Configuration Manager 통합 토폴로지를 사용하여 MBAM 2.5의 고급 아키텍처
이 문서에서는 Configuration Manager 통합 토폴로지를 사용하여 Microsoft BitLocker 관리 및 모니터링(MBAM)을 배포하는 데 권장되는 아키텍처에 대해 설명합니다. 이 토폴로지에서는 System Center Configuration Manager와 MBAM을 통합합니다. 독립 실행형 토폴로지를 사용하여 MBAM을 배포하려면 독립 실행형 토폴로지를 사용하여 MBAM 2.5의 고급 아키텍처를 참조하세요.
이 문서에 언급된 지원되는 소프트웨어 버전 목록은 MBAM 2.5 지원되는 구성을 참조하세요.
중요
Configuration Manager 2007을 사용하는 경우 Configuration Manager 통합 토폴로지 설치에는 Windows To Go가 지원되지 않습니다.
권장되는 서버 수 및 지원되는 클라이언트 수
다음 표에서는 프로덕션 환경에서 권장되는 서버 수와 지원되는 클라이언트 수를 나열합니다.
| 권장 아키텍처 | 세부 정보 |
|---|---|
| 서버 및 기타 컴퓨터 수 | 서버 3대 하나의 워크스테이션 |
| 지원되는 클라이언트 컴퓨터 수 | 500,000 |
Configuration Manager 통합과 독립 실행형 토폴로지 간의 차이점
토폴로지 간의 주요 차이점은 다음과 같습니다.
규정 준수 및 보고 기능은 MBAM에서 제거되고 Configuration Manager에서 액세스됩니다.
보고서는 MBAM 관리 및 모니터링 웹 사이트에서 계속 볼 수 있는 복구 감사 보고서를 제외하고 Configuration Manager 관리 콘솔에서 볼 수 있습니다.
Configuration Manager 통합 토폴로지를 사용하는 권장 MBAM 고급 아키텍처
다음 다이어그램 및 섹션에서는 Configuration Manager 통합 토폴로지를 사용하여 MBAM에 권장되는 상위 수준 아키텍처에 대해 설명합니다. MBAM 다중 포리스트 배포에는 단방향 또는 양방향 트러스트가 필요합니다. 단방향 트러스트를 사용하려면 서버 도메인이 클라이언트 도메인을 신뢰해야 합니다.
데이터베이스 서버
복구 데이터베이스
이 기능은 Windows Server 및 지원되는 SQL Server 인스턴스를 실행하는 컴퓨터에서 구성됩니다.
Recovery Database는 MBAM 클라이언트 컴퓨터에서 수집된 복구 데이터를 저장합니다.
감사 데이터베이스
이 기능은 Windows Server 및 지원되는 SQL Server 인스턴스를 실행하는 컴퓨터에서 구성됩니다.
Audit Database는 복구 데이터에 액세스한 클라이언트 컴퓨터에서 수집된 감사 활동 데이터를 저장합니다.
보고
이 기능은 Windows Server 및 지원되는 SQL Server 인스턴스를 실행하는 컴퓨터에서 구성됩니다.
보고서는 엔터프라이즈의 클라이언트 컴퓨터에 대한 복구 감사 데이터를 제공합니다. Configuration Manager 콘솔 또는 SQL Server Reporting Services에서 직접 보고서를 볼 수 있습니다.
Configuration Manager 기본 사이트 서버
System Center Configuration Manager 통합 기능
이 기능은 Configuration Manager 인프라의 최상위 계층 서버인 Configuration Manager 기본 사이트 서버에 구성됩니다.
Configuration Manager 서버는 클라이언트 컴퓨터에서 하드웨어 인벤토리 정보를 수집하고 클라이언트 컴퓨터의 BitLocker 규정 준수를 보고하는 데 사용됩니다.
Microsoft BitLocker 관리 및 모니터링 설정 마법사를 실행하여 서버 소프트웨어를 설치하면 Configuration Manager 기본 사이트 서버에 MBAM 지원 컴퓨터 컬렉션, 구성 기준 및 보고서가 구성됩니다.
Configuration Manager 콘솔은 MBAM Server 소프트웨어를 설치하는 동일한 컴퓨터에 설치해야 합니다.
관리 및 모니터링 서버
관리 및 모니터링 웹 사이트
이 기능은 Windows Server를 실행하는 컴퓨터에서 구성됩니다.
관리 및 모니터링 웹 사이트는 다음을 위해 사용됩니다.
최종 사용자가 잠겼을 때 컴퓨터에 다시 액세스할 수 있도록 지원합니다. 웹 사이트의 이 영역을 일반적으로 지원 센터라고 합니다.
클라이언트 컴퓨터에 대한 복구 작업을 보여 주는 복구 감사 보고서를 봅니다. 다른 보고서는 Configuration Manager 콘솔에서 볼 수 있습니다.
셀프 서비스 포털
이 기능은 Windows Server를 실행하는 컴퓨터에서 구성됩니다.
셀프 서비스 포털은 클라이언트 컴퓨터의 최종 사용자가 BitLocker 암호를 분실하거나 잊어버린 경우 복구 키를 얻기 위해 웹 사이트에 독립적으로 로그인할 수 있는 웹 사이트입니다.
이 웹 사이트에 대한 웹 서비스 모니터링
이 기능은 Windows Server를 실행하는 컴퓨터에 설치됩니다.
모니터링 웹 서비스는 MBAM 클라이언트 및 웹 사이트에서 데이터베이스와 통신하는 데 사용됩니다.
중요
MBAM 웹 사이트가 복구 데이터베이스와 직접 통신하므로 Microsoft BitLocker 관리 및 모니터링(MBAM) 2.5 SP1에서는 모니터링 웹 서비스를 더 이상 사용할 수 없습니다.
관리 워크스테이션
MBAM 그룹 정책 템플릿
MBAM 그룹 정책 템플릿은 BitLocker 드라이브 암호화를 관리할 수 있는 MBAM에 대한 구현 설정을 정의하는 그룹 정책 설정입니다.
MBAM을 실행하기 전에 MDOP 그룹 정책(.admx) 템플릿을 다운로드 및 배포하는 방법에서 그룹 정책 템플릿을 다운로드 하고 지원되는 Windows Server 또는 Windows 운영 체제를 실행하는 서버 또는 워크스테이션에 복사해야 합니다.
참고
워크스테이션이 전용 컴퓨터일 필요는 없습니다.
MBAM 클라이언트 및 Configuration Manager 클라이언트 컴퓨터
MBAM 클라이언트 소프트웨어
MBAM 클라이언트:
그룹 정책 개체를 사용하여 엔터프라이즈의 클라이언트 컴퓨터에 BitLocker 드라이브 암호화를 적용합니다.
운영 체제 드라이브, 고정 데이터 드라이브 및 이동식(USB) 데이터 드라이브의 세 가지 데이터 드라이브 유형에 대한 BitLocker 복구 키를 수집합니다.
클라이언트 컴퓨터에 대한 복구 정보 및 컴퓨터 정보를 수집합니다.
구성 관리자 클라이언트
Configuration Manager 클라이언트를 사용하면 Configuration Manager가 클라이언트 컴퓨터에 대한 하드웨어 호환성 데이터를 수집하고 규정 준수 정보를 보고할 수 있습니다.
지원되는 Configuration Manager 버전에 대한 MBAM 배포의 차이점
Configuration Manager 통합 토폴로지를 사용하여 MBAM을 배포하는 경우 기본 사이트 서버에 MBAM을 설치할 수 있습니다. 그러나 MBAM 설치는 System Center 2012 Configuration Manager 및 Configuration Manager 2007에서 다르게 작동합니다.
| Configuration Manager 버전 | 설명 |
|---|---|
| System Center 2012 R2 Configuration Manager System Center 2012 Configuration Manager |
기본 사이트 서버 또는 중앙 관리 서버에 MBAM을 설치하는 경우 MBAM은 해당 사이트 서버에서 모든 설치 작업을 수행합니다. |
| Configuration Manager 2007 R2 Configuration Manager 2007 |
중앙 사이트 부모 서버를 사용하여 더 큰 Configuration Manager 계층 구조의 일부인 기본 사이트 서버에 MBAM을 설치하는 경우 MBAM은 중앙 사이트 부모 서버를 식별하고 해당 부모 서버에서 모든 설치 작업을 수행합니다. 설치에는 필수 구성 요소 확인 및 Configuration Manager 개체 및 보고서 설치가 포함됩니다. 예를 들어 중앙 사이트 부모 서버의 자식인 기본 사이트 서버에 MBAM을 설치하는 경우 MBAM은 모든 Configuration Manager 개체 및 보고서를 부모 서버에 설치합니다. 부모 서버에 MBAM을 설치하는 경우 MBAM은 해당 부모 서버에서 모든 설치 작업을 수행합니다. |
MBAM이 Configuration Manager에서 작동하는 방식
MBAM과 Configuration Manager의 통합은 다음 섹션에 설명된 항목을 설치하는 구성 팩을 기반으로 합니다.
구성 데이터
구성 데이터는 다음 두 가지 구성 항목을 포함하는 "BitLocker Protection"이라는 구성 기준을 설치합니다.
- BitLocker 운영 체제 드라이브 보호
- BitLocker 고정 데이터 드라이브 보호
구성 기준은 MBAM이 설치될 때 생성되는 MBAM 지원 컴퓨터 컬렉션에 배포됩니다. 두 구성 항목은 클라이언트 컴퓨터의 준수 상태를 평가하기 위한 기초를 제공합니다. 이 정보는 Configuration Manager에서 캡처, 저장 및 평가됩니다. 구성 항목은 운영 체제 드라이브 및 고정 데이터 드라이브에 대한 규정 준수 요구 사항을 기반으로 합니다. 이러한 드라이브 유형에 대한 규정 준수를 평가할 수 있도록 배포된 컴퓨터에 대한 필수 세부 정보가 수집됩니다. 기본적으로 구성 기준은 12시간마다 준수 상태를 평가하고 규정 준수 데이터를 Configuration Manager로 보냅니다.
MBAM 지원 컴퓨터 컬렉션
MBAM은 MBAM 지원 컴퓨터라는 컬렉션을 만듭니다. 구성 기준은 이 컬렉션에 있는 클라이언트 컴퓨터를 대상으로 합니다. 동적 컬렉션입니다. 기본적으로 12시간마다 실행되며 다음 세 가지 기준에 따라 멤버 자격을 평가합니다.
- 컴퓨터는 지원되는 Windows 운영 체제 버전입니다.
- 컴퓨터는 물리적 컴퓨터입니다. 가상 머신은 지원되지 않습니다.
- 컴퓨터에 사용할 수 있는 TPM(신뢰할 수 있는 플랫폼 모듈)이 있습니다. Windows 7에는 호환되는 버전의 TPM 1.2 이상이 필요합니다. Windows 11, Windows 10, Windows 8.1, Windows 8 및 Windows To Go에는 TPM이 필요하지 않습니다.
컬렉션은 모든 컴퓨터에 대해 평가되고 호환되는 컴퓨터의 하위 집합이 만들어지며, 이는 MBAM 통합에 대한 규정 준수 평가 및 보고의 기초를 제공합니다.
보고
Configuration Manager 통합 토폴로지로 MBAM을 구성할 때 MBAM 관리 및 모니터링 웹 사이트에서 계속 볼 수 있는 복구 감사 보고서를 제외한 Configuration Manager의 모든 보고서를 볼 수 있습니다. Configuration Manager에서 사용할 수 있는 보고서는 다음과 같습니다.
- BitLocker 엔터프라이즈 규정 준수 대시보드: IT 관리자는 단일 보고서에서 준수 상태 배포, 비준수 - 오류 배포 및 드라이브 유형별 준수 상태 배포의 세 가지 정보 보기를 제공합니다. 보고서의 드릴다운 옵션을 사용하면 IT 관리자가 데이터를 선택하고 선택한 상태와 일치하는 컴퓨터 목록을 볼 수 있습니다.
- BitLocker 엔터프라이즈 규정 준수 세부 정보: IT 관리자가 엔터프라이즈의 BitLocker 암호화 준수 상태에 대한 정보를 볼 수 있도록 하고 각 컴퓨터에 대한 준수 상태를 포함할 수 있습니다. 보고서의 드릴다운 옵션을 사용하면 IT 관리자가 데이터를 선택하고 선택한 상태와 일치하는 컴퓨터 목록을 볼 수 있습니다.
- BitLocker 컴퓨터 준수: IT 관리자가 개별 컴퓨터를 보고 규격 또는 비준수 상태로 보고된 이유를 확인할 수 있습니다. 또한 보고서에는 운영 체제 드라이브 및 고정 데이터 드라이브의 암호화 상태도 표시됩니다.
- BitLocker 엔터프라이즈 규정 준수 요약: IT 관리자가 엔터프라이즈에서 MBAM 정책 준수 상태를 볼 수 있도록 합니다. 각 컴퓨터의 상태가 평가되고 보고서에는 정책에 대한 엔터프라이즈의 모든 컴퓨터 준수에 대한 요약이 표시됩니다. 보고서의 드릴다운 옵션을 사용하면 IT 관리자가 데이터를 선택하고 선택한 상태와 일치하는 컴퓨터 목록을 볼 수 있습니다.