Compartir a través de

Implementación del cliente de MBAM como parte de una implementación de Windows

  • Artículo

Se aplica a: Microsoft BitLocker Administration and Monitoring 2.0

El cliente de Microsoft BitLocker Administration and Monitoring (MBAM) permite que los administradores apliquen y controlen el cifrado de unidad BitLocker en los equipos de la empresa. Si los equipos tienen el chip del Módulo de plataforma segura (TPM), el cliente de BitLocker puede integrarse en una organización si se habilita la administración y el cifrado de BitLocker en los equipos cliente durante el proceso de implementación de Windows y la creación de imágenes.

Nota

Para revisar los requisitos del sistema de cliente de Microsoft BitLocker Administration and Monitoring, consulte Configuraciones admitidas de MBAM 2.0.

El cifrado de equipos cliente con BitLocker durante la fase inicial de creación de imágenes de una implementación de Windows puede reducir la sobrecarga administrativa necesaria para implementar MBAM en una organización. También garantiza que todos los equipos que se implementen ya tengan BitLocker en ejecución y con la configuración correcta.

Nota

En este tema se describe el procedimiento para modificar el Registro de Windows. El uso incorrecto del Editor del Registro puede provocar problemas graves que pueden requerir la reinstalación de Windows. Microsoft no puede garantizar que puedan solucionarse los problemas derivados del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.

Para cifrar un equipo como parte de la implementación de Windows

  1. Si su organización tiene previsto usar las opciones del protector TPM (Módulo de plataforma segura) o TPM + PIN de BitLocker, debe activar el chip de TPM antes de la implementación inicial de MBAM. Cuando se activa el chip de TPM, se evita un reinicio posterior en el proceso y se garantiza que los chips de TPM estén configurados correctamente, de acuerdo con las necesidades de la organización. Debe activar el chip de TPM manualmente en el BIOS del equipo.

    Nota

    Algunos proveedores ofrecen herramientas para activar el chip de TPM en el BIOS desde el propio sistema operativo. Consulte la documentación del fabricante para obtener más información acerca de la configuración del chip de TPM.

  2. Instale al agente de cliente de Microsoft BitLocker Administration and Monitoring.

  3. Una el equipo a un dominio (recomendado).

    • Si el equipo no está unido al dominio, la contraseña de recuperación no se almacenará en el servicio de recuperación de claves de MBAM. De forma predeterminada, MBAM no permite el cifrado a menos que se pueda almacenar la clave de recuperación.

    • Si un equipo se inicia en modo de recuperación antes de que la clave de recuperación se almacene en el servidor de MBAM, el equipo deberá restablecer la imagen inicial. No hay ningún método de recuperación disponible.

  4. Ejecute el símbolo del sistema como administrador, detenga el servicio de MBAM y, a continuación, establezca el servicio en manual o a petición y, a continuación escriba los siguientes comandos para iniciarlo:

    net stop mbamagent

    sc config mbamagent start= demand

  5. Establezca la configuración del Registro para que el agente de MBAM omita la directiva de grupo y ejecute el TPM para cifrar únicamente el sistema operativo. Para ello, ejecute Regedit y, a continuación, importe la plantilla de clave del Registro desde C:\Archivos de programa\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.

  6. En regedit, vaya a HKLM\SOFTWARE\Microsoft\MBAM y configure las opciones que aparecen en la tabla siguiente.

    Entrada del Registro Opciones de configuración

    DeploymentTime

    0 = DESACTIVADO

    1 = Utilizar la configuración de directivas de tiempo de implementación (valor predeterminado)

    UseKeyRecoveryService

    0 = No utilizar la custodia de clave (en este caso, no se requieren las dos entradas del Registro siguientes)

    1 = Utilizar la custodia de clave del sistema de recuperación de claves (valor predeterminado)

    Recomendado: el equipo debe ser capaz de comunicarse con el servicio de recuperación de claves. Compruebe que el equipo puede comunicarse con el servicio antes de continuar.

    KeyRecoveryOptions

    0 = Cargar únicamente la clave de recuperación

    1 = Cargar la clave de recuperación y el paquete de recuperación de clave (valor predeterminado)

    KeyRecoveryServiceEndPoint

    Establezca este valor en la dirección URL del servidor web de recuperación de claves; por ejemplo, http://<nombre del equipo>/MBAMRecoveryAndHardwareService/CoreService.svc.

    Nota

    Se pueden establecer aquí los valores del Registro o directiva de MBAM para reemplazar los valores previamente establecidos.

  7. El agente de MBAM reinicia el sistema durante la implementación del cliente de MBAM. Cuando esté preparado para el reinicio, ejecute el comando siguiente en un símbolo del sistema como administrador:

    net start mbamagent

  8. Cuando se reinicie el equipo y el BIOS pregunte si desea aceptar un cambio del TPM, acepte el cambio.

  9. Durante el proceso de creación de imágenes del sistema operativo de cliente de Windows, cuando esté listo para comenzar el cifrado, reinicie el servicio de agente de MBAM y ejecute un símbolo del sistema como administrador y escriba los comandos siguientes para establecer el inicio en automático:

    sc config mbamagent start= auto

    net start mbamagent

  10. Quite los valores de omisión del Registro; para ello, ejecute Regedit y vaya a la entrada del Registro HKLM\SOFTWARE\Microsoft. Para eliminar el nodo MBAM, haga clic con el botón secundario en el nodo y haga clic en Eliminar.

Vea también

Otros recursos

Implementación del cliente de MBAM 2.0

-----
Para obtener más información acerca de MDOP, consulte la biblioteca de TechNet, busque soluciones de problemas en TechNet Wikio síganos en Facebook o Twitter.
-----