具有 Configuration Manager 集成拓扑的 MBAM 2.5 的高级体系结构
本文介绍使用 Configuration Manager 集成拓扑部署 Microsoft BitLocker 管理和监视 (MBAM) 的建议体系结构。 此拓扑将 MBAM 与 System Center Configuration Manager 集成。 若要使用独立拓扑部署 MBAM,请参阅 具有独立拓扑的 MBAM 2.5 的高级体系结构。
有关本文中提到的受支持版本的软件的列表,请参阅 MBAM 2.5 支持的配置。
重要提示
使用 Configuration Manager 2007 时,Configuration Manager 集成拓扑安装不支持 Windows To Go。
建议的服务器数和支持的客户端数
下表列出了生产环境中建议的服务器数和支持的客户端数:
建议的体系结构 | 详细信息 |
---|---|
服务器和其他计算机的数量 | 三个服务器 一个工作站 |
支持的客户端计算机数 | 500,000 |
Configuration Manager 集成与独立拓扑之间的差异
拓扑之间的主要区别是:
合规性和报告功能将从 MBAM 中删除,并从 Configuration Manager 访问。
报表是从 Configuration Manager 管理控制台查看的,恢复审核报告除外,你可以继续从 MBAM 管理和监视网站查看该报告。
建议使用 Configuration Manager 集成拓扑的 MBAM 高级体系结构
下图和部分介绍了使用 Configuration Manager 集成拓扑的 MBAM 建议的高级体系结构。 MBAM 多林部署需要单向或双向信任。 单向信任要求服务器域信任客户端域。
数据库服务器
恢复数据库
此功能在运行 Windows Server 和支持的 SQL Server 实例的计算机上配置。
恢复数据库存储从 MBAM 客户端计算机收集的恢复数据。
审核数据库
此功能在运行 Windows Server 和支持的 SQL Server 实例的计算机上配置。
审核数据库存储从访问恢复数据的客户端计算机收集的审核活动数据。
报告
此功能在运行 Windows Server 和支持的 SQL Server 实例的计算机上配置。
报表为企业中的客户端计算机提供恢复审核数据。 可以从 Configuration Manager 控制台或直接从 SQL Server Reporting Services 查看报表。
Configuration Manager 主站点服务器
System Center Configuration Manager 集成功能
此功能在 Configuration Manager 主站点服务器上配置,该服务器是 Configuration Manager 基础结构中的顶层服务器。
Configuration Manager 服务器从客户端计算机收集硬件清单信息,并用于报告客户端计算机的 BitLocker 符合性。
运行 Microsoft BitLocker 管理和监视安装向导以安装服务器软件时,将在 Configuration Manager 主站点服务器上配置 MBAM 支持的计算机集合、配置基线和报告。
Configuration Manager 控制台必须安装在安装 MBAM 服务器软件的同一台计算机上。
管理和监视服务器
管理和监视网站
此功能在运行 Windows Server 的计算机上配置。
管理和监视网站用于:
帮助最终用户在被锁定时重新获得对其计算机的访问权限。 (网站的此区域通常称为技术支持.)
查看恢复审核报告,其中显示了客户端计算机的恢复活动。 可从 Configuration Manager 控制台查看其他报表。
自助服务门户
此功能在运行 Windows Server 的计算机上配置。
自助服务门户是一个网站,使客户端计算机上的最终用户能够独立登录网站,以便在丢失或忘记 BitLocker 密码时获取恢复密钥。
监视此网站的 Web 服务
此功能安装在运行 Windows Server 的计算机上。
MBAM 客户端和网站使用 监视 Web 服务 与数据库通信。
重要提示
Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 中不再提供监视 Web 服务,因为 MBAM 网站直接与恢复数据库通信。
管理工作站
MBAM 组策略模板
MBAM 组策略模板是定义 MBAM 实现设置的组策略设置,可用于管理 BitLocker 驱动器加密。
在运行 MBAM 之前,必须从 如何下载和部署 MDOP 组策略 (.admx) 模板 下载组策略模板,并将其复制到运行受支持的 Windows Server 或 Windows 操作系统的服务器或工作站。
注意
工作站不必是专用计算机。
MBAM 客户端和 Configuration Manager 客户端计算机
MBAM 客户端软件
MBAM 客户端:
使用组策略对象在企业中的客户端计算机上强制实施 BitLocker 驱动器加密。
收集三种数据驱动器类型的 BitLocker 恢复密钥:操作系统驱动器、固定数据驱动器和可移动 (USB) 数据驱动器。
收集有关客户端计算机的恢复信息和计算机信息。
Configuration Manager 客户端
Configuration Manager 客户端使 Configuration Manager 能够收集有关客户端计算机的硬件兼容性数据并报告符合性信息。
支持的 Configuration Manager 版本的 MBAM 部署差异
使用 Configuration Manager 集成拓扑部署 MBAM 时,可以在主站点服务器上安装 MBAM。 但是,对于 System Center 2012 Configuration Manager 和 Configuration Manager 2007,MBAM 安装的工作方式不同。
Configuration Manager 版本 | 说明 |
---|---|
System Center 2012 R2 Configuration Manager System Center 2012 Configuration Manager |
如果在主站点服务器或管理中心服务器上安装 MBAM,MBAM 将对该站点服务器执行所有安装操作。 |
Configuration Manager 2007 R2 配置管理器 2007 |
如果在具有中央站点父服务器的大型 Configuration Manager 层次结构的一部分的主站点服务器上安装 MBAM,则 MBAM 会标识中央站点父服务器,并在该父服务器上执行所有安装操作。 安装包括检查先决条件以及安装 Configuration Manager 对象和报表。 例如,如果在作为中央站点父服务器子级的主站点服务器上安装 MBAM,则 MBAM 会在父服务器上安装所有 Configuration Manager 对象和报表。 如果在父服务器上安装 MBAM,MBAM 在该父服务器上执行所有安装操作。 |
MBAM 如何与 Configuration Manager 配合使用
MBAM 与 Configuration Manager 的集成基于一个配置包,该包可安装以下部分中所述的项。
配置数据
配置数据安装名为“BitLocker 保护”的配置基线,其中包含两个配置项目:
- BitLocker 操作系统驱动器保护
- BitLocker 固定数据驱动器保护
配置基线将部署到 MBAM 支持的计算机集合,在安装 MBAM 时也会创建该集合。 这两个配置项目为评估客户端计算机的符合性状态提供了基础。 此信息在 Configuration Manager 中捕获、存储和评估。 配置项目基于操作系统驱动器和固定数据驱动器的符合性要求。 将收集已部署计算机的必需详细信息,以便评估这些驱动器类型的符合性。 默认情况下,配置基线每 12 小时评估一次符合性状态,并将符合性数据发送到 Configuration Manager。
MBAM 支持的计算机集合
MBAM 创建一个名为 MBAM 支持的计算机的集合。 配置基线面向此集合中的客户端计算机。 这是一个动态集合。 默认情况下,它每 12 小时运行一次,并根据三个条件评估成员身份:
- 计算机是受支持的 Windows 操作系统版本。
- 计算机是物理计算机。 不支持虚拟机。
- 计算机具有可用的受信任的平台模块 (TPM) 。 Windows 7 需要兼容的 TPM 1.2 或更高版本。 Windows 11、Windows 10、Windows 8.1、Windows 8 和 Windows To Go 不需要 TPM。
针对所有计算机评估集合,并创建一部分兼容计算机,这为 MBAM 集成的合规性评估和报告提供了基础。
报告
使用 Configuration Manager 集成拓扑配置 MBAM 时,可以在 Configuration Manager 中查看所有报表,但恢复审核报告除外,后者可在 MBAM 管理和监视网站中继续查看。 Configuration Manager 中可用的报表包括:
- BitLocker 企业合规性仪表板: 为 IT 管理员提供单个报表中信息的三个视图:合规性状态分布、不符合 - 错误分布和按驱动器类型分布的符合性状态分布。 报表上的向下钻取选项允许 IT 管理员选择数据并查看与所选状态匹配的计算机列表。
- BitLocker 企业合规性详细信息: 允许 IT 管理员查看有关企业的 BitLocker 加密符合性状态的信息,并包括每台计算机的符合性状态。 报表上的向下钻取选项允许 IT 管理员选择数据并查看与所选状态匹配的计算机列表。
- BitLocker 计算机符合性: 允许 IT 管理员查看单个计算机,并确定报告其状态为“符合”或“不合规”的原因。 报表还显示操作系统驱动器和固定数据驱动器的加密状态。
- BitLocker 企业符合性摘要: 允许 IT 管理员查看企业中 MBAM 策略符合性的状态。 将评估每台计算机的状态,报告显示企业中所有计算机针对策略的符合性摘要。 报表上的向下钻取选项允许 IT 管理员选择数据并查看与所选状态匹配的计算机列表。