Compartilhar via


Pré-requisitos do servidor MBAM 2.5 para topologias de integração autónomas e do Configuration Manager

Antes de iniciar a instalação da Administração e Monitorização do Microsoft BitLocker (MBAM), tem de concluir os pré-requisitos listados neste artigo. Estes pré-requisitos aplicam-se à topologia autónoma do MBAM e à topologia de Integração do System Center Configuration Manager.

Se estiver a implementar o MBAM com o System Center Configuration Manager, tem de concluir outros pré-requisitos, que estão listados nos pré-requisitos do servidor MBAM 2.5 que se aplicam apenas à topologia de integração do Configuration Manager.

Para obter uma lista do hardware e dos sistemas operativos suportados para o MBAM, veja MBAM 2.5 supported configurations (Configurações suportadas pelo MBAM 2.5).

Importante

Se o BitLocker tiver sido utilizado sem MBAM, tem de desencriptar a unidade e, em seguida, limpar o TPM com tpm.msc. Se o dispositivo já estiver encriptado e a palavra-passe do proprietário do TPM criada, o MBAM não poderá assumir a propriedade do TPM.

Funções e contas MBAM necessárias

Para obter mais informações sobre os grupos criados nos Serviços de Domínio do Active Directory (ADDS), veja Planning for MBAM 2.5 groups and accounts (Planear contas e grupos MBAM 2.5).

Pré-requisitos da base de dados de recuperação

Pré-requisito Detalhes
Versão suportada do SQL Server Instale o Microsoft SQL Server com SQL_Latin1_General_CP1_CI_AS agrupamento.
Veja MBAM 2.5 supported configurations for supported versions (Configurações suportadas do MBAM 2.5 para versões suportadas).
Permissões necessárias do SQL Server Permissões necessárias:
- Funções de servidor de início de sessão da instância do SQL Server:
- dbcreator
- processadmin
- Direitos de instância do SQL Server Reporting Services:
- Criar Pastas
- Publicar Relatórios
Opcional - Instalar a funcionalidade Encriptação de Dados Transparente (TDE) disponível no SQL Server A funcionalidade TDE do SQL Server executa encriptação e desencriptação de E/S em tempo real dos ficheiros de dados e de registo, o que pode ajudá-lo a cumprir as leis, regulamentos e diretrizes que se aplicam a vários setores.
Nota: A Encriptação de Dados Transparente efetua a desencriptação em tempo real das informações da base de dados. Se vir as informações da chave de recuperação na base de dados do SQL Server e tiver sessão iniciada numa conta que tenha permissões para a base de dados, as informações da chave de recuperação são visíveis. Para ler mais sobre a Encriptação de Dados Transparente, veja Considerações de segurança do MBAM 2.5.
SQL Server Database Engine Services Os SqL Server Database Engine Services têm de ser instalados e executados durante a instalação do Servidor MBAM.
Windows PowerShell 3.0 ou posterior O Windows PowerShell não tem de ser instalado no servidor da Base de Dados de Recuperação se estiver a utilizar o Windows PowerShell para configurar a base de dados a partir de um computador remoto.

Pré-requisitos para a base de dados de conformidade e auditoria

Pré-requisito Detalhes
Versão suportada do SQL Server Instale o SQL Server com SQL_Latin1_General_CP1_CI_AS agrupamento.
Veja MBAM 2.5 supported configurations for supported versions (Configurações suportadas do MBAM 2.5 para versões suportadas).
Permissões necessárias do SQL Server Permissões necessárias:
- Funções de servidor de início de sessão da instância do SQL Server:
- dbcreator
- processadmin
- Direitos de instância do SQL Server Reporting Services:
- Criar Pastas
- Publicar Relatórios
Opcional – Instalar a funcionalidade Encriptação de Dados Transparente (TDE) no SQL Server A funcionalidade TDE do SQL Server executa encriptação e desencriptação de E/S em tempo real dos ficheiros de dados e de registo, o que pode ajudá-lo a cumprir as leis, regulamentos e diretrizes que se aplicam a vários setores.
A Encriptação de Dados Transparente efetua a desencriptação em tempo real das informações da base de dados. Isto significa que, se vir as informações da chave de recuperação na base de dados do SQL Server e tiver sessão iniciada numa conta que tenha permissões para a base de dados, as informações da chave de recuperação são visíveis. Para ler mais sobre a Encriptação de Dados Transparente, veja Considerações de segurança do MBAM 2.5.
SQL Server Database Engine Services Os SqL Server Database Engine Services têm de ser instalados e executados durante a instalação do Servidor MBAM. No entanto, o SQL Server pode ser executado remotamente; não tem de estar no mesmo servidor no qual está a instalar o software do Servidor MBAM.
Windows PowerShell 3.0 ou posterior O Windows PowerShell não tem de ser instalado no servidor da Base de Dados de Conformidade e Auditoria se estiver a utilizar o Windows PowerShell para configurar a base de dados a partir de um computador remoto.

Pré-requisitos para os relatórios

Pré-requisito Detalhes
Versão suportada do SQL Server Instale o SQL Server com SQL_Latin1_General_CP1_CI_AS agrupamento.
Veja MBAM 2.5 supported configurations for supported versions (Configurações suportadas do MBAM 2.5 para versões suportadas).
SQL Server Reporting Services (SSRS) O SSRS tem de estar instalado e em execução durante a instalação do Servidor MBAM.
Configure o SSRS no modo "nativo" e não no modo não configurado ou "SharePoint".
Direitos de instância do SSRS – necessários para configurar Relatórios apenas se estiver a instalar bases de dados num servidor separado do servidor onde os Relatórios estão configurados. Direitos de instância necessários:
- Criar Pastas
- Publicar Relatórios
Windows PowerShell 3.0 ou posterior O Windows PowerShell não tem de ser instalado neste servidor de Base de Dados se estiver a utilizar o Windows PowerShell para configurar a base de dados a partir de um computador remoto.

Pré-requisitos para o Servidor de Administração e Monitorização

As secções seguintes listam os pré-requisitos de instalação do Servidor de Administração e Monitorização do MBAM.

Função de servidor Web do Windows Server

Esta função tem de ser adicionada a um sistema operativo de servidor suportado para a funcionalidade Administração e Servidor de Monitorização.

Ferramentas de gestão do servidor Web (IIS)

Selecione Scripts e Ferramentas de Gestão do IIS.

Certificado SSL

Opcional. Para proteger a comunicação entre os computadores cliente e os serviços Web, tem de obter e instalar um certificado assinado por uma autoridade de segurança fidedigna.

Serviços de função de servidor Web

Recursos HTTP comuns

  • Conteúdo Estático
  • Documento Predefinido

Desenvolvimento de aplicativo

  • ASP.NET
  • Extensibilidade .NET
  • Extensões ISAPI
  • Filtros ISAPI

Segurança

  • Autenticação do Windows
  • Filtragem de Pedidos

Funcionalidades do Windows Server

Funcionalidades do .NET Framework 4.5

  • .NET Framework 4.5 ou 4.6

    • O Windows Server 2016 – .NET Framework 4.6 já está instalado para estas versões do Windows Server, mas tem de o ativar.
    • O Windows Server 2012 ou o Windows Server 2012 R2 – .NET Framework 4.5 já está instalado para estas versões do Windows Server, mas tem de o ativar.
    • O Windows Server 2008 R2 - .NET Framework 4.5 não está incluído no Windows Server 2008 R2, pelo que tem de transferir o Microsoft .NET Framework 4.5 e instalá-lo separadamente.
  • Ativação do WCF

    • Ativação HTTP
    • Ativação Não HTTP (Apenas para o Windows Server 2008, 2012 e 2012 R2)
  • Ativação TCP

Serviço de Ativação de Processos do Windows

  • Modelo de Processo
  • Ambiente do .NET Framework
  • APIs de Configuração

ASP.NET MVC 4.0

transferência do ASP.NET MVC 4

Observação

ASP.NET MVC 4.0 já não é necessário após a atualização de manutenção de janeiro de 2023 (HF08).

Nome do principal de serviço (SPN)

As aplicações Web requerem um SPN para o nome do anfitrião virtual na conta de domínio que utiliza para os conjuntos aplicacionais Web.

Se os seus direitos administrativos lhe permitirem criar SPNs nos Serviços de Domínio do Active Directory, o MBAM cria o SPN por si. Veja Setspn para obter informações sobre os direitos necessários para criar SPNs.

Se não tiver direitos administrativos para criar SPNs, tem de pedir aos administradores do Active Directory na sua organização para criarem o SPN por si através do seguinte comando:

Setspn -s http/mbamvirtual contoso\mbamapppooluser

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

No exemplo de código, o nome do anfitrião virtual é mbamvirtual.contoso.come a conta de domínio utilizada para os conjuntos aplicacionais Web é contoso\mbamapppooluser.

Observação

Se configurar o balanceamento de carga, utilize a mesma conta do conjunto aplicacional em todos os servidores.

Para obter mais informações sobre como registar SPNs para nomes de anfitrião completamente qualificados, NetBIOS e personalizados, veja Planear como proteger os sites MBAM.

Pré-requisitos do Portal do Self-Service

Versão suportada do Windows Server

Para obter a lista de versões suportadas, veja Configurações suportadas do MBAM 2.5.

ASP.NET MVC 4.0

transferência do ASP.NET MVC 4

Observação

ASP.NET MVC 4.0 já não é necessário após a atualização de manutenção de janeiro de 2023 (HF08).

Ferramentas de Gestão do IIS do Serviço Web

Selecione Scripts e Ferramentas de Gestão do IIS.

Nome do principal de serviço (SPN)

As aplicações Web requerem um SPN para o nome do anfitrião virtual na conta de domínio que utiliza para os conjuntos aplicacionais Web.

Se os seus direitos administrativos lhe permitirem criar SPNs nos Serviços de Domínio do Active Directory, o MBAM cria o SPN por si. Veja Setspn para obter informações sobre os direitos necessários para criar SPNs.

Se não tiver direitos administrativos para criar SPNs, tem de pedir aos administradores do Active Directory na sua organização para criarem o SPN por si através do seguinte comando:

Setspn -s http/mbamvirtual contoso\mbamapppooluser

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

No exemplo de código, o nome do anfitrião virtual é mbamvirtual.contoso.come a conta de domínio utilizada para os conjuntos aplicacionais Web é contoso\mbamapppooluser.

Observação

Se configurar o balanceamento de carga, utilize a mesma conta do conjunto aplicacional em todos os servidores.

Para obter mais informações sobre como registar SPNs para nomes de anfitrião completamente qualificados, NetBIOS e personalizados, veja Planear como proteger os sites MBAM.

Pré-requisitos para a Estação de Trabalho de Gestão

Antes de instalar o cliente MBAM, transfira os modelos de política de grupo MBAM. Configure-as com as definições que pretende implementar no seu ambiente para a Encriptação de Unidade BitLocker.

Antes de instalar o Cliente MBAM, efetue também os seguintes passos:

Preparar o ambiente para o MBAM 2.5

Planear a implementação do MBAM 2.5

Configurações suportadas do MBAM 2.5