Arquitetura de alto nível do MBAM 2.5 com topologia de integração do Configuration Manager
Este artigo descreve a arquitetura recomendada para implementar a Administração e Monitorização do Microsoft BitLocker (MBAM) com a topologia de integração do Configuration Manager. Esta topologia integra o MBAM com o System Center Configuration Manager. Para implementar o MBAM com a topologia autónoma, veja Arquitetura de alto nível do MBAM 2.5 com topologia autónoma.
Para obter uma lista das versões suportadas do software mencionadas neste artigo, veja Configurações Suportadas do MBAM 2.5.
Importante
O Windows To Go não é suportado para a instalação da topologia de integração do Configuration Manager quando estiver a utilizar o Configuration Manager 2007.
Número recomendado de servidores e número suportado de clientes
A tabela seguinte lista o número recomendado de servidores e o número suportado de clientes num ambiente de produção:
| Arquitetura recomendada | Detalhes |
|---|---|
| Número de servidores e outros computadores | Três servidores Uma estação de trabalho |
| Número de computadores cliente suportados | 500,000 |
Diferenças entre a integração do Configuration Manager e topologias autónomas
As principais diferenças entre as topologias são:
As funcionalidades de conformidade e relatórios são removidas do MBAM e são acedidas a partir do Configuration Manager.
Os relatórios são visualizados na Consola de Gestão do Configuration Manager, exceto no Relatório de Auditoria de Recuperação, que continua a ver a partir do Site de Administração e Monitorização do MBAM.
Arquitetura de alto nível do MBAM recomendada com a topologia de Integração do Configuration Manager
O diagrama e as secções seguintes descrevem a arquitetura de alto nível recomendada para o MBAM com a topologia de integração do Configuration Manager. As implementações de várias florestas do MBAM requerem uma fidedignidade unidirecional ou bidirecional. As confianças unidirecionais exigem que o domínio do servidor confie no domínio do cliente.
Servidor de bases de dados
Base de dados de recuperação
Esta funcionalidade está configurada num computador com o Windows Server e uma instância do SQL Server suportada.
A Base de Dados de Recuperação armazena dados de recuperação recolhidos a partir de computadores cliente MBAM.
Base de dados de auditoria
Esta funcionalidade está configurada num computador com o Windows Server e uma instância do SQL Server suportada.
A Base de Dados de Auditoria armazena dados de atividade de auditoria que são recolhidos a partir de computadores cliente que acederam aos dados de recuperação.
Relatórios
Esta funcionalidade está configurada num computador com o Windows Server e uma instância do SQL Server suportada.
Os Relatórios fornecem dados de auditoria de recuperação para os computadores cliente na sua empresa. Pode ver relatórios a partir da consola do Configuration Manager ou diretamente a partir do SQL Server Reporting Services.
Servidor do site primário do Configuration Manager
Funcionalidade de Integração do System Center Configuration Manager
Esta funcionalidade está configurada no Servidor do Site Primário do Configuration Manager, que é o servidor de escalão superior na sua infraestrutura do Configuration Manager.
O Servidor do Configuration Manager recolhe as informações de inventário de hardware dos computadores cliente e é utilizado para comunicar a conformidade do BitLocker dos computadores cliente.
Quando executa o assistente de Administração e Configuração de Monitorização do Microsoft BitLocker para instalar o software de servidor, a coleção de Computadores Suportados do MBAM, a linha de base de configuração e os relatórios são configurados no Servidor de Site Primário do Configuration Manager.
A consola do Configuration Manager tem de estar instalada no mesmo computador no qual instala o software do Servidor MBAM.
Administração e servidor de monitorização
Site de administração e monitorização
Esta funcionalidade está configurada num computador com o Windows Server.
O site de Administração e monitorização é utilizado para:
Ajude os utilizadores finais a recuperar o acesso aos respetivos computadores quando estão bloqueados. (Esta área do Web site é normalmente denominada Suporte Técnico.)
Veja o Relatório de Auditoria de Recuperação, que mostra a atividade de recuperação dos computadores cliente. Outros relatórios são visualizados a partir da consola do Configuration Manager.
Portal self-service
Esta funcionalidade está configurada num computador com o Windows Server.
O Portal Self-Service é um site que permite que os utilizadores finais em computadores cliente iniciem sessão de forma independente num site para obterem uma chave de recuperação caso percam ou se esqueçam da palavra-passe do BitLocker.
Monitorizar serviços Web para este web site
Esta funcionalidade está instalada num computador com o Windows Server.
Os serviços Web de monitorização são utilizados pelo Cliente MBAM e pelos sites para comunicar com a base de dados.
Importante
O Serviço Web de Monitorização já não está disponível no Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1, uma vez que os sites MBAM comunicam diretamente com a Base de Dados de Recuperação.
Estação de trabalho de gestão
Modelos de política de grupo MBAM
Os Modelos de Política de Grupo do MBAM são definições de Política de Grupo que definem as definições de implementação do MBAM, que lhe permitem gerir a encriptação de unidade bitLocker.
Antes de executar o MBAM, tem de transferir os Modelos de Política de Grupo de Como Transferir e Implementar Modelos de Política de Grupo MDOP (.admx) e copiá-los para um servidor ou estação de trabalho que esteja a executar um sistema operativo Windows Server ou Windows suportado.
Observação
A estação de trabalho não tem de ser um computador dedicado.
Cliente MBAM e Computador cliente do Configuration Manager
Software de cliente MBAM
O Cliente MBAM:
Utiliza Objetos de Política de Grupo para impor a encriptação de unidade BitLocker em computadores cliente na empresa.
Recolhe a chave de recuperação BitLocker para três tipos de unidade de dados: unidades do sistema operativo, unidades de dados fixas e unidades de dados amovíveis (USB).
Recolhe informações de recuperação e informações do computador sobre os computadores cliente.
Cliente do Gerenciador de Configurações
O Cliente do Configuration Manager permite ao Configuration Manager recolher dados de compatibilidade de hardware sobre os computadores cliente e informações de conformidade de relatórios.
Diferenças na implementação do MBAM para versões suportadas do Configuration Manager
Quando implementa o MBAM com a topologia de Integração do Configuration Manager, pode instalar o MBAM num servidor de site primário. No entanto, a instalação do MBAM funciona de forma diferente para o System Center 2012 Configuration Manager e o Configuration Manager 2007.
| Versão do Configuration Manager | Descrição |
|---|---|
| System Center 2012 R2 Configuration Manager Systems Center 2012 Configuration Manager |
Se instalar o MBAM num servidor de site primário ou num servidor de administração central, o MBAM efetua todas as ações de instalação nesse servidor do site. |
| Configuration Manager 2007 R2 Configuration Manager 2007 |
Se instalar o MBAM num servidor de site primário que faça parte de uma hierarquia maior do Configuration Manager com um servidor principal do site central, o MBAM identifica o servidor principal do site central e executa todas as ações de instalação nesse servidor principal. A instalação inclui verificar os pré-requisitos e instalar os objetos e relatórios do Configuration Manager. Por exemplo, se instalar o MBAM num servidor de site primário subordinado de um servidor principal do site central, o MBAM instala todos os objetos e relatórios do Configuration Manager no servidor principal. Se instalar o MBAM no servidor principal, o MBAM efetua todas as ações de instalação nesse servidor principal. |
Como funciona o MBAM com o Configuration Manager
A integração do MBAM com o Configuration Manager baseia-se num pacote de configuração que instala os itens descritos nas secções seguintes.
Dados de configuração
Os dados de configuração instalam uma linha de base de configuração, denominada "Proteção BitLocker", que contém dois itens de configuração:
- Proteção contra Unidades do Sistema Operativo BitLocker
- Proteção de Unidades de Dados Fixas do BitLocker
A linha de base de configuração é implementada na coleção De Computadores Suportados do MBAM, que também é criada quando o MBAM é instalado. Os dois itens de configuração fornecem a base para avaliar o estado de conformidade dos computadores cliente. Estas informações são capturadas, armazenadas e avaliadas no Configuration Manager. Os itens de configuração baseiam-se nos requisitos de conformidade das unidades do sistema operativo e das unidades de dados fixas. Os detalhes necessários para os computadores implementados são recolhidos para que a compatibilidade para esses tipos de unidade possa ser avaliada. Por predefinição, a linha de base de configuração avalia o estado de compatibilidade a cada 12 horas e envia os dados de compatibilidade para o Configuration Manager.
Coleção de Computadores Suportados do MBAM
O MBAM cria uma coleção denominada Computadores Suportados pelo MBAM. A linha de base de configuração é direcionada para computadores cliente que estão nesta coleção. Esta é uma coleção dinâmica. Por predefinição, é executada a cada 12 horas e avalia a associação, com base em três critérios:
- O computador é uma versão suportada do sistema operativo Windows.
- O computador é um computador físico. As máquinas virtuais não são suportadas.
- O computador tem um Trusted Platform Module (TPM) que está disponível. É necessária uma versão compatível do TPM 1.2 ou posterior para o Windows 7. O Windows 11, Windows 10, Windows 8.1, Windows 8 e Windows To Go não necessitam de um TPM.
A coleção é avaliada em relação a todos os computadores e é criado um subconjunto de computadores compatíveis, que fornece a base para avaliação de compatibilidade e relatórios para a integração do MBAM.
Relatórios
Quando configura o MBAM com a topologia de Integração do Configuration Manager, vê todos os relatórios no Configuration Manager, exceto o Relatório de Auditoria de Recuperação, o último dos quais continua a ver no Site de Administração e Monitorização do MBAM. Os relatórios disponíveis no Configuration Manager são:
- Dashboard de Conformidade Empresarial do BitLocker: Fornece aos administradores de TI três vistas de informações num único relatório: Distribuição do Estado de Conformidade, Não Conforme – Distribuição de Erros e Distribuição do Estado de Compatibilidade por Tipo de Unidade. As opções de desagregação no relatório permitem que os administradores de TI selecionem através dos dados e vejam uma lista de computadores que correspondem ao estado selecionado.
- Detalhes de Conformidade Do BitLocker Enterprise: Permite que os administradores de TI vejam informações sobre o estado de conformidade de encriptação do BitLocker da empresa e inclua o estado de conformidade de cada computador. As opções de desagregação no relatório permitem que os administradores de TI selecionem através dos dados e vejam uma lista de computadores que correspondem ao estado selecionado.
- Conformidade do Computador BitLocker: Permite que os administradores de TI vejam um computador individual e determinem por que motivo foi comunicado com um estado de conformidade ou não conforme. O relatório também apresenta o estado de encriptação das unidades do sistema operativo e das unidades de dados fixas.
- Resumo da Conformidade Empresarial do BitLocker: Permite que os administradores de TI vejam o estado da conformidade da política MBAM na empresa. O estado de cada computador é avaliado e o relatório mostra um resumo da conformidade de todos os computadores na empresa em relação à política. As opções de desagregação no relatório permitem que os administradores de TI selecionem através dos dados e vejam uma lista de computadores que correspondem ao estado selecionado.
Artigos relacionados
Arquitetura de alto nível do MBAM 2.5 com topologia autónoma