Configuración de las aplicaciones web de MBAM 2.5

Se aplica a: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

En este tema se explica como configurar las aplicaciones web de Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 para la Arquitectura de alto nivel de MBAM 2.5 recomendada mediante uno de los métodos siguientes:

• Un cmdlet de Windows PowerShell

• El Asistente para la configuración del servidor de MBAM

Las aplicaciones web comprenden los sitios web siguientes y los servicios web correspondientes:

Sitio web	Descripción
Sitio web de Administration and Monitoring	Sitio web en el que los usuarios especificados pueden consultar informes y ayudar a los usuarios finales a recuperar sus equipos si no recuerdan su PIN o contraseña
Portal de autoservicio	Sitio web al que pueden tener acceso los usuarios finales para, de forma independiente, recuperar el acceso a sus equipos si no recuerdan su PIN o contraseña

Antes de iniciar la configuración:

Paso	Dónde obtener instrucciones
Revise la arquitectura recomendada para MBAM.	Arquitectura de alto nivel de MBAM 2.5
Revise las configuraciones admitidas para MBAM.	Configuraciones admitidas de MBAM 2.5
Lleve a cabo los requisitos previos necesarios en cada servidor. Nota Asegúrese de que configura SQL Server Reporting Services (SSRS) para el uso de la capa de sockets seguros (SSL) antes de configurar el sitio web de Administration and Monitoring. Si no lo hace así, la característica de informes usará HTTP en lugar de HTTPS.	Requisitos previos del servidor de MBAM 2.5 para topología independiente y de integración de Configuration Manager Requisitos previos de servidor de MBAM 2.5 que se aplican solo a la topología de integración de Configuration Manager (si es necesario)
Registre los nombres de entidad de seguridad de servicio (SPN) de la cuenta del grupo de aplicaciones para los sitios web. Solo debe realizar este paso si no tiene derechos administrativos de dominio en Servicios de dominio de Active Directory (AD DS). Si dispone de dichos derechos en AD DS, MBAM crea los SPN automáticamente.	Registering SPNs when you’re using a virtual host name
Instale el software del servidor de MBAM en cada servidor en el que vaya a configurar una característica del servidor de MBAM. Nota Si piensa instalar los sitios web en un servidor y los servicios web en otro, solo podrá configurarlos mediante el cmdlet Enable-MbamWebApplication de Windows PowerShell. El Asistente para la configuración del servidor de MBAM no permite configurar estos elementos en distintos servidores.	Instalación del software de servidor de MBAM 2.5
Revise los requisitos previos para el uso de Windows PowerShell si piensa usar cmdlets para configurar las características del servidor de MBAM.	Configuración de características de servidor de MBAM 2.5 mediante Windows PowerShell

Para configurar las aplicaciones web mediante Windows PowerShell

1. Antes de empezar la configuración, consulte Configuración de características de servidor de MBAM 2.5 mediante Windows PowerShell para revisar los requisitos previos del uso de Windows PowerShell.

2. Use el cmdlet Enable-MbamWebApplication para configurar las aplicaciones web mediante Windows PowerShell. Para obtener información sobre este cmdlet, escriba Get-Help Enable-MbamWebApplication.

Para configurar las opciones de todas las aplicaciones web con el asistente

1. En el servidor en el que desea configurar las aplicaciones web, inicie el Asistente para la configuración del servidor de MBAM. Puede seleccionar Configuración del servidor de MBAM en el menú Iniciar para abrir el asistente.

2. Haga clic en Agregar nuevas características, seleccione Sitio web de Administration and Monitoring y Portal de autoservicio y, a continuación, haga clic en Siguiente. El asistente comprueba que se cumplen todos los requisitos previos de las aplicaciones web.

3. Si la comprobación es satisfactoria, haga clic en Siguiente para continuar. Si no lo es, resuelva los requisitos previos que falten y haga clic en Comprobar requisitos previos de nuevo.

4. Use las descripciones siguientes para especificar los valores de los campos del asistente.

   Campo	Descripción
   Certificado de seguridad	Seleccione un certificado ya creado para, opcionalmente, cifrar la comunicación entre los servicios web y el servidor en el que se configuran los sitios web. Si elige No usar certificado, la comunicación web puede no ser segura.
   Nombre de host	Nombre del equipo host donde va a configurar los sitios web.
   Ruta de instalación	Ruta de acceso donde va a instalar los sitios web.
   Puerto	Número de puerto que se va a usar para la comunicación del sitio web y el servicio. Nota Debe definir una excepción de firewall para habilitar la comunicación a través del puerto especificado.
   Cuenta de dominio y contraseña del grupo de aplicaciones del servicio web	Cuenta de usuario del dominio y contraseña para el grupo de aplicaciones del servicio web. Si especifica un nombre de usuario en el campo de Grupo o usuario de dominio de acceso de lectura/escritura de la página Configurar bases de datos, debe especificar el mismo valor en este campo. Si especifica un nombre de grupo en el campo de Grupo o usuario de dominio de acceso de lectura/escritura de la página Configurar bases de datos, el valor que especifique en este campo debe ser miembro de ese grupo. Si no especifica credenciales, se usarán las credenciales que se especificaron para cualquier aplicación web que se haya habilitado anteriormente. Todas las aplicaciones web deben usar las mismas credenciales de grupo de aplicaciones. Si especifica credenciales distintas para distintas aplicaciones web, se usará el valor especificado más recientemente. Importante Para aumentar la seguridad, configure la cuenta especificada en las credenciales de forma que tenga derechos de usuario limitados. Además, debe configurar la contraseña de la cuenta de forma que no expire nunca.

5. Compruebe que la cuenta integrada IIS_IUSRS o la cuenta del grupo de aplicaciones se ha agregado a las opciones de seguridad local Suplantar a un cliente tras la autenticación e Iniciar sesión como proceso por lotes.

   Para comprobar si se ha agregado a las opciones de seguridad local, abra el editor de directiva de seguridad local, expanda el nodo Directivas locales, haga clic en el nodo Asignación de derechos de usuario, y haga doble clic en las directivas Suplantar a un cliente tras la autenticación e Iniciar sesión como proceso por lotes del panel de la derecha.

Para configurar la información de conexión para las bases de datos con el asistente

1. Use las siguientes descripciones de campos para configurar la información de conexión en el asistente para la base de datos de cumplimiento y auditoría.

   Campo	Descripción
   Nombre de servidor SQL	Nombre del servidor en el que está configurada la base de datos de cumplimiento y auditoría.
   Instancia de base de datos de SQL Server	Nombre de la instancia de SQL Server donde se configura la base de datos de auditoría y cumplimiento de normas.
   Nombre de la base de datos	Nombre de la base de datos de cumplimiento y auditoría

2. Use las siguientes descripciones de campos para configurar la información de conexión en el asistente para la base de datos de recuperación.

   Campo	Descripción
   Nombre de servidor SQL	Nombre del servidor en el que está configurada la base de datos de recuperación.
   Instancia de base de datos de SQL Server	Nombre de la instancia de SQL Server donde se configura la base de datos de recuperación.
   Nombre de la base de datos	Nombre de la base de datos de recuperación.

Para configurar las aplicaciones web mediante el asistente

1. Use las descripciones siguientes para especificar los valores de los campos en el asistente para configurar el sitio web de Administration and Monitoring.

   Campo	Descripción
   Grupo de dominio de rol de soporte técnico avanzado	Grupo de usuarios de dominio cuyos miembros tienen acceso a todas las secciones del sitio web de Administration and Monitoring, excepto la de informes.
   Grupo de dominio de rol de soporte técnico	Grupo de usuarios de dominio cuyos miembros tienen acceso a las secciones Administrar TPM y Recuperación de unidad del sitio web de Administration and Monitoring.
   Use Integración de System Center Configuration Manager	Active esta casilla si está configurando MBAM con la topología de integración de Configuration Manager. Si se activa esta casilla, todos los informes excepto el de auditoría de recuperación aparecen en Configuration Manager en lugar del sitio web de Administration and Monitoring.
   Grupo de dominio del rol de informes	Grupo de usuarios de dominio cuyos miembros tienen acceso de solo lectura al área de informes del sitio web de Administration and Monitoring.
   Dirección URL de SQL Server Reporting Services	Dirección URL del servidor de SSRS en el que están configurados los informes de MBAM. Ejemplos de direcciones URL de informe:   Tipo de nombre de host Ejemplo Ejemplo con un nombre de dominio completo https://MyReportServer.Contoso.com/ReportServer Ejemplo con un nombre de host personalizado https://MyReportServer/ReportServer
   Directorio virtual	Directorio virtual del sitio web de Administration and Monitoring. Este nombre corresponde al directorio físico del sitio web en el servidor y se anexa al nombre de host del sitio web, por ejemplo: http(s)://<nombreDeHost>:<puerto>/HelpDesk/ Si no especifica un directorio virtual, se usa el valor HelpDesk.
   Grupo de dominio de rol de migración de datos (opcional)	Grupo de usuarios de dominio cuyos miembros tienen acceso para usar los cmdlets Write-Mbam*Information a fin de escribir información de recuperación a través de este extremo.

2. Use la descripción siguiente para especificar los valores de los campos en el asistente para configurar el portal de autoservicio.

   Campo	Descripción
   Directorio virtual	Directorio virtual de la aplicación web. Este nombre corresponde al directorio físico del sitio web en el servidor y se anexa al nombre de host del sitio web, por ejemplo: http(s)://<nombreDeHost>:<puerto>/SelfService/ Si no especifica un directorio virtual, se usa el valor SelfService.
   Nombre de la compañía	Especifique el nombre de la compañía para el Portal de autoservicio, por ejemplo: Contoso IT Este nombre de la compañía lo ven todos los usuarios del Portal de autoservicio.
   Texto de la dirección URL del departamento de soporte técnico	Especifique una instrucción de texto que dirija a los usuarios al sitio web del departamento de soporte técnico de su organización, por ejemplo: Póngase en contacto con el departamento de soporte técnico o con el departamento de TI
   Dirección URL del departamento de soporte técnico	Especifique la dirección URL del sitio web del departamento de soporte técnico de su organización, por ejemplo: http(s)://<companyHelpdeskURL>/
   Archivo de texto de aviso	Seleccione un archivo que contenga el aviso que quiere mostrar a los usuarios en la página de aterrizaje del Portal de autoservicio.
   No mostrar el texto de aviso a los usuarios	Active esta casilla para especificar que el texto de aviso no se muestra a los usuarios.

3. Cuando termine de especificar todos los valores, haga clic en Siguiente.

   El asistente comprueba que se cumplen todos los requisitos previos de las aplicaciones web.

4. Haga clic en Siguiente para continuar.

5. En la página Resumen, revise las características que se agregarán.

   Nota

   Para crear un script de Windows PowerShell para los valores que ha especificado, haga clic en Exportar script de PowerShell y guarde el script.

6. Haga clic en Agregar para agregar las aplicaciones web al servidor y, a continuación, haga clic en Cerrar.

   Para personalizar el portal de autoservicio con texto personalizado, el nombre de su compañía, referencias a más información, etc., consulte Personalización del portal de autoservicio para su organización.

Para configurar el portal de autoservicio cuando los equipos cliente no tienen acceso a la CDN

1. Determine si está ejecutando Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1. Si es así, no haga nada. La configuración del portal de autoservicio está completa.

   Nota

   Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 instala los archivos JavaScript en el programa de instalación y, por lo tanto, no necesita estar conectado a la red de entrega de contenido de Microsoft Ajax para configurar el Portal de autoservicio. Los siguientes pasos solo son necesarios si se usa una versión de Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 anterior a SP1.

2. Determine si sus equipos cliente tienen acceso a la Red de entrega de contenido (CDN) Ajax de Microsoft.

   La CDN concede al portal de autoservicio el acceso necesario a determinados archivos JavaScript. Si no configura el portal de autoservicio cuando los equipos cliente no tienen acceso a la CDN, solo se mostrarán el nombre de la compañía y la cuenta con la que el usuario final inicia sesión. No se mostrará ningún mensaje de error.

3. Siga uno de estos procedimientos:

   • Si los equipos cliente tienen acceso a la CDN, no tiene que hacer nada. La configuración del portal de autoservicio está completa.

   • Si los equipos cliente tienen acceso a la CDN, lleve a cabo los pasos descritos en Configurar el portal de autoservicio cuando los equipos cliente no tienen acceso a la Red de entrega de contenido de Microsoft.

   ¿Tiene alguna sugerencia sobre MBAM? Agregue o vote sugerencias aquí. ¿
   Tiene un problema de MBAM? Use el foro de TechNet de MBAM.

Véase también

Tareas

Configurar el portal de autoservicio cuando los equipos cliente no tienen acceso a la Red de entrega de contenido de Microsoft

Conceptos

Registros de eventos de servidor
Validación de la configuración de las características de servidor de MBAM 2.5

Otros recursos

Configuración de las características de servidor de MBAM 2.5
Personalización del portal de autoservicio para su organización