Come configurare le applicazioni Web MBAM 2.5
Questo articolo illustra come configurare le applicazioni Web Di amministrazione e monitoraggio di Microsoft BitLocker (MBAM) 2.5 per l'architettura di alto livello consigliata per MBAM 2.5 usando uno dei metodi seguenti:
Cmdlet di Windows PowerShell.
Configurazione guidata server di MBAM.
Le applicazioni Web comprendono i siti Web seguenti e i relativi servizi Web corrispondenti:
- Sito Web di amministrazione e monitoraggio: sito Web in cui gli utenti specificati possono visualizzare i report e aiutare gli utenti a recuperare i computer quando dimenticano il PIN o la password.
- Portale self-service: sito Web a cui gli utenti possono accedere per ottenere l'accesso indipendente ai propri computer se dimenticano il PIN o la password.
Prima di avviare la configurazione
- Esaminare l'architettura consigliata per MBAM. Per altre informazioni, vedere Architettura di alto livello per MBAM 2.5.
- Esaminare le configurazioni supportate per MBAM. Per altre informazioni, vedere Configurazioni supportate di MBAM 2.5.
- Completare i prerequisiti necessari in ogni server. Assicurarsi di configurare SQL Server Reporting Services (SSRS) per l'uso di Ssl (Secure Sockets Layer) prima di configurare il sito Web di amministrazione e monitoraggio. In caso contrario, la funzionalità Report usa HTTP anziché HTTPS. Per altre informazioni, vedere Prerequisiti del server MBAM 2.5 per topologie autonome e di integrazione di Configuration Manager e prerequisiti del server MBAM 2.5 che si applicano solo alla topologia di integrazione di Configuration Manager (se applicabile).
- Registrare i nomi dell'entità servizio (SPN) per l'account del pool di applicazioni per i siti Web. È necessario eseguire questo passaggio solo se non si dispone di diritti di dominio amministrativi in Active Directory Domain Services (ADDS). Se questi diritti sono disponibili in ADDS, MBAM crea automaticamente i nomi SPN. Per altre informazioni, vedere Pianificazione di come proteggere i siti Web MBAM.
- Installare il software del server MBAM in ogni server in cui verrà configurata una funzionalità del server MBAM. Se si prevede di installare i siti Web in un server e i servizi Web in un altro, è possibile configurarli solo usando il cmdlet Enable-MbamWebApplication di Windows PowerShell. La configurazione guidata server di MBAM non supporta la configurazione di questi elementi in server separati. Per altre informazioni, vedere Installazione del software server MBAM 2.5.
- Esaminare i prerequisiti per l'uso di Windows PowerShell se si prevede di usare i cmdlet per configurare le funzionalità del server MBAM. Per altre informazioni, vedere Configurazione delle funzionalità del server MBAM 2.5 tramite Windows PowerShell.
Per configurare le applicazioni Web tramite Windows PowerShell
Prima di avviare la configurazione, vedere Configurazione delle funzionalità del server MBAM 2.5 tramite Windows PowerShell per esaminare i prerequisiti per l'uso di Windows PowerShell.
Usare il cmdlet Enable-MbamWebApplication per configurare le applicazioni Web tramite Windows PowerShell. Per ottenere informazioni su questo cmdlet, digitare Get-Help Enable-MbamWebApplication.
Per configurare le impostazioni per tutte le applicazioni Web tramite la procedura guidata
Nel server in cui si desidera configurare le applicazioni Web avviare la configurazione guidata del server MBAM. È possibile selezionare Configurazione server MBAM dal menu Start per aprire la procedura guidata.
Selezionare Aggiungi nuove funzionalità, selezionare Sito Web di amministrazione e monitoraggio e Portale self-service e quindi selezionare Avanti. La procedura guidata verifica che il server soddisfi tutti i prerequisiti per le applicazioni Web.
Se il controllo dei prerequisiti ha esito positivo, selezionare Avanti per continuare. In caso contrario, risolvere eventuali prerequisiti mancanti e quindi selezionare di nuovo Verifica prerequisiti.
Utilizzare le descrizioni seguenti per immettere i valori dei campi nella procedura guidata.
Campo Descrizione Certificato di sicurezza Selezionare un certificato creato in precedenza per crittografare facoltativamente la comunicazione tra i servizi Web e il server in cui si stanno configurando i siti Web. Se si sceglie Non usare un certificato, la comunicazione Web potrebbe non essere sicura. Nome dell'host Nome del computer host in cui si configurano i siti Web. Percorso di installazione Percorso in cui si installano i siti Web. Port Numero di porta da usare per la comunicazione tra siti Web e servizi. Nota: È necessario impostare un'eccezione del firewall per abilitare la comunicazione tramite la porta specificata. Account di dominio e password del pool di applicazioni del servizio Web Account utente di dominio e password per il pool di applicazioni del servizio Web. Se si immette un nome utente nel campo Utente o gruppo di dominio di accesso in lettura/scrittura nella pagina Configura database , è necessario immettere lo stesso valore in questo campo. Se si immette un nome di gruppo nel campo utente o gruppo di dominio di accesso in lettura/scrittura nella pagina Configura database , il valore immesso in questo campo deve essere un membro di tale gruppo. Se non si specificano le credenziali, vengono usate le credenziali specificate per qualsiasi applicazione Web abilitata in precedenza. Tutte le applicazioni Web devono usare le stesse credenziali del pool di applicazioni. Se si specificano credenziali diverse per applicazioni Web diverse, viene usato il valore specificato più di recente. Importante: Per una maggiore sicurezza, impostare l'account specificato nelle credenziali in modo che disponga di diritti utente limitati. Impostare inoltre la password dell'account in modo che non scada mai. Verificare che l'account IIS_IUSRS predefinito o l'account del pool di applicazioni sia stato aggiunto a Rappresenta un client dopo l'autenticazione e alle impostazioni di sicurezza locali Di accesso come processo batch .
Per verificare se è stato aggiunto alle impostazioni di sicurezza locali, aprire l'editor dei criteri di sicurezza locali, espandere il nodo Criteri locali , selezionare il nodo Assegnazione diritti utente e fare doppio clic su Rappresentazione di un client dopo l'autenticazione e Accedere come criteri di processo batch nel riquadro destro.
Per configurare le informazioni di connessione per i database tramite la procedura guidata
- Usare le descrizioni dei campi seguenti per configurare le informazioni di connessione nella procedura guidata per il database di conformità e controllo.
| Campo | Descrizione |
|---|---|
| Nome di SQL Server | Nome del server in cui è configurato il database di conformità e controllo. |
| Istanza del database di SQL Server | Nome dell'istanza di SQL Server in cui è configurato il database di conformità e controllo. |
| Nome database | Nome del database di conformità e di controllo. |
- Utilizzare le descrizioni dei campi seguenti per configurare le informazioni di connessione nella procedura guidata per il database di ripristino.
| Campo | Descrizione |
|---|---|
| Nome di SQL Server | Nome del server in cui è configurato il database di ripristino. |
| Istanza del database di SQL Server | Nome dell'istanza di SQL Server in cui è configurato il database di ripristino. |
| Nome database | Nome del database di ripristino. |
Per configurare le applicazioni Web tramite la procedura guidata
Usare le descrizioni seguenti per immettere i valori dei campi nella procedura guidata per configurare il sito Web Amministrazione e monitoraggio.
Gruppo di dominio del ruolo Helpdesk avanzato: gruppo di utenti di dominio i cui membri hanno accesso a tutte le aree del sito Web Amministrazione e monitoraggio, ad eccezione dell'area Report.
Gruppo di dominio del ruolo helpdesk: gruppo di utenti di dominio i cui membri hanno accesso alle aree Gestisci TPM e Ripristino unità del sito Web Amministrazione e monitoraggio.
Usare l'integrazione di System Center Configuration Manager: se si sta configurando MBAM con la topologia di integrazione di Configuration Manager, selezionare questa opzione. Tutti i report, ad eccezione del report Controllo ripristino, vengono visualizzati in Configuration Manager anziché nel sito Web Amministrazione e monitoraggio.
Gruppo di dominio ruolo report: gruppo di utenti di dominio i cui membri hanno accesso in sola lettura all'area Report del sito Web Amministrazione e monitoraggio.
URL di SQL Server Reporting Services: URL per il server SSRS in cui sono configurati i report MBAM. Esempi di URL di report:
Tipo di nome host Esempio Esempio con un nome di dominio completo https://MyReportServer.Contoso.com/ReportServerEsempio con un nome host personalizzato https://MyReportServer/ReportServerDirectory virtuale: directory virtuale del sito Web Amministrazione e monitoraggio. Questo nome corrisponde alla directory fisica del sito Web nel server e viene aggiunto al nome host del sito Web, ad esempio:
https://<hostname>:<port>/HelpDesk/- Se non si specifica una directory virtuale, viene usato il valore HelpDesk.
Gruppo di dominio del ruolo Migrazione dati (facoltativo): gruppo di utenti di dominio i cui membri hanno accesso per usare i
Write-Mbam*Informationcmdlet per scrivere informazioni di ripristino tramite questo endpoint.
Usare la descrizione seguente per immettere i valori dei campi nella procedura guidata per configurare il portale di Self-Service.
Campo Descrizione Directory virtuale Directory virtuale dell'applicazione Web. Questo nome corrisponde alla directory fisica del sito Web nel server e viene aggiunto al nome host del sito Web, ad esempio: https://<hostname>:<port>/SelfService/. Se non si specifica una directory virtuale, viene usato il valore SelfService.Ragione sociale Specificare un nome della società per il portale di Self-Service, ad esempio Contoso IT. Tutti gli utenti del portale di Self-Service visualizzano il nome della società. Testo URL helpdesk Specificare un'istruzione di testo che indirizza gli utenti al sito Web helpdesk dell'organizzazione, ad esempio: Contattare il supporto tecnico o il reparto IT. Helpdesk URL Specificare l'URL per il sito Web helpdesk dell'organizzazione, ad esempio: https://<companyHelpdeskURL>/.File di testo avviso Selezionare un file contenente l'avviso che si vuole visualizzare agli utenti nella pagina di destinazione del portale di Self-Service. Non visualizzare il testo dell'avviso per gli utenti Selezionare questa casella di controllo per specificare che il testo dell'avviso non viene visualizzato agli utenti. Al termine delle voci, selezionare Avanti.
La procedura guidata verifica che il server soddisfi tutti i prerequisiti per le applicazioni Web.
Selezionare Avanti per continuare.
Nella pagina Riepilogo esaminare le funzionalità che verranno aggiunte.
Nota
Per creare uno script di Windows PowerShell per le voci effettuate, fare clic su Esporta script di PowerShell e salvare lo script.
Selezionare Aggiungi per aggiungere le applicazioni Web al server e quindi selezionare Chiudi.
Per personalizzare il portale di Self-Service aggiungendo testo di avviso personalizzato, il nome della società, i puntatori a altre informazioni e così via, vedere Personalizzazione del portale di Self-Service per l'organizzazione.
Per configurare il portale di Self-Service se i computer client non possono accedere alla rete CDN
Determinare se si esegue Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1. Se è così, non fare nulla. La configurazione del portale di Self-Service è completa.
Nota
Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 installa i file JavaScript nel programma di installazione e pertanto non deve essere connesso alla rete di distribuzione del contenuto Microsoft per configurare il portale di Self-Service. I passaggi seguenti sono necessari solo se si usa una versione di Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 precedente a SP1.
Determinare se i computer client hanno accesso alla rete di distribuzione di contenuti (CDN) Microsoft.
La rete CDN offre al portale di Self-Service l'accesso richiesto a determinati file JavaScript. Se non si configura il portale di Self-Service quando i computer client non possono accedere alla rete CDN, verranno visualizzati solo il nome della società e l'account con cui verrà visualizzato l'utente finale connesso. Non viene visualizzato alcun messaggio di errore.
Eseguire una delle azioni seguenti:
Se i computer client hanno accesso alla rete CDN, non eseguire alcuna operazione. La configurazione del portale di Self-Service è completa.
Se i computer client non hanno accesso alla rete CDN, completare la procedura descritta in Come configurare il portale di Self-Service quando i computer client non possono accedere alla rete di distribuzione di contenuti Microsoft.
Articoli correlati
Configurazione delle funzionalità del server MBAM 2.5
Personalizzazione del portale di Self-Service per l'organizzazione
Convalida della configurazione della funzionalità del server MBAM 2.5