Высокоуровневая архитектура MBAM 2.5 с топологией интеграции Configuration Manager

  • Статья

Назначение: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

В этом разделе описывается рекомендуемая архитектура развертывания Администрирование и мониторинг Microsoft BitLocker (MBAM) с топологией интеграции Configuration Manager. Данная топология интегрирует MBAM с System Center Configuration Manager. Сведения о развертывании MBAM в изолированной топологии см. в разделе Высокоуровневая архитектура MBAM 2.5 с изолированной топологией.

Список поддерживаемых версий программного обеспечения, упоминаемых в этом разделе, см. в разделе Поддерживаемые конфигурации MBAM 2.5.

Важно!

Windows To Go не поддерживается при установке в топологии интеграции Configuration Manager, если используется Configuration Manager 2007.

Рекомендуемое число серверов и поддерживаемое число клиентов

Рекомендуемое число серверов и поддерживаемое число клиентов в рабочей среде таково:

Рекомендуемая архитектура Сведения

Число серверов и других компьютеров

Три сервера

Одна рабочая станция

Число поддерживаемых клиентских компьютеров

500 000

Различия между топологией с интеграцией Configuration Manager и изолированной топологией

Основными различиями топологий являются:

  • Компоненты соответствия и отчетов удалены из MBAM, и доступ к ним осуществляется из Configuration Manager.

  • Просмотр отчетов осуществляется из консоли управления Configuration Manager, за исключением отчета об аудите восстановления, который по-прежнему доступен для просмотра на веб-сайте администрирования и мониторинга MBAM.

Рекомендуемая общая архитектура MBAM с топологией интеграции Configuration Manager

Следующая схема и таблица представляют собой описание рекомендуемой архитектуры MBAM высокого уровня в топологии интеграции с Configuration Manager. Развертывания MBAM с несколькими лесами требуют одностороннего или двустороннего отношения доверия. При одностороннем доверии необходимо, чтобы домен сервера имел доверительное отношение к домену клиента.

MBAM2_5

Сервер Компоненты, настраиваемые на этом сервере Описание

Сервер баз данных

База данных восстановления

Этот компонент настраивается на компьютере с Windows Server и поддерживаемым экземпляром SQL Server.

В базе данных восстановления хранятся данные восстановления, собираемые с клиентских компьютеров MBAM.

База данных аудита

Этот компонент настраивается на компьютере с Windows Server и поддерживаемым экземпляром SQL Server.

В базе данных аудита хранятся данные о действиях аудита, собираемые с клиентских компьютеров, которые обращались к данным восстановления.

Отчеты

Этот компонент настраивается на компьютере с Windows Server и поддерживаемым экземпляром SQL Server.

Компонент Отчеты предоставляет данные об аудите восстановления для клиентских компьютеров на предприятии. Отчеты можно просматривать из консоли Configuration Manager или напрямую из служб отчетов SQL Server.

Сервер первичного сайта Configuration Manager

Компонент интеграции System Center Configuration Manager
  • Этот компонент настроен на сервере первичного сайта Configuration Manager, который является сервером верхнего уровня в инфраструктуре Configuration Manager.

  • Сервер Configuration Manager Server собирает данные инвентаризации оборудования с клиентских компьютеров и используется для предоставления сведений о соответствии клиентских компьютеров требованиям BitLocker.

  • При запуске мастера установки Администрирование и мониторинг Microsoft BitLocker для установки программного обеспечения сервера на сервере первичного сайта Configuration Manager настраивается коллекция поддерживаемых компьютеров MBAM, шаблон базовой конфигурации и отчеты.

  • Консоль Configuration Manager следует установить на компьютер, на котором установлено программное обеспечение сервера MBAM.

Сервер администрирования и наблюдения

Веб-сайт администрирования и мониторинга

Этот компонент настраивается на компьютере с Windows Server.

Веб-сайт администрирования и мониторинга используется для следующих целей.

  • Помощь конечным пользователям в возобновлении доступа к компьютерам в случае потери доступа. (Эта область веб-сайта, как правило, называется службой поддержки.)

  • Просмотр отчета об аудите восстановления, отражающего активность восстановления на клиентских компьютерах. Другие отчеты можно просмотреть из консоли Configuration Manager.

Портал самообслуживания

Этот компонент настраивается на компьютере с Windows Server.

Портал самообслуживания представляет собой веб-сайт, позволяющий конечным пользователям на клиентских компьютерах самостоятельно входить на веб-сайт для получения ключа восстановления, если они потеряют или забудут пароль BitLocker.

Веб-службы мониторинга для данного веб-сайта

Этот компонент устанавливается на компьютере с Windows Server.

Веб-службы мониторинга используются клиентом и веб-сайтами MBAM для обмена данными с базой данных.

ImportantВажно
Веб-служба наблюдения больше не доступна в Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 с пакетом обновления 1 (SP1), поскольку теперь клиент MBAM и веб-сайты взаимодействуют с базой данных восстановления напрямую.

Рабочая станция управления

MBAM Шаблоны групповой политики
  • Шаблоны групповой политики MBAM представляют собой настройки групповой политики, определяющие параметры реализации MBAM, что позволяет управлять шифрованием дисков BitLocker.

  • Перед запуском MBAM необходимо загрузить шаблоны групповой политики из раздела Получение шаблонов групповой политики MDOP (файлы ADMX) и скопировать их на сервер или рабочую станцию с поддерживаемой версией Windows Server или операционной системы Windows.

    noteПримечание
    Рабочая станция не обязательно должна быть выделенным компьютером.

Клиентские компьютеры MBAM и компьютеры Configuration Manager

MBAM Клиентское программное обеспечение

Клиент MBAM

  • Использует объекты групповой политики для шифрования дисков BitLocker на клиентских компьютерах в организации.

  • Собирает ключи восстановления Bitlocker для дисков с данными трех типов: диски операционной системы, фиксированные диски с данными и съемные диски (USB).

  • собирает сведения о восстановлении и оборудовании клиентских компьютеров;

Клиент Configuration Manager

Клиент Configuration Manager позволяет Configuration Manager осуществлять сбор данных о совместимости оборудования клиентских компьютеров и формировать отчеты со сведениями о совместимости.

Различия в развертывании MBAM для поддерживаемых версий Configuration Manager

При развертывании MBAM с использованием топологии интеграции Configuration Manager можно установить MBAM на сервере первичного сайта. Однако установка MBAM выполняется иначе в случае с System Center 2012 Configuration Manager и Configuration Manager 2007.

Версия Configuration Manager Описание

System Center 2012 R2 Configuration Manager

System Center 2012 Configuration Manager

Если установить MBAM на сервер первичного сайта или на сервер центра администрирования, то MBAM будет выполнять все действия по установке на этом сервера сайта.

Configuration Manager 2007 R2

Configuration Manager 2007

Если установить MBAM на сервер первичного сайта, входящего в более крупную иерархию Configuration Manager с родительским сервером центрального сайта, то MBAM будет идентифицировать родительский сервер центрального сайта и выполнять все действия по установке на этом родительском сервере. Установка включает проверку соблюдения необходимых условий, а также установку объектов и отчетов Configuration Manager.

Например, если установить MBAM на сервер первичного сайта, который является дочерним по отношению к родительскому серверу центрального сайта, то MBAM установит все объекты и отчеты Configuration Manager на родительский сервер. Если установить MBAM на родительский сервер, то MBAM выполнит все действия по установке на этом родительском сервере.

Взаимодействие MBAM с Configuration Manager

Интеграция MBAM с Configuration Manager реализуется посредством пакета конфигурации, устанавливающего указанные в следующей таблице элементы.

Элементы, устанавливаемые в Configuration Manager Описание

Данные конфигурации

Данные конфигурации включают установку шаблона базовой конфигурации "Защита BitLocker", который содержит два элемента конфигурации:

  • Защита BitLocker диска операционной системы

  • Защита BitLocker фиксированных дисков с данными

Шаблон базовой конфигурации развертывается в коллекции поддерживаемых компьютеров MBAM, которая также создается при установке MBAM.

Эти два элемента конфигурации служат основой для оценки состояния соответствия клиентских компьютеров. Эти сведения фиксируются, сохраняются и оцениваются в Configuration Manager.

Элементы конфигурации основаны на требованиях к соответствию для дисков операционной системы и фиксированных дисков с данными. Для оценки соответствия этих типов дисков выполняется сбор необходимых сведений о развернутых компьютерах.

По умолчанию шаблон базовой конфигурации оценивает состояние соответствия каждые 12 часов и отправляет данные о соответствии в Configuration Manager.

Коллекция MBAM поддерживаемых компьютеров;

MBAM создает коллекцию компьютеров под названием "Компьютеры, поддерживаемые MBAM". Шаблон базовой конфигурации предназначен для клиентских компьютеров из этой коллекции.

Это динамическая коллекция. По умолчанию она выполняется каждые 12 часов и оценивает членство компьютеров на основании следующих трех условий.

  • Компьютер работает под управлением поддерживаемой версии операционной системы Windows.

  • Компьютер представляет собой физический компьютер. Виртуальные машины не поддерживаются.

  • На компьютере есть доступный доверенный платформенный модуль (TPM). Для Windows 7 требуется совместимая версия TPM 1.2 (или более поздняя версия). Для Windows 10, Windows 8.1, Windows 8 и Windows To Go не требуется TPM.

Членство в коллекции оценивается для всех компьютеров, в результате чего создается подмножество совместимых компьютеров, которое служит основой для оценки соответствия и формирования отчетов для интеграции MBAM.

Отчеты

При настройке MBAM с топологией интеграции Configuration Manager все отчеты просматриваются в Configuration Manager, за исключением отчеты об аудите восстановления, который по-прежнему следует просматривать на веб-сайте администрирования и мониторинга MBAM. В Configuration Manager доступны следующие отчеты.

 

Отчет Описание

Панель мониторинга соответствия BitLocker по предприятию

Предоставляет ИТ- администраторам три представления данных в одном отчете: "Распространение состояния соответствия", "Не соответствует — распространение ошибок" и "Распределение состояния соответствия по типу диска". Предусмотренные в отчете возможности детализации позволяют ИТ-администраторам щелкнуть требуемый фрагмент данных и просмотреть список компьютеров, соответствующих выбранному состоянию.

Сведения о соответствии BitLocker по предприятию

Этот отчет позволяет ИТ-администраторам просмотреть сведения о состоянии соответствия предприятия требованиям шифрования BitLocker, а также содержит сведения о состоянии соответствия каждого компьютера. Предусмотренные в отчете возможности детализации позволяют ИТ-администраторам щелкнуть требуемый фрагмент данных и просмотреть список компьютеров, соответствующих выбранному состоянию.

BitLocker Computer Compliance (Соответствие компьютеров требованиям BitLocker)

Этот отчет позволяет ИТ-администраторам просмотреть сведения об отдельном компьютере и определить причину его состояния ("Совместимый" или "Не соответствует"). Этот отчет также содержит сведения о состоянии шифрования для дисков операционной системы и фиксированных дисков с данными.

Сводка соответствия BitLocker по предприятию

Позволяет администраторам просматривать состояние соответствия политике MBAM в организации. Оценивается состояние каждого компьютера, и в отчете отображается сводка соответствия всех компьютеров на предприятии заданной политике. Предусмотренные в отчете возможности детализации позволяют ИТ-администраторам щелкнуть требуемый фрагмент данных и просмотреть список компьютеров, соответствующих выбранному состоянию.

Есть предложение для MBAM?

Выдвигайте предложения и голосуйте за них здесь. Ответы на вопросы, возникающие при работе с MBAM, можно найти на форуме TechNet по MBAM.

См. также

Концепции

Высокоуровневая архитектура MBAM 2.5 с изолированной топологией
Иллюстрированные функции развертывания MBAM 2.5

Другие ресурсы

Приступая к работе с MBAM 2.5