Architecture de haut niveau de MBAM 2.5 avec topologie d’intégration Configuration Manager

  • Article

Cet article décrit l’architecture recommandée pour le déploiement de Microsoft BitLocker Administration and Monitoring (MBAM) avec la topologie d’intégration Configuration Manager. Cette topologie intègre MBAM à System Center Configuration Manager. Pour déployer MBAM avec la topologie autonome, consultez Architecture de haut niveau de MBAM 2.5 avec topologie autonome.

Pour obtenir la liste des versions prises en charge des logiciels mentionnés dans cet article, consultez Configurations prises en charge par MBAM 2.5.

Important

Windows To Go n’est pas pris en charge pour l’installation de la topologie d’intégration de Configuration Manager lorsque vous utilisez Configuration Manager 2007.

Le tableau suivant répertorie le nombre recommandé de serveurs et le nombre de clients pris en charge dans un environnement de production :

Architecture recommandée Détails
Nombre de serveurs et d’autres ordinateurs Trois serveurs
Une station de travail
Nombre d’ordinateurs clients pris en charge 500,000

Différences entre l’intégration de Configuration Manager et les topologies autonomes

Les principales différences entre les topologies sont les suivantes :

  • Les fonctionnalités de conformité et de création de rapports sont supprimées de MBAM et sont accessibles à partir de Configuration Manager.

  • Les rapports sont consultés à partir de la console de gestion Configuration Manager, à l’exception du rapport d’audit de récupération, que vous continuez à afficher à partir du site web d’administration et de surveillance MBAM.

Le diagramme et les sections suivants décrivent l’architecture générale recommandée pour MBAM avec la topologie d’intégration de Configuration Manager. Les déploiements multi-forêts MBAM nécessitent une approbation unidirectionnelle ou bidirectionnelle. Les approbations unidirectionnelle nécessitent que le domaine serveur approuve le domaine client.

Diagramme conceptuel de l’architecture de haut niveau MBAM avec Configuration Manager.

Serveur de base de données

Base de données de récupération

Cette fonctionnalité est configurée sur un ordinateur exécutant Windows Server et une instance SQL Server prise en charge.

La base de données de récupération stocke les données de récupération collectées à partir des ordinateurs clients MBAM.

Base de données d’audit

Cette fonctionnalité est configurée sur un ordinateur exécutant Windows Server et une instance SQL Server prise en charge.

La base de données d’audit stocke les données d’activité d’audit collectées à partir des ordinateurs clients qui ont accédé aux données de récupération.

Rapports

Cette fonctionnalité est configurée sur un ordinateur exécutant Windows Server et une instance SQL Server prise en charge.

Les rapports fournissent des données d’audit de récupération pour les ordinateurs clients de votre entreprise. Vous pouvez afficher des rapports à partir de la console Configuration Manager ou directement à partir de SQL Server Reporting Services.

Serveur de site principal Configuration Manager

Fonctionnalité d’intégration de System Center Configuration Manager

  • Cette fonctionnalité est configurée sur le serveur de site principal Configuration Manager, qui est le serveur de niveau supérieur de votre infrastructure Configuration Manager.

  • Le serveur Configuration Manager collecte les informations d’inventaire matériel des ordinateurs clients et est utilisé pour signaler la conformité BitLocker des ordinateurs clients.

  • Lorsque vous exécutez l’Assistant Installation d’administration et de surveillance de Microsoft BitLocker pour installer le logiciel serveur, le regroupement des ordinateurs pris en charge par MBAM, la base de référence de configuration et les rapports sont configurés sur le serveur de site principal Configuration Manager.

  • La console Configuration Manager doit être installée sur le même ordinateur que celui sur lequel vous installez le logiciel du serveur MBAM.

Serveur d’administration et de surveillance

Site web d’administration et de surveillance

Cette fonctionnalité est configurée sur un ordinateur exécutant Windows Server.

Le site web d’administration et de surveillance est utilisé pour :

  • Aidez les utilisateurs finaux à retrouver l’accès à leurs ordinateurs lorsqu’ils sont verrouillés. (Cette zone du site Web est communément appelée support technique.)

  • Affichez le rapport d’audit de récupération, qui affiche l’activité de récupération pour les ordinateurs clients. Les autres rapports sont consultés à partir de la console Configuration Manager.

Portail libre-service

Cette fonctionnalité est configurée sur un ordinateur exécutant Windows Server.

Le portail libre-service est un site web qui permet aux utilisateurs finaux sur les ordinateurs clients de se connecter indépendamment à un site web pour obtenir une clé de récupération s’ils perdent ou oublient leur mot de passe BitLocker.

Surveillance des services web pour ce site web

Cette fonctionnalité est installée sur un ordinateur exécutant Windows Server.

Les services web de surveillance sont utilisés par le client MBAM et les sites web pour communiquer avec la base de données.

Important

Le service web d’analyse n’est plus disponible dans Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1, car les sites web MBAM communiquent directement avec la base de données de récupération.

Station de travail de gestion

Modèles de stratégie de groupe MBAM

  • Les modèles de stratégie de groupe MBAM sont des paramètres de stratégie de groupe qui définissent des paramètres d’implémentation pour MBAM, qui vous permettent de gérer le chiffrement de lecteur BitLocker.

  • Avant d’exécuter MBAM, vous devez télécharger les modèles de stratégie de groupe à partir du Guide pratique pour télécharger et déployer des modèles de stratégie de groupe MDOP (.admx) et les copier sur un serveur ou une station de travail qui exécute un système d’exploitation Windows Server ou Windows pris en charge.

    Remarque

    La station de travail n’a pas besoin d’être un ordinateur dédié.

Client MBAM et ordinateur client Configuration Manager

Logiciel client MBAM

Le client MBAM :

  • Utilise des objets de stratégie de groupe pour appliquer le chiffrement de lecteur BitLocker sur les ordinateurs clients de l’entreprise.

  • Collecte la clé de récupération BitLocker pour trois types de lecteurs de données : lecteurs de système d’exploitation, lecteurs de données fixes et lecteurs de données amovibles (USB).

  • Collecte des informations de récupération et des informations sur les ordinateurs clients.

Client Configuration Manager

Le client Configuration Manager permet à Configuration Manager de collecter des données de compatibilité matérielle sur les ordinateurs clients et de signaler des informations de conformité.

Différences dans le déploiement de MBAM pour les versions de Configuration Manager prises en charge

Lorsque vous déployez MBAM avec la topologie d’intégration de Configuration Manager, vous pouvez installer MBAM sur un serveur de site principal. Toutefois, l’installation de MBAM fonctionne différemment pour System Center 2012 Configuration Manager et Configuration Manager 2007.

Version de Configuration Manager Description
System Center 2012 R2 Configuration Manager
System Center 2012 Configuration Manager		 Si vous installez MBAM sur un serveur de site principal ou sur un serveur d’administration centrale, MBAM effectue toutes les actions d’installation sur ce serveur de site.
Configuration Manager 2007 R2
Gestionnaire de configuration 2007		 Si vous installez MBAM sur un serveur de site principal qui fait partie d’une hiérarchie Configuration Manager plus grande avec un serveur parent de site central, MBAM identifie le serveur parent de site central et effectue toutes les actions d’installation sur ce serveur parent. L’installation comprend la vérification des prérequis et l’installation des objets et rapports Configuration Manager.

Par exemple, si vous installez MBAM sur un serveur de site principal qui est un enfant d’un serveur parent de site central, MBAM installe tous les objets Configuration Manager et les rapports sur le serveur parent. Si vous installez MBAM sur le serveur parent, MBAM effectue toutes les actions d’installation sur ce serveur parent.

Fonctionnement de MBAM avec Configuration Manager

L’intégration de MBAM à Configuration Manager est basée sur un pack de configuration qui installe les éléments décrits dans les sections suivantes.

Données de configuration

Les données de configuration installent une base de référence de configuration, appelée « Protection BitLocker », qui contient deux éléments de configuration :

  • Protection du lecteur du système d’exploitation BitLocker
  • Protection des lecteurs de données fixes BitLocker

La base de référence de configuration est déployée sur le regroupement d’ordinateurs pris en charge par MBAM, qui est également créé lors de l’installation de MBAM. Les deux éléments de configuration constituent la base de l’évaluation de l’état de conformité des ordinateurs clients. Ces informations sont capturées, stockées et évaluées dans Configuration Manager. Les éléments de configuration sont basés sur les exigences de conformité pour les lecteurs de système d’exploitation et les lecteurs de données fixes. Les détails requis pour les ordinateurs déployés sont collectés afin que la conformité de ces types de lecteurs puisse être évaluée. Par défaut, la base de référence de configuration évalue l’état de conformité toutes les 12 heures et envoie les données de conformité à Configuration Manager.

Collection d’ordinateurs pris en charge par MBAM

MBAM crée une collection appelée Ordinateurs pris en charge par MBAM. La base de référence de configuration est ciblée sur les ordinateurs clients qui font partie de ce regroupement. Il s’agit d’une collection dynamique. Par défaut, il s’exécute toutes les 12 heures et évalue l’appartenance, selon trois critères :

  • L’ordinateur est une version prise en charge du système d’exploitation Windows.
  • L’ordinateur est un ordinateur physique. Les machines virtuelles ne sont pas prises en charge.
  • L’ordinateur dispose d’un module de plateforme sécurisée (TPM) disponible. Une version compatible de TPM 1.2 ou ultérieure est requise pour Windows 7. Windows 11, Windows 10, Windows 8.1, Windows 8 et Windows To Go ne nécessitent pas de TPM.

Le regroupement est évalué par rapport à tous les ordinateurs et un sous-ensemble d’ordinateurs compatibles est créé, ce qui fournit la base pour l’évaluation de la conformité et la création de rapports pour l’intégration DE MBAM.

Rapports

Lorsque vous configurez MBAM avec la topologie d’intégration de Configuration Manager, vous affichez tous les rapports dans Configuration Manager, à l’exception du rapport d’audit de récupération, que vous continuez à afficher dans le site web d’administration et de surveillance MBAM. Les rapports disponibles dans Configuration Manager sont les suivants :

  • Tableau de bord de conformité BitLocker Enterprise : Fournit aux administrateurs informatiques trois vues des informations dans un seul rapport : Distribution de l’état de conformité, Non conforme - Distribution des erreurs et Distribution de l’état de conformité par type de lecteur. Les options d’exploration du rapport permettent aux administrateurs informatiques de sélectionner les données et d’afficher la liste des ordinateurs correspondant à l’état sélectionné.
  • Détails de conformité BitLocker Enterprise : Permet aux administrateurs informatiques d’afficher des informations sur l’état de conformité du chiffrement BitLocker de l’entreprise et inclut l’état de conformité de chaque ordinateur. Les options d’exploration du rapport permettent aux administrateurs informatiques de sélectionner les données et d’afficher la liste des ordinateurs correspondant à l’état sélectionné.
  • Conformité de l’ordinateur BitLocker : Permet aux administrateurs informatiques d’afficher un ordinateur individuel et de déterminer pourquoi il a été signalé avec un état conforme ou non conforme. Le rapport affiche également l’état de chiffrement des lecteurs du système d’exploitation et des lecteurs de données fixes.
  • Résumé de la conformité BitLocker Enterprise : Permet aux administrateurs informatiques d’afficher l’état de conformité à la stratégie MBAM dans l’entreprise. L’état de chaque ordinateur est évalué et le rapport affiche un résumé de la conformité de tous les ordinateurs de l’entreprise à la stratégie. Les options d’exploration du rapport permettent aux administrateurs informatiques de sélectionner les données et d’afficher la liste des ordinateurs correspondant à l’état sélectionné.

À propos de MBAM 2.5 SP1

Architecture de haut niveau de MBAM 2.5 avec topologie autonome

Fonctionnalités illustrées d’un déploiement MBAM 2.5