Condividi tramite

Architettura di alto livello di MBAM 2.5 con topologia di integrazione di Configuration Manager

  • Articolo

Questo articolo descrive l'architettura consigliata per la distribuzione di Microsoft BitLocker Administration and Monitoring (MBAM) con la topologia di integrazione di Configuration Manager. Questa topologia integra MBAM con System Center Configuration Manager. Per distribuire MBAM con la topologia autonoma, vedere Architettura di alto livello di MBAM 2.5 con topologia autonoma.

Per un elenco delle versioni supportate del software indicate in questo articolo, vedere MBAM 2.5 Supported Configurations.For a list of the supported versions of the software mentioned in this article, see MBAM 2.5 Supported Configurations.

Importante

Windows To Go non è supportato per l'installazione della topologia di integrazione di Configuration Manager quando si usa Configuration Manager 2007.

La tabella seguente elenca il numero consigliato di server e il numero supportato di client in un ambiente di produzione:

Architettura consigliata Dettagli
Numero di server e altri computer Tre server
Una workstation
Numero di computer client supportati 500,000

Differenze tra l'integrazione di Configuration Manager e le topologie autonome

Le principali differenze tra le topologie sono:

  • Le funzionalità di conformità e creazione di report vengono rimosse da MBAM e sono accessibili da Configuration Manager.

  • I report vengono visualizzati dalla Console di gestione di Configuration Manager, ad eccezione del report di controllo del ripristino, che si continua a visualizzare dal sito Web amministrazione e monitoraggio di MBAM.

Il diagramma e le sezioni seguenti descrivono l'architettura di alto livello consigliata per MBAM con la topologia di integrazione di Configuration Manager. Le distribuzioni a più foreste di MBAM richiedono un trust unidirezionale o bidirezionale. I trust unidirezionali richiedono che il dominio del server consideri attendibile il dominio client.

Diagramma concettuale dell'architettura di alto livello di MBAM con Configuration Manager.

Server di database

Database di ripristino

Questa funzionalità è configurata in un computer che esegue Windows Server e un'istanza di SQL Server supportata.

Il database di ripristino archivia i dati di ripristino raccolti dai computer client di MBAM.

Database di controllo

Questa funzionalità è configurata in un computer che esegue Windows Server e un'istanza di SQL Server supportata.

Il database di controllo archivia i dati delle attività di controllo raccolti dai computer client che hanno eseguito l'accesso ai dati di ripristino.

Rapporti

Questa funzionalità è configurata in un computer che esegue Windows Server e un'istanza di SQL Server supportata.

I report forniscono i dati di controllo del ripristino per i computer client dell'organizzazione. È possibile visualizzare i report dalla console di Configuration Manager o direttamente da SQL Server Reporting Services.

Server del sito primario di Configuration Manager

Funzionalità di integrazione di System Center Configuration Manager

  • Questa funzionalità è configurata nel server del sito primario di Configuration Manager, che è il server di livello superiore nell'infrastruttura di Configuration Manager.

  • Il server di Configuration Manager raccoglie le informazioni sull'inventario hardware dai computer client e viene usato per segnalare la conformità di BitLocker dei computer client.

  • Quando si esegue l'Installazione guidata amministrazione e monitoraggio di Microsoft BitLocker per installare il software del server, la raccolta mbam Supported Computers, la baseline di configurazione e i report vengono configurati nel server del sito primario di Configuration Manager.

  • La console di Configuration Manager deve essere installata nello stesso computer in cui si installa il software del server MBAM.

Server di amministrazione e monitoraggio

Sito Web di amministrazione e monitoraggio

Questa funzionalità è configurata in un computer che esegue Windows Server.

Il sito Web Amministrazione e monitoraggio viene usato per:

  • Aiutare gli utenti finali a ottenere nuovamente l'accesso ai computer quando sono bloccati. Questa area del sito Web è comunemente chiamata help desk.

  • Visualizzare il report di controllo del ripristino, che mostra l'attività di ripristino per i computer client. Altri report vengono visualizzati dalla console di Configuration Manager.

Portale self-service

Questa funzionalità è configurata in un computer che esegue Windows Server.

Il portale self-service è un sito Web che consente agli utenti finali nei computer client di accedere in modo indipendente a un sito Web per ottenere una chiave di ripristino se perdono o dimenticano la password di BitLocker.

Monitoraggio dei servizi Web per questo sito Web

Questa funzionalità viene installata in un computer che esegue Windows Server.

I servizi Web di monitoraggio vengono utilizzati dal client MBAM e dai siti Web per comunicare con il database.

Importante

Il servizio Web di monitoraggio non è più disponibile in Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 perché i siti Web MBAM comunicano direttamente con il database di ripristino.

Workstation di gestione

Modelli di Criteri di gruppo di MBAM

  • I modelli di Criteri di gruppo di MBAM sono impostazioni di Criteri di gruppo che definiscono le impostazioni di implementazione per MBAM, che consentono di gestire la crittografia delle unità BitLocker.

  • Prima di eseguire MBAM, è necessario scaricare i modelli di Criteri di gruppo da Come scaricare e distribuire i modelli di Criteri di gruppo MDOP (con estensione admx) e copiarli in un server o una workstation che esegue un sistema operativo Windows Server o Windows supportato.

    Nota

    La workstation non deve essere un computer dedicato.

Client MBAM e computer client di Configuration Manager

Software client MBAM

Client MBAM:

  • Usa oggetti Criteri di gruppo per applicare la crittografia delle unità BitLocker nei computer client dell'organizzazione.

  • Raccoglie la chiave di ripristino di BitLocker per tre tipi di unità dati: unità del sistema operativo, unità dati fisse e unità dati rimovibili (USB).

  • Raccoglie informazioni sul ripristino e informazioni sul computer sui computer client.

Client di Gestione configurazione

Il client di Configuration Manager consente a Configuration Manager di raccogliere i dati di compatibilità hardware sui computer client e di segnalare le informazioni sulla conformità.

Differenze nella distribuzione di MBAM per le versioni supportate di Configuration Manager

Quando si distribuisce MBAM con la topologia di integrazione di Configuration Manager, è possibile installare MBAM in un server del sito primario. Tuttavia, l'installazione di MBAM funziona in modo diverso per System Center 2012 Configuration Manager e Configuration Manager 2007.

Versione di Configuration Manager Descrizione
System Center 2012 R2 Configuration Manager
System Center 2012 Configuration Manager		 Se si installa MBAM in un server del sito primario o in un server di amministrazione centrale, MBAM esegue tutte le azioni di installazione in tale server del sito.
Configuration Manager 2007 R2
Configuration Manager 2007		 Se si installa MBAM in un server del sito primario che fa parte di una gerarchia di Configuration Manager più grande con un server padre del sito centrale, MBAM identifica il server padre del sito centrale ed esegue tutte le azioni di installazione nel server padre. L'installazione include la verifica dei prerequisiti e l'installazione degli oggetti e dei report di Configuration Manager.

Ad esempio, se si installa MBAM in un server del sito primario figlio di un server padre del sito centrale, MBAM installa tutti gli oggetti e i report di Configuration Manager nel server padre. Se si installa MBAM nel server padre, MBAM esegue tutte le azioni di installazione nel server padre.

Funzionamento di MBAM con Configuration Manager

L'integrazione di MBAM con Configuration Manager si basa su un Configuration Pack che installa gli elementi descritti nelle sezioni seguenti.

Dati di configurazione

I dati di configurazione installano una baseline di configurazione, denominata "Protezione BitLocker", che contiene due elementi di configurazione:

  • Protezione unità del sistema operativo BitLocker
  • Protezione delle unità dati fisse di BitLocker

La baseline di configurazione viene distribuita nella raccolta MBAM Supported Computers, che viene creata anche quando viene installato MBAM. I due elementi di configurazione forniscono la base per valutare lo stato di conformità dei computer client. Queste informazioni vengono acquisite, archiviate e valutate in Configuration Manager. Gli elementi di configurazione sono basati sui requisiti di conformità per le unità del sistema operativo e le unità dati fisse. I dettagli necessari per i computer distribuiti vengono raccolti in modo che sia possibile valutare la conformità per tali tipi di unità. Per impostazione predefinita, la baseline di configurazione valuta lo stato di conformità ogni 12 ore e invia i dati di conformità a Configuration Manager.

Raccolta MBAM Supported Computers

MBAM crea una raccolta denominata MBAM Supported Computers. La baseline di configurazione è destinata ai computer client inclusi in questa raccolta. Si tratta di una raccolta dinamica. Per impostazione predefinita, viene eseguito ogni 12 ore e valuta l'appartenenza, in base a tre criteri:

  • Il computer è una versione supportata del sistema operativo Windows.
  • Il computer è un computer fisico. Le macchine virtuali non sono supportate.
  • Il computer dispone di un modulo TPM (Trusted Platform Module) disponibile. Per Windows 7 è necessaria una versione compatibile di TPM 1.2 o versione successiva. Windows 11, Windows 10, Windows 8.1, Windows 8 e Windows To Go non richiedono un TPM.

La raccolta viene valutata in base a tutti i computer e viene creato un subset di computer compatibili, che fornisce la base per la valutazione della conformità e la creazione di report per l'integrazione di MBAM.

Rapporti

Quando si configura MBAM con la topologia di integrazione di Configuration Manager, tutti i report vengono visualizzati in Configuration Manager, ad eccezione del report di controllo del ripristino, quest'ultimo del quale si continua a visualizzare nel sito Web amministrazione e monitoraggio di MBAM. I report disponibili in Configuration Manager sono:

  • Dashboard di conformità di BitLocker Enterprise: Offre agli amministratori IT tre visualizzazioni delle informazioni in un singolo report: Distribuzione dello stato di conformità, Non conforme - Distribuzione degli errori e Distribuzione dello stato di conformità per tipo di unità. Le opzioni di drill-down del report consentono agli amministratori IT di selezionare i dati e visualizzare un elenco di computer che corrispondono allo stato selezionato.
  • Dettagli di conformità di BitLocker Enterprise: Consente agli amministratori IT di visualizzare informazioni sullo stato di conformità della crittografia BitLocker dell'organizzazione e include lo stato di conformità per ogni computer. Le opzioni di drill-down del report consentono agli amministratori IT di selezionare i dati e visualizzare un elenco di computer che corrispondono allo stato selezionato.
  • Conformità del computer BitLocker: Consente agli amministratori IT di visualizzare un singolo computer e determinare il motivo per cui è stato segnalato con stato conforme o non conforme. Il report visualizza anche lo stato di crittografia delle unità del sistema operativo e delle unità dati fisse.
  • Riepilogo della conformità di BitLocker Enterprise: Consente agli amministratori IT di visualizzare lo stato di conformità dei criteri MBAM nell'organizzazione. Lo stato di ogni computer viene valutato e il report mostra un riepilogo della conformità di tutti i computer dell'organizzazione ai criteri. Le opzioni di drill-down del report consentono agli amministratori IT di selezionare i dati e visualizzare un elenco di computer che corrispondono allo stato selezionato.

Informazioni su MBAM 2.5 SP1

Architettura di alto livello di MBAM 2.5 con topologia autonoma

Funzionalità illustrate di una distribuzione di MBAM 2.5