Condividi tramite


Prerequisiti del server MBAM 2.5 per le topologie di integrazione autonome e di Configuration Manager

Prima di avviare l'installazione di Microsoft BitLocker Administration and Monitoring (MBAM), è necessario completare i prerequisiti elencati in questo articolo. Questi prerequisiti si applicano alla topologia autonoma di MBAM e alla topologia di integrazione di System Center Configuration Manager.

Se si distribuisce MBAM con System Center Configuration Manager, è necessario completare altri prerequisiti, elencati nei prerequisiti del server MBAM 2.5 che si applicano solo alla topologia di integrazione di Configuration Manager.

Per un elenco dei sistemi operativi e hardware supportati per MBAM, vedere Configurazioni supportate di MBAM 2.5.

Importante

Se BitLocker è stato usato senza MBAM, è necessario decrittografare l'unità e quindi cancellare TPM usando tpm.msc. Se il dispositivo è già crittografato e la password del proprietario del TPM è stata creata, MBAM non può assumere la proprietà di TPM.

Ruoli e account di MBAM necessari

Per altre informazioni sui gruppi creati in Active Directory Domain Services (ADDS), vedere Planning for MBAM 2.5 groups and accounts (Pianificazione per i gruppi e gli account MBAM 2.5).

Prerequisiti per il database di ripristino

Prerequisito Dettagli
Versione supportata di SQL Server Installare Microsoft SQL Server con SQL_Latin1_General_CP1_CI_AS regole di confronto.
Per le versioni supportate, vedere Configurazioni supportate di MBAM 2.5 .
Autorizzazioni necessarie per SQL Server Autorizzazioni necessarie:
- Ruoli del server di accesso dell'istanza di SQL Server:
- dbcreator
- processadmin
- Diritti dell'istanza di SQL Server Reporting Services:
- Creare cartelle
- Pubblicare report
Facoltativo: installare la funzionalità Transparent Data Encryption (TDE) disponibile in SQL Server La funzionalità sql server TDE esegue la crittografia e la decrittografia di I/O in tempo reale dei dati e dei file di log, che consentono di rispettare le leggi, le normative e le linee guida applicabili ai vari settori.
Nota: TDE esegue la decrittografia in tempo reale delle informazioni del database. Se si visualizzano le informazioni sulla chiave di ripristino nel database di SQL Server e si accede con un account con autorizzazioni per il database, le informazioni sulla chiave di ripristino sono visibili. Per altre informazioni su TDE, vedere Considerazioni sulla sicurezza di MBAM 2.5.
Servizi motore di database di SQL Server I servizi del motore di database di SQL Server devono essere installati ed eseguiti durante l'installazione di MBAM Server.
Windows PowerShell 3.0 o versione successiva Windows PowerShell non deve essere installato nel server di database di ripristino se si usa Windows PowerShell per configurare il database da un computer remoto.

Prerequisiti per il database di conformità e controllo

Prerequisito Dettagli
Versione supportata di SQL Server Installare SQL Server con regole di confronto SQL_Latin1_General_CP1_CI_AS.
Per le versioni supportate, vedere Configurazioni supportate di MBAM 2.5 .
Autorizzazioni necessarie per SQL Server Autorizzazioni necessarie:
- Ruoli del server di accesso dell'istanza di SQL Server:
- dbcreator
- processadmin
- Diritti dell'istanza di SQL Server Reporting Services:
- Creare cartelle
- Pubblicare report
Facoltativo: installare la funzionalità Transparent Data Encryption (TDE) in SQL Server La funzionalità sql server TDE esegue la crittografia e la decrittografia di I/O in tempo reale dei dati e dei file di log, che consentono di rispettare le leggi, le normative e le linee guida applicabili ai vari settori.
TDE esegue la decrittografia in tempo reale delle informazioni del database. Ciò significa che, se si visualizzano le informazioni sulla chiave di ripristino nel database di SQL Server e si accede con un account con autorizzazioni per il database, le informazioni sulla chiave di ripristino sono visibili. Per altre informazioni su TDE, vedere Considerazioni sulla sicurezza di MBAM 2.5.
Servizi motore di database di SQL Server I servizi del motore di database di SQL Server devono essere installati ed eseguiti durante l'installazione di MBAM Server. Tuttavia, SQL Server può essere eseguito in remoto; non deve trovarsi nello stesso server in cui si sta installando il software del server MBAM.
Windows PowerShell 3.0 o versione successiva Windows PowerShell non deve essere installato nel server di database di conformità e controllo se si usa Windows PowerShell per configurare il database da un computer remoto.

Prerequisiti per i report

Prerequisito Dettagli
Versione supportata di SQL Server Installare SQL Server con regole di confronto SQL_Latin1_General_CP1_CI_AS.
Per le versioni supportate, vedere Configurazioni supportate di MBAM 2.5 .
SQL Server Reporting Services (SSRS) SSRS deve essere installato ed eseguito durante l'installazione del server MBAM.
Configurare SSRS in modalità "nativa" e non in modalità non configurata o "SharePoint".
Diritti dell'istanza di SSRS: necessari per la configurazione dei report solo se si installano database in un server separato dal server in cui sono configurati i report. Diritti necessari per l'istanza:
- Creare cartelle
- Pubblicare report
Windows PowerShell 3.0 o versione successiva Windows PowerShell non deve essere installato in questo server di database se si usa Windows PowerShell per configurare il database da un computer remoto.

Prerequisiti per il server di amministrazione e monitoraggio

Le sezioni seguenti elencano i prerequisiti di installazione per il server di amministrazione e monitoraggio di MBAM.

Ruolo del server Web Windows Server

Questo ruolo deve essere aggiunto a un sistema operativo server supportato per la funzionalità Server di amministrazione e monitoraggio.

Strumenti di gestione del server Web (IIS)

Selezionare Script e strumenti di gestione IIS.

Certificato SSL

Facoltativo. Per proteggere la comunicazione tra i computer client e i servizi Web, è necessario ottenere e installare un certificato firmato da un'autorità di sicurezza attendibile.

Servizi ruolo server Web

Funzionalità HTTP comuni

  • Contenuto statico
  • Documento predefinito

Sviluppo di applicazioni

  • ASP.NET
  • Estendibilità .NET
  • Estensioni ISAPI
  • Filtri ISAPI

Sicurezza

  • Autenticazione di Windows
  • Filtro richieste

Funzionalità di Windows Server

Funzionalità di .NET Framework 4.5

  • .NET Framework 4.5 o 4.6

    • Windows Server 2016 - .NET Framework 4.6 è già installato per queste versioni di Windows Server, ma è necessario abilitarlo.
    • Windows Server 2012 o Windows Server 2012 R2 - .NET Framework 4.5 è già installato per queste versioni di Windows Server, ma è necessario abilitarlo.
    • Windows Server 2008 R2 - .NET Framework 4.5 non è incluso in Windows Server 2008 R2, quindi è necessario scaricare Microsoft .NET Framework 4.5 e installarlo separatamente.
  • Attivazione WCF

    • Attivazione HTTP
    • Attivazione non HTTP (solo per Windows Server 2008, 2012 e 2012 R2)
  • Attivazione TCP

Servizio Attivazione dei processi Windows

  • Modello di processo
  • Ambiente .NET Framework
  • API di configurazione

ASP.NET MVC 4.0

download di ASP.NET MVC 4

Nota

ASP.NET MVC 4.0 non è più necessario dopo l'aggiornamento di manutenzione di gennaio 2023 (HF08).

Nome entità servizio (SPN)

Le applicazioni Web richiedono un nome SPN per il nome host virtuale nell'account di dominio usato per i pool di applicazioni Web.

Se i diritti amministrativi consentono di creare nomi SPN in Active Directory Domain Services, MBAM crea automaticamente il nome SPN. Per informazioni sui diritti necessari per creare nomi SPN, vedere Setspn .

Se non si dispone dei diritti amministrativi per creare nomi SPN, è necessario chiedere agli amministratori di Active Directory dell'organizzazione di creare automaticamente il nome SPN usando il comando seguente:

Setspn -s http/mbamvirtual contoso\mbamapppooluser

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

Nell'esempio di codice il nome host virtuale è mbamvirtual.contoso.come l'account di dominio usato per i pool di applicazioni Web è contoso\mbamapppooluser.

Nota

Se si configura il bilanciamento del carico, usare lo stesso account del pool di applicazioni in tutti i server.

Per altre informazioni sulla registrazione dei nomi SPN per nomi host completi, NetBIOS e personalizzati, vedere Pianificazione di come proteggere i siti Web MBAM.

Prerequisiti per il portale di Self-Service

Versione supportata di Windows Server

Per l'elenco delle versioni supportate, vedere Configurazioni supportate di MBAM 2.5.

ASP.NET MVC 4.0

download di ASP.NET MVC 4

Nota

ASP.NET MVC 4.0 non è più necessario dopo l'aggiornamento di manutenzione di gennaio 2023 (HF08).

Strumenti di gestione IIS del servizio Web

Selezionare Script e strumenti di gestione IIS.

Nome entità servizio (SPN)

Le applicazioni Web richiedono un nome SPN per il nome host virtuale nell'account di dominio usato per i pool di applicazioni Web.

Se i diritti amministrativi consentono di creare nomi SPN in Active Directory Domain Services, MBAM crea automaticamente il nome SPN. Per informazioni sui diritti necessari per creare nomi SPN, vedere Setspn .

Se non si dispone dei diritti amministrativi per creare nomi SPN, è necessario chiedere agli amministratori di Active Directory dell'organizzazione di creare automaticamente il nome SPN usando il comando seguente:

Setspn -s http/mbamvirtual contoso\mbamapppooluser

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

Nell'esempio di codice il nome host virtuale è mbamvirtual.contoso.come l'account di dominio usato per i pool di applicazioni Web è contoso\mbamapppooluser.

Nota

Se si configura il bilanciamento del carico, usare lo stesso account del pool di applicazioni in tutti i server.

Per altre informazioni sulla registrazione dei nomi SPN per nomi host completi, NetBIOS e personalizzati, vedere Pianificazione di come proteggere i siti Web MBAM.

Prerequisiti per la workstation di gestione

Prima di installare il client MBAM, scaricare i modelli di Criteri di gruppo di MBAM. Configurarle con le impostazioni che si desidera implementare nell'ambiente per Crittografia unità BitLocker.

Prima di installare il client MBAM, seguire questa procedura:

Preparazione dell'ambiente per MBAM 2.5

Pianificazione della distribuzione di MBAM 2.5

Configurazioni supportate di MBAM 2.5