Introdução – Como usar o MBAM com o Configuration Manager
Ao instalar o MBAM (Administração e Monitoramento do Microsoft BitLocker), você pode escolher uma topologia que integre o MBAM ao Configuration Manager 2007 ou ao System Center 2012 Configuration Manager. Para obter uma lista das versões com suporte do Configuration Manager que o MBAM dá suporte, consulte Planejamento para implantar o MBAM com Configuration Manager. Na topologia integrada, os recursos de relatório e conformidade de hardware são removidos do MBAM e acessados do Configuration Manager.
Importante Não há suporte para o Windows To Go ao instalar a topologia integrada do MBAM com o Configuration Manager 2007.
Usando o MBAM com o Configuration Manager
A integração do MBAM se baseia em um novo Pacote de Configuração que instala os três itens a seguir no Configuration Manager 2007 ou no System Center 2012 Configuration Manager, que são descritos em detalhes nas seções a seguir:
Dados de configuração que consistem em itens de configuração e uma linha de base de configuração
Coleção
Relatórios
Dados de configuração
Os dados de configuração instalam uma linha de base de configuração, chamada "Proteção do BitLocker", que contém dois itens de configuração: "Proteção de Unidade de Disco do Sistema Operacional BitLocker" e "Proteção de Unidades de Dados Fixas do BitLocker". A linha de base de configuração é implantada na coleção, que também é criada quando o MBAM é instalado. Os dois itens de configuração fornecem a base para avaliar o status de conformidade dos computadores cliente. Essas informações são capturadas, armazenadas e avaliadas Configuration Manager. Os itens de configuração são baseados nos requisitos de conformidade para OSDs (unidades do sistema operacional) e FDDs (Unidades de Dados Fixas). Os detalhes necessários para os computadores implantados são coletados para que a conformidade desses tipos de unidade possa ser avaliada. Por padrão, a linha de base de configuração avalia o status de conformidade a cada 12 horas e envia os dados de conformidade para Configuration Manager.
Coleção
O MBAM cria uma coleção chamada Computadores com Suporte do MBAM. A linha de base de configuração é direcionada a computadores cliente que estão nessa coleção. Essa é uma coleção dinâmica que, por padrão, é executada a cada 12 horas e avalia a associação. A associação é baseada em três critérios:
É uma versão com suporte do sistema operacional Windows. Atualmente, o MBAM dá suporte apenas a Windows 7 Enterprise e Windows 7 Ultimate, Windows 8 Enterprise e Windows To Go, quando o Windows To Go está em execução no Windows 8 Enterprise.
É um computador físico. Não há suporte para máquinas virtuais.
O TPM (Trusted Platform Module) está disponível. Uma versão compatível do TPM 1.2 ou posterior é necessária para o Windows 7. Windows 8 e o Windows To Go não exigem um TPM.
A coleção é avaliada em todos os computadores e cria o subconjunto de computadores compatíveis que fornece a base para avaliação de conformidade e relatórios para a integração do MBAM.
Relatórios
Há quatro relatórios que você pode usar para exibir a conformidade. São eles:
BitLocker Enterprise de Conformidade – fornece aos administradores de TI três exibições diferentes de informações em um único relatório: Distribuição de Status de Conformidade, Não Conformidade – Distribuição de Erros e Distribuição de Status de Conformidade por Tipo de Unidade. As opções de busca detalhada no relatório permitem que os administradores de TI cliquem nos dados e exibam uma lista de computadores que correspondem ao estado selecionado.
BitLocker Enterprise detalhes de conformidade – permite que os administradores de TI exibam informações sobre o status de conformidade de criptografia do BitLocker da empresa e inclua o status de conformidade para cada computador. As opções de busca detalhada no relatório permitem que os administradores de TI cliquem nos dados e exibam uma lista de computadores que correspondem ao estado selecionado.
Conformidade do Computador BitLocker – permite que os administradores de TI exibam um computador individual e determinem por que ele foi relatado com um determinado status de conformidade ou não em conformidade. O relatório também exibe o estado de criptografia das unidades do sistema operacional (OSD) e FDDs (unidades de dados fixas).
BitLocker Enterprise Resumo de Conformidade – permite que os administradores de TI exibam o status da conformidade da empresa com a política do MBAM. O estado de cada computador é avaliado e o relatório mostra um resumo da conformidade de todos os computadores na empresa em relação à política. As opções de busca detalhada no relatório permitem que os administradores de TI cliquem nos dados e exibam uma lista de computadores que correspondem ao estado selecionado.
High-Level arquitetura do MBAM com o Configuration Manager
A imagem a seguir mostra a arquitetura do MBAM com Configuration Manager topologia. Essa configuração dá suporte a até 200.000 clientes do MBAM em um ambiente de produção.
Segue uma descrição dos servidores, bancos de dados e recursos dessa arquitetura. Os recursos e bancos de dados do servidor na imagem de arquitetura são listados no computador ou servidor em que recomendamos instalá-los.
Servidor de Bancode Dados – O Banco de Dados de Recuperação, o Banco de Dados de Auditoria e os Relatórios de Auditoria são instalados em um servidor Windows e têm suporte SQL Server instância. O banco de dados de recuperação armazena dados de recuperação coletados de computadores cliente do MBAM. O Banco de Dados de Auditoria armazena dados de atividade de auditoria coletados de computadores cliente que acessaram dados de recuperação. Os Relatórios de Auditoria fornecem dados sobre o status de conformidade dos computadores cliente em sua empresa.
Configuration Manager Servidor do Site Primário – O Configuration Manager Server contém a instalação do servidor MBAM com a topologia de integração do System Center Configuration Manager, que deve ser instalada em uma Configuration Manager servidor do site primário. O Configuration Manager Server coleta as informações de inventário de hardware de computadores cliente e é usado para relatar a conformidade do BitLocker de computadores cliente. Quando você executa a instalação do servidor de Instalação do MBAM, uma coleção e os dados de configuração são instalados Configuration Manager Servidor do Site Primário.
Servidor de Administração e Monitoramento – O Servidor de Administração e Monitoramento é instalado em um servidor Windows e consiste no site de Administração e Monitoramento e nos serviços Web de monitoramento. O site de Administração e Monitoramento é usado para auditar a atividade e acessar dados de recuperação (por exemplo, chaves de recuperação do BitLocker). O Portal de Autoatendimento também é instalado no Servidor de Administração e Monitoramento. O Portal permite que os usuários finais em computadores cliente faça logon independentemente em um site para obter uma chave de recuperação se perderem ou esquecerem a senha do BitLocker. Os relatórios de auditoria também são instalados no Servidor de Administração e Monitoramento.
Estação de Trabalho de Gerenciamento – o modelo de política consiste Política de Grupo objetos que definem as configurações de implementação do MBAM para criptografia de unidade de disco BitLocker. Você pode instalar o modelo de política em qualquer servidor ou estação de trabalho, mas ele normalmente é instalado em uma estação de trabalho de gerenciamento que é um computador cliente ou servidor Windows com suporte. A estação de trabalho não precisa ser um computador dedicado.
Cliente MBAM ecomputador Configuration Manager cliente
O Cliente MBAM executa as seguintes tarefas:
Usa Política de Grupo objetos para impor a criptografia BitLocker de computadores cliente na empresa.
Coleta a chave de recuperação para os três tipos de unidade de dados bitLocker: unidades do sistema operacional, unidades de dados fixas e unidades USB (dados removíveis).
Coleta informações de recuperação e informações do computador sobre os computadores cliente.
Configuration Manager Cliente – o cliente Configuration Manager permite que o Configuration Manager colete dados de compatibilidade de hardware sobre os computadores cliente e permite que o Configuration Manager relate informações de conformidade.