Share via

Arquitetura de alto nível do MBAM 2.5 com a topologia de Integração do Gerenciador de Configurações

  • Artigo

Aplica-se a: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Este tópico descreve a arquitetura recomendada para implantar o Microsoft BitLocker Administration and Monitoring (MBAM) com a topologia de Integração do Gerenciador de Configurações. Esta topologia integra o MBAM com o System Center Gerenciador de Configurações. Para implantar o MBAM com a topologia Autônoma, consulte Arquitetura de alto nível do MBAM 2.5 com topologia Autônoma.

Para obter uma lista de versões suportadas do software mencionado neste tópico, consulte Configurações com suporte no MBAM 2.5.

Importante

O Windows To Go não é suportado para a instalação da topologia de Integração do Gerenciador de Configurações quando você está usando o Configuration Manager 2007.

Número recomendado de servidores e número de clientes suportados

O número recomendado de servidores e de clientes suportados no ambiente de produção é o seguinte:

Arquitetura recomendada Detalhes

Número de servidores e outros computadores

Três servidores

Uma estação de trabalho

Número de computadores cliente suportados

500.000

Diferenças entre as topologias de Integração do Configuration Manager e Autônoma

As diferenças principais entre as topologias são:

  • Os recursos de conformidade e de relatório são removidos do MBAM e são acessados do Configuration Manager.

  • Os relatórios são exibidos a partir do Console de Gerenciamento do Configuration Manager, com a exceção do Relatório de Auditoria de Recuperação, no qual você continua a exibir do site de Administração e Monitoramento do MBAM.

Arquitetura de alto nível do MBAM recomendada com a topologia de Integração do Configuration Manager

O diagrama e a tabela a seguir descrevem a arquitetura de alto nível recomendada para o MBAM com a topologia de Integração do Configuration. As implantações de várias florestas do MBAM requerem uma relação de confiança unidirecional ou bidirecional. As relações de confiança unidirecionais requerem que o domínio do servidor confie no domínio do cliente.

MBAM2_5

Servidor Recursos para configurar neste servidor Descrição

Servidor de Banco de Dados

Banco de Dados de Recuperação

Este recurso é configurado em um computador que está executando o Windows Server e uma instância do SQL Server com suporte.

O Banco de Dados de Recuperação armazena dados de recuperação que são coletados a partir dos computadores cliente MBAM.

Banco de Dados de Auditoria

Este recurso é configurado em um computador que está executando o Windows Server e uma instância do SQL Server com suporte.

O Banco de Dados de Auditoria armazena dados da atividade de auditoria que são coletados de computadores clientes que acessaram os dados de recuperação.

Relatórios

Este recurso é configurado em um computador que está executando o Windows Server e uma instância do SQL Server com suporte.

Os Relatórios fornecem dados de auditoria de recuperação para os computadores clientes na sua empresa. Você pode exibir relatórios a partir do console do Configuration Manager ou diretamente a partir do SQL Server Reporting Services.

Servidor de site primário do Configuration Manager

Recurso de Integração do System Center Configuration Manager
  • Este recurso é configurado no servidor de site primário do Configuration Manager, que é o servidor de camada superior na sua infraestrutura do Configuration Manager.

  • O servidor do Configuration Manager coleta as informações de inventário de hardware de computadores clientes e é usado para relatar a conformidade de BitLocker de computadores clientes.

  • Quando você executa o assistente de instalação do Microsoft BitLocker Administration and Monitoring para instalar o software do servidor, a coleção de computadores com suporte do MBAM, a linha de base de configuração e os relatórios são configurados no servidor de site primário do Configuration Manager.

  • O Console do Configuration Manager deve estar instalado no mesmo computador em que o software do servidor do MBAM está instalado.

Servidor de Administração e Monitoramento

Site da Web de Administração e Monitoramento

Este recurso é configurado em um computador que está executando o Windows Server.

O Site da Web de Administração e Monitoramento é usado para:

  • Ajudar os usuários finais a obter novamente acesso aos seus computadores quando eles estão bloqueados. (Esta área do Site da Web é geralmente chamada de Assistência Técnica.)

  • Exibir o Relatório de Auditoria de Recuperação, que mostra a atividade de recuperação para os computadores clientes. Outros relatórios são exibidos a partir do Console do Configuration Manager.

Portal de autoatendimento

Este recurso é configurado em um computador que está executando o Windows Server.

O Portal de Autoatendimento é um site da Web que permite que os usuários finais em computadores cliente façam o logon de forma independente em um site para obter uma chave de recuperação, caso percam sua senha do BitLocker ou se esqueçam dela.

Serviços Web de monitoramento para este site da Web

Este recurso é instalado em um computador que está executando o Windows Server.

Os serviços Web de monitoramento são usados pelo Cliente do MBAM e pelos sites para se comunicar com o banco de dados.

ImportantImportante
O Serviço Web de Monitoramento não está mais disponível em Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1, já que o Cliente MBAM e os sites se comunicam diretamente com o Banco de Dados de Recuperação.

Estação de Trabalho de Gerenciamento

Modelos de Política de Grupo MBAM
  • Os Modelos de Política de Grupo do MBAM são as configurações da Política de Grupo que definem as configurações da implementação para o MBAM, que permitem que você gerencie a criptografia de unidade de disco do BitLocker.

  • Antes de você executar o MBAM, você deve baixar os Modelos de Política de Grupo do Como obter os Modelos de Política de Grupo MDOP (.admx) e copiá-los para um servidor ou estação de trabalho que esteja executando um sistema operacional do Windows ou Windows Server com suporte.

    noteObservação
    A estação de trabalho não precisa ser um computador dedicado.

Computador cliente do MBAM e Cliente do Configuration Manager

Software do cliente MBAM

O Cliente do MBAM:

  • Usa os Objetos da Política de Grupo para impor a Criptografia de Unidade do BitLocker em computadores cliente na empresa.

  • Coleta a chave de recuperação do BitLocker para três tipos de unidade de dados: unidades do sistema operacional, unidades de dados fixas e unidades de dados removíveis (USB).

  • Coleta informações de recuperação e informações de computador sobre computadores cliente.

Cliente do Gerenciador de Configurações

O Cliente do Configuration Manager permite que o Configuration Manager colete dados de compatibilidade de hardware sobre os computadores clientes e forneça informações de conformidade.

Diferenças na implantação do MBAM para versões compatíveis do Configuration Manager

Ao implantar o MBAM com a topologia de Integração do Configuration Manager, você pode instalar o MBAM em um servidor de site primário. No entanto, a instalação do MBAM funciona de forma diferente para o System Center 2012 Configuration Manager e Configuration Manager 2007.

Versão do Configuration Manager Descrição

System Center 2012 R2 Configuration Manager

System Center 2012 Configuration Manager

Se você instalar o MBAM em um servidor de site primário ou em um servidor de administração central, o MBAM executará todas as ações de instalação nesse servidor de site.

Configuration Manager 2007 R2

Configuration Manager 2007

Se você instalar o MBAM em um servidor de site primário que faz parte de uma hierarquia maior do Configuration Manager com um servidor pai de site central, o MBAM identifica o servidor pai de site central e executa todas as ações de instalação no mesmo. A instalação inclui os pré-requisitos de verificação e instalação de objetos e relatórios do Configuration Manager.

Por exemplo, se você instalar o MBAM em servidor de site primário que é filho de um servidor pai de site central, o MBAM instalará todos os objetos e relatórios do Configuration Manager no servidor pai. Se você instalar o MBAM no servidor pai, o MBAM executará todas as ações de instalação nele.

Como o MBAM funciona com o Configuration Manager

A integração do MBAM com o Configuration Manager tem como base um pacote de configuração que instala os itens na seguinte tabela.

Itens instalados no Configuration Manager Descrição

Dados de configuração

Os dados de configuração instalam uma linha de base, chamada "Proteção do BitLocker", que contém dois itens de configuração:

  • Proteção de Unidade de Sistema Operacional BitLocker

  • Proteção de Unidades de Dados Fixas BitLocker

A linha de base de configuração é implantada na coleção de Computadores com suporte do MBAM, que é também criada quando o MBAM é instalado.

Os dois itens de configuração fornecem a base para avaliar o status de conformidade dos computadores cliente. Essas informações são capturadas, armazenadas e avaliadas no Configuration Manager.

Os itens de configuração têm como base os requisitos de conformidade para as unidades de sistema operacional e unidades de dados fixas. Os detalhes necessários para os computadores implantados são coletados, de forma que a conformidade desses tipos de unidade possa ser avaliada.

Por padrão, a linha de base de configuração avalia o status da conformidade a cada 12 horas e envia os dados de conformidade ao Configuration Manager.

Coleção de computadores com suporte do MBAM

O MBAM cria uma coleção chamada de Computadores com Suporte do MBAM. A linha de base de configuração é destinada aos computadores cliente que estão nessa coleção.

Esta é uma coleção dinâmica. Por padrão, é executado a cada 12 horas e avalia a associação, com base em três critérios:

  • O computador é uma versão com suporte do sistema operacional do Windows.

  • O computador é um computador físico. Não há suporte para máquinas virtuais.

  • O computador tem um TPM (Trusted Platform Module) que está disponível. Uma versão compatível do TPM 1.2 ou posterior é necessária para o Windows 7. O Windows 10, o Windows 8.1, o Windows 8 e o Windows To Go não precisam de um TPM.

A coleção é avaliada com base em todos os computadores e um subconjunto de computadores compatíveis é criado que fornece a base para a avaliaçãode conformidade e relatórios para a integração do MBAM.

Relatórios

Ao configurar o MBAM com a topologia de Integração do Configuration Manager, você exibe todos os relatórios no Configuration Manager, exceto o Relatório de Auditoria de Recuperação, o último que você continua a exibir no site de Administração e Monitoramento do MBAM. Os relatórios disponíveis no Configuration Manager são:

 

Relatório Descrição

Painel do Relatório de Conformidade da Empresa do BitLocker

Fornece aos adminsitradores de TI três exibições de informações em um relatório único: Distribuição do Status de Conformidade, Fora de Conformidade - Distribuição de Erros e Distribuição do Status de Conformidade por Tipo de Unidade. As opções de realização de busca detalhada no relatório permitem aos administradores de TI clicar nos dados e exibir uma lista de computadores que correspondem ao estado selecionado.

Detalhes de Conformidade da Empresa BitLocker

Permite que os administradores de TI exibam informações sobre o status de conformidade de criptografia BitLocker da empresa e inclui o status de conformidade de cada computador. As opções de realização de busca detalhada no relatório permitem aos administradores de TI clicar nos dados e exibir uma lista de computadores que correspondem ao estado selecionado.

Conformidade do Computador BitLocker

Permite aos administradores de TI exibir um computador individual e determinar por que foi informado com um determinado status de conformidade ou não conformidade. O relatório também exibe o estado de criptografia de unidades do sistema operacional e unidades de dados fixas.

Resumo de Conformidade da Empresa BitLocker

Permite aos administradores de TI exibir o status de conformidade da empresa com a política do MBAM. O estado de cada computador é avaliado, e o relatório mostra um resumo da conformidade de todos os computadores na empresa com base na política. As opções de realização de busca detalhada no relatório permitem aos administradores de TI clicar nos dados e exibir uma lista de computadores que correspondem ao estado selecionado.

Você tem uma sugestão para o MBAM?

Adicione ou vote em sugestões aqui. Para problemas com o MBAM, utilize o Fórum MBAM TechNet.

Consulte também

Conceitos

Arquitetura de alto nível do MBAM 2.5 com topologia Autônoma
Recursos ilustrados de uma implantação do MBAM 2.5

Outros recursos

Introdução ao MBAM 2.5