Prérequis du serveur MBAM 2.5 pour les topologies d’intégration autonomes et Configuration Manager
Avant de commencer l’installation de Microsoft BitLocker Administration and Monitoring (MBAM), vous devez remplir les conditions préalables répertoriées dans cet article. Ces prérequis s’appliquent à la topologie autonome MBAM et à la topologie d’intégration de System Center Configuration Manager.
Si vous déployez MBAM avec System Center Configuration Manager, vous devez remplir d’autres conditions préalables, qui sont répertoriées dans les prérequis du serveur MBAM 2.5 qui s’appliquent uniquement à la topologie d’intégration Configuration Manager.
Pour obtenir la liste du matériel et des systèmes d’exploitation pris en charge pour MBAM, consultez Configurations prises en charge par MBAM 2.5.
Important
Si BitLocker a été utilisé sans MBAM, vous devez déchiffrer le lecteur, puis effacer le module TPM à l’aide de tpm.msc. Si l’appareil est déjà chiffré et que le mot de passe du propriétaire du module de plateforme sécurisée a été créé, MBAM ne peut pas prendre possession de TPM.
Rôles et comptes MBAM requis
Pour plus d’informations sur les groupes créés dans Active Directory Domain Services (ADDS), consultez Planification des groupes et comptes MBAM 2.5.
Prérequis pour la base de données de récupération
| Prérequis | Détails |
|---|---|
| Version prise en charge de SQL Server | Installez Microsoft SQL Server avec SQL_Latin1_General_CP1_CI_AS classement. Consultez Configurations prises en charge par MBAM 2.5 pour connaître les versions prises en charge. |
| Autorisations SQL Server requises | Autorisations requises : - Rôles serveur de connexion d’instance SQL Server : - dbcreator- processadmin- Droits d’instance SQL Server Reporting Services : - Créer des dossiers - Publier des rapports |
| Facultatif - Installer la fonctionnalité Transparent Data Encryption (TDE) disponible dans SQL Server | La fonctionnalité TDE SQL Server effectue le chiffrement des E/S en temps réel et le déchiffrement des fichiers de données et des fichiers journaux, ce qui peut vous aider à vous conformer aux lois, réglementations et directives qui s’appliquent à différents secteurs d’activité. Note: TDE effectue un déchiffrement en temps réel des informations de base de données. Si vous affichez les informations de clé de récupération dans la base de données SQL Server et que vous êtes connecté sous un compte disposant d’autorisations sur la base de données, les informations sur la clé de récupération sont visibles. Pour en savoir plus sur TDE, consultez Considérations relatives à la sécurité MBAM 2.5. |
| Services moteur de base de données SQL Server | Les services moteur de base de données SQL Server doivent être installés et en cours d’exécution pendant l’installation du serveur MBAM. |
| Windows PowerShell 3.0 ou version ultérieure | Windows PowerShell n’a pas besoin d’être installé sur le serveur de base de données de récupération si vous utilisez Windows PowerShell pour configurer la base de données à partir d’un ordinateur distant. |
Conditions préalables pour la base de données de conformité et d’audit
| Prérequis | Détails |
|---|---|
| Version prise en charge de SQL Server | Installez SQL Server avec SQL_Latin1_General_CP1_CI_AS classement. Consultez Configurations prises en charge par MBAM 2.5 pour connaître les versions prises en charge. |
| Autorisations SQL Server requises | Autorisations requises : - Rôles serveur de connexion d’instance SQL Server : - dbcreator- processadmin- Droits d’instance SQL Server Reporting Services : - Créer des dossiers - Publier des rapports |
| Facultatif - Installer la fonctionnalité Transparent Data Encryption (TDE) dans SQL Server | La fonctionnalité TDE SQL Server effectue le chiffrement des E/S en temps réel et le déchiffrement des fichiers de données et des fichiers journaux, ce qui peut vous aider à vous conformer aux lois, réglementations et directives qui s’appliquent à différents secteurs d’activité. TDE effectue un déchiffrement en temps réel des informations de base de données. Cela signifie que, si vous affichez les informations de clé de récupération dans la base de données SQL Server et que vous êtes connecté sous un compte disposant d’autorisations sur la base de données, les informations de clé de récupération sont visibles. Pour en savoir plus sur TDE, consultez Considérations relatives à la sécurité MBAM 2.5. |
| Services moteur de base de données SQL Server | Les services moteur de base de données SQL Server doivent être installés et en cours d’exécution pendant l’installation du serveur MBAM. Toutefois, SQL Server peut s’exécuter à distance ; Il n’est pas nécessaire qu’il se trouve sur le même serveur que celui sur lequel vous installez le logiciel du serveur MBAM. |
| Windows PowerShell 3.0 ou version ultérieure | Windows PowerShell n’a pas besoin d’être installé sur le serveur de base de données de conformité et d’audit si vous utilisez Windows PowerShell pour configurer la base de données à partir d’un ordinateur distant. |
Conditions préalables pour les rapports
| Prérequis | Détails |
|---|---|
| Version prise en charge de SQL Server | Installez SQL Server avec SQL_Latin1_General_CP1_CI_AS classement. Consultez Configurations prises en charge par MBAM 2.5 pour connaître les versions prises en charge. |
| SQL Server Reporting Services (SSRS) | SSRS doit être installé et en cours d’exécution pendant l’installation du serveur MBAM. Configurez SSRS en mode « natif » et non en mode non configuré ou « SharePoint ». |
| Droits d’instance SSRS : requis pour la configuration des rapports uniquement si vous installez des bases de données sur un serveur distinct du serveur où les rapports sont configurés. | Droits d’instance requis : - Créer des dossiers - Publier des rapports |
| Windows PowerShell 3.0 ou version ultérieure | Windows PowerShell n’a pas besoin d’être installé sur ce serveur de base de données si vous utilisez Windows PowerShell pour configurer la base de données à partir d’un ordinateur distant. |
Prérequis pour le serveur d’administration et de surveillance
Les sections suivantes répertorient les conditions préalables à l’installation du serveur d’administration et de surveillance MBAM.
Rôle serveur web Windows Server
Ce rôle doit être ajouté à un système d’exploitation serveur pris en charge pour la fonctionnalité Serveur d’administration et de surveillance.
Outils de gestion de serveur web (IIS)
Sélectionnez Scripts et outils de gestion IIS.
Certificat SSL
Facultatif. Pour sécuriser la communication entre les ordinateurs clients et les services web, vous devez obtenir et installer un certificat signé par une autorité de sécurité approuvée.
Services de rôle de serveur web
Fonctionnalités HTTP courantes
- Contenu statique
- Document par défaut
Développement d’applications
- ASP.NET
- Extensibilité .NET
- ISAPI Extensions
- Filtres ISAPI
Sécurité
- Authentification Windows
- Filtrage des demandes
Fonctionnalités de Windows Server
Fonctionnalités du .NET Framework 4.5
.NET Framework 4.5 ou 4.6
- Windows Server 2016 - .NET Framework 4.6 est déjà installé pour ces versions de Windows Server, mais vous devez l’activer.
- Windows Server 2012 ou Windows Server 2012 R2 - .NET Framework 4.5 est déjà installé pour ces versions de Windows Server, mais vous devez l’activer.
- Windows Server 2008 R2 - .NET Framework 4.5 n’étant pas inclus dans Windows Server 2008 R2, vous devez télécharger Microsoft .NET Framework 4.5 et l’installer séparément.
WCF Activation
- HTTP Activation
- Activation non HTTP (uniquement pour Windows Server 2008, 2012 et 2012 R2)
TCP Activation
Service d'activation des processus Windows
- Modèle de processus
- Environnement .NET Framework
- API de configuration
ASP.NET MVC 4.0
ASP.NET téléchargement de MVC 4
Remarque
ASP.NET MVC 4.0 n’est plus nécessaire après la mise à jour de maintenance de janvier 2023 (HF08).
Nom du principal de service (SPN)
Les applications web nécessitent un SPN pour le nom d’hôte virtuel sous le compte de domaine que vous utilisez pour les pools d’applications web.
Si vos droits d’administration vous permettent de créer des SPN dans Active Directory Domain Services, MBAM crée le SPN pour vous. Pour plus d’informations sur les droits requis pour créer des spN, consultez Setspn .
Si vous ne disposez pas des droits d’administration pour créer des noms de principal du service, vous devez demander aux administrateurs Active Directory de votre organisation de créer le SPN pour vous à l’aide de la commande suivante :
Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
Dans l’exemple de code, le nom d’hôte virtuel est mbamvirtual.contoso.comet le compte de domaine utilisé pour les pools d’applications web est contoso\mbamapppooluser.
Remarque
Si vous configurez l’équilibrage de charge, utilisez le même compte de pool d’applications sur tous les serveurs.
Pour plus d’informations sur l’inscription de spN pour les noms d’hôte complets, NetBIOS et personnalisés, consultez Planification de la sécurisation des sites web MBAM.
Prérequis pour le portail Self-Service
Version prise en charge de Windows Server
Pour obtenir la liste des versions prises en charge, consultez Configurations prises en charge par MBAM 2.5.
ASP.NET MVC 4.0
ASP.NET téléchargement de MVC 4
Remarque
ASP.NET MVC 4.0 n’est plus nécessaire après la mise à jour de maintenance de janvier 2023 (HF08).
Outils de gestion IIS du service web
Sélectionnez Scripts et outils de gestion IIS.
Nom du principal de service (SPN)
Les applications web nécessitent un SPN pour le nom d’hôte virtuel sous le compte de domaine que vous utilisez pour les pools d’applications web.
Si vos droits d’administration vous permettent de créer des SPN dans Active Directory Domain Services, MBAM crée le SPN pour vous. Pour plus d’informations sur les droits requis pour créer des spN, consultez Setspn .
Si vous ne disposez pas des droits d’administration pour créer des noms de principal du service, vous devez demander aux administrateurs Active Directory de votre organisation de créer le SPN pour vous à l’aide de la commande suivante :
Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
Dans l’exemple de code, le nom d’hôte virtuel est mbamvirtual.contoso.comet le compte de domaine utilisé pour les pools d’applications web est contoso\mbamapppooluser.
Remarque
Si vous configurez l’équilibrage de charge, utilisez le même compte de pool d’applications sur tous les serveurs.
Pour plus d’informations sur l’inscription de spN pour les noms d’hôte complets, NetBIOS et personnalisés, consultez Planification de la sécurisation des sites web MBAM.
Prérequis pour la station de travail de gestion
Avant d’installer le client MBAM, téléchargez les modèles de stratégie de groupe MBAM. Configurez-les avec les paramètres que vous souhaitez implémenter dans votre environnement pour le chiffrement de lecteur BitLocker.
Avant d’installer le client MBAM, procédez également comme suit :
- Copier les modèles de stratégie de groupe MBAM 2.5
- Modifier les paramètres de stratégie de groupe MBAM 2.5
Articles connexes
Préparation de votre environnement pour MBAM 2.5