共用方式為


如何設定 MBAM 2.5 Web 應用程式

本文說明如何使用下列其中一種方法,針對 MBAM 2.5 的建議高階 架構,設定 Microsoft MBAM) 2.5 Web 應用程式的 BitLocker 管理與監視 (:

  • Windows PowerShell Cmdlet。

  • MBAM 伺服器組態精靈。

Web 應用程式包含下列網站及其對應的 Web 服務:

  • 管理與監視網站:指定的使用者可以在網站中檢視報告,並協助使用者在忘記 PIN 或密碼時復原電腦。
  • 自助入口網站:如果使用者忘記 PIN 或密碼,可以存取的網站可獨立重新取得其計算機的存取權。

開始設定之前

  • 檢閱 MBAM 的建議架構。 如需詳細資訊,請 參閱 MBAM 2.5 的高階架構
  • 檢閱 MBAM 支援的設定。 如需詳細資訊,請參閱 MBAM 2.5 支援的設定
  • 在每部伺服器上完成必要的必要條件。 在設定管理和監視網站之前,請確定您已將 SQL Server Reporting Services (SSRS) 設定為使用安全套接字層 (SSL) 。 否則,報表功能會使用 HTTP 而非 HTTPS。 如需詳細資訊,請參閱獨立和 Configuration Manager 整合拓撲的 MBAM 2.5 伺服器必要 條件,以及 僅適用於 Configuration Manager 整合拓撲的 MBAM 2.5 伺服器必要 條件, (如果適用) 。
  • 為網站的應用程式集區帳戶 (SPN) 註冊服務主體名稱。 只有在 Active Directory Domain Services (ADDS) 中沒有系統管理網域許可權時,才需要執行此步驟。 如果您在 ADDS 中具有這些許可權,MBAM 會為您建立 SPN。 如需詳細資訊,請參閱 規劃如何保護 MBAM 網站
  • 在您要設定 MBAM 伺服器功能的每部伺服器上安裝 MBAM 伺服器軟體。 如果您打算在一部伺服器上安裝網站,並將 Web 服務安裝在另一部伺服器上,則只能使用 Enable-MbamWebApplication Windows PowerShell Cmdlet 進行設定。 MBAM 伺服器組態精靈不支援在不同的伺服器上設定這些專案。 如需詳細資訊,請 參閱安裝 MBAM 2.5 伺服器軟體
  • 如果您打算使用 Cmdlet 來設定 MBAM 伺服器功能,請檢閱使用 Windows PowerShell 的必要條件。 如需詳細資訊, 請參閱使用 Windows PowerShell 設定 MBAM 2.5 伺服器功能

使用 Windows PowerShell 設定 Web 應用程式

  1. 開始設定之前,請參閱 使用 Windows PowerShell 設定 MBAM 2.5 伺服器功能 ,以檢閱使用 Windows PowerShell 的必要條件。

  2. 使用 Enable-MbamWebApplication Cmdlet 來設定使用 Windows PowerShell 的 Web 應用程式。 若要取得此 Cmdlet 的相關信息,請輸入 Get-Help Enable-MbamWebApplication

使用精靈設定所有 Web 應用程式的設定

  1. 在您要設定 Web 應用程式的伺服器上,啟動 [MBAM 伺服器組態精靈]。 您可以從 [開始] 選單選取 [MBAM 伺服器組態] 以開啟精靈。

  2. 取 [新增功能],選取 [ 系統管理與監視網站 ] 和 [自助入口網站],然後選取 [ 下一步]。 精靈會檢查伺服器是否符合 Web 應用程式的所有必要條件。

  3. 如果必要條件檢查成功,請選取 [下一步 ] 繼續。 否則,請解決任何遺漏的必要條件,然後 再次選取 [檢查必要條件]

  4. 使用下列描述在精靈中輸入域值。

    欄位 描述
    安全性憑證 選取先前建立的憑證,選擇性地加密 Web 服務與您要設定網站之伺服器之間的通訊。 如果您選擇 [不要使用憑證],您的 Web 通訊可能不安全。
    主機名稱 您要在其中設定網站的主電腦名稱。
    安裝路徑 您要安裝網站的路徑。
    連接埠 用於網站和服務通訊的埠號碼。 注意: 您必須設定防火牆例外狀況,才能透過指定的埠啟用通訊。
    Web 服務應用程式集區網域帳戶和密碼 Web 服務應用程式集區的網域用戶帳戶和密碼。 如果您在 [設定資料庫] 頁面的 [讀取/寫入存取網域使用者或群組] 字段中輸入使用者名稱,則必須在此欄位中輸入相同的值。 如果您在 [設定資料庫] 頁面上的 [ 讀取/寫入存取網域使用者或群組 ] 欄位中輸入組名,您在此欄位中輸入 值必須是該群組的成員。 如果您未指定認證,則會使用您為任何先前啟用的 Web 應用程式指定的認證。 所有 Web 應用程式都必須使用相同的應用程式集區認證。 如果您為不同的 Web 應用程式指定不同的認證,它會使用最近指定的值。 重要: 為了改善安全性,請將認證中指定的帳戶設定為具有有限的用戶權力。 此外,請將帳戶的密碼設定為永不過期。
  5. 確認已將內建IIS_IUSRS帳戶或應用程式集區帳戶新增至 驗證后模擬客戶 端,以及以 批作業 本機安全性設定登入。

    若要檢查是否已新增至本機安全性設定,請開啟 [ 本機安全策略編輯器],展開 [ 機原則] 節點,選取 [ 用戶權力指派 ] 節點,然後在驗證之後按兩下 [ 模擬客戶 端],然後在右窗格中以 批次作業 原則登入。

使用精靈設定資料庫的連線資訊

  1. 使用下列欄位描述,在精靈中設定合規性和稽核資料庫的聯機資訊。
欄位 描述
SQL Server 名稱 設定合規性與稽核資料庫的伺服器名稱。
SQL Server 資料庫實例 設定合規性和稽核資料庫的 SQL Server 實例名稱。
資料庫名稱 合規性和稽核資料庫的名稱。
  1. 使用下列欄位描述,在復原資料庫精靈中設定連線資訊。
欄位 描述
SQL Server 名稱 設定復原資料庫的伺服器名稱。
SQL Server 資料庫實例 設定復原資料庫的 SQL Server 實例名稱。
資料庫名稱 復原資料庫的名稱。

使用精靈設定 Web 應用程式

  1. 使用下列描述,在精靈中輸入域值,以設定 Administration and Monitoring 網站。

    • 進階技術服務人員角色網域群組:網域使用者群組,其成員可以存取管理與監視網站的所有區域,但報表區域除外。

    • 技術服務人員角色網域群組:網域使用者群組,其成員可以存取管理與監視網站的 管理 TPM磁碟驅動器復原 區域。

    • 使用 System Center Configuration Manager 整合:如果您要使用 Configuration Manager 整合拓撲設定 MBAM,請選取此選項。 它會讓除了復原稽核報告以外的所有報表出現在 Configuration Manager 中,而不是出現在 Administration and Monitoring 網站中。

    • 報告角色網域群組:其成員具有 Administration and Monitoring 網站 [報告] 區域的只讀存取權的網域使用者群組。

    • SQL Server Reporting Services URL:設定 MBAM 報表之 SSRS 伺服器的 URL。 報表 URL 的範例:

      主機名的類型 範例
      具有完整功能變數名稱的範例 https://MyReportServer.Contoso.com/ReportServer
      具有自定義主機名的範例 https://MyReportServer/ReportServer
    • 虛擬目錄:系統管理與監視網站的虛擬目錄。 此名稱會對應至伺服器上的網站實體目錄,並附加至網站的主機名,例如:

      • https://<hostname>:<port>/HelpDesk/
      • 如果您未指定虛擬目錄,則會使用 HelpDesk 值
    • 數據遷移角色網域群組 (選擇性) :其成員有權使用 Write-Mbam*Information Cmdlet 透過此端點寫入復原資訊的網域使用者群組。

  2. 使用下列描述在精靈中輸入域值,以設定 Self-Service 入口網站。

    欄位 描述
    虛擬目錄 Web 應用程式的虛擬目錄。 此名稱會對應至伺服器上的網站實體目錄,並附加至網站的主機名,例如: https://<hostname>:<port>/SelfService/。 如果您未指定虛擬目錄,則會使用 值 SelfService
    公司名稱 指定 Self-Service 入口網站的公司名稱,例如:Contoso IT。 所有 Self-Service 入口網站用戶都會看到此公司名稱。
    技術服務人員 URL 文字 指定將使用者導向組織技術服務人員網站的文字聲明,例如:連絡技術服務人員或 IT 部門。
    技術服務人員URL 指定組織技術服務人員網站的URL,例如: https://<companyHelpdeskURL>/
    注意文字檔 選取檔案,其中包含您想要在入口網站登陸頁面上向用戶顯示的通知 Self-Service。
    不要對用戶顯示注意事項文字 選取此複選框可指定不會向使用者顯示通知文字。
  3. 當您完成專案時,請選取 [ 下一步]

    精靈會檢查伺服器是否符合 Web 應用程式的所有必要條件。

  4. 取 [下一步 ] 繼續。

  5. 在 [ 摘要] 頁面上,檢閱將新增的功能。

    注意

    若要為您所做的專案建立 Windows PowerShell 腳本,請按兩下 [ 匯出 PowerShell 腳稿 ] 並儲存腳本。

  6. 選取 [新增 ] 將 Web 應用程式新增至伺服器,然後選取 [ 關閉]

    若要藉由新增自定義通知文字、公司名稱、詳細資訊的指標等來自定義 Self-Service 入口網站,請參閱 為您的組織自定義 Self-Service 入口網站

若要在用戶端電腦無法存取 CDN 時設定 Self-Service 入口網站

  1. 判斷您是否正在執行 Microsoft MBAM) 2.5 SP1 (BitLocker Administration and Monitoring。 如果是,則不執行任何動作。 您的 Self-Service 入口網站設定已完成。

    注意

    Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 會在安裝程式中安裝 JavaScript 檔案,因此不需要連線到Microsoft內容傳遞網路,即可設定 Self-Service 入口網站。 只有在您使用 SP1 之前的 Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 版本時,才需要下列步驟。

  2. 判斷您的用戶端電腦是否可以存取CDN) (Microsoft內容傳遞網路。

    CDN 會提供 Self-Service 入口網站對特定 JavaScript 檔案所需的存取權。 如果您在用戶端電腦無法存取 CDN 時未設定 Self-Service 入口網站,則只會顯示使用者登入所在的公司名稱和帳戶。 未顯示任何錯誤訊息。

  3. 執行下列其中一個動作:

伺服器事件記錄檔

設定 MBAM 2.5 伺服器功能

如何在用戶端電腦無法存取Microsoft內容傳遞網路時設定 Self-Service 入口網站

為您的組織自定義 Self-Service 入口網站

驗證 MBAM 2.5 伺服器功能設定