Acerca del servicio de recuperación de BitLocker
Se aplica a: Configuration Manager (rama actual)
Importante
A partir de la versión 2103, la implementación del servicio de recuperación cambió. Ya no usa componentes de MBAM heredados, pero todavía se conoce conceptualmente como servicio de recuperación. Todos los clientes de la versión 2103 usan el componente del motor de procesamiento de mensajes del punto de administración como su servicio de recuperación. Custodian sus claves de recuperación en el canal de notificación de cliente seguro. Con este cambio, puede habilitar el sitio de Configuration Manager para HTTP mejorado. Esta configuración no afecta a la funcionalidad de administración de BitLocker en Configuration Manager.
Cuando el sitio y los clientes ejecutan Configuration Manager versión 2103 o posterior, los clientes envían sus claves de recuperación al punto de administración a través del canal de notificación de cliente seguro. Si algún cliente está en la versión 2010 o anterior, necesita un servicio de recuperación habilitado para HTTPS en el punto de administración para custodiar sus claves.
El servicio de recuperación de BitLocker es un componente de servidor que recibe datos de recuperación de BitLocker de Configuration Manager clientes. El sitio implementa el servicio de recuperación al crear una directiva de administración de BitLocker. Configuration Manager instala automáticamente el servicio de recuperación en cada punto de administración con un sitio web habilitado para HTTPS.
Configuration Manager almacena la información de recuperación en la base de datos del sitio. Sin un certificado de cifrado de administración de BitLocker, Configuration Manager almacena la información de recuperación de claves en texto sin formato. Para obtener más información, consulte Cifrado de datos de recuperación en la base de datos.
A partir de la versión 2010, puede administrar las directivas de BitLocker y las claves de recuperación de custodia en una puerta de enlace de administración en la nube (CMG). Cuando los clientes unidos a un dominio se comunican a través de CMG, no usan el servicio de recuperación heredado, sino el componente del motor de procesamiento de mensajes del punto de administración. Microsoft Entra dispositivos unidos a híbridos también usan el motor de procesamiento de mensajes.
A partir de la versión 2103, todos los clientes admitidos usan el componente del motor de procesamiento de mensajes del punto de administración como servicio de recuperación. Este cambio reduce las dependencias de los componentes de MBAM heredados y permite la compatibilidad con HTTP mejorado.
Nota:
Para la versión 2010, el canal del motor de procesamiento de mensajes solo custodia las claves para los volúmenes de unidad fija y del sistema operativo. No admite claves de recuperación para unidades extraíbles o el hash de contraseña de TPM.
A partir de la versión 2103, las directivas de administración de BitLocker a través de un CMG admiten las siguientes funcionalidades:
- Claves de recuperación para unidades extraíbles
- Hash de contraseña de TPM, también conocido como autorización de propietario de TPM
Girar claves
Al recuperar una clave con los portales de autoservicio o departamento de soporte técnico, ya que se revela, Configuration Manager requiere que el cliente rote la clave. Girar la clave significa que el cliente genera una nueva clave para la recuperación de BitLocker. A continuación, custodia la nueva clave en el servicio de recuperación.
Nota:
Al migrar desde MBAM, cuando el dispositivo recibe una directiva de administración de BitLocker de Configuration Manager, primero gira su clave. A continuación, envía la nueva clave al servicio de recuperación de Configuration Manager.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de