Planear la administración de BitLocker
Se aplica a: Configuration Manager (rama actual)
Use Configuration Manager para administrar el cifrado de unidad de BitLocker (BDE) para los clientes locales de Windows, que están unidos a Active Directory. Proporciona una administración completa del ciclo de vida de BitLocker que puede reemplazar el uso de Administración y supervisión de Microsoft BitLocker (MBAM).
Nota:
Configuration Manager no habilita esta característica opcional de forma predeterminada. Debe habilitar esta característica antes de usarla. Para obtener más información, consulte Habilitar características opcionales de las actualizaciones.
Para obtener más información general sobre BitLocker, vea Información general de BitLocker. Para ver una comparación de las implementaciones y los requisitos de BitLocker, consulte el gráfico de comparación de implementación de BitLocker.
Sugerencia
Para administrar el cifrado en dispositivos administrados conjuntamente Windows 10 o posteriores mediante el servicio en la nube Microsoft Intune, cambie la carga de trabajo de Endpoint Protection a Intune. Para obtener más información sobre el uso de Intune, vea Cifrado de Windows.
Características
Configuration Manager proporciona las siguientes funcionalidades de administración para el cifrado de unidad BitLocker:
Implementación de cliente
Implemente el cliente de BitLocker en dispositivos Windows administrados que ejecutan Windows 8.1, Windows 10 o Windows 11.
Administración de directivas de BitLocker y claves de recuperación de custodia para clientes locales y basados en Internet
Administración de directivas de cifrado
Por ejemplo: elija el cifrado de unidad y la intensidad del cifrado, configure la directiva de exención de usuarios y la configuración de cifrado de unidad de datos fija.
Determine los algoritmos con los que cifrar el dispositivo y los discos de destino para el cifrado.
Forzar a los usuarios a cumplir las nuevas directivas de seguridad antes de usar el dispositivo.
Personalice el perfil de seguridad de su organización por dispositivo.
Cuando un usuario desbloquee la unidad del sistema operativo, especifique si desea desbloquear solo una unidad del sistema operativo o todas las unidades conectadas.
Informes de cumplimiento
Informes integrados para:
- Estado de cifrado por volumen o por dispositivo
- El usuario principal del dispositivo
- Estado de cumplimiento
- Motivos de incumplimiento
Sitio web de administración y supervisión
Permita que otros usuarios de su organización fuera de la consola de Configuration Manager ayuden con la recuperación de claves, incluida la rotación de claves y otra compatibilidad relacionada con BitLocker. Por ejemplo, los administradores del departamento de soporte técnico pueden ayudar a los usuarios con la recuperación de claves.
Sugerencia
A partir de la versión 2107, también puede obtener claves de recuperación de BitLocker para un dispositivo conectado al inquilino desde el centro de administración de Microsoft Intune. Para obtener más información, vea Asociación de inquilinos: claves de recuperación de BitLocker.
Portal de autoservicio de usuario
Permitir que los usuarios se ayuden a sí mismos con una clave de un solo uso para desbloquear un dispositivo cifrado de BitLocker. Una vez que se usa esta clave, genera una nueva clave para el dispositivo.
Requisitos previos
Requisitos previos generales
Para crear una directiva de administración de BitLocker, necesita el rol Administrador completo en Configuration Manager.
Para usar los informes de administración de BitLocker, instale el rol de sistema de sitio de punto de Reporting Services. Para obtener más información, vea Configurar informes.
Nota:
Para que el informe de auditoría de recuperación funcione desde el sitio web de administración y supervisión, use solo un punto de servicios de informes en el sitio primario.
Requisitos previos para los clientes
El dispositivo requiere un chip TPM habilitado en el BIOS y que se pueda restablecer desde Windows.
Microsoft recomienda dispositivos con TPM versión 2.0 o posterior. Es posible que los dispositivos con TPM versión 1.2 no admitan correctamente todas las funciones de BitLocker.
El disco duro del equipo requiere un BIOS compatible con TPM y compatible con dispositivos USB durante el inicio del equipo.
Nota:
La carga del hash de contraseña de TPM pertenece principalmente a las versiones de Windows antes de Windows 10. Windows 10 o posterior de forma predeterminada no guarda el hash de contraseña de TPM, por lo que estos dispositivos no lo cargan normalmente. Para obtener más información, consulte Acerca de la contraseña de propietario de TPM.
La administración de BitLocker no admite todos los tipos de cliente compatibles con Configuration Manager. Para obtener más información, consulte Configuraciones admitidas.
Requisitos previos para el servicio de recuperación
En la versión 2010 y versiones anteriores, el servicio de recuperación de BitLocker requiere HTTPS para cifrar las claves de recuperación en toda la red desde el cliente Configuration Manager hasta el punto de administración. Use una de las siguientes opciones:
Habilite HTTPS el sitio web de IIS en el punto de administración que hospeda el servicio de recuperación.
Configure el punto de administración para HTTPS.
Para obtener más información, consulte Cifrado de datos de recuperación a través de la red.
Nota:
Cuando el sitio y los clientes ejecutan Configuration Manager versión 2103 o posterior, los clientes envían sus claves de recuperación al punto de administración a través del canal de notificación de cliente seguro. Si algún cliente está en la versión 2010 o anterior, necesita un servicio de recuperación habilitado para HTTPS en el punto de administración para custodiar sus claves.
A partir de la versión 2103, dado que los clientes usan el canal de notificación de cliente seguro para custodiar las claves, puede habilitar el sitio de Configuration Manager para HTTP mejorado. Esta configuración no afecta a la funcionalidad de administración de BitLocker en Configuration Manager.
En la versión 2010 y versiones anteriores, para usar el servicio de recuperación, necesita al menos un punto de administración que no esté en una configuración de réplica. Aunque el servicio de recuperación de BitLocker se instala en un punto de administración que usa una réplica de base de datos, los clientes no pueden custodiar las claves de recuperación. A continuación, BitLocker no cifrará la unidad. Deshabilite el servicio de recuperación de BitLocker en cualquier punto de administración con una réplica de base de datos.
A partir de la versión 2103, el servicio de recuperación admite puntos de administración que usan una réplica de base de datos.
Requisitos previos para los portales de BitLocker
Para usar el portal de autoservicio o el sitio web de administración y supervisión, necesita un servidor Windows que ejecute IIS. Puede reutilizar un sistema de sitio Configuration Manager o usar un servidor web independiente que tenga conectividad con el servidor de base de datos de sitio. Use una versión compatible del sistema operativo para los servidores del sistema de sitio.
En el servidor web que hospedará el portal de autoservicio, instale Microsoft ASP.NET característica MVC 4.0 y .NET Framework 3.5 antes de ver el proceso de instalación. Otros roles y características de servidor de Windows necesarios se instalarán automáticamente durante el proceso de instalación del portal.
Sugerencia
No es necesario instalar ninguna versión de Visual Studio con ASP.NET MVC.
La cuenta de usuario que ejecuta el script del instalador del portal necesita SQL Server derechos sysadmin en el servidor de base de datos del sitio. Durante el proceso de instalación, el script establece los derechos de inicio de sesión, usuario y SQL Server rol para la cuenta de máquina del servidor web. Puede quitar esta cuenta de usuario del rol sysadmin después de completar la configuración del portal de autoservicio y del sitio web de administración y supervisión.
Configuraciones compatibles
La administración de BitLocker no se admite en máquinas virtuales (VM) ni en ediciones de servidor. Por ejemplo, la administración de BitLocker no iniciará el cifrado en unidades fijas de máquinas virtuales. Además, las unidades fijas de las máquinas virtuales pueden mostrarse como compatibles aunque no estén cifradas.
En la versión 2010 y versiones anteriores, no se admiten Microsoft Entra unidos, clientes de grupo de trabajo o clientes de dominios que no son de confianza. En estas versiones anteriores de Configuration Manager, la administración de BitLocker solo admite dispositivos unidos a Active Directory local incluidos Microsoft Entra dispositivos unidos a híbridos. Esta configuración consiste en autenticarse con el servicio de recuperación para custodiar las claves.
A partir de la versión 2103, Configuration Manager admite todos los tipos de combinación de cliente para la administración de BitLocker. Sin embargo, el componente de interfaz de usuario de BitLocker del lado cliente sigue siendo compatible con los dispositivos unidos a Active Directory y Microsoft Entra híbridos.
A partir de la versión 2010, ahora puede administrar las directivas de BitLocker y las claves de recuperación de custodia en una puerta de enlace de administración en la nube (CMG). Este cambio también proporciona compatibilidad con la administración de BitLocker a través de la administración de clientes basada en Internet (IBCM). No hay ningún cambio en el proceso de instalación de la administración de BitLocker. Esta mejora admite dispositivos unidos a un dominio e híbridos unidos a un dominio. Para obtener más información, consulte Implementación del agente de administración: Servicio de recuperación.
- Si tiene directivas de administración de BitLocker que creó antes de actualizar a la versión 2010, para que estén disponibles para los clientes basados en Internet a través de CMG:
- En la consola de Configuration Manager, abra las propiedades de la directiva existente.
- Cambie a la pestaña Administración de clientes .
- Seleccione Aceptar o Aplicar para guardar la directiva. Esta acción revisa la directiva para que esté disponible para los clientes a través de CMG.
- Si tiene directivas de administración de BitLocker que creó antes de actualizar a la versión 2010, para que estén disponibles para los clientes basados en Internet a través de CMG:
De forma predeterminada, el paso Habilitar secuencia de tareas de BitLocker solo cifra el espacio usado en la unidad. La administración de BitLocker usa el cifrado de disco completo . Configure este paso de secuencia de tareas para habilitar la opción Usar cifrado de disco completo.
A partir de la versión 2203, puede configurar este paso de secuencia de tareas para custodiar la información de recuperación de BitLocker para que el volumen del sistema operativo Configuration Manager.
Para obtener más información, vea Pasos de secuencia de tareas: Habilitar BitLocker.
Importante
El Invoke-MbamClientDeployment.ps1
script de PowerShell es solo para MBAM independiente . No debe usarse con Configuration Manager administración de BitLocker.