Configuration Manager統合トポロジを使用した MBAM 2.5 の高レベル アーキテクチャ
この記事では、Configuration Manager統合トポロジMicrosoft BitLocker 管理および監視 (MBAM) を展開するための推奨アーキテクチャについて説明します。 このトポロジは、MBAM とSystem Center Configuration Managerを統合します。 スタンドアロン トポロジを使用して MBAM をデプロイするには、「スタンドアロン トポロジを使用した MBAM 2.5 のアーキテクチャの概要」を参照してください。
この記事で説明されているソフトウェアのサポートされているバージョンの一覧については、「 MBAM 2.5 サポートされる構成」を参照してください。
重要
windows To Go は、Configuration Manager 2007 を使用している場合、Configuration Manager統合トポロジのインストールではサポートされていません。
推奨されるサーバー数とサポートされているクライアント数
運用環境で推奨されるサーバー数とサポートされているクライアント数は次のとおりです。
| 推奨されるアーキテクチャ | 詳細 |
|---|---|
サーバーとその他のコンピューターの数 |
3 台のサーバー 1 つのワークステーション |
サポートされているクライアント コンピューターの数 |
500,000 |
Configuration Manager統合トポロジとスタンドアロン トポロジの違い
トポロジの主な違いは次のとおりです。
コンプライアンスとレポート機能は MBAM から削除され、Configuration Managerからアクセスされます。
レポートは、MBAM 管理および監視 Web サイトから引き続き表示される回復監査レポートを除き、Configuration Manager管理コンソールから表示されます。
Configuration Manager統合トポロジを使用した推奨 MBAM の高レベル アーキテクチャ
次の図と表では、Configuration Manager統合トポロジを使用した MBAM に推奨されるアーキテクチャについて説明します。 MBAM マルチフォレストデプロイには、一方向または双方向の信頼が必要です。 一方向の信頼では、サーバー ドメインがクライアント ドメインを信頼する必要があります。
データベース サーバー
復旧データベース
この機能は、Windows Server を実行しているコンピューターで構成され、SQL Server インスタンスがサポートされています。
Recovery Database には、MBAM クライアント コンピューターから収集された回復データが格納されます。
監査データベース
この機能は、Windows Server を実行しているコンピューターで構成され、SQL Server インスタンスがサポートされています。
監査データベースには、回復データにアクセスしたクライアント コンピューターから収集された監査アクティビティ データが格納されます。
レポート
この機能は、Windows Server を実行しているコンピューターで構成され、SQL Server インスタンスがサポートされています。
レポートは、企業内のクライアント コンピューターの回復監査データを提供します。 レポートは、Configuration Manager コンソールから、またはSQL Server Reporting Servicesから直接表示できます。
プライマリ サイト サーバー Configuration Manager
System Center Configuration Manager統合機能
この機能は、Configuration Manager インフラストラクチャの最上位サーバーである Configuration Manager プライマリ サイト サーバーで構成されます。
Configuration Manager サーバーは、クライアント コンピューターからハードウェア インベントリ情報を収集し、クライアント コンピューターの BitLocker コンプライアンスを報告するために使用されます。
Microsoft BitLocker 管理および監視セットアップ ウィザードを実行してサーバー ソフトウェアをインストールすると、MBAM サポートされているコンピューターのコレクション、構成基準、およびレポートが Configuration Manager プライマリ サイト サーバーで構成されます。
Configuration Manager コンソールは、MBAM Server ソフトウェアをインストールするコンピューターと同じコンピューターにインストールする必要があります。
管理と監視サーバー
Web サイトの管理と監視
この機能は、Windows Server を実行しているコンピューターで構成されています。
管理と監視の Web サイトは、次の用途に使用されます。
エンド ユーザーがロックアウトされたときに、コンピューターへのアクセスを回復するのに役立ちます。(ウェブサイトのこの領域は、一般的にヘルプデスクと呼ばれています。
クライアント コンピューターの回復アクティビティを示す回復監査レポートを表示します。 その他のレポートは、Configuration Manager コンソールから表示されます。
セルフサービス ポータル
この機能は、Windows Server を実行しているコンピューターで構成されています。
セルフサービス ポータルは、クライアント コンピューターのエンド ユーザーが Web サイトに個別にサインインして、BitLocker パスワードを紛失または忘れた場合に回復キーを取得できるようにする Web サイトです。
この Web サイトの Web サービスの監視
この機能は、Windows Server を実行しているコンピューターにインストールされます。
監視 Web サービスは、MBAM クライアントと Web サイトによってデータベースと通信するために使用されます。
重要
MBAM Web サイトが Recovery Database と直接通信するため、監視 Web サービスは Microsoft BitLocker 管理および監視 (MBAM) 2.5 SP1 では使用できなくなりました。
管理ワークステーション
MBAM グループ ポリシー テンプレート
MBAM グループ ポリシー テンプレートは、MBAM の実装設定を定義するグループ ポリシー設定であり、BitLocker ドライブの暗号化を管理できます。
MBAM を実行する前に、MDOP グループ ポリシー (.admx) テンプレートをダウンロードして展開する方法からグループ ポリシー テンプレートをダウンロードし、サポートされている Windows Server または Windows オペレーティング システムを実行しているサーバーまたはワークステーションにコピーする必要があります。
注
ワークステーションは専用コンピューターである必要はありません。
MBAM クライアントと Configuration Manager クライアント コンピューター
MBAM クライアント ソフトウェア
MBAM クライアント:
グループ ポリシー オブジェクトを使用して、エンタープライズ内のクライアント コンピューターに BitLocker ドライブの暗号化を適用します。
オペレーティング システム ドライブ、固定データ ドライブ、リムーバブル (USB) データ ドライブの 3 種類のデータ ドライブの BitLocker 回復キーを収集します。
クライアント コンピューターに関する回復情報とコンピューター情報を収集します。
構成マネージャー クライアント
Configuration Manager クライアントを使用すると、Configuration Managerはクライアント コンピューターに関するハードウェア互換性データを収集し、コンプライアンス情報を報告できます。
サポートされているConfiguration Managerバージョンの MBAM デプロイの違い
Configuration Manager統合トポロジを使用して MBAM を展開する場合は、プライマリ サイト サーバーに MBAM をインストールできます。 ただし、MBAM インストールは System Center 2012 Configuration Manager と Configuration Manager 2007 では異なります。
| Configuration Manager バージョン | 説明 |
|---|---|
System Center 2012 R2 Configuration Manager System Center 2012 Configuration Manager |
プライマリ サイト サーバーまたは中央管理サーバーに MBAM をインストールする場合、MBAM は、そのサイト サーバー上のすべてのインストール操作を実行します。 |
Configuration Manager 2007 R2 Configuration Manager 2007 |
中央サイトの親サーバーを使用して、より大きなConfiguration Manager階層の一部であるプライマリ サイト サーバーに MBAM をインストールする場合、MBAM は中央サイトの親サーバーを識別し、その親サーバーに対するすべてのインストール 操作を実行します。 インストールには、前提条件の確認とConfiguration Managerオブジェクトとレポートのインストールが含まれます。 たとえば、中央サイトの親サーバーの子であるプライマリ サイト サーバーに MBAM をインストールする場合、MBAM は親サーバーにすべてのConfiguration Manager オブジェクトとレポートをインストールします。 親サーバーに MBAM をインストールする場合、MBAM はその親サーバーに対してすべてのインストール アクションを実行します。 |
MBAM のConfiguration Managerのしくみ
MBAM と Configuration Manager の統合は、次の表で説明する項目をインストールする構成パックに基づいています。
| Configuration Managerにインストールされている項目 | 説明 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
構成データ |
構成データには、次の 2 つの構成項目を含む "BitLocker Protection" という構成基準がインストールされます。
構成基準は、MBAM サポートされているコンピューター コレクションに展開されます。これは、MBAM のインストール時にも作成されます。 2 つの構成項目は、クライアント コンピューターのコンプライアンス状態を評価するための基礎を提供します。 この情報は、Configuration Managerでキャプチャ、格納、評価されます。 構成項目は、オペレーティング システム ドライブと固定データ ドライブのコンプライアンス要件に基づいています。 展開されたコンピューターに必要な詳細が収集され、それらのドライブの種類のコンプライアンスを評価できます。 既定では、構成基準は 12 時間ごとにコンプライアンスの状態を評価し、コンプライアンス データをConfiguration Managerに送信します。 |
||||||||||
MBAM サポートされているコンピューター コレクション |
MBAM は、MBAM サポートされているコンピューターと呼ばれるコレクションを作成します。 構成基準は、このコレクション内のクライアント コンピューターを対象とします。 これは動的コレクションです。 既定では、12 時間ごとに実行され、次の 3 つの条件に基づいてメンバーシップが評価されます。
コレクションはすべてのコンピューターに対して評価され、互換性のあるコンピューターのサブセットが作成されます。これにより、MBAM 統合のコンプライアンス評価とレポートの基礎が提供されます。 |
||||||||||
レポート |
Configuration Manager統合トポロジを使用して MBAM を構成すると、回復監査レポートを除くすべてのレポートがConfiguration Managerに表示されます。後者は MBAM 管理および監視 Web サイトで引き続き表示されます。 Configuration Managerで使用できるレポートは次のとおりです。
|
関連記事
スタンドアロン トポロジを使用した MBAM 2.5 のアーキテクチャ概要
MBAM の提案はありますか?
MBAM の問題については、 MBAM TechNet フォーラムを使用してください。