本文介绍使用 Configuration Manager 集成拓扑部署 Microsoft BitLocker 管理和监视 (MBAM) 的建议体系结构。 此拓扑将 MBAM 与 System Center Configuration Manager 集成。 若要使用独立拓扑部署 MBAM,请参阅 具有独立拓扑的 MBAM 2.5 的高级体系结构。
有关本文中提到的受支持版本的软件的列表,请参阅 MBAM 2.5 支持的配置。
重要提示
使用 Configuration Manager 2007 时,Configuration Manager集成拓扑安装不支持 Windows To Go。
建议的服务器数和支持的客户端数
下表列出了生产环境中建议的服务器数和支持的客户端数:
| 建议的体系结构 | 详细信息 |
|---|---|
| 服务器和其他计算机的数量 | 三个服务器 一个工作站 |
| 支持的客户端计算机数 | 500,000 |
Configuration Manager集成与独立拓扑之间的差异
拓扑之间的main差异如下:
将从 MBAM 中删除合规性和报告功能,并从Configuration Manager访问。
可以从 Configuration Manager 管理控制台查看报告,但恢复审核报告除外,你可以继续从 MBAM 管理和监视网站查看该报告。
建议使用Configuration Manager集成拓扑的 MBAM 高级体系结构
下图和部分介绍了使用Configuration Manager集成拓扑的 MBAM 建议的高级体系结构。 MBAM 多林部署需要单向或双向信任。 单向信任要求服务器域信任客户端域。
数据库服务器
恢复数据库
此功能在运行 Windows Server 且受支持的 SQL Server 实例的计算机上配置。
恢复数据库存储从 MBAM 客户端计算机收集的恢复数据。
审核数据库
此功能在运行 Windows Server 且受支持的 SQL Server 实例的计算机上配置。
审核数据库存储从访问恢复数据的客户端计算机收集的审核活动数据。
报告
此功能在运行 Windows Server 且受支持的 SQL Server 实例的计算机上配置。
报表为企业中的客户端计算机提供恢复审核数据。 可以从Configuration Manager控制台或直接从SQL Server Reporting Services查看报表。
Configuration Manager主站点服务器
System Center Configuration Manager 集成功能
此功能在Configuration Manager主站点服务器上配置,主站点服务器是Configuration Manager基础结构中的顶层服务器。
Configuration Manager服务器从客户端计算机收集硬件清单信息,并用于报告客户端计算机的 BitLocker 符合性。
运行 Microsoft BitLocker 管理和监视安装向导以安装服务器软件时,将在 Configuration Manager主站点服务器上配置 MBAM 支持的计算机集合、配置基线和报告。
Configuration Manager控制台必须安装在安装 MBAM 服务器软件的同一台计算机上。
管理和监视服务器
管理和监视网站
此功能在运行 Windows Server 的计算机上配置。
管理和监视网站用于:
帮助最终用户在被锁定时重新获得对其计算机的访问权限。 (网站的此区域通常称为技术支持.)
查看恢复审核报告,其中显示了客户端计算机的恢复活动。 可以从Configuration Manager控制台查看其他报告。
自助服务门户
此功能在运行 Windows Server 的计算机上配置。
自助服务门户是一个网站,使客户端计算机上的最终用户能够独立登录网站,以便在丢失或忘记 BitLocker 密码时获取恢复密钥。
监视此网站的 Web 服务
此功能安装在运行 Windows Server 的计算机上。
MBAM 客户端和网站使用 监视 Web 服务 与数据库通信。
重要提示
Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 中不再提供监视 Web 服务,因为 MBAM 网站直接与恢复数据库通信。
管理工作站
MBAM 组策略模板
MBAM 组策略模板是定义 MBAM 实现设置组策略设置,可用于管理 BitLocker 驱动器加密。
在运行 MBAM 之前,必须从如何下载和部署 MDOP 组策略 (.admx) 模板下载组策略模板,并将其复制到运行受支持的Windows Server或 Windows作系统的服务器或工作站。
注意
工作站不必是专用计算机。
MBAM 客户端和Configuration Manager客户端计算机
MBAM 客户端软件
MBAM 客户端:
使用 组策略 对象在企业中的客户端计算机上强制实施 BitLocker 驱动器加密。
收集三种数据驱动器类型的 BitLocker 恢复密钥:作系统驱动器、固定数据驱动器和可移动 (USB) 数据驱动器。
收集有关客户端计算机的恢复信息和计算机信息。
Configuration Manager 客户端
Configuration Manager客户端使Configuration Manager能够收集有关客户端计算机的硬件兼容性数据并报告符合性信息。
受支持Configuration Manager版本的 MBAM 部署差异
使用 Configuration Manager 集成拓扑部署 MBAM 时,可以在主站点服务器上安装 MBAM。 但是,对于 System Center 2012 Configuration Manager 和 Configuration Manager 2007,MBAM 安装的工作方式不同。
| Configuration Manager版本 | 描述 |
|---|---|
| System Center 2012 R2 Configuration Manager System Center 2012 Configuration Manager |
如果在主站点服务器或管理中心服务器上安装 MBAM,MBAM 将对该站点服务器执行所有安装作。 |
| Configuration Manager 2007 R2 配置管理器 2007 |
如果在主站点服务器上安装 MBAM,该主站点服务器是具有中央站点父服务器的较大Configuration Manager层次结构的一部分,则 MBAM 会标识中央站点父服务器,并在该父服务器上执行所有安装作。 安装包括检查先决条件以及安装Configuration Manager对象和报表。 例如,如果在主站点服务器上安装 MBAM,该主站点服务器是中央站点父服务器的子级,则 MBAM 会在父服务器上安装所有Configuration Manager对象和报表。 如果在父服务器上安装 MBAM,MBAM 在该父服务器上执行所有安装作。 |
MBAM 如何与Configuration Manager配合使用
MBAM 与 Configuration Manager 的集成基于安装以下部分中所述项的配置包。
配置数据
配置数据安装名为“BitLocker 保护”的配置基线,其中包含两个配置项目:
- BitLocker作系统驱动器保护
- BitLocker 固定数据驱动器保护
配置基线将部署到 MBAM 支持的计算机集合,在安装 MBAM 时也会创建该集合。 这两个配置项目为评估客户端计算机的符合性状态提供了基础。 此信息在 Configuration Manager 中捕获、存储和评估。 配置项目基于作系统驱动器和固定数据驱动器的符合性要求。 将收集已部署计算机的必需详细信息,以便评估这些驱动器类型的符合性。 默认情况下,配置基线每 12 小时评估一次符合性状态,并将符合性数据发送到Configuration Manager。
MBAM 支持的计算机集合
MBAM 创建一个名为 MBAM 支持的计算机的集合。 配置基线面向此集合中的客户端计算机。 这是一个动态集合。 默认情况下,它每 12 小时运行一次,并根据三个条件评估成员身份:
- 计算机是受支持的 Windows作系统版本。
- 计算机是物理计算机。 不支持虚拟机。
- 计算机具有可用的受信任的平台模块 (TPM) 。 Windows 7 需要兼容的 TPM 1.2 或更高版本。 Windows 11、Windows 10、Windows 8.1、Windows 8和 Windows To Go 不需要 TPM。
针对所有计算机评估集合,并创建一部分兼容计算机,这为 MBAM 集成的合规性评估和报告提供了基础。
报告
使用 Configuration Manager 集成拓扑配置 MBAM 时,可以在 Configuration Manager 中查看所有报表,但恢复审核报告除外,后者将继续在 MBAM 管理和监视网站中查看。 Configuration Manager中提供的报告包括:
- BitLocker 企业级合规性仪表板:在单个报表中为 IT 管理员提供三个信息视图:合规性状态分布、不符合 - 错误分布和按驱动器类型分布的符合性状态分布。 报表上的向下钻取选项允许 IT 管理员选择数据并查看与所选状态匹配的计算机列表。
- BitLocker 企业级合规性详细信息:允许 IT 管理员查看有关企业的 BitLocker 加密符合性状态的信息,并包括每台计算机的符合性状态。 报表上的向下钻取选项允许 IT 管理员选择数据并查看与所选状态匹配的计算机列表。
- BitLocker 计算机符合性: 允许 IT 管理员查看单个计算机,并确定报告其状态为“符合”或“不合规”的原因。 报表还显示作系统驱动器和固定数据驱动器的加密状态。
- BitLocker 企业级符合性摘要:允许 IT 管理员查看企业中 MBAM 策略符合性的状态。 将评估每台计算机的状态,报告显示企业中所有计算机针对策略的符合性摘要。 报表上的向下钻取选项允许 IT 管理员选择数据并查看与所选状态匹配的计算机列表。