行するコンピューターに構成されます。

セルフサービス ポータルは、クライアント コンピューターのエンド ユーザーのための Web サイトです。BitLocker パスワードを紛失したり忘れたりした場合でも、この Web サイトに自分でログオンして回復キーを取得することができます。

この Web サイトの Monitoring Web サービス

この機能は、Windows Server を実行するコンピューターにインストールされます。

Monitoring Web サービスは、MBAM クライアントと Web サイトがデータベースとの通信に使用します。

Important重要
MBAM クライアントと Web サイトは回復データベースと直接通信するため、Monitoring Web サービスは Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 では使用できなくなっています。

管理ワークステーション

MBAM グループ ポリシー テンプレート
  • MBAM グループ ポリシー テンプレートは、MBAM の実装設定を定義するグループ ポリシー設定です。この設定を通じて BitLocker ドライブ暗号化を管理することができます。

  • MBAM を実行する前に、「MDOP グループ ポリシー (.admx) テンプレートの入手方法」からグループ ポリシー テンプレートをダウンロードし、サポート対象の Windows Server または Windows オペレーティング システムが実行されているサーバーまたはワークステーションにコピーする必要があります。

    noteメモ
    このワークステーションを専用のコンピューターにする必要はありません。

MBAM クライアントと Configuration Manager クライアント コンピューター

MBAM クライアント ソフトウェア

MBAM クライアントは次のことを実行します。

  • グループ ポリシー オブジェクトを使用して、会社のクライアント コンピューターの BitLocker ドライブ暗号化を実行します。

  • 次の 3 つのデータ ドライブの種類の BitLocker 回復キーを収集します。オペレーティング システム ドライブ、固定データ ドライブ、およびリムーバブル (USB) のデータ ドライブ。

  • クライアント コンピューターに関する回復情報とコンピューター情報を収集します。

Configuration Manager クライアント

Configuration Manager クライアントは、クライアント コンピューターに関するハードウェアの互換性データを Configuration Manager が収集し、準拠情報をレポートするために使用されます。

サポート対象 Configuration Manager バージョンごとの MBAM 展開の違い

MBAM を Configuration Manager 統合トポロジで展開するとき、プライマリ サイト サーバーに MBAM をインストールすることができます。ただし、System Center 2012 Configuration Manager と Configuration Manager 2007 とでは、MBAM のインストール動作が異なります。

Configuration Manager バージョン 説明

System Center 2012 R2 Configuration Manager

System Center 2012 Configuration Manager

MBAM をプライマリ サイト サーバーまたは中央管理サーバーにインストールすると、MBAM はそのサイト サーバー上でインストール操作のすべてを実行します。

Configuration Manager 2007 R2

Configuration Manager 2007

MBAM をより大きな Configuration Manager 階層内の、中央サイト親サーバーを持つプライマリ サイト サーバーにインストールすると、MBAM が中央サイト親サーバーを識別し、インストール操作のすべてを親サーバーで実行します。このインストールには、前提条件の確認と、Configuration Manager オブジェクトとレポートのインストールが含まれます。

たとえば、中央サイト親サーバーの子であるプライマリ サイト サーバーに MBAM をインストールすると、MBAM が親サーバーに Configuration Manager オブジェクトとレポートのすべてをインストールします。親サーバーに MBAM をインストールする場合は、MBAM が親サーバー上でインストール操作のすべてを実行します。

MBAM と Configuration Manager の連携

MBAM と Configuration Manager の統合には、以下の表に示した項目をインストールする構成パックが重要な役割を果たします。

Configuration Manager にインストールされる項目 説明

構成データ

構成データは "BitLocker による保護" という構成ベースラインをインストールします。これには、次の 2 つの構成項目が含まれます。

  • BitLocker によるオペレーティング システム ドライブの保護

  • BitLocker による固定データ ドライブ保護

構成ベースラインは MBAM サポート対象コンピューター コレクションに展開され、MBAM のインストール時にも作成されます。

2 つの構成項目は、クライアント コンピューターの準拠状態を評価するための基礎として機能します。この情報は Configuration Manager でキャプチャ、保存、および評価が行われます。

構成項目は、オペレーティング システム ドライブおよび固定データ ドライブの準拠要件に基づいています。それらのドライブの種類の準拠を評価できるように、展開されているコンピューターの必要な情報が収集されます。

既定では、構成ベースラインは 12 時間ごとに準拠状態を評価し、準拠データを Configuration Manager に送信します。

MBAM サポート対象コンピューター コレクション

MBAM は、MBAM サポート対象コンピューターというコレクションを作成します。構成ベースラインは、このコレクション内にあるクライアント コンピューターを対象としています。

このコレクションは動的に変化します。既定では、12 時間おきに稼働し、次の 3 つの基準に基づいてメンバーシップを評価します。

  • サポートされるバージョンの Windows オペレーティング システムである。

  • 物理コンピューターである。仮想マシンはサポートされません。

  • コンピューターがトラステッド プラットフォーム モジュール (TPM) に対応している。Windows 7 には TPM 1.2 以降に互換性のあるバージョンが必要です。Windows 10、Windows 8.1、Windows 8、Windows To Go には TPM は不要です。

コレクションはコンピューターに対して評価され、準拠の評価と MBAM 統合のレポートの基礎となる互換性のあるコンピューターのサブセットが作成されます。

レポート

Configuration Manager 統合トポロジで MBAM を構成すると、回復の監査レポートを除くすべてのレポートが Configuration Manager に表示されます。回復の監査レポートについては、引き続き MBAM Administration and Monitoring Web サイトで閲覧することになります。Configuration Manager で閲覧できるレポートは次のとおりです。

 

レポート 説明

BitLocker エンタープライズ準拠ダッシュボード

IT 管理者は、3 種類のビューを 1 つのレポートで表示できます。準拠状態の配布、非準拠 - ドライブの種類別のエラーの配布、準拠状態の配布。IT 管理者は、レポートのオプションをよく確認し、データをクリックスルーして、選択した状態に一致するコンピューターの一覧を表示します。

BitLocker エンタープライズ準拠の詳細

IT 管理者は、会社全体の BitLocker 暗号化準拠状態に関する情報を表示できます。また、これには各コンピューターの準拠状態が含まれます。IT 管理者は、レポートのオプションをよく確認し、データをクリックスルーして、選択した状態に一致するコンピューターの一覧を表示します。

BitLocker コンピューターの準拠

IT 管理者は、個々のコンピューターを確認し、準拠または非準拠の状態でレポートされた理由を判断できます。レポートには、オペレーティング システム ドライブと固定データ ドライブの暗号化の状態も表示されます。

BitLocker エンタープライズ準拠の概要

IT 管理者は、会社全体における MBAM ポリシーの準拠の状況を確認できます。各コンピューターの状態が評価され、レポートには、社内の全コンピューターのポリシーに対する準拠の概要が表示されます。IT 管理者は、レポートのオプションをよく確認し、データをクリックスルーして、選択した状態に一致するコンピューターの一覧を表示します。

MBAM への提案はございますか。

こちらから提案を追加するか、提案に投票してください。MBAM の問題については、「MBAM に関する TechNet フォーラム」を利用してください。

関連項目

概念

スタンドアロン トポロジを使用した MBAM 2.5 のアーキテクチャ概要
MBAM 2.5 展開の機能の図

その他の参照情報

MBAM 2.5 をお使いになる前に