Начало работы. Использование MBAM с Configuration Manager

Обновлено: Апрель 2013 г.

Назначение: Microsoft BitLocker Administration and Monitoring 2.0

При установке Администрирование и мониторинг Microsoft BitLocker (MBAM) можно выбрать топологию для интеграции MBAM с Configuration Manager 2007 или System Center 2012 Configuration Manager;. Список поддерживаемых MBAM версий Configuration Manager см. в разделе Планирование развертывания MBAM с Configuration Manager. В интегрированной топологии компоненты соответствия оборудования и отчетов удаляются из MBAM и становятся доступны в Configuration Manager.

ImportantВажно!
Windows To Go не поддерживается при установке интегрированной топологии MBAM с Configuration Manager 2007.

Использование MBAM с Configuration Manager

Интеграция MBAM выполняется на основе нового пакета конфигурации, обеспечивающего установку в Configuration Manager 2007 или System Center 2012 Configuration Manager; трех компонентов, которые подробно описаны в следующих разделах.

  • Данные конфигурации, которые включают элементы конфигурации и шаблон базовой конфигурации

  • Коллекция

  • Отчеты

Данные конфигурации

Данные конфигурации включают установку шаблона базовой конфигурации "Защита BitLocker", который содержит два элемента конфигурации: "Защита BitLocker диска операционной системы" и "Защита BitLocker фиксированных дисков с данными". Шаблон базовой конфигурации развертывается в коллекции, которая также создается при установке MBAM. Эти два элемента конфигурации служат основой для оценки состояния соответствия клиентских компьютеров. Эти сведения фиксируются, сохраняются и оцениваются в Configuration Manager. Элементы конфигурации основаны на требованиях к соответствию для дисков операционной системы и фиксированных дисков с данными. Для оценки соответствия этих типов дисков выполняется сбор необходимых сведений о развернутых компьютерах. По умолчанию шаблон базовой конфигурации оценивает состояние соответствия каждые 12 часов и отправляет данные о соответствии в Configuration Manager.

Коллекция

MBAM создает коллекцию с именем "Компьютеры, поддерживаемые MBAM". Шаблон базовой конфигурации предназначен для клиентских компьютеров из этой коллекции. Это динамическая коллекция, которая по умолчанию запускается каждые 12 часов и оценивает членство. Существуют три условия членства.

  • Это поддерживаемая версия операционной системы Windows. В настоящее время MBAM поддерживает только Windows 7 Корпоративная, Windows 7 Максимальная, Windows 8 Корпоративная и Windows To Go на базе Windows 8 Корпоративная.

  • Это физический компьютер. Виртуальные машины не поддерживаются.

  • Доступен доверенный платформенный модуль (TPM). Для Windows 7 требуется совместимая версия TPM 1.2 или выше. Для Windows 8 и Windows To Go доверенный платформенный модуль не требуется.

Членство в коллекции оценивается для всех компьютеров, в результате чего создается подмножество совместимых компьютеров, которое служит основой для оценки соответствия и формирования отчетов для интеграции MBAM.

Отчеты

Сведения о соответствии можно просмотреть с помощью четырех отчетов. К ним относятся:

  • Панель мониторинга соответствия BitLocker по предприятию. Этот отчет содержит три разных представления информации для ИТ-администраторов: "Распространение состояния соответствия", "Не соответствует — распространение ошибок" и "Распределение состояния соответствия по типу диска". Предусмотренные в отчете возможности детализации позволяют ИТ-администраторам щелкнуть требуемый фрагмент данных и просмотреть список компьютеров, соответствующих выбранному состоянию.

  • Сведения о соответствии BitLocker по предприятию. Этот отчет позволяет ИТ-администраторам просмотреть сведения о состоянии соответствия предприятия требованиям шифрования BitLocker, а также содержит сведения о состоянии соответствия каждого компьютера. Предусмотренные в отчете возможности детализации позволяют ИТ-администраторам щелкнуть требуемый фрагмент данных и просмотреть список компьютеров, соответствующих выбранному состоянию.

  • BitLocker Computer Compliance (Соответствие компьютеров требованиям BitLocker). Этот отчет позволяет ИТ-администраторам просмотреть сведения об отдельном компьютере и определить причину его состояния ("Совместимый" или "Не соответствует"). Этот отчет также содержит сведения о состоянии шифрования для дисков операционной системы и фиксированных дисков с данными.

  • Сводка соответствия BitLocker по предприятию. Этот отчет позволяет ИТ-администраторам просмотреть сведения о состоянии соответствия предприятия политике MBAM. Оценивается состояние каждого компьютера, и в отчете отображается сводка соответствия всех компьютеров на предприятии заданной политике. Предусмотренные в отчете возможности детализации позволяют ИТ-администраторам щелкнуть требуемый фрагмент данных и просмотреть список компьютеров, соответствующих выбранному состоянию.

Высокоуровневая архитектура MBAM с Configuration Manager

На следующем изображении показана архитектура MBAM с топологией Configuration Manager. Эта конфигурация поддерживает до 200 000 клиентов MBAM в рабочей среде.

Архитектура MBAM с Configuration Manager

Описание серверов, баз данных и компонентов данной архитектуры приведено ниже. Компоненты сервера и базы данных на изображении архитектуры указаны под названием компьютера или сервера, на котором их рекомендуется установить.

  • Сервер баз данных. База данных восстановления и База данных аудита устанавливаются на сервере Windows в поддерживаемом экземпляре SQL Server. В базе данных восстановления хранятся данные восстановления, собираемые с клиентских компьютеров MBAM. В базе данных аудита хранятся данные о действиях аудита, собираемые с клиентских компьютеров, которые обращались к данным восстановления,

  • Сервер первичного сайта Configuration Manager. В состав сервера Configuration Manager входит сервер MBAM, который следует установить на сервер первичного сайта Configuration Manager. Сервер Configuration Manager собирает данные инвентаризации оборудования с клиентских компьютеров и используется для предоставления сведений о соответствии клиентских компьютеров требованиям BitLocker. Во время установки MBAM коллекция и данные конфигурации устанавливаются на сервер первичного сайта Configuration Manager.

  • Сервер администрирования и наблюдения. Сервер администрирования и наблюдения устанавливается на сервере Windows. Он включает веб-сайт администрирования и наблюдения и веб-службы наблюдения. Веб-сайт администрирования и наблюдения используется для аудита действий и доступа к данным восстановления (например, к ключам восстановления BitLocker). Портал самообслуживания также устанавливается на сервере администрирования и наблюдения. Портал позволяет конечным пользователям на клиентских компьютерах самостоятельно входить на веб-сайт для получения ключа восстановления, если они потеряют или забудут пароль BitLocker. На сервер администрирования и наблюдения также устанавливаются отчеты об аудите.

  • Рабочая станция управления. Шаблон политики состоит из объектов групповой политики, которые определяют параметры реализации MBAM для шифрования дисков BitLocker. Шаблон политики можно установить на любом сервере или рабочей станции, однако обычно он устанавливается на рабочей станции управления, которая является поддерживаемым сервером Windows или клиентским компьютером. Рабочая станция не обязательно должна быть выделенным компьютером.

  • Компьютер клиента MBAM и клиента Configuration Manager.

    • Клиент MBAM выполняет следующие задачи:

      • использует объекты групповой политики для шифрования BitLocker клиентских компьютеров в организации;

      • собирает ключи восстановления для трех типов дисков с данными BitLocker: диски операционной системы, фиксированные диски с данными и съемные диски (USB);

      • собирает сведения о восстановлении и оборудовании клиентских компьютеров;

    • Клиент Configuration Manager. Клиент Configuration Manager обеспечивает возможность сбора данных о соответствии оборудования клиентских компьютеров с помощью Configuration Manager, а также возможность предоставления сведений о соответствии в Configuration Manager.

См. также

-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или следите за нами на таких ресурсах, как Facebook или Twitter.
-----
Показ: