Planear la administración de BitLocker

Se aplica a: Configuration Manager (rama actual)

Use Configuration Manager para administrar el cifrado de unidad BitLocker (BDE) para clientes Windows locales, que están unidos a Active Directory. Proporciona una administración completa del ciclo de vida de BitLocker que puede reemplazar el uso de Administración y supervisión de BitLocker de Microsoft (MBAM).

Para obtener más información general sobre BitLocker, consulta Introducción a BitLocker. Para obtener una comparación de las implementaciones y requisitos de BitLocker, consulta el gráfico de comparación de implementación de BitLocker.

Características

Configuration Manager proporciona las siguientes capacidades de administración para el cifrado de unidad BitLocker:

Implementación de cliente

• Implemente el cliente de BitLocker en dispositivos Windows administrados que ejecuten Windows 8.1, Windows 10 o Windows 11.

• Administrar directivas de BitLocker y claves de recuperación de custodia para clientes locales e internet

Administrar directivas de cifrado

• Por ejemplo: elija cifrado de unidad y nivel de cifrado, configure la directiva de exención de usuarios, la configuración de cifrado de unidad de datos fija.

• Determina los algoritmos con los que cifrar el dispositivo y los discos a los que estás destinado para el cifrado.

• Forzar a los usuarios a cumplir con las nuevas directivas de seguridad antes de usar el dispositivo.

• Personalice el perfil de seguridad de su organización por dispositivo.

• Cuando un usuario desbloquee la unidad del sistema operativo, especifique si se va a desbloquear solo una unidad del sistema operativo o todas las unidades conectadas.

Informes de cumplimiento

Informes integrados para:

• Estado de cifrado por volumen o por dispositivo
• El usuario principal del dispositivo
• Estado de cumplimiento
• Motivos del incumplimiento

Sitio web de administración y supervisión

Permitir que otras personas de la organización fuera de la consola de Configuration Manager ayuden con la recuperación de claves, incluida la rotación de claves y otra compatibilidad relacionada con BitLocker. Por ejemplo, los administradores del servicio de ayuda pueden ayudar a los usuarios con la recuperación de claves.

Portal de autoservicio de usuario

Permitir que los usuarios se ayuden a sí mismos con una clave de un solo uso para desbloquear un dispositivo cifrado de BitLocker. Una vez que se usa esta clave, genera una nueva clave para el dispositivo.

Requisitos previos

Requisitos previos generales

• Para crear una directiva de administración de BitLocker, necesitas el rol Administrador completo en Configuration Manager.

• Para usar los informes de administración de BitLocker, instale el rol de sistema de sitio de punto de servicios de informes. Para obtener más información, vea Configure reporting.

  Nota

  Para que el informe de auditoría de recuperación funcione desde el sitio web de administración y supervisión, solo use un punto de los servicios de informes en el sitio principal.

Requisitos previos para clientes

• El dispositivo requiere un chip TPM habilitado en el BIOS y que se puede restablecer desde Windows.

  Microsoft recomienda dispositivos con TPM versión 2.0 o posterior. Es posible que los dispositivos con TPM versión 1.2 no admitan correctamente todas las funciones de BitLocker.

• El disco duro del equipo requiere un BIOS compatible con TPM y compatible con dispositivos USB durante el inicio del equipo.

La administración de BitLocker no admite todos los tipos de cliente que suelen ser compatibles con Configuration Manager. Para obtener más información, vea Configuraciones admitidas.

Requisitos previos para el servicio de recuperación

• En la versión 2010 y versiones anteriores, el servicio de recuperación de BitLocker requiere HTTPS para cifrar las claves de recuperación en toda la red desde el cliente de Configuration Manager hasta el punto de administración. Use una de las siguientes opciones:

  • Https-enable the IIS website on the management point that hosts the recovery service.

  • Configure el punto de administración para HTTPS.

  Para obtener más información, vea Cifrar datos de recuperación a través de la red.

  Nota

  Cuando el sitio y los clientes ejecutan Configuration Manager versión 2103 o posterior, los clientes envían sus claves de recuperación al punto de administración a través del canal de notificación de cliente seguro. Si algún cliente está en la versión 2010 o anterior, necesita un servicio de recuperación habilitado para HTTPS en el punto de administración para custodiar sus claves.

  A partir de la versión 2103, dado que los clientes usan el canal de notificación de cliente seguro para proteger las claves, puede habilitar el sitio de Configuration Manager para HTTP mejorado. Esta configuración no afecta a la funcionalidad de la administración de BitLocker en Configuration Manager.

• En la versión 2010 y versiones anteriores, para usar el servicio de recuperación, necesita al menos un punto de administración que no se encuentra en una configuración de réplica. Aunque el servicio de recuperación de BitLocker se instala en un punto de administración que usa una réplica de base de datos, los clientes no pueden custodiar claves de recuperación. A continuación, BitLocker no cifrará la unidad. Deshabilite el servicio de recuperación de BitLocker en cualquier punto de administración con una réplica de base de datos.

  A partir de la versión 2103, el servicio de recuperación admite puntos de administración que usan una réplica de base de datos.

Requisitos previos para portales de BitLocker

• Para usar el portal de autoservicio o el sitio web de administración y supervisión, necesita un servidor Windows que ejecute IIS. Puede reutilizar un sistema de sitio de Configuration Manager o usar un servidor web independiente que tenga conectividad con el servidor de bases de datos del sitio. Use una versión del sistema operativo compatible para los servidores del sistema de sitio.

  Nota

  A partir de la versión 2006, puede instalar el portal de autoservicio de BitLocker y el sitio web de administración y supervisión en el sitio de administración central.

  En la versión 2002 y versiones anteriores, solo instale el portal de autoservicio y el sitio web de administración y supervisión con una base de datos de sitios principal. En una jerarquía, instale estos sitios web para cada sitio principal.

• En el servidor web que hospedará el portal de autoservicio, instale Microsoft ASP.NET mvc 4.0 y .NET Framework 3.5 antes de mirar el proceso de instalación. Otros roles Windows y características de servidor necesarios se instalarán automáticamente durante el proceso de instalación del portal.

  Sugerencia

  No es necesario instalar ninguna versión de Visual Studio con ASP.NET MVC.

• La cuenta de usuario que ejecuta el script del instalador del portal necesita SQL Server de sysadmin en el servidor de base de datos del sitio. Durante el proceso de instalación, el script establece los derechos de inicio de sesión, usuario y SQL Server de función para la cuenta del equipo del servidor web. Puede quitar esta cuenta de usuario del rol sysadmin después de completar la configuración del portal de autoservicio y el sitio web de administración y supervisión.

Configuraciones compatibles

• La administración de BitLocker no se admite en máquinas virtuales (VM) ni en ediciones de servidor. Por ejemplo, la administración de BitLocker no iniciará el cifrado en unidades fijas de máquinas virtuales. Además, las unidades fijas en máquinas virtuales pueden mostrarse como compatibles aunque no están cifradas.

• Azure Active Directory (Azure AD) unidos, no se admiten clientes de grupo de trabajo o clientes en dominios que no son de confianza. La administración de BitLocker en Configuration Manager solo admite dispositivos unidos a Active Directory local. También Azure AD dispositivos híbridos unidos. Esta configuración es autenticar con el servicio de recuperación para las claves de custodia.

• A partir de la versión 2010, ahora puedes administrar directivas de BitLocker y claves de recuperación de custodia a través de una puerta de enlace de administración en la nube (CMG). Este cambio también proporciona compatibilidad con la administración de BitLocker a través de la administración de cliente basada en Internet (IBCM). No hay ningún cambio en el proceso de configuración para la administración de BitLocker. Esta mejora admite dispositivos unidos al dominio e híbridos unidos a un dominio. Para obtener más información, vea Deploy management agent: Recovery service.

  • Si tienes directivas de administración de BitLocker que creaste antes de actualizar a la versión 2010, para que estén disponibles para clientes basados en Internet a través de CMG:
    1. En la consola de Configuration Manager, abra las propiedades de la directiva existente.
    2. Cambie a la pestaña Administración de clientes.
    3. Seleccione Aceptar o Aplicar para guardar la directiva. Esta acción revisa la directiva para que esté disponible para los clientes a través del CMG.

• De forma predeterminada, el paso de secuencia de tareas Habilitar BitLocker solo cifra el espacio usado en la unidad. La administración de BitLocker usa el cifrado de disco completo. Configure este paso de secuencia de tareas para habilitar la opción Usar cifrado de disco completo. Para obtener más información, consulta Pasos de secuencia de tareas- Habilitar BitLocker.

Siguientes pasos

Cifrado de datos de recuperación a través de la red