Partager via


Planification des groupes et comptes MBAM 2.5

Cet article répertorie les rôles et les comptes que vous devez créer dans les services de domaine Active Directory pour fournir des droits d’accès et de sécurité pour les bases de données, rapports et applications web Microsoft BitLocker Administration and Monitoring (MBAM). Pour chaque rôle et compte, le champ correspondant dans l’Assistant Configuration du serveur MBAM est fourni. Pour obtenir la liste des applets de commande Et des paramètres Windows PowerShell qui correspondent à ces comptes, consultez Configuration des fonctionnalités du serveur MBAM 2.5 à l’aide de Windows PowerShell.

Remarque

MBAM ne prend pas en charge l’utilisation de comptes de service managés.

Comptes de base de données

Créez les comptes suivants pour la base de données de conformité et d’audit et la base de données de récupération.

Nom et objectif du compte Type de compte Champ de l’Assistant Configuration du serveur MBAM correspondant à ce compte Description du champ de l’Assistant Configuration du serveur MBAM qui correspond à ce compte
Utilisateur ou groupe en lecture/écriture de base de données de conformité et d’audit et base de données de récupération pour les rapports Utilisateur ou groupe Utilisateur ou groupe de domaine d’accès en lecture/écriture Utilisateur ou groupe de domaine disposant d’un accès en lecture/écriture à la base de données de conformité et d’audit et à la base de données de récupération pour permettre aux applications web d’accéder aux données et aux rapports de ces bases de données.
Si vous entrez un nom d’utilisateur dans ce champ, il doit s’agir de la même valeur que celle du champ Compte de domaine du pool d’applications de service web de la page Configurer les applications web .
Si vous entrez un nom de groupe dans ce champ, la valeur dans le champ Compte de domaine du pool d’applications de service web de la page Configurer les applications web doit être membre du groupe que vous entrez dans ce champ.
Utilisateur ou groupe en lecture seule de la base de données de conformité et d’audit pour les rapports Utilisateur ou groupe Utilisateur ou groupe de domaine d’accès en lecture seule Nom de l’utilisateur ou du groupe disposant d’un accès en lecture seule à la base de données de conformité et d’audit pour permettre aux rapports d’accéder aux données de conformité et d’audit dans cette base de données.
Si vous entrez un nom d’utilisateur dans ce champ, il doit s’agir du même utilisateur que celui que vous spécifiez dans le champ Compte de domaine de base de données d’audit et de conformité dans la page Configurer les rapports .
Si vous entrez un nom de groupe dans ce champ, la valeur que vous spécifiez dans le champ Compte de domaine de la base de données de conformité et d’audit de la page Configurer les rapports doit être membre du groupe que vous spécifiez dans ce champ.

Comptes de création de rapports

Créez les comptes suivants pour la fonctionnalité Rapports.

Nom/objectif du compte Type de compte Champ de l’Assistant Configuration du serveur MBAM correspondant à ce compte Description du champ de l’Assistant Configuration du serveur MBAM qui correspond à ce compte
Rapports - Groupe d’accès au domaine en lecture seule Groupe Groupe de domaines de rôle de création de rapports Spécifie le groupe d’utilisateurs de domaine qui dispose d’un accès en lecture seule aux rapports dans le site web d’administration et de surveillance. Le groupe que vous spécifiez doit être le même groupe que celui que vous avez spécifié pour le paramètre Groupe d’accès en lecture seule des rapports lorsque les applications web sont activées.
Compte d’utilisateur de domaine de la base de données de conformité et d’audit Utilisateur Compte de domaine de base de données de conformité et d’audit Compte d’utilisateur de domaine et mot de passe que l’instance SQL Server Reporting Services locale utilise pour accéder à la base de données de conformité et d’audit. Ce compte nécessite des droits d’ouverture de session par lots sur le serveur SQL Server Reporting Services.
Si la valeur que vous entrez dans le champ Utilisateur ou groupe de domaine d’accès en lecture seule de la page Configurer les bases de données est un nom d’utilisateur, vous devez entrer cette même valeur dans ce champ.
Si la valeur que vous entrez dans le champ Utilisateur ou groupe de domaine d’accès en lecture seule de la page Configurer les bases de données est un nom de groupe, la valeur que vous entrez dans ce champ doit être un membre de ce groupe.
Configurez le mot de passe pour que ce compte n’expire jamais. Le compte d’utilisateur doit être en mesure d’accéder à toutes les données disponibles pour le groupe Utilisateurs des rapports MBAM.

Comptes de site web d’administration et de surveillance (support technique)

Créez les comptes suivants pour le site web d’administration et de surveillance.

Nom/objectif du compte Type de compte Champ de l’Assistant Configuration du serveur MBAM correspondant à ce compte Description du champ de l’Assistant Configuration du serveur MBAM qui correspond à ce compte
Compte de domaine du pool d’applications de service web Utilisateur Compte de domaine du pool d’applications de service web Compte d’utilisateur de domaine à utiliser par le pool d’applications pour les applications web.
Si vous entrez un nom d’utilisateur dans le champ Utilisateur ou groupe de domaine d’accès en lecture/écriture de la page Configurer les bases de données , vous devez entrer cette même valeur dans ce champ.
Si vous entrez un nom de groupe dans le champ Utilisateur ou groupe de domaine d’accès en lecture/écriture de la page Configurer les bases de données , la valeur que vous entrez dans ce champ doit être un membre de ce groupe.
Si vous ne spécifiez pas d’informations d’identification, les informations d’identification qui ont été spécifiées pour toute application web précédemment activée sont utilisées. Toutes les applications web doivent utiliser les mêmes informations d’identification du pool d’applications. Si vous spécifiez des informations d’identification différentes pour différentes applications web, la dernière valeur spécifiée est utilisée.
Important : pour améliorer la sécurité, définissez le compte spécifié dans les informations d’identification pour qu’il dispose de droits d’utilisateur limités.
Groupe d’accès utilisateurs du support technique avancé MBAM Groupe Utilisateurs avancés du support technique MBAM Groupe d’utilisateurs de domaine dont les membres ont accès à toutes les zones de récupération du site web d’administration et de surveillance. Les utilisateurs disposant de ce rôle doivent entrer uniquement la clé de récupération, et non le domaine et le nom d’utilisateur de l’utilisateur final, lorsqu’ils aident les utilisateurs finaux à récupérer leurs lecteurs. Si un utilisateur est membre à la fois du groupe Utilisateurs du support technique MBAM et du groupe Utilisateurs du support technique avancé MBAM, les autorisations du groupe Utilisateurs du support technique avancé MBAM remplacent les autorisations du groupe du support technique MBAM.
Groupe d’accès utilisateurs du support technique MBAM Groupe Utilisateurs du support technique MBAM Groupe d’utilisateurs de domaine dont les membres ont accès aux zones Gérer le TPM et Récupération de lecteur du site web d’administration et de surveillance MBAM. Les personnes disposant de ce rôle doivent remplir tous les champs, y compris le domaine et le nom de compte de l’utilisateur final, lorsqu’elles utilisent l’une ou l’autre option.
Si un utilisateur est membre à la fois du groupe Utilisateurs du support technique MBAM et du groupe Utilisateurs du support technique avancé MBAM, les autorisations du groupe Utilisateurs du support technique avancé MBAM remplacent les autorisations du groupe du support technique MBAM.
Groupe d’accès Utilisateurs du rapport MBAM Groupe Utilisateurs du rapport MBAM Groupe d’utilisateurs de domaine dont les membres disposent d’un accès en lecture seule aux rapports dans la zone Rapports du site web d’administration et de surveillance.
Groupe d’utilisateurs de migration de données MBAM Groupe Utilisateurs de la migration de données MBAM Groupe d’utilisateurs de domaine facultatif dont les membres sont autorisés à écrire des données dans MBAM à l’aide du service de récupération et de matériel MBAM exécuté sur le serveur MBAM. Ce compte est utilisé avec les applets de commande pour écrire des Write-Mbam* données de récupération et de TPM à partir d’Active Directory dans la base de données MBAM.
Pour plus d’informations, consultez Considérations relatives à la sécurité mbam 2.5.

Préparation de votre environnement pour MBAM 2.5

Prérequis du serveur MBAM 2.5 pour les topologies d’intégration autonomes et Configuration Manager