Compartir a través de


Migrar desde MBAM

Se aplica a: Configuration Manager (rama actual)

Si actualmente usa Microsoft Administración y supervisión de BitLocker (MBAM), puede migrar sin problemas la administración a Configuration Manager. Al implementar directivas de administración de BitLocker en Configuration Manager, los clientes giran automáticamente sus claves y las cargan en el servicio de recuperación de Configuration Manager.

Importante

Al migrar de MBAM independiente a Configuration Manager administración de BitLocker, si necesita la funcionalidad existente de MBAM independiente, no reutilice servidores o componentes de MBAM independientes con Configuration Manager administración de BitLocker. Si reutiliza estos servidores, MBAM independiente dejará de funcionar cuando Configuration Manager administración de BitLocker instale sus componentes en esos servidores. No ejecute el script de MBAMWebSiteInstaller.ps1 para configurar los portales de BitLocker en servidores MBAM independientes. Al configurar Configuration Manager administración de BitLocker, use servidores independientes.

Directiva de grupo

Si existe una configuración de directiva de grupo para MBAM independiente, invalidará la configuración equivalente intentada por Configuration Manager. MBAM independiente usa la directiva de grupo de dominio, mientras que Configuration Manager establece directivas locales para la administración de BitLocker. Las directivas de dominio invalidarán las directivas de administración de BitLocker Configuration Manager locales. Si la directiva de grupo de dominio de MBAM independiente no coincide con la directiva de Configuration Manager, se producirá un error en Configuration Manager administración de BitLocker. Por ejemplo, si una directiva de grupo de dominio establece el servidor MBAM independiente para los servicios de recuperación de claves, Configuration Manager administración de BitLocker no puede establecer la misma configuración para su servicio de recuperación. Este comportamiento hace que los clientes no notifiquen sus claves de recuperación al servicio de recuperación de administración de BitLocker Configuration Manager.

No establezca una directiva de grupo para una configuración que ya especifique Configuration Manager administración de BitLocker. Establezca solo directivas de grupo para la configuración que no existe actualmente en Configuration Manager administración de BitLocker. Configuration Manager tiene paridad de características con MBAM independiente. En la mayoría de los casos, no debe haber ninguna razón para establecer directivas de grupo de dominio para configurar directivas de BitLocker. Para evitar conflictos y problemas, evite el uso de directivas de grupo para BitLocker. Configure todas las opciones a través de Configuration Manager directivas de administración de BitLocker.

Hash de contraseña de TPM

  • Los clientes de MBAM anteriores no cargan el hash de contraseña de TPM en Configuration Manager. El cliente solo carga el hash de contraseña de TPM una vez.

  • Si necesita migrar esta información al servicio de recuperación de Configuration Manager, borre el TPM en el dispositivo. Una vez reiniciado, carga el nuevo hash de contraseña de TPM en el servicio de recuperación.

Nota:

La carga del hash de contraseña de TPM pertenece principalmente a las versiones de Windows antes de Windows 10. Windows 10 o posterior de forma predeterminada no guarda el hash de contraseña de TPM, por lo que estos dispositivos no lo cargan normalmente. Para obtener más información, consulte Acerca de la contraseña de propietario de TPM.

Volver a cifrar

Configuration Manager no vuelve a cifrar las unidades que ya están protegidas con cifrado de unidad BitLocker. Si implementa una directiva de administración de BitLocker que no coincide con la protección actual de la unidad, se notifica como no compatible. La unidad sigue estando protegida.

Por ejemplo, ha usado MBAM para cifrar la unidad con el algoritmo de cifrado AES-XTS 128, pero la directiva de Configuration Manager requiere AES-XTS 256. La unidad no es compatible con la directiva, aunque la unidad esté cifrada.

Para evitar este comportamiento, deshabilite primero BitLocker en el dispositivo. A continuación, implemente una nueva directiva con la nueva configuración.

Pasos siguientes

Acerca del servicio de recuperación de BitLocker

Configuración de informes y portales de BitLocker