Share via

Configuración de las aplicaciones web de MBAM 2.5

  • Artículo

Se aplica a: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

En este tema se explica como configurar las aplicaciones web de Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 para la Arquitectura de alto nivel de MBAM 2.5 recomendada mediante uno de los métodos siguientes:

  • Un cmdlet de Windows PowerShell

  • El Asistente para la configuración del servidor de MBAM

Las aplicaciones web comprenden los sitios web siguientes y los servicios web correspondientes:

Sitio web Descripción

Sitio web de Administration and Monitoring

Sitio web en el que los usuarios especificados pueden consultar informes y ayudar a los usuarios finales a recuperar sus equipos si no recuerdan su PIN o contraseña

Portal de autoservicio

Sitio web al que pueden tener acceso los usuarios finales para, de forma independiente, recuperar el acceso a sus equipos si no recuerdan su PIN o contraseña

Antes de iniciar la configuración:

Paso Dónde obtener instrucciones

Revise la arquitectura recomendada para MBAM.

Arquitectura de alto nivel de MBAM 2.5

Revise las configuraciones admitidas para MBAM.

Configuraciones admitidas de MBAM 2.5

Lleve a cabo los requisitos previos necesarios en cada servidor.

Nota

Asegúrese de que configura SQL Server Reporting Services (SSRS) para el uso de la capa de sockets seguros (SSL) antes de configurar el sitio web de Administration and Monitoring. Si no lo hace así, la característica de informes usará HTTP en lugar de HTTPS.

Registre los nombres de entidad de seguridad de servicio (SPN) de la cuenta del grupo de aplicaciones para los sitios web. Solo debe realizar este paso si no tiene derechos administrativos de dominio en Servicios de dominio de Active Directory (AD DS). Si dispone de dichos derechos en AD DS, MBAM crea los SPN automáticamente.

Registering SPNs when you’re using a virtual host name

Instale el software del servidor de MBAM en cada servidor en el que vaya a configurar una característica del servidor de MBAM.

Nota

Si piensa instalar los sitios web en un servidor y los servicios web en otro, solo podrá configurarlos mediante el cmdlet Enable-MbamWebApplication de Windows PowerShell. El Asistente para la configuración del servidor de MBAM no permite configurar estos elementos en distintos servidores.

Instalación del software de servidor de MBAM 2.5

Revise los requisitos previos para el uso de Windows PowerShell si piensa usar cmdlets para configurar las características del servidor de MBAM.

Configuración de características de servidor de MBAM 2.5 mediante Windows PowerShell

Para configurar las aplicaciones web mediante Windows PowerShell

  1. Antes de empezar la configuración, consulte Configuración de características de servidor de MBAM 2.5 mediante Windows PowerShell para revisar los requisitos previos del uso de Windows PowerShell.

  2. Use el cmdlet Enable-MbamWebApplication para configurar las aplicaciones web mediante Windows PowerShell. Para obtener información sobre este cmdlet, escriba Get-Help Enable-MbamWebApplication.

Para configurar las opciones de todas las aplicaciones web con el asistente

  1. En el servidor en el que desea configurar las aplicaciones web, inicie el Asistente para la configuración del servidor de MBAM. Puede seleccionar Configuración del servidor de MBAM en el menú Iniciar para abrir el asistente.

  2. Haga clic en Agregar nuevas características, seleccione Sitio web de Administration and Monitoring y Portal de autoservicio y, a continuación, haga clic en Siguiente. El asistente comprueba que se cumplen todos los requisitos previos de las aplicaciones web.

  3. Si la comprobación es satisfactoria, haga clic en Siguiente para continuar. Si no lo es, resuelva los requisitos previos que falten y haga clic en Comprobar requisitos previos de nuevo.

  4. Use las descripciones siguientes para especificar los valores de los campos del asistente.

    Campo Descripción

    Certificado de seguridad

    Seleccione un certificado ya creado para, opcionalmente, cifrar la comunicación entre los servicios web y el servidor en el que se configuran los sitios web. Si elige No usar certificado, la comunicación web puede no ser segura.

    Nombre de host

    Nombre del equipo host donde va a configurar los sitios web.

    Ruta de instalación

    Ruta de acceso donde va a instalar los sitios web.

    Puerto

    Número de puerto que se va a usar para la comunicación del sitio web y el servicio.

    Nota

    Debe definir una excepción de firewall para habilitar la comunicación a través del puerto especificado.

    Cuenta de dominio y contraseña del grupo de aplicaciones del servicio web

    Cuenta de usuario del dominio y contraseña para el grupo de aplicaciones del servicio web.

    Si especifica un nombre de usuario en el campo de Grupo o usuario de dominio de acceso de lectura/escritura de la página Configurar bases de datos, debe especificar el mismo valor en este campo.

    Si especifica un nombre de grupo en el campo de Grupo o usuario de dominio de acceso de lectura/escritura de la página Configurar bases de datos, el valor que especifique en este campo debe ser miembro de ese grupo.

    Si no especifica credenciales, se usarán las credenciales que se especificaron para cualquier aplicación web que se haya habilitado anteriormente. Todas las aplicaciones web deben usar las mismas credenciales de grupo de aplicaciones. Si especifica credenciales distintas para distintas aplicaciones web, se usará el valor especificado más recientemente.

    Importante

    Para aumentar la seguridad, configure la cuenta especificada en las credenciales de forma que tenga derechos de usuario limitados. Además, debe configurar la contraseña de la cuenta de forma que no expire nunca.

  5. Compruebe que la cuenta integrada IIS_IUSRS o la cuenta del grupo de aplicaciones se ha agregado a las opciones de seguridad local Suplantar a un cliente tras la autenticación e Iniciar sesión como proceso por lotes.

    Para comprobar si se ha agregado a las opciones de seguridad local, abra el editor de directiva de seguridad local, expanda el nodo Directivas locales, haga clic en el nodo Asignación de derechos de usuario, y haga doble clic en las directivas Suplantar a un cliente tras la autenticación e Iniciar sesión como proceso por lotes del panel de la derecha.

Para configurar la información de conexión para las bases de datos con el asistente

  1. Use las siguientes descripciones de campos para configurar la información de conexión en el asistente para la base de datos de cumplimiento y auditoría.

    Campo Descripción

    Nombre de servidor SQL

    Nombre del servidor en el que está configurada la base de datos de cumplimiento y auditoría.

    Instancia de base de datos de SQL Server

    Nombre de la instancia de SQL Server donde se configura la base de datos de auditoría y cumplimiento de normas.

    Nombre de la base de datos

    Nombre de la base de datos de cumplimiento y auditoría

  2. Use las siguientes descripciones de campos para configurar la información de conexión en el asistente para la base de datos de recuperación.

    Campo Descripción

    Nombre de servidor SQL

    Nombre del servidor en el que está configurada la base de datos de recuperación.

    Instancia de base de datos de SQL Server

    Nombre de la instancia de SQL Server donde se configura la base de datos de recuperación.

    Nombre de la base de datos

    Nombre de la base de datos de recuperación.

Para configurar las aplicaciones web mediante el asistente

  1. Use las descripciones siguientes para especificar los valores de los campos en el asistente para configurar el sitio web de Administration and Monitoring.

    Campo Descripción

    Grupo de dominio de rol de soporte técnico avanzado

    Grupo de usuarios de dominio cuyos miembros tienen acceso a todas las secciones del sitio web de Administration and Monitoring, excepto la de informes.

    Grupo de dominio de rol de soporte técnico

    Grupo de usuarios de dominio cuyos miembros tienen acceso a las secciones Administrar TPM y Recuperación de unidad del sitio web de Administration and Monitoring.

    Use Integración de System Center Configuration Manager

    Active esta casilla si está configurando MBAM con la topología de integración de Configuration Manager. Si se activa esta casilla, todos los informes excepto el de auditoría de recuperación aparecen en Configuration Manager en lugar del sitio web de Administration and Monitoring.

    Grupo de dominio del rol de informes

    Grupo de usuarios de dominio cuyos miembros tienen acceso de solo lectura al área de informes del sitio web de Administration and Monitoring.

    Dirección URL de SQL Server Reporting Services

    Dirección URL del servidor de SSRS en el que están configurados los informes de MBAM.

    Ejemplos de direcciones URL de informe:

     

    Tipo de nombre de host Ejemplo

    Ejemplo con un nombre de dominio completo

    https://MyReportServer.Contoso.com/ReportServer

    Ejemplo con un nombre de host personalizado

    https://MyReportServer/ReportServer

    Directorio virtual

    Directorio virtual del sitio web de Administration and Monitoring. Este nombre corresponde al directorio físico del sitio web en el servidor y se anexa al nombre de host del sitio web, por ejemplo:

    http(s)://<nombreDeHost>:<puerto>/HelpDesk/

    Si no especifica un directorio virtual, se usa el valor HelpDesk.

    Grupo de dominio de rol de migración de datos (opcional)

    Grupo de usuarios de dominio cuyos miembros tienen acceso para usar los cmdlets Write-Mbam*Information a fin de escribir información de recuperación a través de este extremo.

  2. Use la descripción siguiente para especificar los valores de los campos en el asistente para configurar el portal de autoservicio.

    Campo Descripción

    Directorio virtual

    Directorio virtual de la aplicación web. Este nombre corresponde al directorio físico del sitio web en el servidor y se anexa al nombre de host del sitio web, por ejemplo:

    http(s)://<nombreDeHost>:<puerto>/SelfService/

    Si no especifica un directorio virtual, se usa el valor SelfService.

    Nombre de la compañía

    Especifique el nombre de la compañía para el Portal de autoservicio, por ejemplo:

    Contoso IT

    Este nombre de la compañía lo ven todos los usuarios del Portal de autoservicio.

    Texto de la dirección URL del departamento de soporte técnico

    Especifique una instrucción de texto que dirija a los usuarios al sitio web del departamento de soporte técnico de su organización, por ejemplo:

    Póngase en contacto con el departamento de soporte técnico o con el departamento de TI

    Dirección URL del departamento de soporte técnico

    Especifique la dirección URL del sitio web del departamento de soporte técnico de su organización, por ejemplo:

    http(s)://<companyHelpdeskURL>/

    Archivo de texto de aviso

    Seleccione un archivo que contenga el aviso que quiere mostrar a los usuarios en la página de aterrizaje del Portal de autoservicio.

    No mostrar el texto de aviso a los usuarios

    Active esta casilla para especificar que el texto de aviso no se muestra a los usuarios.

  3. Cuando termine de especificar todos los valores, haga clic en Siguiente.

    El asistente comprueba que se cumplen todos los requisitos previos de las aplicaciones web.

  4. Haga clic en Siguiente para continuar.

  5. En la página Resumen, revise las características que se agregarán.

    Nota

    Para crear un script de Windows PowerShell para los valores que ha especificado, haga clic en Exportar script de PowerShell y guarde el script.

  6. Haga clic en Agregar para agregar las aplicaciones web al servidor y, a continuación, haga clic en Cerrar.

    Para personalizar el portal de autoservicio con texto personalizado, el nombre de su compañía, referencias a más información, etc., consulte Personalización del portal de autoservicio para su organización.

Para configurar el portal de autoservicio cuando los equipos cliente no tienen acceso a la CDN

  1. Determine si está ejecutando Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1. Si es así, no haga nada. La configuración del portal de autoservicio está completa.

    Nota

    Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 instala los archivos JavaScript en el programa de instalación y, por lo tanto, no necesita estar conectado a la red de entrega de contenido de Microsoft Ajax para configurar el Portal de autoservicio. Los siguientes pasos solo son necesarios si se usa una versión de Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 anterior a SP1.

  2. Determine si sus equipos cliente tienen acceso a la Red de entrega de contenido (CDN) Ajax de Microsoft.

    La CDN concede al portal de autoservicio el acceso necesario a determinados archivos JavaScript. Si no configura el portal de autoservicio cuando los equipos cliente no tienen acceso a la CDN, solo se mostrarán el nombre de la compañía y la cuenta con la que el usuario final inicia sesión. No se mostrará ningún mensaje de error.

  3. Siga uno de estos procedimientos:

    ¿Tiene alguna sugerencia sobre MBAM? Agregue o vote sugerencias aquí. ¿
    Tiene un problema de MBAM? Use el foro de TechNet de MBAM.

Véase también

Tareas

Configurar el portal de autoservicio cuando los equipos cliente no tienen acceso a la Red de entrega de contenido de Microsoft

Conceptos

Registros de eventos de servidor
Validación de la configuración de las características de servidor de MBAM 2.5

Otros recursos

Configuración de las características de servidor de MBAM 2.5
Personalización del portal de autoservicio para su organización