Высокоуровневая архитектура MBAM 2.5 с изолированной топологией

  • Статья

В этой статье описывается рекомендуемая архитектура для развертывания microsoft BitLocker Administration and Monitoring (MBAM) с автономной топологией Configuration Manager. В этой топологии MBAM развертывается как автономный продукт. Кроме того, можно развернуть MBAM с помощью топологии интеграции Configuration Manager, которая интегрирует MBAM с Configuration Manager. Дополнительные сведения см. в статье Высокоуровневая архитектура MBAM 2.5 с топологией интеграции Configuration Manager.

Список поддерживаемых версий программного обеспечения, упомянутых в этой статье, см. в статье Поддерживаемые конфигурации MBAM 2.5.

Примечание.

Мы рекомендуем использовать архитектуру с одним сервером только в тестовых средах.

В следующей таблице указано рекомендуемое количество серверов и поддерживаемое число клиентов в рабочей среде.

Рекомендуемая архитектура в рабочей среде Сведения
Количество серверов и других компьютеров Два сервера
Одна рабочая станция
Число поддерживаемых клиентских компьютеров 500,000

На следующей схеме и в разделах описывается рекомендуемая двухсерверная архитектура высокого уровня для MBAM с автономной топологией. Для развертываний MBAM с несколькими лесами требуется односторонняя или двусторонняя доверия. Для односторонних отношений доверия требуется, чтобы домен сервера доверял домену клиента.

Концептуальная схема высокоуровневой архитектуры MBAM.

База данных соответствия и аудита

Эта функция настраивается на сервере под управлением Windows Server и поддерживаемом экземпляре SQL Server. База данных соответствия и аудита хранит данные о соответствии, которые используются в основном для отчетов, которые размещаются в службах SQL Server Reporting Services.

База данных восстановления

Эта функция настраивается на сервере под управлением Windows Server и поддерживаемом экземпляре SQL Server. База данных восстановления хранит данные восстановления, собранные с клиентских компьютеров MBAM.

Отчеты

Эта функция настраивается на сервере под управлением Windows Server и поддерживаемом экземпляре SQL Server. Отчеты предоставляют данные аудита восстановления и состояния соответствия о клиентских компьютерах на предприятии. Доступ к отчетам можно получить на веб-сайте администрирования и мониторинга или непосредственно из служб SQL Server Reporting Services.

Сервер администрирования и мониторинга

Веб-сайт администрирования и мониторинга

Эта функция настраивается на компьютере под управлением Windows Server. Веб-сайт администрирования и мониторинга используется для:

  • Помогите пользователям восстановить доступ к своим компьютерам, когда они заблокированы. Эта область веб-сайта обычно называется службой технической поддержки.

  • Просмотр отчетов о состоянии соответствия и действиях восстановления для клиентских компьютеров.

портал Self-Service

Эта функция настраивается на компьютере под управлением Windows Server. Портал самообслуживания — это веб-сайт, который позволяет пользователям на клиентских компьютерах независимо входить на веб-сайт, чтобы получить ключ восстановления, если они потеряют или забудут пароль BitLocker.

Мониторинг веб-служб для этого веб-сайта

Эта функция настраивается на компьютере под управлением Windows Server. Веб-службы мониторинга используются клиентом MBAM и веб-сайтами для связи с базой данных.

Примечание.

Веб-служба мониторинга больше не доступна в Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 с пакетом обновления 1 (SP1), так как веб-сайты MBAM взаимодействуют напрямую с базой данных восстановления.

Рабочая станция управления

Шаблоны групповой политики MBAM

  • Шаблоны групповой политики MBAM — это параметры групповой политики, определяющие параметры реализации для MBAM, которые позволяют управлять шифрованием диска BitLocker.

  • Перед запуском MBAM необходимо скачать шаблоны групповой политики из раздела Скачивание и развертывание шаблонов групповой политики MDOP (.admx) и скопировать их на сервер или рабочую станцию под управлением поддерживаемой операционной системы Windows Server или Windows.

  • Рабочая станция не обязательно должна быть выделенным компьютером.

Клиент MBAM и клиентский компьютер Configuration Manager

Клиентское программное обеспечение MBAM

Клиент MBAM:

  • Использует объекты групповой политики для принудительного шифрования диска BitLocker на клиентских компьютерах в организации.

  • Собирает ключ восстановления BitLocker для трех типов дисков данных: дисков операционной системы, фиксированных дисков с данными и съемных (USB) дисков данных.

  • Собирает сведения о восстановлении и сведения о компьютерах клиента.

Сведения о программе MBAM 2.5 с пакетом обновления 1 (SP1)

Высокоуровневая архитектура MBAM 2.5 с топологией интеграции Configuration Manager

Иллюстрированные функции развертывания MBAM 2.5