Comment configurer les applications web MBAM 2.5
Cet article explique comment configurer les applications web Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 pour l’architecture de haut niveau recommandée pour MBAM 2.5 à l’aide de l’une des méthodes suivantes :
Applet de commande Windows PowerShell.
Assistant Configuration du serveur MBAM.
Les applications web comprennent les sites web suivants et leurs services web correspondants :
- Site web d’administration et de surveillance : site web sur lequel les utilisateurs spécifiés peuvent afficher les rapports et aider les utilisateurs à récupérer leurs ordinateurs lorsqu’ils oublient leur code confidentiel ou leur mot de passe.
- Portail libre-service : site web auquel les utilisateurs peuvent accéder pour récupérer indépendamment l’accès à leurs ordinateurs s’ils oublient leur code confidentiel ou leur mot de passe.
Avant de commencer la configuration
- Passez en revue l’architecture recommandée pour MBAM. Pour plus d’informations, consultez Architecture de haut niveau pour MBAM 2.5.
- Passez en revue les configurations prises en charge pour MBAM. Pour plus d’informations, consultez Configurations prises en charge par MBAM 2.5.
- Remplissez les conditions préalables requises sur chaque serveur. Veillez à configurer SQL Server Reporting Services (SSRS) pour utiliser ssl (Secure Sockets Layer) avant de configurer le site web d’administration et de surveillance. Sinon, la fonctionnalité Rapports utilise HTTP au lieu de HTTPS. Pour plus d’informations, consultez Prérequis du serveur MBAM 2.5 pour les topologies d’intégration autonomes et Configuration Manager et Prérequis du serveur MBAM 2.5 qui s’appliquent uniquement à la topologie d’intégration configuration Manager (le cas échéant).
- Inscrivez des noms de principal de service (SPN) pour le compte du pool d’applications pour les sites web. Vous devez effectuer cette étape uniquement si vous ne disposez pas de droits de domaine d’administration dans Les services de domaine Active Directory (ADDS). Si vous disposez de ces droits dans ADDS, MBAM crée les SPN pour vous. Pour plus d’informations, consultez Planification de la sécurisation des sites web MBAM.
- Installez le logiciel du serveur MBAM sur chaque serveur sur lequel vous allez configurer une fonctionnalité de serveur MBAM. Si vous envisagez d’installer les sites web sur un serveur et les services web sur un autre, vous pouvez les configurer uniquement à l’aide de l’applet de commande Windows PowerShell Enable-MbamWebApplication . L’Assistant Configuration du serveur MBAM ne prend pas en charge la configuration de ces éléments sur des serveurs distincts. Pour plus d’informations, consultez Installation du logiciel serveur MBAM 2.5.
- Passez en revue les conditions préalables à l’utilisation de Windows PowerShell si vous envisagez d’utiliser des applets de commande pour configurer les fonctionnalités du serveur MBAM. Pour plus d’informations, consultez Configuration des fonctionnalités du serveur MBAM 2.5 à l’aide de Windows PowerShell.
Pour configurer les applications web à l’aide de Windows PowerShell
Avant de commencer la configuration, consultez Configuration des fonctionnalités du serveur MBAM 2.5 à l’aide de Windows PowerShell pour passer en revue les conditions préalables à l’utilisation de Windows PowerShell.
Utilisez l’applet de commande Enable-MbamWebApplication pour configurer les applications web à l’aide de Windows PowerShell. Pour obtenir des informations sur cette applet de commande, tapez Get-Help Enable-MbamWebApplication.
Pour configurer les paramètres de toutes les applications web à l’aide de l’Assistant
Sur le serveur sur lequel vous souhaitez configurer les applications web, démarrez l’Assistant Configuration du serveur MBAM. Vous pouvez sélectionner Configuration du serveur MBAM dans le menu Démarrer pour ouvrir l’Assistant.
Sélectionnez Ajouter de nouvelles fonctionnalités, sélectionnez Site web d’administration et de surveillance et Portail libre-service, puis suivant. L’Assistant vérifie que le serveur remplit toutes les conditions préalables pour les applications web.
Si la vérification des prérequis est réussie, sélectionnez Suivant pour continuer. Sinon, résolvez les prérequis manquants, puis sélectionnez à nouveau Vérifier les prérequis.
Utilisez les descriptions suivantes pour entrer les valeurs de champ dans l’Assistant.
Champ Description Certificat de sécurité Sélectionnez un certificat créé précédemment pour chiffrer éventuellement la communication entre les services web et le serveur sur lequel vous configurez les sites web. Si vous choisissez Ne pas utiliser de certificat, votre communication web risque de ne pas être sécurisée. Nom de l'hôte Nom de l’ordinateur hôte sur lequel vous configurez les sites web. Chemin d’installation Chemin d’accès où vous installez les sites web. Port Numéro de port à utiliser pour la communication du site web et du service. Note: Vous devez définir une exception de pare-feu pour activer la communication via le port spécifié. Compte de domaine et mot de passe du pool d’applications de service web Compte d’utilisateur de domaine et mot de passe pour le pool d’applications de service web. Si vous entrez un nom d’utilisateur dans le champ Utilisateur ou groupe de domaine d’accès en lecture/écriture de la page Configurer les bases de données , vous devez entrer cette même valeur dans ce champ. Si vous entrez un nom de groupe dans le champ Utilisateur ou groupe de domaine d’accès en lecture/écriture de la page Configurer les bases de données , la valeur que vous entrez dans ce champ doit être un membre de ce groupe. Si vous ne spécifiez pas d’informations d’identification, il utilise les informations d’identification que vous avez spécifiées pour toute application web précédemment activée. Toutes les applications web doivent utiliser les mêmes informations d’identification du pool d’applications. Si vous spécifiez des informations d’identification différentes pour différentes applications web, la valeur la plus récente est utilisée. Important: Pour améliorer la sécurité, définissez le compte spécifié dans les informations d’identification pour qu’il dispose de droits d’utilisateur limités. Définissez également le mot de passe du compte pour qu’il n’expire jamais. Vérifiez que le compte de IIS_IUSRS intégré ou le compte du pool d’applications a été ajouté aux paramètres de sécurité locaux Emprunter l’identité d’un client après l’authentification et ouvrir une session en tant que tâche de traitement par lots .
Pour vérifier si elle a été ajoutée aux paramètres de sécurité locaux, ouvrez l’éditeur de stratégie de sécurité locale, développez le nœud Stratégies locales , sélectionnez le nœud Attribution des droits de l’utilisateur , puis double-cliquez sur Emprunter l’identité d’un client après l’authentification et Ouvrez une session en tant que stratégies de travail par lots dans le volet droit.
Pour configurer les informations de connexion pour les bases de données à l’aide de l’Assistant
- Utilisez les descriptions de champs suivantes pour configurer les informations de connexion dans l’Assistant pour la base de données de conformité et d’audit.
Champ | Description |
---|---|
Nom SQL Server | Nom du serveur sur lequel la base de données de conformité et d’audit est configurée. |
Instance de base de données SQL Server | Nom de l’instance SQL Server dans laquelle la base de données de conformité et d’audit est configurée. |
Nom de la base de données | Nom de la base de données de conformité et d’audit. |
- Utilisez les descriptions de champs suivantes pour configurer les informations de connexion dans l’Assistant pour la base de données de récupération.
Champ | Description |
---|---|
Nom SQL Server | Nom du serveur sur lequel la base de données de récupération est configurée. |
Instance de base de données SQL Server | Nom de l’instance SQL Server dans laquelle la base de données de récupération est configurée. |
Nom de la base de données | Nom de la base de données de récupération. |
Pour configurer les applications web à l’aide de l’Assistant
Utilisez les descriptions suivantes pour entrer les valeurs de champ dans l’Assistant afin de configurer le site web Administration et surveillance.
Groupe de domaine de rôle Support technique avancé : groupe d’utilisateurs de domaine dont les membres ont accès à toutes les zones du site web d’administration et de surveillance, à l’exception de la zone Rapports.
Groupe de domaine de rôle support technique : groupe d’utilisateurs de domaine dont les membres ont accès aux zones Gérer le TPM et Récupération de lecteur du site web Administration et surveillance.
Utiliser l’intégration de System Center Configuration Manager : si vous configurez MBAM avec la topologie d’intégration Configuration Manager, sélectionnez cette option. Il fait apparaître tous les rapports, à l’exception du rapport d’audit de récupération, dans Configuration Manager et non dans le site web Administration et surveillance.
Groupe de domaine de rôle de création de rapports : groupe d’utilisateurs de domaine dont les membres disposent d’un accès en lecture seule à la zone Rapports du site web Administration et surveillance.
URL SQL Server Reporting Services : URL du serveur SSRS où les rapports MBAM sont configurés. Exemples d’URL de rapport :
Type de nom d’hôte Exemple Exemple avec un nom de domaine complet https://MyReportServer.Contoso.com/ReportServer
Exemple avec un nom d’hôte personnalisé https://MyReportServer/ReportServer
Répertoire virtuel : répertoire virtuel du site web d’administration et de surveillance. Ce nom correspond au répertoire physique du site web sur le serveur et est ajouté au nom d’hôte du site web, par exemple :
https://<hostname>:<port>/HelpDesk/
- Si vous ne spécifiez pas de répertoire virtuel, il utilise la valeur HelpDesk.
Groupe de domaines de rôle migration de données (facultatif) : groupe d’utilisateurs de domaine dont les membres ont accès pour utiliser les
Write-Mbam*Information
applets de commande pour écrire des informations de récupération via ce point de terminaison.
Utilisez la description suivante pour entrer les valeurs de champ dans l’Assistant afin de configurer le portail Self-Service.
Champ Description Répertoire virtuel Répertoire virtuel de l’application web. Ce nom correspond au répertoire physique du site web sur le serveur et est ajouté au nom d’hôte du site web, par exemple : https://<hostname>:<port>/SelfService/
. Si vous ne spécifiez pas de répertoire virtuel, il utilise la valeur SelfService.Nom de la société Spécifiez un nom de société pour le portail Self-Service, par exemple : Contoso IT. Tous les utilisateurs du portail Self-Service voient le nom de cette société. Texte de l’URL du support technique Spécifiez une instruction texte qui dirige les utilisateurs vers le site web du support technique de votre organisation, par exemple : Contactez le support technique ou le service informatique. URL du support technique Spécifiez l’URL du site web du support technique de votre organisation, par exemple : https://<companyHelpdeskURL>/
.Notez le fichier texte Sélectionnez un fichier qui contient l’avis que vous souhaitez afficher aux utilisateurs sur la page d’accueil du portail Self-Service. Ne pas afficher de texte de notification aux utilisateurs Activez cette case à cocher pour spécifier que le texte de l’avis n’est pas affiché pour les utilisateurs. Lorsque vous avez terminé vos entrées, sélectionnez Suivant.
L’Assistant vérifie que le serveur remplit toutes les conditions préalables pour les applications web.
Sélectionnez Suivant pour continuer.
Dans la page Résumé , passez en revue les fonctionnalités qui seront ajoutées.
Remarque
Pour créer un script Windows PowerShell pour les entrées que vous avez créées, cliquez sur Exporter le script PowerShell et enregistrez le script.
Sélectionnez Ajouter pour ajouter les applications web au serveur, puis sélectionnez Fermer.
Pour personnaliser le portail Self-Service en ajoutant un texte d’avis personnalisé, le nom de votre société, des pointeurs vers des informations supplémentaires, etc., consultez Personnalisation du portail Self-Service pour votre organisation.
Pour configurer le portail Self-Service si les ordinateurs clients ne peuvent pas accéder au CDN
Déterminez si vous exécutez Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1. Si c’est le cas, ne rien faire. La configuration de votre portail Self-Service est terminée.
Remarque
Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 installe les fichiers JavaScript dans le programme d’installation et n’a donc pas besoin d’être connecté au réseau de distribution de contenu Microsoft pour configurer le portail Self-Service. Les étapes suivantes sont nécessaires uniquement si vous utilisez une version de Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 antérieure à SP1.
Déterminez si vos ordinateurs clients ont accès au réseau de distribution de contenu (CDN) Microsoft.
Le CDN donne au portail Self-Service l’accès dont il a besoin à certains fichiers JavaScript. Si vous ne configurez pas le portail Self-Service lorsque les ordinateurs clients ne peuvent pas accéder au CDN, seuls le nom de la société et le compte sous lequel l’utilisateur final s’est connecté s’affichent. Aucun message d’erreur n’est affiché.
Effectuez l’une des actions suivantes :
Si vos ordinateurs clients ont accès au CDN, ne faites rien. La configuration de votre portail Self-Service est terminée.
Si vos ordinateurs clients n’ont pas accès au CDN, suivez les étapes décrites dans Comment configurer le portail Self-Service lorsque les ordinateurs clients ne peuvent pas accéder au réseau de distribution de contenu Microsoft.
Articles connexes
Journaux des événements du serveur
Configuration des fonctionnalités du serveur MBAM 2.5
Personnalisation du portail Self-Service pour votre organisation
Validation de la configuration des fonctionnalités du serveur MBAM 2.5