Introducción - Utilización de MBAM con Configuration Manager

  • Artículo

Se aplica a: Microsoft BitLocker Administration and Monitoring 2.0

Al instalar Microsoft BitLocker Administration and Monitoring (MBAM), puede elegir una topología que integre MBAM con Configuration Manager 2007 o System Center 2012 Configuration Manager. Para ver una lista de las versiones compatibles de Configuration Manager admitidas por MBAM, consulte Planeación de la implementación de MBAM con Configuration Manager. En la topología integrada, las características de informes y cumplimiento de hardware se quitan de MBAM y son accesibles desde Configuration Manager.

Importante

No se admite Windows To Go cuando se instala la topología integrada de MBAM con Configuration Manager 2007.

Utilización de MBAM con Configuration Manager

La integración de MBAM se basa en un nuevo módulo de configuración que instala los siguientes tres elementos en Configuration Manager 2007 o System Center 2012 Configuration Manager, que se describen detalladamente en las siguientes secciones:

  • Datos de configuración que se componen de elementos de configuración y una línea de base de configuración

  • Colección

  • Informes

Datos de configuración

Los datos de configuración instalan una línea de base de configuración, denominada "Protección de BitLocker", que contiene dos elementos de configuración: "Protección de BitLocker de la unidad del sistema operativo" y "Protección de BitLocker de unidades de datos fijas". La línea de base de configuración se implementa en la colección, que también se crea al instalar MBAM. Los dos elementos de configuración proporcionan la base para evaluar el estado de cumplimiento de los equipos cliente. Esta información se captura, almacena y evalúa en Configuration Manager. Los elementos de configuración se basan en los requisitos de cumplimiento para unidades de sistema operativo (OSD) y unidades de datos fijas (FDD). Los datos necesarios para los equipos implementados se recopilan para que pueda evaluarse el cumplimiento de esos tipos de unidad. De forma predeterminada, la línea de base de configuración evalúa el estado de cumplimiento cada 12 horas y envía los datos de cumplimiento a Configuration Manager.

Colección

MBAM crea una colección denominada Equipos compatibles con MBAM. La línea de base de configuración está dirigida a los equipos cliente que se encuentran en esta colección. Se trata de una colección dinámica que, de forma predeterminada, se ejecuta cada 12 horas y evalúa la pertenencia. La pertenencia se basa en tres criterios:

  • Es una versión compatible del sistema operativo Windows. Actualmente, MBAM solo admite Windows 7 Enterprise, Windows 7 Ultimate, Windows 8 Enterprise y Windows To Go, cuando Windows To Go se ejecuta en Windows 8 Enterprise.

  • Es un equipo físico. No se admiten las máquinas virtuales.

  • El Módulo de plataforma segura (TPM) está disponible. Se requiere una versión compatible de TPM 1.2 o posterior para Windows 7. Windows 8 y Windows To Go no requieren un TPM.

La colección se evalúa en todos los equipos y crea el subconjunto de equipos compatibles que proporciona la base de la evaluación de cumplimiento y de informes de la integración de MBAM.

Informes

Hay cuatro informes que puede utilizar para ver el cumplimiento. Estos son:

  • Panel de cumplimiento de BitLocker Enterprise: ofrece a los administradores de TI tres vistas distintas de información en un solo informe: Distribución de estado de cumplimiento, No conforme: distribución de errores y Distribución de estado de cumplimiento por tipo de unidad. Las opciones de desglose del informe permiten a los administradores de TI hacer clic a través de los datos y ver una lista de equipos que coinciden con el estado seleccionado.

  • Detalles de cumplimiento de BitLocker Enterprise: permite a los administradores de TI ver información acerca del estado de cumplimiento de cifrado de BitLocker de la empresa e incluye el estado de cumplimiento de cada equipo. Las opciones de desglose del informe permiten a los administradores de TI hacer clic a través de los datos y ver una lista de equipos que coinciden con el estado seleccionado.

  • Cumplimiento del equipo de BitLocker: permite a los administradores de TI ver un equipo individual y determinar por qué se le atribuyó un determinado estado de conforme o no conforme. El informe también muestra el estado de cifrado de las unidades de sistema operativo (OSD) y unidades de datos fijas (FDD).

  • Resumen de cumplimiento de BitLocker Enterprise: permite a los administradores de TI ver el estado de cumplimiento de la empresa con la directiva de MBAM. Se evalúa el estado de cada equipo y el informe muestra un resumen del cumplimiento de todos los equipos de la empresa conforme a la directiva. Las opciones de desglose del informe permiten a los administradores de TI hacer clic a través de los datos y ver una lista de equipos que coinciden con el estado seleccionado.

Arquitectura de alto nivel de MBAM con Configuration Manager

La siguiente imagen muestra la arquitectura de MBAM con la topología de Configuration Manager. Esta configuración admite hasta 200.000 clientes de MBAM en un entorno de producción.

Arquitectura de MBAM con Configuration Manager

A continuación se ofrece una descripción de los servidores, bases de datos y características de esta arquitectura. Las características de servidor y las bases de datos en la imagen de la arquitectura se especifican bajo el equipo o el servidor donde se recomienda que las instale.

  • Servidor de base de datos: la base de datos de recuperación y la base de datos de auditoría se instalan en un servidor de Windows y en una instancia SQL Server compatible. La base de datos de recuperación almacena los datos de recuperación que se recopilan de los equipos cliente de MBAM. La base de datos de auditoría almacena datos de la actividad de auditoría que se recopilan de los equipos cliente que han tenido acceso a datos de recuperación.

  • Servidor de sitio principal de Configuration Manager: el servidor de Configuration Manager consta de la instalación del servidor de MBAM, que debe instalarse en un servidor de sitio principal de Configuration Manager. El servidor de Configuration Manager recopila la información de inventario de hardware de los equipos cliente y se utiliza para notificar el cumplimiento de BitLocker de los equipos cliente. Cuando ejecuta el programa de instalación del servidor de MBAM, se instala una colección y los datos de configuración en el servidor de sitio principal de Configuration Manager.

  • Servidor de administración y supervisión: la característica Servidor de administración y supervisión se instala en un servidor de Windows y consta del sitio web de administración y supervisión y los servicios web de supervisión. El sitio web de administración y supervisión se utiliza para la actividad de auditoría y para tener acceso a los datos de recuperación (por ejemplo, las claves de recuperación de BitLocker). El Portal de autoservicio también se instala en el servidor de administración y supervisión. El portal permite a los usuarios finales en los equipos cliente iniciar sesión en un sitio web de forma independiente para obtener una clave de recuperación en caso de que hayan perdido u olvidado su contraseña de BitLocker. Los informes de auditoría también se instalan en el servidor de administración y supervisión.

  • Estación de trabajo de administración: la Plantilla de directiva consta de objetos de directiva de grupo que definen la configuración de implementación de MBAM para el cifrado de unidad BitLocker. Puede instalar la plantilla de directiva en cualquier servidor o estación de trabajo, aunque suele instalarse en una estación de trabajo de administración que sea un servidor de Windows o un equipo cliente compatible. La estación de trabajo no tiene por qué ser un equipo dedicado.

  • Cliente de MBAM y Cliente de Configuration Manager

    • El Cliente de MBAM realiza las siguientes tareas:

      • Utiliza objetos de directiva de grupo para aplicar el cifrado de BitLocker de equipos cliente en la empresa.

      • Recopila la clave de recuperación para los tres tipos de unidades de datos de BitLocker: unidades del sistema operativo, unidades de datos fijas y unidades de datos extraíbles (USB).

      • Recopila información de recuperación e información del equipo acerca de los equipos cliente.

    • Cliente de Configuration Manager: el cliente de Configuration Manager permite a Configuration Manager recopilar los datos de compatibilidad de hardware acerca de los equipos cliente y permite a Configuration Manager notificar la información de cumplimiento.

Vea también

Otros recursos

Utilización de MBAM con Configuration Manager

-----
Para obtener más información acerca de MDOP, consulte la biblioteca de TechNet, busque soluciones de problemas en TechNet Wikio síganos en Facebook o Twitter.
-----