Compartir a través de


Planeación para la implementación de clientes de MBAM 2.5

Se aplica a: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

En función del momento en que se implemente el software cliente de Microsoft BitLocker Administration and Monitoring (MBAM), se puede habilitar el Cifrado de unidad BitLocker en un equipo de su organización antes o después de que el usuario final reciba el equipo. Tanto para la topología independiente de MBAM como para la topología de integración de System Center Configuration Manager, debe realizar la configuración de directiva de grupo para MBAM.

Si está utilizando la topología independiente de MBAM, le recomendamos que utilice un sistema de implementación de software empresarial para implementar el software cliente de MBAM en los equipos de los usuarios finales.

Si implementa MBAM con la topología de integración de Configuration Manager, puede utilizar Configuration Manager para implementar el software cliente de MBAM en los equipos de los usuarios finales. En Configuration Manager, al instalar MBAM, se crea una colección de equipos que MBAM puede administrar. Esta colección incluye estaciones de trabajo y dispositivos que no tienen un Módulo de plataforma segura (TPM), pero que ejecutan Windows 8, Windows 8.1 o Windows 10.

Nota

Windows To Go no se admite en una instalación de la topología de integración de Configuration Manager si se usa Configuration Manager 2007.

Implementación del cliente de MBAM para habilitar el Cifrado de unidad BitLocker después de la distribución de los equipos a los usuarios finales

Después de configurar la directiva de grupo, puede usar un producto de sistema de implementación de software empresarial como Microsoft System Center Configuration Manager o Servicios de dominio de Active Directory (AD DS) para implementar los archivos de Windows Installer para la instalación del cliente de MBAM en los equipos de destino. Para implementar el cliente de MBAM, puede utilizar los archivos MbamClientSetup.exe de 32 bits o de 64 bits o los archivos MBAMClient.msi de 32 bits o de 64 bits, que se proporcionan con el software cliente de MBAM.

Nota

A partir de MBAM 2.5 SP1, ya no se incluye un archivo de MSI independiente con el producto MBAM. Sin embargo, puede extraer el archivo MSI del archivo ejecutable (.exe) que se incluye con el producto.

Cuando se implementa el cliente de MBAM después de distribuir los equipos en los equipos cliente, se solicitará a los usuarios finales que cifren sus equipos. Esto permite a MBAM recopilar los datos, que incluyen el PIN y la contraseña (si lo exige la directiva), y comenzar el proceso de cifrado.

Nota

En este método, se solicita a los usuarios finales que tengan equipos con chip de TPM que activen e inicialicen el chip de TPM si este no se ha activado con anterioridad.

Uso del cliente de MBAM para habilitar el Cifrado de unidad BitLocker antes de distribuir los equipos a los usuarios finales

En las organizaciones en las que los equipos se reciben y configuran de modo centralizado y tienen un chip de TPM conforme, puede utilizar el cliente de MBAM para administrar el Cifrado de unidad BitLocker en cada equipo antes de que se escriban en él los datos de usuario. La ventaja de este proceso es que a partir de este momento todos los equipos serán conformes. Este método no depende de la acción del usuario final, ya que el administrador habrá cifrado el equipo. Una supuesto clave para este escenario es que la directiva de la organización instale una imagen corporativa de Windows antes de que el equipo se entregue al usuario final.

Si su organización desea utilizar el chip de TPM para cifrar los equipos, el administrador debe agregar el protector TPM para cifrar el volumen del sistema operativo del equipo. Si su organización desea usar el chip TPM y un protector de PIN, el administrador debe cifrar el volumen del sistema con el protector TPM y después, los usuarios deben seleccionar un PIN la primera vez que inicien sesión. Si su organización decide usar únicamente el protector de PIN, el administrador no debe cifrar el volumen en primer lugar. Cuando los usuarios finales inicien sesión, Microsoft BitLocker Administration and Monitoring les solicitará que proporcionen un PIN, o un PIN y una contraseña que se utilizarán en los posteriores reinicios del equipo.

Nota

La opción de protector TPM requiere que el administrador acepte la solicitud del BIOS para activar e inicializar el TPM antes de entregar el equipo al usuario final.

Compatibilidad de cliente de MBAM para unidades de disco duro cifradas

MBAM es compatible con BitLocker en unidades de disco duro cifradas que cumplen los requisitos de la especificación de TCG para Opal, así como los estándares IEEE 1667. Cuando se habilita BitLocker en estos dispositivos, se generan claves y se realizan funciones de administración en la unidad cifrada. Consulte Unidad de disco de duro cifrada para obtener más información.

¿Tiene alguna sugerencia sobre MBAM?

Agregue o vote sugerencias aquí. Para problemas de MBAM, use el foro de TechNet de MBAM.

Véase también

Otros recursos

Planificar la implementación de MBAM 2.5
Implementación de cliente de MBAM 2.5