Configuración de las aplicaciones web de MBAM 2.5

En este artículo se explica cómo configurar las aplicaciones web de Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 para la arquitectura de alto nivel recomendada para MBAM 2.5 mediante uno de los métodos siguientes:

• Un cmdlet de Windows PowerShell.

• Asistente para configuración del servidor MBAM.

Las aplicaciones web comprenden los siguientes sitios web y sus servicios web correspondientes:

• Sitio web de administración y supervisión: sitio web donde los usuarios especificados pueden ver informes y ayudar a los usuarios a recuperar sus equipos cuando olvidan su PIN o contraseña.
• Portal de autoservicio: sitio web al que los usuarios pueden acceder para recuperar de forma independiente el acceso a sus equipos si olvidan su PIN o contraseña.

Antes de iniciar la configuración

• Revise la arquitectura recomendada para MBAM. Para obtener más información, consulte Arquitectura de alto nivel para MBAM 2.5.
• Revise las configuraciones admitidas para MBAM. Para obtener más información, consulte Configuraciones compatibles con MBAM 2.5.
• Complete los requisitos previos necesarios en cada servidor. Asegúrese de configurar SQL Server Reporting Services (SSRS) para usar la capa de sockets seguros (SSL) antes de configurar el sitio web de administración y supervisión. De lo contrario, la característica Informes usa HTTP en lugar de HTTPS. Para obtener más información, consulte Requisitos previos de servidor de MBAM 2.5 para topologías de integración independientes y de Configuration Manager y requisitos previos del servidor MBAM 2.5 que se aplican solo a la topología de integración de Configuration Manager (si procede).
• Registre los nombres de entidad de seguridad de servicio (SPN) para la cuenta del grupo de aplicaciones para los sitios web. Debe realizar este paso solo si no tiene derechos de dominio administrativos en Active Directory Domain Services (ADDS). Si tiene estos derechos en ADDS, MBAM crea los SPN automáticamente. Para obtener más información, consulte Planeamiento de cómo proteger los sitios web de MBAM.
• Instale el software servidor MBAM en cada servidor en el que configurará una característica de servidor MBAM. Si tiene previsto instalar los sitios web en un servidor y los servicios web en otro, solo puede configurarlos mediante el cmdlet Enable-MbamWebApplication de Windows PowerShell. El Asistente para configuración del servidor MBAM no admite la configuración de estos elementos en servidores independientes. Para obtener más información, consulte Instalación del software de servidor MBAM 2.5.
• Revise los requisitos previos para usar Windows PowerShell si tiene previsto usar cmdlets para configurar las características del servidor MBAM. Para obtener más información, consulte Configuración de características de servidor de MBAM 2.5 mediante Windows PowerShell.

Para configurar las aplicaciones web mediante Windows PowerShell

1. Antes de iniciar la configuración, consulte Configuración de características de servidor de MBAM 2.5 mediante Windows PowerShell para revisar los requisitos previos para usar Windows PowerShell.

2. Use el cmdlet Enable-MbamWebApplication para configurar las aplicaciones web mediante Windows PowerShell. Para obtener información sobre este cmdlet, escriba Get-Help Enable-MbamWebApplication.

Para configurar los valores de todas las aplicaciones web mediante el asistente

1. En el servidor donde desea configurar las aplicaciones web, inicie el Asistente para configuración del servidor MBAM. Puede seleccionar Configuración del servidor MBAM en el menú Inicio para abrir el asistente.

2. Seleccione Add New Features (Agregar nuevas características), Administration and Monitoring Website and Self-Service Portal (Sitio web de administración y supervisión y portal de autoservicio) y, a continuación, seleccione Siguiente. El asistente comprueba que el servidor cumple todos los requisitos previos para las aplicaciones web.

3. Si la comprobación de requisitos previos se realiza correctamente, seleccione Siguiente para continuar. De lo contrario, resuelva los requisitos previos que falten y, a continuación, vuelva a seleccionar Comprobar requisitos previos.

4. Use las descripciones siguientes para escribir los valores de campo en el asistente.

   Campo	Descripción
   Certificado de seguridad	Seleccione un certificado creado anteriormente para cifrar opcionalmente la comunicación entre los servicios web y el servidor en el que va a configurar los sitios web. Si elige No usar un certificado, es posible que la comunicación web no sea segura.
   Nombre de host	Nombre del equipo host donde va a configurar los sitios web.
   Ruta de instalación	Ruta de acceso donde va a instalar los sitios web.
   Port	Número de puerto que se va a usar para la comunicación entre el sitio web y el servicio. Nota: Debe establecer una excepción de firewall para habilitar la comunicación a través del puerto especificado.
   Cuenta de dominio y contraseña del grupo de aplicaciones de servicio web	Cuenta de usuario de dominio y contraseña para el grupo de aplicaciones de servicio web. Si escribe un nombre de usuario en el campo Usuario o grupo de dominio de acceso de lectura y escritura de la página Configurar bases de datos , debe escribir ese mismo valor en este campo. Si escribe un nombre de grupo en el campo Usuario o grupo de dominio de acceso de lectura y escritura de la página Configurar bases de datos , el valor especificado en este campo debe ser miembro de ese grupo. Si no especifica credenciales, usará las credenciales que especificó para cualquier aplicación web habilitada anteriormente. Todas las aplicaciones web deben usar las mismas credenciales de grupo de aplicaciones. Si especifica credenciales diferentes para diferentes aplicaciones web, usará el valor especificado más recientemente. Importante: Para mejorar la seguridad, establezca la cuenta especificada en las credenciales para que tenga derechos de usuario limitados. Además, establezca la contraseña de la cuenta para que nunca expire.

5. Compruebe que la cuenta de IIS_IUSRS integrada o la cuenta del grupo de aplicaciones se ha agregado a la configuración de seguridad local Suplantar un cliente después de la autenticación y la configuración de seguridad local Iniciar sesión como trabajo por lotes .

   Para comprobar si se ha agregado a la configuración de seguridad local, abra el editor de directivas de seguridad local, expanda el nodo Directivas locales , seleccione el nodo Asignación de derechos de usuario y haga doble clic en Suplantar un cliente después de la autenticación e Iniciar sesión como un trabajo por lotes en el panel derecho.

Para configurar la información de conexión para las bases de datos mediante el asistente

1. Use las descripciones de campo siguientes para configurar la información de conexión en el asistente para la base de datos de cumplimiento y auditoría.

Campo	Descripción
Nombre de SQL Server	Nombre del servidor donde está configurada la base de datos de cumplimiento y auditoría.
Instancia de base de datos de SQL Server	Nombre de instancia de SQL Server donde está configurada la base de datos de cumplimiento y auditoría.
Nombre de la base de datos	Nombre de la base de datos de cumplimiento y auditoría.

2. Use las descripciones de campo siguientes para configurar la información de conexión en el asistente para la base de datos de recuperación.

Campo	Descripción
Nombre de SQL Server	Nombre del servidor donde está configurada la base de datos de recuperación.
Instancia de base de datos de SQL Server	Nombre de instancia de SQL Server donde está configurada la base de datos de recuperación.
Nombre de la base de datos	Nombre de la base de datos de recuperación.

Para configurar las aplicaciones web mediante el asistente

1. Use las descripciones siguientes para especificar los valores de campo en el asistente para configurar el sitio web administración y supervisión.

   • Grupo de dominio de rol del departamento de soporte técnico avanzado: grupo de usuarios de dominio cuyos miembros tienen acceso a todas las áreas del sitio web de administración y supervisión, excepto al área Informes.

   • Grupo de dominio de rol del departamento de soporte técnico: grupo de usuarios de dominio cuyos miembros tienen acceso a las áreas Administrar TPM y Recuperación de unidad del sitio web administración y supervisión.

   • Usar integración de System Center Configuration Manager: si va a configurar MBAM con la topología de integración de Configuration Manager, seleccione esta opción. Hace que todos los informes, excepto el informe de auditoría de recuperación, aparezcan en Configuration Manager en lugar de en el sitio web administración y supervisión.

   • Grupo de dominio de rol de informes: grupo de usuarios de dominio cuyos miembros tienen acceso de solo lectura al área Informes del sitio web administración y supervisión.

   • DIRECCIÓN URL de SQL Server Reporting Services: dirección URL del servidor SSRS donde se configuran los informes de MBAM. Ejemplos de direcciones URL de informe:

     Tipo de nombre de host	Por ejemplo:
     Ejemplo con un nombre de dominio completo	https://MyReportServer.Contoso.com/ReportServer
     Ejemplo con un nombre de host personalizado	https://MyReportServer/ReportServer

   • Directorio virtual: directorio virtual del sitio web de administración y supervisión. Este nombre corresponde al directorio físico del sitio web en el servidor y se anexa al nombre de host del sitio web, por ejemplo:

     • https://<hostname>:<port>/HelpDesk/
     • Si no especifica un directorio virtual, usa el valor HelpDesk.

   • Grupo de dominios de rol de migración de datos (opcional): grupo de usuarios de dominio cuyos miembros tienen acceso para usar los Write-Mbam*Information cmdlets para escribir información de recuperación a través de este punto de conexión.

2. Use la descripción siguiente para escribir los valores de campo en el asistente para configurar el portal de Self-Service.

   Campo	Descripción
   Directorio virtual	Directorio virtual de la aplicación web. Este nombre corresponde al directorio físico del sitio web en el servidor y se anexa al nombre de host del sitio web, por ejemplo: https://<hostname>:<port>/SelfService/. Si no especifica un directorio virtual, usa el valor SelfService.
   Nombre de la empresa	Especifique un nombre de empresa para el portal de Self-Service, por ejemplo: Contoso IT. Todos los usuarios de Self-Service Portal ven este nombre de empresa.
   Texto de la dirección URL del departamento de soporte técnico	Especifique una instrucción de texto que dirija a los usuarios al sitio web del departamento de soporte técnico de su organización, por ejemplo: Póngase en contacto con el departamento de soporte técnico o el departamento de TI.
   Dirección URL del departamento de soporte técnico	Especifique la dirección URL del sitio web del departamento de soporte técnico de su organización, por ejemplo: https://<companyHelpdeskURL>/.
   Observe el archivo de texto	Seleccione un archivo que contenga el aviso que desea mostrar a los usuarios en la página de aterrizaje del portal de Self-Service.
   No mostrar texto de aviso a los usuarios	Active esta casilla para especificar que el texto del aviso no se muestre a los usuarios.

3. Cuando termine las entradas, seleccione Siguiente.

   El asistente comprueba que el servidor cumple todos los requisitos previos para las aplicaciones web.

4. Seleccione Siguiente para continuar.

5. En la página Resumen , revise las características que se agregarán.

   Nota

   Para crear un script de Windows PowerShell para las entradas que ha realizado, haga clic en Exportar script de PowerShell y guarde el script.

6. Seleccione Agregar para agregar las aplicaciones web al servidor y, a continuación, seleccione Cerrar.

   Para personalizar el portal de Self-Service agregando texto de aviso personalizado, el nombre de la empresa, punteros a más información, etc., consulte Personalización del portal de Self-Service para su organización.

Para configurar el portal de Self-Service si los equipos cliente no pueden acceder a la red CDN

1. Determine si ejecuta Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1. Si es así, no haga nada. La configuración del portal de Self-Service está completa.

   Nota

   Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 instala los archivos de JavaScript en el programa de instalación, por lo que no es necesario conectarse a la red de entrega de contenido de Microsoft para configurar el portal de Self-Service. Los pasos siguientes solo son necesarios si usa una versión de Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 anterior a SP1.

2. Determine si los equipos cliente tienen acceso a la red de entrega de contenido (CDN) de Microsoft.

   La red CDN proporciona al portal de Self-Service el acceso que necesita a determinados archivos JavaScript. Si no configura el portal de Self-Service cuando los equipos cliente no pueden acceder a la red CDN, solo se mostrará el nombre de la empresa y la cuenta con la que el usuario final inició sesión. No se muestra ningún mensaje de error.

3. Realice una de las siguientes acciones:

   • Si los equipos cliente tienen acceso a la red CDN, no haga nada. La configuración del portal de Self-Service está completa.

   • Si los equipos cliente no tienen acceso a la red CDN, complete los pasos descritos en Configuración de Self-Service Portal cuando los equipos cliente no puedan acceder a la red de entrega de contenido de Microsoft.

Artículos relacionados

Registros de eventos del servidor

Configuración de las características del servidor de MBAM 2.5

Configuración del portal de Self-Service cuando los equipos cliente no pueden acceder a la red de entrega de contenido de Microsoft

Personalización del portal de Self-Service para su organización

Validación de la configuración de características de servidor de MBAM 2.5