Montage plateforme Microsoft BitLocker Administration and Monitoring - partie 3 – Gestion des rôles utilisateurs MBAM

Ceci est le troisième billet d’une série consacrée à la création étape par étape d’une plateforme Microsoft BitLocker Administration and Monitoring (MBAM).

Ce billet sera consacré aux différents profils d’administrateurs utilisables dans MBAM.

Les premières parties de cette série sont visibles aux adresses suivantes :

• Partie 1 - Introduction et présentation de la plateforme
  https://blogs.technet.com/b/stanislas/archive/2011/08/04/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-1-introduction-et-pr-233-sentation-de-la-plateforme.aspx
• Partie 2 - Installation du serveur MBAM
  https://blogs.technet.com/b/stanislas/archive/2011/08/05/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-2-installation-du-serveur-mbam.aspx

Vérification des groupes locaux MBAM

Sur la machine MBAM, ouvrir le gestionnaire d'utilisateurs et vérifier la présence de groupes locaux créés par l'assistant MBAM

Création de groupes globaux dans l’Active Directory

Dans Active Directory, créer des groupes globaux correspondants à ceux locaux de MBAM (en terme de libellé)

Mettre dans les groupes globaux AD les utilisateurs en fonction de leur profil d'administration.

Ajout des groupes globaux AD dans les groupes locaux du serveur MBAM

Mettre les groupes AD créés précédemment dans les groupes locaux associés [cf. le bon vieux AGLP (https://technet.microsoft.com/en-us/library/bb742592.aspx)]

• • Les membres du groupe "MBAM System Administrators" ont accès à toutes les fonctionnalités d'administration et de supervision dans la console d'administration MBAM.
  • Les membres du groupe "MBAM Hardware Users" ont accès aux fonctionnalités "Hardware Compatibility" de la console d'administration MBAM.
  • Les membres du groupe "MBAM Helpdesk Users" ont accès à la gestion des TPM et les options de récupération des lecteurs et doivent saisir l'intégralité des champs
    Les membres du groupe "MBAM Report Users" ont accès aux rapports d'audit et de conformité de la console d'administration MBAM.
  • Les membres du groupe "MBAM Advanced Helpdesk Users" ont un accès avancé à la gestion des TPM et les options de récupération des lecteurs et ne sont pas obligés de saisir l'intégralité des champs lors de la récupération (seuls les champs Domain Computer et Computer Name sont nécessaires)

Informations complémentaires :

• How to Manage MBAM Administrator Roles
  https://onlinehelp.microsoft.com/mdop/hh285649.aspx

Prochains articles :

• La vérification de la bonne installation de MBAM
• Le déploiement du client MBAM sur les postes de travail Windows 7
• La configuration du client MBAM via stratégie de groupe (GPO)
• Le test de fonctionnement sur le poste client
• Les améliorations possibles de cette plateforme

- Stanislas Quastana -