Configuration des fonctionnalités du serveur MBAM 2.5 à l’aide de Windows PowerShell
Après avoir installé le logiciel serveur Microsoft BitLocker Administration and Monitoring (MBAM) 2.5, vous pouvez configurer les fonctionnalités du serveur MBAM 2.5 à l’aide des applets de commande Windows PowerShell ou de l’Assistant Configuration du serveur MBAM. Cet article explique comment configurer MBAM 2.5 à l’aide des applets de commande Windows PowerShell. Pour utiliser l’Assistant à la place, consultez Configuration des fonctionnalités du serveur MBAM 2.5.
Pour plus d’informations sur les applets de commande Windows PowerShell Get-MbamBitLockerRecoveryKey et Get-MbamTPMOwnerPassword , qui sont utilisées pour administrer MBAM, consultez Utilisation de Windows PowerShell pour administrer MBAM 2.5.
Comment charger l’aide de Windows PowerShell pour MBAM 2.5
Pour obtenir la liste des applets de commande Windows PowerShell, consultez Automatisation de Microsoft Desktop Optimization Pack avec Windows PowerShell.
Pour charger l’aide de MBAM 2.5 pour les applets de commande Windows PowerShell après avoir installé le logiciel serveur MBAM
Ouvrez Windows PowerShell ou Windows PowerShell Integrated Scripting Environment (ISE).
Type
Update-Help -Module Microsoft.MBAM
Comment obtenir de l’aide sur une applet de commande Windows PowerShell MBAM
L’aide de Windows PowerShell pour MBAM est disponible dans les formats suivants :
- À l’invite de commandes Windows PowerShell, tapez
Get-Help <cmdlet>- Pour charger les dernières applets de commande Windows PowerShell, suivez les instructions de la section précédente sur la façon de charger l’aide de Windows PowerShell pour MBAM.
- Prise en main de l’automatisation MDOP
- Télécharger la documentation de référence sur les applets de commande MDOP
Configurations que vous pouvez effectuer uniquement avec Windows PowerShell, mais pas avec l’Assistant Configuration du serveur MBAM
| Configurations que vous pouvez effectuer uniquement à l’aide de Windows PowerShell | Détails |
|---|---|
| Installez les services web sur un ordinateur distinct des applications web. | À l’aide de l’Assistant, vous devez installer les services web et les applications web sur le même ordinateur. |
| Activez les rapports sur un point Reporting Services distinct sans installer tous les objets Configuration Manager. | |
| Supprimez tous les objets de Configuration Manager. | La suppression des objets à son tour supprime toutes les données de conformité de Configuration Manager. |
| Entrez une chaîne de connexion personnalisée pour les bases de données. | Exemple : Pour configurer les applications web pour qu’elles fonctionnent avec la mise en miroir, vous devez utiliser l’applet de commande Enable-MbamWebApplication pour spécifier la syntaxe de partenaire de basculement appropriée dans la chaîne de connexion. |
| Ignorez la validation et configurez une fonctionnalité même si la vérification des prérequis a échoué. |
Remarque
Vous ne pouvez pas désactiver les bases de données MBAM avec une applet de commande Windows PowerShell ou l’Assistant Configuration du serveur MBAM. Pour empêcher la suppression accidentelle de vos données de conformité et d’audit, les administrateurs de base de données doivent supprimer les bases de données manuellement.
Conditions préalables et conditions requises pour l’utilisation de Windows PowerShell pour configurer les fonctionnalités du serveur MBAM
Avant de commencer la configuration, remplissez les conditions préalables suivantes.
Prérequis liés au compte
| Prérequis | Détails ou informations supplémentaires |
|---|---|
| Créez les comptes requis. | Consultez la section Comptes obligatoires et paramètres d’applet de commande Windows PowerShell correspondants plus loin dans cet article. |
| Les comptes d’utilisateur et les groupes que vous passez en tant que paramètres aux applets de commande Windows PowerShell doivent être des comptes valides dans le domaine. | Vous ne pouvez pas utiliser de comptes locaux. |
| Spécifiez les comptes au format de bas niveau. | Exemples :domainNetBiosName\userdomainNetBiosName\group |
Prérequis liés aux autorisations
- Vous devez être administrateur sur l’ordinateur local sur lequel vous configurez la fonctionnalité MBAM.
- Utilisez une invite de commandes Windows PowerShell avec élévation de privilèges pour exécuter toutes les applets de commande Windows PowerShell.
Pour l’applet de commande Enable-MbamDatabase uniquement :
- Vous devez disposer des autorisations « créer une base de données » sur l’instance de la base de données Microsoft SQL Server cible.
- Par défaut, l’administrateur de base de données ou l’administrateur système dispose des autorisations « créer une base de données » requises.
- Ce compte d’utilisateur doit faire partie du groupe Administrateurs locaux ou du groupe Opérateurs de sauvegarde pour inscrire l’enregistreur VSS (Volume Shadow Copy Service) MBAM.
- Pour plus d’informations sur l’enregistreur VSS, consultez Service de cliché instantané de volume.
Pour la fonctionnalité d’intégration de System Center Configuration Manager uniquement, l’utilisateur qui active cette fonctionnalité doit disposer des droits suivants dans Configuration Manager :
| Type de droits dans Configuration Manager | Droits requis |
|---|---|
| Droits de site Configuration Manager : | -Lire |
| Droits de collection Configuration Manager : | -Créer -Supprimer -Lire -Modifier - Déployer des éléments de configuration |
| Droits d’élément de configuration de Configuration Manager : | -Créer -Supprimer -Lire |
Utilisation de Windows PowerShell pour configurer MBAM sur un ordinateur distant
| Fonctionnalité | Détails |
|---|---|
| Quand utiliser cette fonctionnalité | Lorsque vous souhaitez configurer les fonctionnalités du serveur MBAM 2.5 sur un ordinateur distant. Les applets de commande Windows PowerShell s’exécutent sur un ordinateur et vous configurez les fonctionnalités sur un autre ordinateur distant. |
| Ce que vous avez à faire | Pour utiliser Windows PowerShell afin de configurer les fonctionnalités du serveur MBAM 2.5 sur un ordinateur distant, vous devez :
|
| Pourquoi vous devez le faire | Ce protocole permet aux applets de commande Windows PowerShell de se connecter aux services de domaine Active Directory à l’aide des informations d’identification d’administration de l’utilisateur. Vous pouvez obtenir une erreur de validation si vous démarrez la session Windows PowerShell sans ce protocole. |
| Guide pratique pour démarrer une session Windows PowerShell avec le protocole CredSSP | Tapez le code suivant à l’invite Windows PowerShell :$s = New-PSSession -ComputerName xxx -Authentication Credssp -Credential xxxLe code suivant illustre un exemple : $session = New-PSSession -ComputerName <MBAM_server_name> -Authentication Credssp -Credential (Get-Credential)Enter-PSSession $session |
Comptes requis et paramètres d’applet de commande Windows PowerShell correspondants
Les sections suivantes décrivent les comptes requis pour configurer les fonctionnalités du serveur MBAM 2.5. Il répertorie également l’applet de commande Et le paramètre Windows PowerShell correspondants pour lesquels vous devez spécifier le compte pendant la configuration.
Description du type de paramètre d’applet de commande (utilisateur ou groupe)
Enable-MBAMDatabase
AccessAccount
Type : Utilisateur ou groupe
Spécifiez un utilisateur ou un groupe de domaine disposant d’une autorisation de lecture/écriture sur cette base de données pour permettre aux applications web d’accéder aux données et aux rapports de cette base de données. Si la valeur est un utilisateur de domaine, le paramètre WebServiceApplicationPoolCredential utilisé lors de l’exécution de l’applet de commande Enable-MbamWebApplication doit utiliser le même compte d’utilisateur. Si la valeur est un groupe Utilisateurs de domaine, le compte de domaine utilisé par le paramètre WebServiceApplicationPoolCredential doit être membre de ce groupe.
ReportAccount
Type : Utilisateur ou groupe
Spécifiez un utilisateur de domaine ou un groupe d’utilisateurs disposant d’une autorisation en lecture seule sur cette base de données pour fournir aux rapports MBAM l’accès aux données de conformité et d’audit. Si la valeur est un utilisateur de domaine, le paramètre ComplianceAndAuditDBCredential de l’applet de commande Enable-MbamReport doit utiliser le même compte d’utilisateur. Si la valeur est un groupe utilisateurs de domaine, le compte de domaine utilisé par le paramètre ComplianceAndAuditDBCredential doit être membre de ce groupe.
Enable-MbamReport
ComplianceAndAuditDBCredential
Type : Utilisateur
Spécifie les informations d’identification administratives que l’instance SSRS locale utilise pour se connecter à la base de données d’audit et de conformité MBAM. L’utilisateur de domaine dans les informations d’identification d’administration doit être identique au compte d’utilisateur utilisé pour le paramètre ReportAccount , qui est utilisé lors de l’exécution de l’applet de commande Enable-MbamDatabase . Si un groupe Utilisateurs de domaine a été utilisé avec le paramètre ReportAccount , ce compte doit être membre de ce groupe.
Important
Le compte spécifié dans les informations d’identification d’administration doit disposer de droits d’utilisateur limités pour améliorer la sécurité. En outre, le mot de passe du compte doit être défini pour ne pas expirer.
ReportsReadOnlyAccessGroup
Type : Groupe
Spécifie le groupe d’utilisateurs de domaine qui dispose d’autorisations de lecture sur les rapports. Le groupe spécifié doit être le même groupe que celui utilisé pour le paramètre ReportsReadOnlyAccessGroup dans l’applet de commande Enable-MbamWebApplication .
Enable-MBAMWebApplication
AdvancedHelpdeskAccessGroup
Type : Groupe
Spécifie le groupe Utilisateurs du domaine qui a accès à toutes les zones du site web d’administration et de surveillance, à l’exception de la zone Rapports.
HelpdeskAccessGroup
Type : Groupe
Spécifie le groupe Utilisateurs du domaine qui a accès aux zones Gérer le module de plateforme sécurisée (TPM) et Récupération de lecteur du site web d’administration et de surveillance.
ReportsReadOnlyAccessGroup
Type : Groupe
Spécifie le groupe Utilisateurs du domaine qui dispose de l’autorisation de lecture sur la zone Rapports du site web d’administration et de surveillance. Le groupe spécifié doit être le même groupe que celui utilisé pour le paramètre ReportsReadOnlyAccessGroup dans l’applet de commande Enable-MbamReport .
WebServiceApplicationPoolCredential
Type : Utilisateur
Spécifie l’utilisateur de domaine à utiliser par le pool d’applications pour les applications web MBAM. Il doit s’agir du même compte d’utilisateur de domaine que celui spécifié dans le paramètre AccessAccount de l’applet de commande Enable-MbamDatabase . Si un groupe Utilisateurs de domaine a été utilisé par le paramètre AccessAccount lors de l’exécution de l’applet de commande Enable-MbamDatabase , l’utilisateur de domaine spécifié ici doit être membre de ce groupe. Si vous ne spécifiez pas les informations d’identification administratives, les informations d’identification administratives qui ont été spécifiées par une application web précédemment activée sont utilisées. Toutes les applications web utilisent la même identité de pool d’applications. Si elle est spécifiée plusieurs fois, la dernière valeur spécifiée est utilisée.
Important
Pour améliorer la sécurité, définissez le compte spécifié dans les informations d’identification d’administration sur des droits d’utilisateur limités. Définissez également le mot de passe du compte pour qu’il n’expire jamais. Vérifiez que le compte IIS_IUSRS intégré ou le compte utilisé pour le paramètre WebServiceApplicationPoolCredential a été ajouté au paramètre de sécurité local Emprunter l’identité d’un client après l’authentification .
Pour afficher le paramètre de sécurité local, ouvrez l’éditeur de stratégie de sécurité locale, développez le nœud Stratégies locales , sélectionnez le nœud Attribution des droits utilisateur , puis double-cliquez sur les paramètres de stratégie de groupe Emprunter l’identité d’un client après l’authentification et Se connecter en tant que tâche de traitement par lots dans le volet d’informations.
Articles connexes
Configuration des fonctionnalités du serveur MBAM 2.5
Validation de la configuration des fonctionnalités du serveur MBAM 2.5