Partager via


Comment configurer les applications web MBAM 2.5

Cet article explique comment configurer les applications web Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 pour l’architecture de haut niveau recommandée pour MBAM 2.5 à l’aide de l’une des méthodes suivantes :

  • Applet de commande Windows PowerShell.

  • Assistant Configuration du serveur MBAM.

Les applications web comprennent les sites web suivants et leurs services web correspondants :

  • Site web d’administration et de surveillance : site web sur lequel les utilisateurs spécifiés peuvent afficher les rapports et aider les utilisateurs à récupérer leurs ordinateurs lorsqu’ils oublient leur code confidentiel ou leur mot de passe.
  • Portail libre-service : site web auquel les utilisateurs peuvent accéder pour récupérer indépendamment l’accès à leurs ordinateurs s’ils oublient leur code confidentiel ou leur mot de passe.

Avant de commencer la configuration

Pour configurer les applications web à l’aide de Windows PowerShell

  1. Avant de commencer la configuration, consultez Configuration des fonctionnalités du serveur MBAM 2.5 à l’aide de Windows PowerShell pour passer en revue les conditions préalables à l’utilisation de Windows PowerShell.

  2. Utilisez l’applet de commande Enable-MbamWebApplication pour configurer les applications web à l’aide de Windows PowerShell. Pour obtenir des informations sur cette applet de commande, tapez Get-Help Enable-MbamWebApplication.

Pour configurer les paramètres de toutes les applications web à l’aide de l’Assistant

  1. Sur le serveur sur lequel vous souhaitez configurer les applications web, démarrez l’Assistant Configuration du serveur MBAM. Vous pouvez sélectionner Configuration du serveur MBAM dans le menu Démarrer pour ouvrir l’Assistant.

  2. Sélectionnez Ajouter de nouvelles fonctionnalités, sélectionnez Site web d’administration et de surveillance et Portail libre-service, puis suivant. L’Assistant vérifie que le serveur remplit toutes les conditions préalables pour les applications web.

  3. Si la vérification des prérequis est réussie, sélectionnez Suivant pour continuer. Sinon, résolvez les prérequis manquants, puis sélectionnez à nouveau Vérifier les prérequis.

  4. Utilisez les descriptions suivantes pour entrer les valeurs de champ dans l’Assistant.

    Champ Description
    Certificat de sécurité Sélectionnez un certificat créé précédemment pour chiffrer éventuellement la communication entre les services web et le serveur sur lequel vous configurez les sites web. Si vous choisissez Ne pas utiliser de certificat, votre communication web risque de ne pas être sécurisée.
    Nom de l'hôte Nom de l’ordinateur hôte sur lequel vous configurez les sites web.
    Chemin d’installation Chemin d’accès où vous installez les sites web.
    Port Numéro de port à utiliser pour la communication du site web et du service. Note: Vous devez définir une exception de pare-feu pour activer la communication via le port spécifié.
    Compte de domaine et mot de passe du pool d’applications de service web Compte d’utilisateur de domaine et mot de passe pour le pool d’applications de service web. Si vous entrez un nom d’utilisateur dans le champ Utilisateur ou groupe de domaine d’accès en lecture/écriture de la page Configurer les bases de données , vous devez entrer cette même valeur dans ce champ. Si vous entrez un nom de groupe dans le champ Utilisateur ou groupe de domaine d’accès en lecture/écriture de la page Configurer les bases de données , la valeur que vous entrez dans ce champ doit être un membre de ce groupe. Si vous ne spécifiez pas d’informations d’identification, il utilise les informations d’identification que vous avez spécifiées pour toute application web précédemment activée. Toutes les applications web doivent utiliser les mêmes informations d’identification du pool d’applications. Si vous spécifiez des informations d’identification différentes pour différentes applications web, la valeur la plus récente est utilisée. Important: Pour améliorer la sécurité, définissez le compte spécifié dans les informations d’identification pour qu’il dispose de droits d’utilisateur limités. Définissez également le mot de passe du compte pour qu’il n’expire jamais.
  5. Vérifiez que le compte de IIS_IUSRS intégré ou le compte du pool d’applications a été ajouté aux paramètres de sécurité locaux Emprunter l’identité d’un client après l’authentification et ouvrir une session en tant que tâche de traitement par lots .

    Pour vérifier si elle a été ajoutée aux paramètres de sécurité locaux, ouvrez l’éditeur de stratégie de sécurité locale, développez le nœud Stratégies locales , sélectionnez le nœud Attribution des droits de l’utilisateur , puis double-cliquez sur Emprunter l’identité d’un client après l’authentification et Ouvrez une session en tant que stratégies de travail par lots dans le volet droit.

Pour configurer les informations de connexion pour les bases de données à l’aide de l’Assistant

  1. Utilisez les descriptions de champs suivantes pour configurer les informations de connexion dans l’Assistant pour la base de données de conformité et d’audit.
Champ Description
Nom SQL Server Nom du serveur sur lequel la base de données de conformité et d’audit est configurée.
Instance de base de données SQL Server Nom de l’instance SQL Server dans laquelle la base de données de conformité et d’audit est configurée.
Nom de la base de données Nom de la base de données de conformité et d’audit.
  1. Utilisez les descriptions de champs suivantes pour configurer les informations de connexion dans l’Assistant pour la base de données de récupération.
Champ Description
Nom SQL Server Nom du serveur sur lequel la base de données de récupération est configurée.
Instance de base de données SQL Server Nom de l’instance SQL Server dans laquelle la base de données de récupération est configurée.
Nom de la base de données Nom de la base de données de récupération.

Pour configurer les applications web à l’aide de l’Assistant

  1. Utilisez les descriptions suivantes pour entrer les valeurs de champ dans l’Assistant afin de configurer le site web Administration et surveillance.

    • Groupe de domaine de rôle Support technique avancé : groupe d’utilisateurs de domaine dont les membres ont accès à toutes les zones du site web d’administration et de surveillance, à l’exception de la zone Rapports.

    • Groupe de domaine de rôle support technique : groupe d’utilisateurs de domaine dont les membres ont accès aux zones Gérer le TPM et Récupération de lecteur du site web Administration et surveillance.

    • Utiliser l’intégration de System Center Configuration Manager : si vous configurez MBAM avec la topologie d’intégration Configuration Manager, sélectionnez cette option. Il fait apparaître tous les rapports, à l’exception du rapport d’audit de récupération, dans Configuration Manager et non dans le site web Administration et surveillance.

    • Groupe de domaine de rôle de création de rapports : groupe d’utilisateurs de domaine dont les membres disposent d’un accès en lecture seule à la zone Rapports du site web Administration et surveillance.

    • URL SQL Server Reporting Services : URL du serveur SSRS où les rapports MBAM sont configurés. Exemples d’URL de rapport :

      Type de nom d’hôte Exemple
      Exemple avec un nom de domaine complet https://MyReportServer.Contoso.com/ReportServer
      Exemple avec un nom d’hôte personnalisé https://MyReportServer/ReportServer
    • Répertoire virtuel : répertoire virtuel du site web d’administration et de surveillance. Ce nom correspond au répertoire physique du site web sur le serveur et est ajouté au nom d’hôte du site web, par exemple :

      • https://<hostname>:<port>/HelpDesk/
      • Si vous ne spécifiez pas de répertoire virtuel, il utilise la valeur HelpDesk.
    • Groupe de domaines de rôle migration de données (facultatif) : groupe d’utilisateurs de domaine dont les membres ont accès pour utiliser les Write-Mbam*Information applets de commande pour écrire des informations de récupération via ce point de terminaison.

  2. Utilisez la description suivante pour entrer les valeurs de champ dans l’Assistant afin de configurer le portail Self-Service.

    Champ Description
    Répertoire virtuel Répertoire virtuel de l’application web. Ce nom correspond au répertoire physique du site web sur le serveur et est ajouté au nom d’hôte du site web, par exemple : https://<hostname>:<port>/SelfService/. Si vous ne spécifiez pas de répertoire virtuel, il utilise la valeur SelfService.
    Nom de la société Spécifiez un nom de société pour le portail Self-Service, par exemple : Contoso IT. Tous les utilisateurs du portail Self-Service voient le nom de cette société.
    Texte de l’URL du support technique Spécifiez une instruction texte qui dirige les utilisateurs vers le site web du support technique de votre organisation, par exemple : Contactez le support technique ou le service informatique.
    URL du support technique Spécifiez l’URL du site web du support technique de votre organisation, par exemple : https://<companyHelpdeskURL>/.
    Notez le fichier texte Sélectionnez un fichier qui contient l’avis que vous souhaitez afficher aux utilisateurs sur la page d’accueil du portail Self-Service.
    Ne pas afficher de texte de notification aux utilisateurs Activez cette case à cocher pour spécifier que le texte de l’avis n’est pas affiché pour les utilisateurs.
  3. Lorsque vous avez terminé vos entrées, sélectionnez Suivant.

    L’Assistant vérifie que le serveur remplit toutes les conditions préalables pour les applications web.

  4. Sélectionnez Suivant pour continuer.

  5. Dans la page Résumé , passez en revue les fonctionnalités qui seront ajoutées.

    Remarque

    Pour créer un script Windows PowerShell pour les entrées que vous avez créées, cliquez sur Exporter le script PowerShell et enregistrez le script.

  6. Sélectionnez Ajouter pour ajouter les applications web au serveur, puis sélectionnez Fermer.

    Pour personnaliser le portail Self-Service en ajoutant un texte d’avis personnalisé, le nom de votre société, des pointeurs vers des informations supplémentaires, etc., consultez Personnalisation du portail Self-Service pour votre organisation.

Pour configurer le portail Self-Service si les ordinateurs clients ne peuvent pas accéder au CDN

  1. Déterminez si vous exécutez Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1. Si c’est le cas, ne rien faire. La configuration de votre portail Self-Service est terminée.

    Remarque

    Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 installe les fichiers JavaScript dans le programme d’installation et n’a donc pas besoin d’être connecté au réseau de distribution de contenu Microsoft pour configurer le portail Self-Service. Les étapes suivantes sont nécessaires uniquement si vous utilisez une version de Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 antérieure à SP1.

  2. Déterminez si vos ordinateurs clients ont accès au réseau de distribution de contenu (CDN) Microsoft.

    Le CDN donne au portail Self-Service l’accès dont il a besoin à certains fichiers JavaScript. Si vous ne configurez pas le portail Self-Service lorsque les ordinateurs clients ne peuvent pas accéder au CDN, seuls le nom de la société et le compte sous lequel l’utilisateur final s’est connecté s’affichent. Aucun message d’erreur n’est affiché.

  3. Effectuez l’une des actions suivantes :

Journaux des événements du serveur

Configuration des fonctionnalités du serveur MBAM 2.5

Comment configurer le portail Self-Service lorsque les ordinateurs clients ne peuvent pas accéder au réseau de distribution de contenu Microsoft

Personnalisation du portail Self-Service pour votre organisation

Validation de la configuration des fonctionnalités du serveur MBAM 2.5