Planeamiento de la administración de BitLockerPlan for BitLocker management

Se aplica a: Configuration Manager (rama actual)Applies to: Configuration Manager (current branch)

Use Configuration Manager para administrar el Cifrado de unidad BitLocker (BDE) para clientes Windows locales, que están unidos a Active Directory.Use Configuration Manager to manage BitLocker Drive Encryption (BDE) for on-premises Windows clients, which are joined to Active Directory. Ofrece una administración completa del ciclo de vida de BitLocker que puede sustituir el uso de Microsoft BitLocker Administration and Monitoring (MBAM).It provides full BitLocker lifecycle management that can replace the use of Microsoft BitLocker Administration and Monitoring (MBAM).

Nota

Configuration Manager no habilita esta característica opcional de forma predeterminada.Configuration Manager doesn't enable this optional feature by default. Deberá habilitarla para poder usarla.You must enable this feature before using it. Para obtener más información, consulte Habilitar características opcionales de las actualizaciones.For more information, see Enable optional features from updates.

Para obtener más información general sobre BitLocker, vea Información general sobre BitLocker.For more general information on BitLocker, see BitLocker overview.

Sugerencia

Para administrar el cifrado en dispositivos Windows 10 de administración conjunta con el servicio en la nube de Microsoft Endpoint Manager, cambie la carga de trabajo de Endpoint Protection a Intune.To manage encryption on co-managed Windows 10 devices using the Microsoft Endpoint Manager cloud service, switch the Endpoint Protection workload to Intune. Para obtener más información sobre el uso de Intune, vea Cifrado de Windows.For more information on using Intune, see Windows Encryption.

FuncionesFeatures

Configuration Manager proporciona las siguientes capacidades de administración de Cifrado de unidad BitLocker:Configuration Manager provides the following management capabilities for BitLocker Drive Encryption:

Implementación de clienteClient deployment

  • Implementación del cliente de BitLocker en dispositivos Windows administrados que ejecutan Windows 10 o Windows 8.1Deploy the BitLocker client to managed Windows devices running Windows 10 or Windows 8.1

  • Administración de directivas de BitLocker y claves de recuperación de custodia para clientes locales y basados en InternetManage BitLocker policies and escrow recovery keys for on-premises and internet-based clients

Administración de directivas de cifradoManage encryption policies

  • Por ejemplo: elija cifrado de unidad e intensidad de cifrado, configurar directiva de exención de usuario y configuración de cifrado de la unidad de datos fija.For example: choose drive encryption and cipher strength, configure user exemption policy, fixed data drive encryption settings.

  • Determine los algoritmos con los que se va a cifrar el dispositivo y los discos de destino para el cifrado.Determine the algorithms with which to encrypt the device, and the disks that you target for encryption.

  • Obligue a los usuarios a que cumplan las nuevas directivas de seguridad antes de usar el dispositivo.Force users to get compliant with new security policies before using the device.

  • Personalice el perfil de seguridad de su organización en función de cada dispositivo.Customize your organization's security profile on a per device basis.

  • Cuando un usuario desbloquea la unidad del sistema operativo, especifique si quiere desbloquear solo una unidad del sistema operativo o todas las unidades conectadas.When a user unlocks the OS drive, specify whether to unlock only an OS drive or all attached drives.

Informes de cumplimientoCompliance reports

Informes integrados para:Built-in reports for:

  • El estado de cifrado por volumen o por dispositivo.Encryption status per volume or per device
  • El usuario primario del dispositivo.The primary user of the device
  • Estado de cumplimientoCompliance status
  • Motivos de no cumplimientoReasons for non-compliance

Sitio web de administración y supervisiónAdministration and monitoring website

Permita que otros roles de su organización fuera de la consola de Configuration Manager ayuden con la recuperación de claves, incluida la rotación de claves y asistencia adicional relacionada con BitLocker.Allow other personas in your organization outside of the Configuration Manager console to help with key recovery, including key rotation and other BitLocker-related support. Por ejemplo, los administradores del departamento de soporte técnico pueden ayudar a los usuarios con la recuperación de claves.For example, help desk administrators can help users with key recovery.

Portal de autoservicio del usuarioUser self-service portal

Permita que los usuarios se ayuden con una clave de un solo uso para desbloquear un dispositivo cifrado de BitLocker.Let users help themselves with a single-use key for unlocking a BitLocker encrypted device. Una vez que se usa esta clave, se genera una clave nueva para el dispositivo.Once this key is used, it generates a new key for the device.

Requisitos previosPrerequisites

Requisitos previos generalesGeneral prerequisites

  • Para crear una directiva de administración de BitLocker, necesita el rol de Administrador total en Configuration Manager.To create a BitLocker management policy, you need the Full Administrator role in Configuration Manager.

  • Para usar los informes de administración de BitLocker, instale el rol de sistema de sitio del punto de servicios de informes.To use the BitLocker management reports, install the reporting services point site system role. Para más información, consulte Configuración de informes.For more information, see Configure reporting.

    Nota

    Para que el informe de auditoría de recuperación funcione desde el sitio web de administración y supervisión, use solo un punto de servicios de informes en el sitio primario.For the Recovery Audit Report to work from the administration and monitoring website, only use a reporting services point at the primary site.

Requisitos previos para el servicio de recuperaciónPrerequisites for the recovery service

  • El servicio de recuperación de BitLocker requiere HTTPS para cifrar las claves de recuperación en toda la red desde el cliente de Configuration Manager al punto de administración.The BitLocker recovery service requires HTTPS to encrypt the recovery keys across the network from the Configuration Manager client to the management point. Use una de las siguientes opciones:Use one of the following options:

    • Habilite el sitio para HTTP mejorado.Enable the site for enhanced HTTP. Esta opción se aplica a la versión 2103 o versiones posteriores.This option applies to version 2103 or later.

    • HTTPS: habilite el sitio web de IIS en el punto de administración que hospeda el servicio de recuperación.HTTPS-enable the IIS website on the management point that hosts the recovery service. Esta opción se aplica a la versión 2002 o versiones posteriores.This option applies to version 2002 or later.

    • Configure el punto de administración para HTTPS.Configure the management point for HTTPS. Esta opción se aplica todas las versiones admitidas de Configuration Manager.This option applies to all supported Configuration Manager versions.

    Para obtener más información, vea Cifrado de los datos de recuperación a través de la red.For more information, see Encrypt recovery data over the network.

  • En la versión 2010 y versiones anteriores, para usar el servicio de recuperación, necesita al menos un punto de administración que no esté en una configuración de réplica.In version 2010 and earlier, to use the recovery service, you need at least one management point not in a replica configuration. Aunque el servicio de recuperación de BitLocker se instala en un punto de administración que usa una réplica de base de datos, los clientes no pueden custodiar claves de recuperación.Although the BitLocker recovery service installs on a management point that uses a database replica, clients can't escrow recovery keys. Después, BitLocker no cifrará la unidad.Then BitLocker won't encrypt the drive. Deshabilite el servicio de recuperación de BitLocker en cualquier punto de administración con una réplica de base de datos.Disable the BitLocker recovery service on any management point with a database replica.

    A partir de la versión 2103, el servicio de recuperación admite puntos de administración que usan una réplica de base de datos.Starting in version 2103, the recovery service supports management points that use a database replica.

Requisitos previos para los portales de BitLockerPrerequisites for BitLocker portals

  • Para usar el portal de autoservicio o el sitio web de administración y supervisión, necesita un servidor de Windows que ejecute IIS.To use the self-service portal or the administration and monitoring website, you need a Windows server running IIS. Puede reutilizar un sistema de sitio de Configuration Manager o usar un servidor web independiente que tenga conectividad con el servidor de base de datos del sitio.You can reuse a Configuration Manager site system, or use a standalone web server that has connectivity to the site database server. Use una versión de SO compatible para los servidores de sistema de sitio.Use a supported OS version for site system servers.

    Nota

    A partir de la versión 2006, puede instalar el portal de autoservicio de BitLocker y el sitio web de administración y supervisión en el sitio de administración central.Starting in version 2006, you can install the BitLocker self-service portal and the administration and monitoring website at the central administration site.

    En la versión 2002 y anteriores, instale solo el portal de autoservicio y el sitio web de administración y supervisión con una base de datos de sitio primario.In version 2002 and earlier, only install the self-service portal and the administration and monitoring website with a primary site database. En una jerarquía, instale estos sitios web para cada sitio primario.In a hierarchy, install these websites for each primary site.

  • En el servidor web que hospedará el portal de autoservicio, instale Microsoft ASP.NET MVC 4.0 y la característica .NET Framework 3.5 antes de iniciar el proceso de instalación.On the web server that will host the self-service portal, install Microsoft ASP.NET MVC 4.0 and .NET Framework 3.5 feature before staring the install process. Otros roles y características de Windows Server necesarios se instalarán automáticamente durante el proceso de instalación del portal.Other required Windows server roles and features will be installed automatically during the portal installation process.

    Sugerencia

    No es necesario instalar ninguna versión de Visual Studio con ASP.NET MVC.You don't need to install any version of Visual Studio with ASP.NET MVC.

  • La cuenta de usuario que ejecuta el script del instalador del portal necesita derechos sysadmin de SQL Server en el servidor de bases de datos del sitio.The user account that runs the portal installer script needs SQL Server sysadmin rights on the site database server. Durante el proceso de instalación, el script establece los derechos de inicio de sesión, usuario y rol de SQL Server de la cuenta de la máquina de servidor web.During the setup process, the script sets login, user, and SQL Server role rights for the web server machine account. Puede quitar esta cuenta de usuario del rol sysadmin después de completar la instalación del portal de autoservicio y el sitio web de administración y supervisión.You can remove this user account from the sysadmin role after you complete setup of the self-service portal and the administration and monitoring website.

Configuraciones admitidasSupported configurations

  • La administración de BitLocker no se admite en máquinas virtuales (VM) o en ediciones de servidor.BitLocker management isn't supported on virtual machines (VMs) or on server editions. Por ejemplo, la administración de BitLocker no iniciará el cifrado en unidades fijas de máquinas virtuales.For example, BitLocker management won't start the encryption on fixed drives of virtual machines. Además, es posible que algunas unidades fijas en máquinas virtuales se muestren como compatibles, aunque no estén cifradas.Additionally fixed drives in virtual machines may show as compliant even though they aren't encrypted.

  • No se admiten los clientes unidos a Azure Active Directory (Azure AD), los clientes de grupo de trabajo ni los clientes de dominios que no son de confianza.Azure Active Directory (Azure AD)-joined, workgroup clients, or clients in untrusted domains aren't supported. La administración de BitLocker en Configuration Manager solo admite dispositivos que están unidos a Active Directory local.BitLocker management in Configuration Manager only supports devices that are joined to on-premises Active Directory. También se admiten los dispositivos unidos a Azure AD híbrido.Hybrid Azure AD-joined devices are also supported. Esta configuración se autentica con el servicio de recuperación para las claves en custodia.This configuration is to authenticate with the recovery service to escrow keys.

  • A partir de la versión 2010, ahora puede administrar las directivas de BitLocker y custodiar las claves de recuperación a través de una instancia de Puerta de enlace de administración en la nube (CMG).Starting in version 2010, you can now manage BitLocker policies and escrow recovery keys over a cloud management gateway (CMG). Este cambio también proporciona compatibilidad con la administración de BitLocker a través de la administración de cliente basada en Internet (IBCM).This change also provides support for BitLocker management via internet-based client management (IBCM). No se produce ningún cambio en el proceso de instalación de la administración de BitLocker.There's no change to the setup process for BitLocker management. Esta mejora admite dispositivos unidos a un dominio e híbridos unidos a un dominio.This improvement supports domain-joined and hybrid domain-joined devices. Para obtener más información, vea Implementación del agente de administración: Servicio de recuperación.For more information, see Deploy management agent: Recovery service.

    Nota

    Si tiene directivas de administración de BitLocker que se han creado antes de actualizar a la versión 2010, para ponerlas a disposición de los clientes basados en Internet a través de la instancia de CMG, haga lo siguiente:If you have BitLocker management policies that you created before you updated to version 2010, to make them available to internet-based clients via CMG:

    1. En la consola de Configuration Manager, abra las propiedades de la directiva existente.In the Configuration Manager console, open the properties of the existing policy.
    2. Cambie a la pestaña Administración de cliente.Switch to the Client Management tab.
    3. Seleccione Aceptar o Aplicar para guardar la directiva.Select OK or Apply to save the policy.

    Esta acción revisa la directiva a fin de que esté disponible para los clientes a través de la instancia de CMG.This action revises the policy so that it's available to clients over the CMG.

Sugerencia

De forma predeterminada, el paso de secuencia de tareas Habilitar BitLocker solo cifra el espacio usado en la unidad.By default, the Enable BitLocker task sequence step only encrypts used space on the drive. La administración de BitLocker usa el cifrado de disco completo.BitLocker management uses full disk encryption. Configure este paso de secuencia de tareas para habilitar la opción para usar el cifrado de disco completo.Configure this task sequence step to enable the option to Use full disk encryption. Para obtener más información, vea Pasos de la secuencia de tareas - Habilitar BitLocker.For more information, see Task sequence steps - Enable BitLocker.

Pasos siguientesNext steps

Cifrar los datos de recuperación a través de la redEncrypt recovery data over the network