Allgemeine Architektur von MBAM 2.5 mit Configuration Manager-Integrationstopologie

  • Artikel

In diesem Artikel wird die empfohlene Architektur für die Bereitstellung von Microsoft BitLocker Administration and Monitoring (MBAM) mit der Configuration Manager-Integrationstopologie beschrieben. Diese Topologie integriert MBAM in System Center Configuration Manager. Informationen zum Bereitstellen von MBAM mit der eigenständigen Topologie finden Sie unter Allgemeine Architektur von MBAM 2.5 mit eigenständiger Topologie.

Eine Liste der unterstützten Versionen der in diesem Artikel erwähnten Software finden Sie unter MbaM 2.5 Unterstützte Konfigurationen.

Wichtig

Windows To Go wird für die Installation der Configuration Manager-Integrationstopologie bei Verwendung von Configuration Manager 2007 nicht unterstützt.

In der folgenden Tabelle sind die empfohlene Anzahl von Servern und die unterstützte Anzahl von Clients in einer Produktionsumgebung aufgeführt:

Empfohlene Architektur Details
Anzahl von Servern und anderen Computern Drei Server
Eine Arbeitsstation
Anzahl der unterstützten Clientcomputer 500,000

Unterschiede zwischen Configuration Manager-Integration und eigenständigen Topologien

Die Hauptunterschiede zwischen den Topologien sind:

  • Die Kompatibilitäts- und Berichterstellungsfeatures werden aus MBAM entfernt und der Zugriff erfolgt über Configuration Manager.

  • Berichte werden über die Configuration Manager-Verwaltungskonsole angezeigt, mit Ausnahme des Wiederherstellungsüberwachungsberichts, den Sie weiterhin auf der MBAM Administration and Monitoring-Website anzeigen.

In den folgenden Diagrammen und Abschnitten wird die empfohlene allgemeine Architektur für MBAM mit der Configuration Manager-Integrationstopologie beschrieben. MBAM-Bereitstellungen mit mehreren Gesamtstrukturen erfordern eine unidirektionale oder bidirektionale Vertrauensstellung. Unidirektionale Vertrauensstellungen erfordern, dass die Serverdomäne der Clientdomäne vertraut.

Konzeptionelles Diagramm der allgemeinen MBAM-Architektur mit Configuration Manager.

Datenbankserver

Wiederherstellungsdatenbank

Dieses Feature wird auf einem Computer konfiguriert, auf dem Windows Server und eine unterstützte SQL Server-Instanz ausgeführt wird.

Die Wiederherstellungsdatenbank speichert Wiederherstellungsdaten, die von MBAM-Clientcomputern gesammelt werden.

Überwachungsdatenbank

Dieses Feature wird auf einem Computer konfiguriert, auf dem Windows Server und eine unterstützte SQL Server-Instanz ausgeführt wird.

Die Überwachungsdatenbank speichert Überwachungsaktivitätsdaten, die von Clientcomputern gesammelt werden, die auf Wiederherstellungsdaten zugegriffen haben.

Berichte

Dieses Feature wird auf einem Computer konfiguriert, auf dem Windows Server und eine unterstützte SQL Server-Instanz ausgeführt wird.

Die Berichte enthalten Wiederherstellungsüberwachungsdaten für die Clientcomputer in Ihrem Unternehmen. Sie können Berichte über die Configuration Manager-Konsole oder direkt über SQL Server Reporting Services anzeigen.

Primärer Configuration Manager-Standortserver

System Center Configuration Manager-Integrationsfeature

  • Dieses Feature wird auf dem primären Configuration Manager-Standortserver konfiguriert, dem Server der obersten Ebene in Ihrer Configuration Manager-Infrastruktur.

  • Der Configuration Manager-Server sammelt die Hardwareinventurinformationen von Clientcomputern und wird verwendet, um die BitLocker-Kompatibilität von Clientcomputern zu melden.

  • Wenn Sie den Setup-Assistenten für die Microsoft BitLocker-Verwaltung und -Überwachung ausführen, um die Serversoftware zu installieren, werden die Sammlung MBAM Supported Computers, die Konfigurationsbaseline und die Berichte auf dem primären Configuration Manager-Standortserver konfiguriert.

  • Die Configuration Manager-Konsole muss auf demSelben Computer installiert sein, auf dem Sie die MBAM-Serversoftware installieren.

Verwaltungs- und Überwachungsserver

Verwaltungs- und Überwachungswebsite

Dieses Feature wird auf einem Computer konfiguriert, auf dem Windows Server ausgeführt wird.

Die Verwaltungs- und Überwachungswebsite wird für Folgendes verwendet:

  • Helfen Sie Endbenutzern, den Zugriff auf ihre Computer wieder zu erhalten, wenn sie gesperrt sind. (Dieser Bereich der Website wird häufig als Helpdesk bezeichnet.)

  • Zeigen Sie den Wiederherstellungsüberwachungsbericht an, in dem die Wiederherstellungsaktivität für Clientcomputer angezeigt wird. Andere Berichte werden über die Configuration Manager-Konsole angezeigt.

Self-Service-Portal

Dieses Feature wird auf einem Computer konfiguriert, auf dem Windows Server ausgeführt wird.

Das Self-Service-Portal ist eine Website, die es Endbenutzern auf Clientcomputern ermöglicht, sich unabhängig bei einer Website anzumelden, um einen Wiederherstellungsschlüssel zu erhalten, wenn sie ihr BitLocker-Kennwort verlieren oder vergessen.

Überwachung von Webdiensten für diese Website

Dieses Feature wird auf einem Computer installiert, auf dem Windows Server ausgeführt wird.

Die Überwachungswebdienste werden vom MBAM-Client und den Websites für die Kommunikation mit der Datenbank verwendet.

Wichtig

Der Überwachungswebdienst ist in Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 nicht mehr verfügbar, da die MBAM-Websites direkt mit der Wiederherstellungsdatenbank kommunizieren.

Verwaltungsarbeitsstation

MBAM-Gruppenrichtlinienvorlagen

  • Die MBAM-Gruppenrichtlinienvorlagen sind Gruppenrichtlinieneinstellungen, die Implementierungseinstellungen für MBAM definieren, mit denen Sie die BitLocker-Laufwerkverschlüsselung verwalten können.

  • Bevor Sie MBAM ausführen, müssen Sie die Gruppenrichtlinienvorlagen unter Herunterladen und Bereitstellen von MDOP-Gruppenrichtlinienvorlagen (ADMX)-Vorlagen herunterladen und auf einen Server oder eine Arbeitsstation kopieren, auf dem ein unterstütztes Windows Server- oder Windows-Betriebssystem ausgeführt wird.

    Hinweis

    Die Arbeitsstation muss kein dedizierter Computer sein.

MBAM-Client und Configuration Manager-Clientcomputer

MBAM-Clientsoftware

Der MBAM-Client:

  • Verwendet Gruppenrichtlinienobjekte, um die BitLocker-Laufwerkverschlüsselung auf Clientcomputern im Unternehmen zu erzwingen.

  • Erfasst den BitLocker-Wiederherstellungsschlüssel für drei Datentypen: Betriebssystemlaufwerke, Festplattenlaufwerke und USB-Wechseldatenträger.

  • Sammelt Wiederherstellungs- und Computerinformationen zu den Clientcomputern.

Konfigurations-Manager – Client

Mit dem Configuration Manager-Client kann Configuration Manager Hardwarekompatibilitätsdaten zu den Clientcomputern sammeln und Konformitätsinformationen melden.

Unterschiede bei der MBAM-Bereitstellung für unterstützte Configuration Manager-Versionen

Wenn Sie MBAM mit der Configuration Manager-Integrationstopologie bereitstellen, können Sie MBAM auf einem primären Standortserver installieren. Die MBAM-Installation funktioniert jedoch für System Center 2012 Configuration Manager und Configuration Manager 2007 anders.

Configuration Manager-Version Beschreibung
System Center 2012 R2 Configuration Manager
System Center 2012 Configuration Manager		 Wenn Sie MBAM auf einem primären Standortserver oder auf einem Server der zentralen Verwaltung installieren, führt MBAM alle Installationsaktionen auf diesem Standortserver aus.
Configuration Manager 2007 R2
Configuration Manager 2007		 Wenn Sie MBAM auf einem primären Standortserver installieren, der Teil einer größeren Configuration Manager-Hierarchie mit einem übergeordneten Zentralen Standortserver ist, identifiziert MBAM den übergeordneten Zentralen Standortserver und führt alle Installationsaktionen auf diesem übergeordneten Server aus. Die Installation umfasst das Überprüfen der erforderlichen Komponenten und die Installation der Configuration Manager-Objekte und -Berichte.

Wenn Sie beispielsweise MBAM auf einem primären Standortserver installieren, der einem übergeordneten Zentralen Standortserver untergeordnet ist, installiert MBAM alle Configuration Manager-Objekte und -Berichte auf dem übergeordneten Server. Wenn Sie MBAM auf dem übergeordneten Server installieren, führt MBAM alle Installationsaktionen auf diesem übergeordneten Server aus.

Funktionsweise von MBAM mit Configuration Manager

Die Integration von MBAM in Configuration Manager basiert auf einem Konfigurationspaket, das die in den folgenden Abschnitten beschriebenen Elemente installiert.

Konfigurationsdaten

Die Konfigurationsdaten installieren eine Konfigurationsbaseline namens "BitLocker-Schutz", die zwei Konfigurationselemente enthält:

  • BitLocker-Betriebssystemlaufwerkschutz
  • Schutz von BitLocker-Festplattenlaufwerken

Die Konfigurationsbaseline wird in der MBAM Supported Computers-Sammlung bereitgestellt, die ebenfalls erstellt wird, wenn MBAM installiert wird. Die beiden Konfigurationselemente bilden die Grundlage für die Auswertung des Konformitätsstatus der Clientcomputer. Diese Informationen werden in Configuration Manager erfasst, gespeichert und ausgewertet. Die Konfigurationselemente basieren auf den Konformitätsanforderungen für Betriebssystemlaufwerke und Festplattenlaufwerke. Die erforderlichen Details für die bereitgestellten Computer werden gesammelt, damit die Konformität für diese Laufwerktypen ausgewertet werden kann. Standardmäßig wertet die Konfigurationsbaseline den Konformitätsstatus alle 12 Stunden aus und sendet die Konformitätsdaten an Configuration Manager.

MBAM Supported Computers-Sammlung

MBAM erstellt eine Sammlung namens MBAM Supported Computers. Die Konfigurationsbaseline richtet sich an Clientcomputer, die sich in dieser Sammlung befinden. Dies ist eine dynamische Auflistung. Standardmäßig wird sie alle 12 Stunden ausgeführt und wertet die Mitgliedschaft anhand von drei Kriterien aus:

  • Der Computer ist eine unterstützte Version des Windows-Betriebssystems.
  • Der Computer ist ein physischer Computer. Virtuelle Computer werden nicht unterstützt.
  • Der Computer verfügt über ein trusted Platform Module (TPM), das verfügbar ist. Für Windows 7 ist eine kompatible Version von TPM 1.2 oder höher erforderlich. Für Windows 11, Windows 10, Windows 8.1, Windows 8 und Windows To Go ist kein TPM erforderlich.

Die Sammlung wird für alle Computer ausgewertet und eine Teilmenge kompatibler Computer erstellt, die die Grundlage für die Konformitätsbewertung und -berichterstellung für die MBAM-Integration bildet.

Berichte

Wenn Sie MBAM mit der Configuration Manager-Integrationstopologie konfigurieren, zeigen Sie alle Berichte in Configuration Manager an, mit Ausnahme des Wiederherstellungsüberwachungsberichts, den Sie weiterhin auf der MBAM Administration and Monitoring-Website anzeigen. Die in Configuration Manager verfügbaren Berichte sind:

  • BitLocker Enterprise Compliance Dashboard: Bietet IT-Administratoren drei Ansichten von Informationen in einem einzigen Bericht: Verteilung des Konformitätsstatus, Nicht konform – Fehlerverteilung und Verteilung des Konformitätsstatus nach Laufwerktyp. Mithilfe von Drilldownoptionen für den Bericht können IT-Administratoren die Daten auswählen und eine Liste der Computer anzeigen, die dem ausgewählten Zustand entsprechen.
  • Details zur BitLocker Enterprise-Kompatibilität: Ermöglicht IT-Administratoren das Anzeigen von Informationen zum BitLocker-Verschlüsselungskonformitätsstatus des Unternehmens und enthält den Konformitätsstatus für jeden Computer. Mithilfe von Drilldownoptionen für den Bericht können IT-Administratoren die Daten auswählen und eine Liste der Computer anzeigen, die dem ausgewählten Zustand entsprechen.
  • BitLocker-Computerkonformität: Ermöglicht IT-Administratoren, einen einzelnen Computer anzuzeigen und zu bestimmen, warum er mit dem Status "Konform" oder "Nicht konform" gemeldet wurde. Der Bericht zeigt auch den Verschlüsselungsstatus der Betriebssystemlaufwerke und Festplattenlaufwerke an.
  • Zusammenfassung der BitLocker Enterprise-Kompatibilität: Ermöglicht IT-Administratoren das Anzeigen des Status der MBAM-Richtlinienkonformität im Unternehmen. Der Status jedes Computers wird ausgewertet, und der Bericht zeigt eine Zusammenfassung der Konformität aller Computer im Unternehmen mit der Richtlinie an. Mithilfe von Drilldownoptionen für den Bericht können IT-Administratoren die Daten auswählen und eine Liste der Computer anzeigen, die dem ausgewählten Zustand entsprechen.

Infos zu MBAM 2.5 SP1

Allgemeine Architektur von MBAM 2.5 mit eigenständiger Topologie

Veranschaulichte Features einer MBAM 2.5-Bereitstellung