Como configurar os aplicativos da Web do MBAM 2.5
Aplica-se a: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
Esse tópico explica como configurar os Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 aplicativos da Web para o Arquitetura de alto nível para o MBAM 2.5 recomendado, usando um dos seguintes métodos:
Um cmdlet do Windows PowerShell
O assistente de Configuração do Servidor do MBAM
Os aplicativos da Web compreendem os seguintes sites e seus serviços Web correspondentes:
Site da Web | Descrição |
---|---|
Site da Web de Administração e Monitoramento |
Site da Web onde os usuários especificados podem visualizar relatórios e ajudar os usuários finais a recuperar seus computadores quando eles esquecem seu PIN ou senha |
Portal de autoatendimento |
Site da Web que permite que os usuários finais possam acessar seus computadores de forma independente caso eles esqueçam seu PIN ou senha |
Antes de você iniciar a configuração:
Passo | Onde obter instruções |
---|---|
Consulte a arquitetura recomendada para o MBAM. |
|
Consulte as configurações compatíveis para o MBAM. |
|
Complete os pré-requisitos necessários em cada servidor. Dica Certifique-se de configurar o SQL Server Reporting Services (SSRS) para usar o SSL (Secure Sockets Layer) antes de configurar o site de Administração e Monitoramento. Caso contrário, o recurso Relatórios usará HTTP, em vez de HTTPS. |
|
Registre nomes principais de serviço (SPN) para a conta do pool de aplicativos para os sites. Você precisa realizar esta etapa apenas se não tiver os direitos de domínio administrativo dos Serviços de Domínio Active Directory (AD DS). Se você tiver esses direitos no AD DS, MBAM criará o SPNs para você. |
|
Instale o software do servidor do MBAM em cada servidor onde você configurará um recurso do servidor do MBAM. Dica Se você planeja instalar os sites em um servidor e os serviços da Web em outro, você será capaz de configurá-los apenas usando o Enable-MbamWebApplication cmdlet do Windows PowerShell. O assistente de configuração do servidor MBAM não suporta a configuração destes itens em servidores separados. |
|
Examine os pré-requisitos usando o Windows PowerShell, caso decida usar o cmdlets para configurar os recursos do servidor MBAM. |
Configurar os recursos do servidor MBAM 2.5 através do Windows PowerShell |
Para configurar os aplicativos da Web ao usar o Windows PowerShell
Antes de iniciar a configuração, acesse Configurar os recursos do servidor MBAM 2.5 através do Windows PowerShell para consultar os pré-requisitos usando Windows PowerShell.
Use o cmdlet do Enable-MbamWebApplication para configurar os aplicativos da Web usando o Windows PowerShell. Para obter mais informações sobre este cmdlet, digite Get-Help Enable-MbamWebApplication.
Para definir as configurações para todos os aplicativos da Web usando o assistente
No servidor onde você quer configurar os aplicativos da Web, inicie o assistente de Configuração do Servidor do MBAM. Você pode selecionar Configuração do Servidor do MBAM a partir do menu Iniciar para abrir o assistente.
Clique em Adicionar Novos Recursos, selecione Site da Web de Administração e Monitoramento e Portal de Autoatendimento e clique em Avançar. O assistente verifica se foram cumpridos todos os pré-requisitos dos aplicativos Web.
Se a verificação dos pré-requisitos for efetuada com sucesso, clique em Avançar para continuar. Caso contrário, resolva qualquer pré-requisito em falta, e a seguir clique em Verificar pré-requisitos novamente.
Use as seguintes descrições para inserir os valores do campo no assistente.
Campo Descrição Certificado de segurança
Selecione um certificado criado anteriormente para criptografar de forma opcional a comunicação entre os serviços Web e os servidores em que você está configurando os sites. Se você escolher Não usar um certificado, sua comunicação Web pode não ser segura.
Nome do host
Nome do computador host no qual você está configurando os sites.
Caminho de instalação
Caminho no qual você está instalando os sites.
Porta
Número da porta que será usada para a comunicação dos sites e de serviço.
Dica
Você deve definir uma exceção de firewall para habilitar a comunicação por meio da porta especificada.
Conta e senha do domínio do pool do aplicativo do serviço da Web
Conta e senha do usuário do domínio para o pool do aplicativo do serviço da Web.
Se você inserir um nome de usuário no campo Usuário ou grupo do domínio com acesso de leitura/gravação na página Configurar Bancos de dados, você deve inserir o mesmo valor neste campo.
Se você inserir o nome de um grupo no campo Usuário ou grupo do domínio com acesso de leitura/gravação na página Configurar Bancos de dados, o valor que você inserir neste campo deve pertencer ao grupo.
Se você não especificar as credenciais, as credenciais que foram especificadas anteriormente em qualquer aplicativo da Web serão usadas. Todos os aplicativos da Web devem usar as mesmas credenciais do pool de aplicativos. Se você especificar credenciais diferentes para aplicativos da Web diferentes, o valor especificado mais recentemente será usado.
Importante
Para maior segurança, defina a conta que foi especificada nas credenciais para que tenha direitos de uso limitados. Além disso, a senha da conta deve ser definida para nunca expirar.
Certifique-se de que tanto a conta interna IIS_IUSRS quanto a conta de pool do aplicativo foram adicionadas às configurações de segurança local Representar um cliente após autenticação e Efetuar logon como um trabalho em lotes.
Para verificar se ele foi adicionado às configurações de segurança local, abra o editor Política de Segurança Local, expanda a opção Políticas Locais, clique na opção Atribuição de direitos de usuário e clique duas vezes nas políticas Representar um cliente após autenticação e Efetuar logon como um trabalho em lotes no painel direito.
Para configurar informações de conexão para os bancos de dados usando o assistente
Use as seguintes descrições do campo para configurar as informações de conexão no assistente para o banco de dados de conformidade e auditorias.
Campo Descrição Nome do SQL Server
Nome do servidor onde está configurado o Banco de Dados de Conformidade e Auditoria.
Instância do banco de dados do SQL Server
Nome da instância do SQL Server na qual o Banco de Dados de Auditoria e Conformidade está configurado.
Nome do banco de dados
Nome do Banco de Dados de Conformidade e Auditoria.
Use as seguintes descrições do campo para configurar as informações de conexão no assistente para o banco de dados de recuperação.
Campo Descrição Nome do SQL Server
Nome do servidor onde está configurado o banco de dados de recuperação.
Instância do banco de dados do SQL Server
Nome da instância do SQL Server na qual o Banco de Dados de Recuperação está configurado.
Nome do banco de dados
Nome do Banco de Dados de Recuperação.
Para configurar os aplicativos da Web ao usar o assistente
Use as seguintes descrições para inserir os valores do campo no assistente para configurar o site da Web de Administração e Monitoramento.
Campo Descrição Grupo de domínio de função avançada para Helpdesk
Grupo de usuário de domínio em que os membros têm acesso a todas as áreas do site de Administração e Monitoramento, exceto a área de Relatórios.
Grupo de domínio de função para Helpdesk
Grupo de usuário de domínio em que os membros têm acesso às áreas Gerenciar TPM e Recuperação de Unidade do site da Web de Administração e Monitoramento.
Uso do System Center Configuration Manager Integration
Selecione esta caixa de seleção se estiver configurando o MBAM com a topologia do Configuration Manager Integration. A marcação desta caixa de seleção faz com que todos os relatórios, exceto o relatório de Auditoria de recuperação, apareça no Configuration Manager, ao invés de aparecer no site de Administração e Monitoramento.
Grupo de domínio com função de relatório
Grupo de usuário de domínio cujos membros têm acesso somente leitura a área de Relatórios do site de Administração e Monitoramento.
URL do SQL Server Reporting Services
URL para o servidor do SSRS, onde os Relatórios MBAM são configurados.
Exemplos de URLs de relatório:
Tipo de nome de host Exemplo Exemplo de um nome de domínio totalmente qualificado
https://MyReportServer.Contoso.com/ReportServer
Exemplo com um nome de host personalizado
https://MyReportServer/ReportServer
Diretório virtual
Diretório virtual do site da Web de Administração e Monitoramento. Esse nome corresponde ao diretório físico do site no servidor e é anexado ao nome de host do site, como por exemplo:
http(s)://<nome do host>:<porta>/HelpDesk/
Se você não especificar um diretório virtual, o valor HelpDesk será usado.
Grupo de domínio de função de Migração de Dados (opcional)
Grupo de usuários de domínio cujos membros têm acesso para usar os cmdlets Write-Mbam*Information para gravar informações de recuperação por meio desse ponto de extremidade.
Use a seguinte descrição para inserir os valores do campo no assistente para configurar o Portal de Autoatendimento.
Campo Descrição Diretório virtual
Diretório virtual do aplicativo Web. Este nome corresponde ao diretório físico do site no servidor e é anexado ao nome de host do site, por exemplo:
http(s)://<nome do host>:<porta>/SelfService/
Se você não especificar um diretório virtual, o valor SelfService será usado.
Nome da empresa
Especifique um nome de empresa para o Portal de Autoatendimento, por exemplo:
Contoso IT
Este nome da empresa é exibido por todos os usuários do Portal de Autoatendimento.
Texto da URL da assistência técnica
Especifique uma instrução de texto que direcione os usuários ao site de assistência técnica de sua organização, por exemplo:
Entre em contato com a assistência técnica ou o departamento de TI
URL da assistência técnica
Especifique a URL do site de assistência técnica da sua organização, por exemplo:
http(s)://<URL da assistência técnica da empresa>/
Arquivo de texto do aviso
Selecione um arquivo que contenha o aviso que você quer exibir aos usuários na página inicial do Portal de Autoatendimento.
Não exibir o texto de aviso aos usuários
Marque esta caixa de seleção para especificar que o texto de aviso não é exibido aos usuários.
Quando você terminar de inserir os dados, clique em Avançar.
O assistente verifica se foram cumpridos todos os pré-requisitos dos aplicativos Web.
Clique em Avançar para continuar.
Na página Resumo consulte os recursos que serão adicionados.
Dica
Para criar um script do Windows PowerShell das entradas que você criou, clique em Exportar o PowerShell Script e salve o script.
Clique em Adicionar para adicionar os aplicativos Web ao servidor e, em seguida, clique em Fechar.
Para personalizar o Portal de Autoatendimento ao adicionar texto de aviso personalizado, seu nome de empresa, referências para mais informações e mais, consulte Customizando o Portal de Autoatendimento da sua organização.
Para configurar o Portal de Autoatendimento se os computadores cliente não podem acessar o CDN (Rede de Distribuição de Conteúdo da Microsoft)
Determine se você está executando o Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1. Nesse caso, não faça nada. A configuração do seu Portal de Autoatendimento está completa.
Dica
O Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 instala os arquivos JavaScript na instalação e, portanto, não precisa estar conectado à Rede de Distribuição de Conteúdo do Microsoft Ajax para configurar o Portal de Autoatendimento. As etapas a seguir são necessárias apenas se você estiver usando uma versão do Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 anterior ao SP1.
Determine se seus computadores clientes têm acesso à CDN (Rede de Distribuição de Conteúdo da Microsoft).
A CDN (Rede de Distribuição de Conteúdo da Microsoft) fornece ao Portal de Autoatendimento o acesso necessário a certos arquivos JavaScript. Se você não configurar o Portal de Autoatendimento quando os computadores cliente não podem acessar a CDN (Rede de Distribuição de Conteúdo da Microsoft), somente o nome da empresa e a conta com os quais o usuário final conecta serão exibidos. Nenhuma mensagem de erro será exibida.
Siga um destes procedimentos:
Se seus computadores clientes tiverem acesso à CDN, não faça nada. A configuração do seu Portal de Autoatendimento está completa.
Se seus computadores clientes não tiverem acesso à CDN, conclua as etapas em Como configurar o Portal de Autoatendimento quando os computadores clientes não puderem acessar a Rede de Distribuição de Conteúdo da Microsoft.
Você tem uma sugestão para o MBAM? Adicione ou vote em sugestões aqui.
Você tem um problema com o MBAM? Utilize o Fórum do MBAM TechNet.
Consulte também
Tarefas
Conceitos
Logs de evento do servidor
Validando as configurações do recurso do servidor MBAM 2.5
Outros recursos
Configurando os recursos do servidor MBAM 2.5
Customizando o Portal de Autoatendimento da sua organização