スタンドアロン トポロジを使用した MBAM 2.5 のアーキテクチャ概要
このトピックでは、Configuration Manager スタンドアロン トポロジMicrosoft使用して bitLocker 管理および監視 (MBAM) を展開するための推奨アーキテクチャについて説明します。 このトポロジでは、MBAM はスタンドアロン製品としてデプロイされます。 または、MBAM を Configuration Manager と統合するConfiguration Manager統合トポロジを使用して MBAM をデプロイすることもできます。 詳細については、「Configuration Manager統合トポロジを使用した MBAM 2.5 のアーキテクチャの概要」を参照してください。
このトピックで説明されているソフトウェアのサポートされているバージョンの一覧については、「 MBAM 2.5 サポートされる構成」を参照してください。
メモ テスト環境でのみ単一サーバー アーキテクチャを使用することをお勧めします。
推奨されるサーバー数とサポートされているクライアント数
運用環境で推奨されるサーバー数とサポートされているクライアント数は次のとおりです。
| 運用環境で推奨されるアーキテクチャ | 詳細 |
|---|---|
サーバーとその他のコンピューターの数 |
2 台のサーバー 1 つのワークステーション |
サポートされているクライアント コンピューターの数 |
500,000 |
スタンドアロン トポロジを使用した推奨 MBAM の高レベル アーキテクチャ
次の図と表に、スタンドアロン トポロジを使用した MBAM に推奨される高レベルの 2 サーバー アーキテクチャについて説明します。 MBAM マルチフォレストデプロイには、一方向または双方向の信頼が必要です。 一方向の信頼では、サーバー ドメインがクライアント ドメインを信頼する必要があります。
このサーバーで構成するサーバー機能 説明データベース サーバー
コンプライアンスと監査データベース
この機能は、Windows Server を実行しているサーバーで構成され、サポートされている SQL Server インスタンスです。
コンプライアンスおよび監査データベースにはコンプライアンス データが格納されます。これは主に、SQL Server Reporting Servicesホストするレポートに使用されます。
Recovery Database
この機能は、Windows Server を実行しているサーバーで構成され、サポートされている SQL Server インスタンスです。
Recovery Database には、MBAM クライアント コンピューターから収集された回復データが格納されます。
レポート
この機能は、Windows Server を実行しているサーバーで構成され、サポートされている SQL Server インスタンスです。
レポートには、企業内のクライアント コンピューターに関する回復監査とコンプライアンスの状態データが表示されます。 レポートには、管理および監視 Web サイトから、またはSQL Server Reporting Servicesから直接アクセスできます。
管理および監視サーバー
管理と監視 Web サイト
この機能は、Windows Server を実行しているコンピューターで構成されています。
管理および監視 Web サイトは、次の用途に使用されます。
エンド ユーザーがロックアウトされたときに、コンピューターへのアクセスを回復するのに役立ちます。(ウェブサイトのこの領域は、一般的にヘルプデスクと呼ばれています。
クライアント コンピューターのコンプライアンスの状態と回復アクティビティを示すレポートを表示します。
Self-Service ポータル
この機能は、Windows Server を実行しているコンピューターで構成されています。
セルフサービス ポータルは、クライアント コンピューター上のエンド ユーザーが Web サイトに個別にログオンして、BitLocker パスワードを紛失または忘れた場合に回復キーを取得できるようにする Web サイトです。
この Web サイトの Web サービスの監視
この機能は、Windows Server を実行しているコンピューターで構成されています。
監視 Web サービスは、MBAM クライアントと Web サイトによってデータベースと通信するために使用されます。
大事なMBAM Web サイトが Recovery Database と直接通信するため、監視 Web サービスは Microsoft BitLocker 管理および監視 (MBAM) 2.5 SP1 では使用できなくなりました。
管理ワークステーション
MBAM グループ ポリシー テンプレート
MBAM グループ ポリシー テンプレートは、MBAM の実装設定を定義するグループ ポリシー設定であり、BitLocker ドライブ暗号化を管理できます。
MBAM を実行する前に、MDOP グループ ポリシー (.admx) テンプレートをダウンロードして展開する方法からグループ ポリシー テンプレートをダウンロードし、サポートされている Windows Server または Windows オペレーティング システムを実行しているサーバーまたはワークステーションにコピーする必要があります。
ワークステーションは専用コンピューターである必要はありません。
MBAM クライアントとConfiguration Manager クライアント コンピューター
MBAM クライアント ソフトウェア
MBAM クライアント:
グループ ポリシー オブジェクトを使用して、エンタープライズ内のクライアント コンピューターに BitLocker ドライブ暗号化を適用します。
オペレーティング システム ドライブ、固定データ ドライブ、リムーバブル (USB) データ ドライブの 3 種類のデータ ドライブの Bitlocker 回復キーを収集します。
クライアント コンピューターに関する回復情報とコンピューター情報を収集します。
関連トピック
Configuration Manager 統合トポロジを使用した MBAM 2.5 のアーキテクチャ概要
MBAM の提案はありますか?
MBAM の問題については、 MBAM TechNet フォーラムを使用してください。