Compartir a través de

Arquitectura de alto nivel de MBAM 2.5 con topología de integración de Configuration Manager

  • Artículo

Se aplica a: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

En este tema se describe la arquitectura recomendada para implementar Microsoft BitLocker Administration and Monitoring (MBAM) con la topología de integración de Configuration Manager. Esta topología integra MBAM en System Center Configuration Manager. Para implementar MBAM en la topología independiente, consulte Arquitectura de alto nivel de MBAM 2.5 con topología independiente.

Para ver una lista de las versiones compatibles del software que se indica en este tema, consulte Configuraciones admitidas de MBAM 2.5.

Importante

Windows To Go no se admite en una instalación de la topología de integración de Configuration Manager si se usa Configuration Manager 2007.

Número recomendado de servidores y número admitido de clientes

El número recomendado de servidores y el número admitido de clientes en un entorno de producción es el siguiente:

Arquitectura recomendada Detalles

Número de servidores y otros equipos

Tres servidores

Una estación de trabajo

Número de equipos de cliente admitidos

500,000

Diferencias entre la topología de integración de Configuration Manager y la topología independiente

Las principales diferencias entre las topologías son:

  • Las características de cumplimiento e informes se eliminan de MBAM y se accede a ellas a través de Configuration Manager.

  • Los informes se ven desde la consola de administración de Configuration Manager, salvo en el caso del Informe de auditoría de recuperación, que puede seguir viendo desde el sitio web de Administration and Monitoring de MBAM.

Arquitectura de alto nivel de MBAM recomendada para la topología de integración de Configuration Manager

En el diagrama y la tabla mostrados a continuación se describe la arquitectura de dos servidores de alto nivel recomendada para la topología de integración de Configuration Manager de MBAM. Las implementaciones de bosques múltiples de MBAM requieren confianza unidireccional o bidireccional. Las confianzas unidireccionales requieren que el dominio del servidor confíe en el dominio del cliente.

MBAM2_5

Servidor Características que se deben configurar en este servidor Descripción

Servidor de base de datos

Base de datos de recuperación

Esta característica se configura en un equipo que ejecute Windows Server y en la instancia de SQL Server compatible.

La Base de datos de recuperación almacena los datos de recuperación que se recopilan de los equipos cliente de MBAM.

Base de datos de auditoría

Esta característica se configura en un equipo que ejecute Windows Server y en la instancia de SQL Server compatible.

La base de datos de auditoría almacena datos de la actividad de auditoría que se recopilan de los equipos cliente que han tenido acceso a datos de recuperación.

Informes

Esta característica se configura en un equipo que ejecute Windows Server y en la instancia de SQL Server compatible.

Los informes proporcionan datos de auditoría de recuperación sobre los equipos cliente de su empresa. Puede ver los informes desde la consola de Configuration Manager o directamente desde SQL Server Reporting Services.

Servidor de sitio principal de Configuration Manager

Característica de integración de System Center Configuration Manager
  • Esta característica está configurada en el servidor de sitio principal de Configuration Manager, que es el servidor de más alto nivel de su infraestructura de Configuration Manager.

  • El servidor de Configuration Manager recopila la información de inventario de hardware de los equipos cliente y se utiliza para notificar el cumplimiento de BitLocker de los equipos cliente.

  • Cuando ejecuta el asistente para la instalación de Microsoft BitLocker Administration and Monitoring para instalar el software de servidor, la colección de Equipos compatibles con MBAM, la línea de base de configuración y los informes se configuran en el servidor del sitio principal de Configuration Manager.

  • La consola de Configuration Manager debe instalarse en el mismo equipo en el que se instale el software de servidor de MBAM.

Servidor de Administration and Monitoring

Sitio web de Administration and Monitoring

Esta característica se configura en un equipo donde se ejecuta Windows Server.

El sitio web de Administration and Monitoring se utiliza para:

  • Ayudar a los usuarios finales a recuperar el acceso a sus equipos cuando este se les bloquea. (Esta área del sitio web se denomina generalmente el departamento de soporte técnico).

  • Vea el Informe de auditoría de recuperación, que muestra la actividad de recuperación de los equipos cliente. El resto de informes se ven desde la consola de Configuration Manager.

Portal de autoservicio

Esta característica se configura en un equipo donde se ejecuta Windows Server.

El portal de autoservicio es un sitio web que permite a los usuarios finales en equipos cliente iniciar sesión de forma independiente en un sitio web para obtener una clave de recuperación en caso de que hayan perdido u olvidado su contraseña de BitLocker.

Servicios web de supervisión para este sitio web

Esta característica se instala en un equipo donde se ejecuta Windows Server.

Los servicios web de supervisión son utilizados por el cliente de MBAM y los sitios web para comunicarse con la base de datos.

ImportantImportante
El servicio web de supervisión ya no se encuentra disponible en Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1, ya que el cliente de MBAM y los sitios web se comunican directamente con la base de datos de recuperación.

Estación de trabajo de administración

Plantillas de directiva de grupo de MBAM
  • Las plantillas de directiva de grupo de MBAM son una configuración de directiva de grupo que define la configuración de implementación de MBAM, que le permite administrar el Cifrado de unidad BitLocker.

  • Antes de ejecutar MBAM, debe descargar las plantillas de directiva de grupo desde Cómo obtener plantillas de directivas de grupo MDOP (.admx) y copiarlas en un servidor o en una estación de trabajo que esté ejecutando un sistema operativo de Windows o Windows Server compatible.

    noteNota
    La estación de trabajo no tiene por qué ser un equipo dedicado.

Equipo del cliente de Configuration Manager y cliente de MBAM

Software cliente de MBAM

El cliente de MBAM:

  • Utiliza objetos de directiva de grupo para aplicar el Cifrado de unidad BitLocker en equipos cliente de la empresa.

  • Recopila la clave de recuperación de BitLocker para tres tipos de unidades de datos: unidades de sistema operativo, unidades de datos fijas y unidades de datos extraíbles (USB).

  • Recopila información de recuperación e información del equipo acerca de los equipos cliente.

Cliente de Configuration Manager

El Cliente de Configuration Manager permite a Configuration Manager recopilar datos de compatibilidad de hardware sobre los equipos cliente y notificar la información de cumplimiento.

Diferencias en la implementación de MBAM en versiones compatibles de Configuration Manager

Si implementa MBAM con la topología de integración de Configuration Manager, puede instalar MBAM en un servidor de sitio principal. No obstante, la instalación de MBAM funciona de forma distinta para System Center 2012 Configuration Manager y Configuration Manager 2007.

Versión de Configuration Manager Descripción

System Center 2012 R2 Configuration Manager

System Center 2012 Configuration Manager

Si instala MBAM en un servidor de sitio principal o en un servidor de administración central, MBAM realiza todas las acciones de instalación en ese servidor de sitio.

Configuration Manager 2007 R2

Configuration Manager 2007

Si instala MBAM en un servidor de sitio principal que es parte de una jerarquía de Configuration Manager mayor y tiene un servidor principal de sitio central, MBAM identifica el servidor principal de sitio central y realiza todas las acciones de instalación en ese servidor principal. La instalación incluye la comprobación de los requisitos previos y la instalación de los objetos e informes de Configuration Manager.

Por ejemplo, si instala MBAM en un servidor de sitio primario que depende de un servidor primario de sitio central, MBAM instala todos los objetos e informes de Configuration Manager en el servidor primario. Si instala MBAM en el servidor primario, MBAM realiza todas las acciones de instalación de ese servidor primario.

Cómo funciona MBAM con Configuration Manager

La integración de MBAM en Configuration Manager se basa en un paquete de configuración que instala los elementos descritos en la siguiente tabla.

Elementos instalados en Configuration Manager Descripción

Datos de configuración

Los datos de configuración instalan una línea de base de configuración, denominada "Protección de BitLocker", que contiene dos elementos de configuración:

  • Protección de BitLocker de la unidad del sistema operativo

  • Protección de BitLocker de unidades de datos fijas

La línea de base de configuración se implementa en la colección de Equipos compatibles con MBAM, que también se crea al instalar MBAM.

Los dos elementos de configuración proporcionan la base para evaluar el estado de cumplimiento de los equipos cliente. Esta información se captura, almacena y evalúa en Configuration Manager.

Los elementos de configuración se basan en los requisitos de cumplimiento para unidades de sistema operativo y unidades de datos fijas. Los datos necesarios para los equipos implementados se recopilan para que pueda evaluarse el cumplimiento de esos tipos de unidad.

De forma predeterminada, la línea de base de configuración evalúa el estado de cumplimiento cada 12 horas y envía los datos de cumplimiento a Configuration Manager.

Colección de equipos compatibles con MBAM

MBAM crea una colección denominada Equipos compatibles con MBAM. La línea de base de configuración está dirigida a los equipos cliente que se encuentran en esta colección.

Esta es una colección dinámica. De forma predeterminada se ejecuta cada 12 horas y evalúa las pertenencias como miembro basándose en tres criterios:

  • El equipo es una versión compatible del sistema operativo Windows.

  • El equipo es un equipo físico. No se admiten las máquinas virtuales.

  • El equipo tiene un Módulo de plataforma segura (TPM) que está disponible. Se requiere una versión compatible de TPM 1.2 o posterior para Windows 7. Windows 10, Windows 8.1, Windows 8 y Windows To Go no requieren un TPM.

La colección se evalúa en todos los equipos y se crea un subconjunto de equipos compatibles que proporciona las bases para la evaluación del cumplimiento y los informes de integración de MBAM.

Informes

Al configurar MBAM con la topología de integración de Configuration Manager, puede ver todos los informes en Configuration Manager, salvo el Informe de auditoría de recuperación, que seguirá viendo en el sitio web de Administration and Monitoring de MBAM. Los informes disponibles en Configuration Manager son:

 

Informe Descripción

Panel de cumplimiento de BitLocker Enterprise

Proporciona a los administradores de TI tres vistas de información en un solo informe: Distribución de estado de cumplimiento, No conforme: distribución de errores y Distribución de estado de cumplimiento por tipo de unidad. Las opciones de desglose del informe permiten a los administradores de TI hacer clic en los datos y ver una lista de equipos que coinciden con el estado seleccionado.

Detalles de cumplimiento de BitLocker Enterprise

Permite a los administradores de TI ver información acerca del estado del cumplimiento de cifrado de BitLocker de la empresa e incluye el estado de cumplimiento de cada equipo. Las opciones de desglose del informe permiten a los administradores de TI hacer clic en los datos y ver una lista de equipos que coinciden con el estado seleccionado.

Cumplimiento del equipo de BitLocker

Permite a los administradores de TI ver un equipo individual y determinar por qué se le atribuyó un determinado estado de conforme o no conforme. El informe también muestra el estado de cifrado de las unidades de sistema operativo y unidades de datos fijas.

Resumen de cumplimiento de BitLocker Enterprise

Permite a los administradores de TI ver el estado de cumplimiento de directiva de MBAM en la empresa. Se evalúa el estado de cada equipo y el informe muestra un resumen del cumplimiento de todos los equipos de la empresa conforme a la directiva. Las opciones de desglose del informe permiten a los administradores de TI hacer clic en los datos y ver una lista de equipos que coinciden con el estado seleccionado.

¿Tiene alguna sugerencia sobre MBAM?

Agregue o vote sugerencias aquí. Para problemas de MBAM, use el foro de TechNet de MBAM.

Véase también

Conceptos

Arquitectura de alto nivel de MBAM 2.5 con topología independiente
Características ilustradas de una implementación de MBAM 2.5

Otros recursos

Introducción a MBAM 2.5