Configuration Manager 統合トポロジを使用した MBAM 2.5 の高レベル アーキテクチャ
この記事では、Configuration Manager 統合トポロジを使用して Microsoft BitLocker 管理および監視 (MBAM) を展開するための推奨アーキテクチャについて説明します。 このトポロジは、MBAM と System Center Configuration Manager を統合します。 スタンドアロン トポロジを使用して MBAM をデプロイするには、「スタンドアロン トポロジを使用した MBAM 2.5 の高レベル アーキテクチャ」を参照してください。
この記事で説明されているソフトウェアのサポートされているバージョンの一覧については、「 MBAM 2.5 サポートされる構成」を参照してください。
重要
Configuration Manager 2007 を使用している場合、Configuration Manager 統合トポロジのインストールでは Windows To Go はサポートされていません。
推奨されるサーバー数とサポートされているクライアント数
次の表に、運用環境で推奨されるサーバー数とサポートされているクライアント数を示します。
| 推奨されるアーキテクチャ | 詳細 |
|---|---|
| サーバーとその他のコンピューターの数 | 3 台のサーバー 1 つのワークステーション |
| サポートされているクライアント コンピューターの数 | 500,000 |
Configuration Manager 統合とスタンドアロン トポロジの違い
トポロジの主な違いは次のとおりです。
コンプライアンスとレポート機能は MBAM から削除され、Configuration Manager からアクセスされます。
レポートは、MBAM 管理および監視 Web サイトから引き続き表示される回復監査レポートを除き、Configuration Manager 管理コンソールから表示されます。
Configuration Manager 統合トポロジを使用した推奨 MBAM の高レベル アーキテクチャ
次の図とセクションでは、Configuration Manager 統合トポロジを使用した MBAM に推奨されるアーキテクチャについて説明します。 MBAM マルチフォレストデプロイには、一方向または双方向の信頼が必要です。 一方向の信頼では、サーバー ドメインがクライアント ドメインを信頼する必要があります。
データベース サーバー
復旧データベース
この機能は、Windows Server とサポートされている SQL Server インスタンスを実行しているコンピューターで構成されます。
Recovery Database には、MBAM クライアント コンピューターから収集された回復データが格納されます。
監査データベース
この機能は、Windows Server とサポートされている SQL Server インスタンスを実行しているコンピューターで構成されます。
監査データベースには、回復データにアクセスしたクライアント コンピューターから収集された監査アクティビティ データが格納されます。
レポート
この機能は、Windows Server とサポートされている SQL Server インスタンスを実行しているコンピューターで構成されます。
レポートは、企業内のクライアント コンピューターの回復監査データを提供します。 Configuration Manager コンソールから、または SQL Server Reporting Services から直接レポートを表示できます。
Configuration Manager プライマリ サイト サーバー
System Center Configuration Manager 統合機能
この機能は、Configuration Manager インフラストラクチャの最上位サーバーである Configuration Manager プライマリ サイト サーバーで構成されます。
Configuration Manager サーバーは、クライアント コンピューターからハードウェア インベントリ情報を収集し、クライアント コンピューターの BitLocker コンプライアンスを報告するために使用されます。
Microsoft BitLocker の管理と監視のセットアップ ウィザードを実行してサーバー ソフトウェアをインストールすると、MBAM サポートされているコンピューターのコレクション、構成基準、およびレポートが Configuration Manager プライマリ サイト サーバーで構成されます。
Configuration Manager コンソールは、MBAM サーバー ソフトウェアをインストールするコンピューターと同じコンピューターにインストールする必要があります。
管理と監視サーバー
Web サイトの管理と監視
この機能は、Windows Server を実行しているコンピューターで構成されています。
管理と監視の Web サイトは、次の用途に使用されます。
エンド ユーザーがロックアウトされたときに、コンピューターへのアクセスを回復するのに役立ちます。(ウェブサイトのこの領域は、一般的にヘルプデスクと呼ばれています。
クライアント コンピューターの回復アクティビティを示す回復監査レポートを表示します。 その他のレポートは、Configuration Manager コンソールから表示されます。
セルフサービス ポータル
この機能は、Windows Server を実行しているコンピューターで構成されています。
セルフサービス ポータルは、クライアント コンピューターのエンド ユーザーが Web サイトに個別にサインインして、BitLocker パスワードを紛失または忘れた場合に回復キーを取得できるようにする Web サイトです。
この Web サイトの Web サービスの監視
この機能は、Windows Server を実行しているコンピューターにインストールされます。
監視 Web サービスは、MBAM クライアントと Web サイトによってデータベースと通信するために使用されます。
重要
監視 Web サービスは、MICROSOFT BitLocker 管理および監視 (MBAM) 2.5 SP1 では使用できなくなりました。これは、MBAM Web サイトが Recovery Database と直接通信するためです。
管理ワークステーション
MBAM グループ ポリシー テンプレート
MBAM グループ ポリシー テンプレートは、MBAM の実装設定を定義するグループ ポリシー設定であり、BitLocker ドライブの暗号化を管理できます。
MBAM を実行する前に、 MDOP グループ ポリシー (.admx) テンプレートをダウンロードして展開する方法からグループ ポリシー テンプレートをダウンロード し、サポートされている Windows Server または Windows オペレーティング システムを実行しているサーバーまたはワークステーションにコピーする必要があります。
注
ワークステーションは専用コンピューターである必要はありません。
MBAM クライアントと Configuration Manager クライアント コンピューター
MBAM クライアント ソフトウェア
MBAM クライアント:
グループ ポリシー オブジェクトを使用して、企業内のクライアント コンピューターに BitLocker ドライブ暗号化を適用します。
オペレーティング システム ドライブ、固定データ ドライブ、リムーバブル (USB) データ ドライブの 3 種類のデータ ドライブの BitLocker 回復キーを収集します。
クライアント コンピューターに関する回復情報とコンピューター情報を収集します。
構成マネージャー クライアント
Configuration Manager クライアントを使用すると、Configuration Manager はクライアント コンピューターに関するハードウェア互換性データを収集し、コンプライアンス情報を報告できます。
サポートされている Configuration Manager バージョンの MBAM 展開の違い
Configuration Manager 統合トポロジを使用して MBAM を展開する場合は、プライマリ サイト サーバーに MBAM をインストールできます。 ただし、MBAM のインストールは、System Center 2012 Configuration Manager と Configuration Manager 2007 では異なります。
| Configuration Manager のバージョン | 説明 |
|---|---|
| System Center 2012 R2 Configuration Manager System Center 2012 Configuration Manager |
プライマリ サイト サーバーまたは中央管理サーバーに MBAM をインストールする場合、MBAM はそのサイト サーバーに対してすべてのインストール操作を実行します。 |
| Configuration Manager 2007 R2 Configuration Manager 2007 |
中央サイトの親サーバーを使用して、より大きな Configuration Manager 階層の一部であるプライマリ サイト サーバーに MBAM をインストールする場合、MBAM は中央サイトの親サーバーを識別し、その親サーバーに対するすべてのインストール 操作を実行します。 インストールには、前提条件の確認と Configuration Manager オブジェクトとレポートのインストールが含まれます。 たとえば、中央サイトの親サーバーの子であるプライマリ サイト サーバーに MBAM をインストールする場合、MBAM はすべての Configuration Manager オブジェクトとレポートを親サーバーにインストールします。 親サーバーに MBAM をインストールする場合、MBAM はその親サーバー上のすべてのインストール アクションを実行します。 |
MBAM と Configuration Manager の連携方法
MBAM と Configuration Manager の統合は、次のセクションで説明する項目をインストールする構成パックに基づいています。
構成データ
構成データには、次の 2 つの構成項目を含む "BitLocker Protection" という構成基準がインストールされます。
- BitLocker オペレーティング システム ドライブ保護
- BitLocker 固定データ ドライブ保護
構成基準は、MBAM サポートされているコンピューター コレクションに展開されます。これは、MBAM のインストール時にも作成されます。 2 つの構成項目は、クライアント コンピューターのコンプライアンス状態を評価するための基礎を提供します。 この情報は、Configuration Manager でキャプチャ、格納、評価されます。 構成項目は、オペレーティング システム ドライブと固定データ ドライブのコンプライアンス要件に基づいています。 展開されたコンピューターに必要な詳細が収集され、それらのドライブの種類のコンプライアンスを評価できます。 既定では、構成基準は 12 時間ごとにコンプライアンスの状態を評価し、コンプライアンス データを Configuration Manager に送信します。
MBAM サポートされているコンピューター コレクション
MBAM は、MBAM サポートされているコンピューターと呼ばれるコレクションを作成します。 構成基準は、このコレクション内のクライアント コンピューターを対象とします。 これは動的コレクションです。 既定では、12 時間ごとに実行され、次の 3 つの条件に基づいてメンバーシップが評価されます。
- コンピューターは、サポートされているバージョンの Windows オペレーティング システムです。
- コンピューターは物理コンピューターです。 仮想マシンはサポートされていません。
- コンピューターには、使用可能なトラステッド プラットフォーム モジュール (TPM) があります。 Windows 7 には、互換性のあるバージョンの TPM 1.2 以降が必要です。 Windows 11、Windows 10、Windows 8.1、Windows 8、Windows To Go には TPM は必要ありません。
コレクションはすべてのコンピューターに対して評価され、互換性のあるコンピューターのサブセットが作成されます。これにより、MBAM 統合のコンプライアンス評価とレポートの基礎が提供されます。
レポート
Configuration Manager 統合トポロジを使用して MBAM を構成すると、回復監査レポートを除くすべてのレポートが Configuration Manager に表示されます。後者は MBAM 管理および監視 Web サイトで引き続き表示されます。 Configuration Manager で使用できるレポートは次のとおりです。
- BitLocker Enterprise コンプライアンス ダッシュボード: IT 管理者に 3 つの情報ビューを 1 つのレポートに表示します。コンプライアンス状態の分布、非準拠 - エラーの分布、およびドライブの種類別のコンプライアンス状態の分布。 レポートのドリルダウン オプションを使用すると、IT 管理者はデータを選択し、選択した状態に一致するコンピューターの一覧を表示できます。
- BitLocker エンタープライズ コンプライアンスの詳細: IT 管理者は、企業の BitLocker 暗号化コンプライアンスの状態に関する情報を表示し、各コンピューターのコンプライアンス状態を含めることができます。 レポートのドリルダウン オプションを使用すると、IT 管理者はデータを選択し、選択した状態に一致するコンピューターの一覧を表示できます。
- BitLocker コンピューターのコンプライアンス: IT 管理者は、個々のコンピューターを表示し、準拠状態または準拠していない状態で報告された理由を判断できます。 レポートには、オペレーティング システム ドライブと固定データ ドライブの暗号化状態も表示されます。
- BitLocker Enterprise Compliance の概要: IT 管理者が企業の MBAM ポリシー コンプライアンスの状態を表示できるようにします。 各コンピューターの状態が評価され、レポートには、ポリシーに対する企業内のすべてのコンピューターのコンプライアンスの概要が表示されます。 レポートのドリルダウン オプションを使用すると、IT 管理者はデータを選択し、選択した状態に一致するコンピューターの一覧を表示できます。