Compartir vía

Sitio web de administración y supervisión de BitLocker

  • Artículo

Se aplica a: Configuration Manager (rama actual)

El sitio web de administración y supervisión de BitLocker es una interfaz administrativa para el cifrado de unidad BitLocker. También se conoce como el portal del departamento de soporte técnico. Use este sitio web para revisar informes, recuperar las unidades de los usuarios y administrar los TPMs de dispositivo.

Sitio web de administración y supervisión de BitLocker predeterminado.

Para poder usarlo, instale este componente en un servidor web. Para obtener más información, consulte Configuración de informes y portales de BitLocker.

Acceda al sitio web de administración y supervisión a través de la siguiente dirección URL: https://webserver.contoso.com/HelpDesk

Nota:

Puede ver el informe de auditoría de recuperación en el sitio web de administración y supervisión. Agregue otros informes de administración de BitLocker al punto de servicios de informes. Para obtener más información, vea Ver informes de BitLocker.

Grupos

Para acceder a áreas específicas del sitio web de administración y supervisión, la cuenta de usuario debe estar en uno de los siguientes grupos. Cree estos grupos en Active Directory con el nombre que desee. Al instalar este sitio web, se especifican estos nombres de grupo. Para obtener más información, consulte Configuración de informes y portales de BitLocker.

Group Descripción
Administradores del departamento de soporte técnico de BitLocker Proporciona acceso a todas las áreas del sitio web de administración y supervisión. Al ayudar a un usuario a recuperar sus unidades, escriba solo la clave de recuperación y no el dominio y el nombre de usuario. Si un usuario es miembro de este grupo y del grupo de usuarios del departamento de soporte técnico de BitLocker, los permisos del grupo de administración invalidan los permisos del grupo de usuarios.
Usuarios del departamento de soporte técnico de BitLocker Proporciona acceso a las áreas Administrar TPM y Recuperación de unidad del sitio web de administración y supervisión. Al usar cualquier área, debe rellenar todos los campos, incluidos el nombre de dominio y cuenta del usuario. Si un usuario es miembro de este grupo y del grupo de administradores del departamento de soporte técnico de BitLocker, los permisos del grupo de administración invalidan los permisos del grupo de usuarios.
Usuarios de informes de BitLocker Proporciona acceso al área Informes del sitio web de administración y supervisión.

Administración de TPM

Si un usuario escribe el PIN incorrecto demasiadas veces, puede bloquear el TPM. El número de veces que un usuario puede escribir un PIN incorrecto antes de que los bloqueos de TPM varían de fabricante a fabricante. Desde el área Administrar TPM del sitio web de administración y supervisión, acceda al sistema de datos de recuperación de claves centralizado.

Para obtener más información sobre la propiedad de TPM, consulte Configuración de MBAM para almacenar el TPM y almacenar contraseñas de OwnerAuth.

Nota:

A partir de Windows 10, versión 1607, Windows no mantiene la contraseña de propietario del TPM al aprovisionar el TPM.

  1. Vaya al sitio web de administración y supervisión en el explorador web, por ejemplo https://webserver.contoso.com/HelpDesk.

  2. En el panel izquierdo, seleccione el área Administrar TPM .

    Página Administrar TPM del sitio web de administración y supervisión de BitLocker.

  3. Escriba el nombre de dominio completo para el equipo y el nombre del equipo.

  4. Si es necesario, escriba el dominio y el nombre de usuario del usuario para recuperar el archivo de contraseña del propietario del TPM.

  5. Elija una de las siguientes opciones para el motivo para solicitar el archivo de contraseña de propietario de TPM:

    • Restablecer bloqueo de PIN
    • Activar TPM
    • Desactivar TPM
    • Cambio de la contraseña de TPM
    • Borrar TPM
    • Otros

    Después de enviar el formulario, el sitio web devuelve una de las siguientes respuestas:

    • Si no encuentra un archivo de contraseña de propietario de TPM coincidente, devuelve un mensaje de error.

    • El archivo de contraseña del propietario de TPM para el equipo enviado

    Después de recuperar el archivo de contraseña de propietario de TPM, el sitio web muestra la contraseña del propietario.

  6. Para guardar la contraseña en un archivo, seleccione Guardar.

  7. En el área Administrar TPM , seleccione la opción Restablecer bloqueo de TPM y proporcione el archivo de contraseña del propietario de TPM.

    Se restablece el bloqueo de TPM. BitLocker restaura el acceso del usuario al dispositivo.

    Importante

    No comparta el valor hash de TPM ni el archivo de contraseña del propietario de TPM.

Recuperación de unidad

Sugerencia

A partir de la versión 2107, también puede obtener claves de recuperación de BitLocker para un dispositivo conectado al inquilino desde el centro de administración de Microsoft Intune. Para obtener más información, vea Asociación de inquilinos: claves de recuperación de BitLocker.

Recuperación de una unidad en modo de recuperación

Las unidades pasan al modo de recuperación en los siguientes escenarios:

  • El usuario pierde o olvida su PIN o contraseña
  • La Plataforma de módulos de confianza (TPM) detecta cambios en el BIOS o en los archivos de inicio del equipo.

Para obtener una contraseña de recuperación, use el área Recuperación de unidad del sitio web de administración y supervisión.

Importante

Las contraseñas de recuperación expiran después de un único uso. En las unidades de sistema operativo y las unidades de datos fijas, la regla de un solo uso se aplica automáticamente. En las unidades extraíbles, se aplica al quitar y volver a insertar la unidad.

  1. Vaya al sitio web de administración y supervisión en el explorador web, por ejemplo https://webserver.contoso.com/HelpDesk.

  2. En el panel izquierdo, seleccione el área Recuperación de unidad .

    Página recuperación de controladores del sitio web de administración y supervisión de BitLocker.

  3. Si es necesario, escriba el dominio y el nombre de usuario del usuario para ver la información de recuperación.

  4. Para ver una lista de posibles claves de recuperación coincidentes, escriba los ocho primeros dígitos del identificador de clave de recuperación. Para obtener la clave de recuperación exacta, escriba el identificador de clave de recuperación completo.

  5. Elija una de las siguientes opciones como Motivo para desbloquear la unidad:

    • Orden de arranque del sistema operativo cambiado
    • BIOS cambiado
    • Archivos del sistema operativo modificados
    • Clave de inicio perdida
    • PIN perdido
    • Restablecimiento de TPM
    • Frase de contraseña perdida
    • Tarjeta inteligente perdida
    • Otros

    Después de enviar el formulario, el sitio web devuelve una de las siguientes respuestas:

    • Si el usuario tiene varias contraseñas de recuperación coincidentes, devuelve varias coincidencias posibles.

    • La contraseña de recuperación y el paquete de recuperación para el usuario enviado.

      Nota:

      Si va a recuperar una unidad dañada, la opción del paquete de recuperación proporciona a BitLocker información crítica que necesita para recuperar la unidad.

    • Si no encuentra una contraseña de recuperación coincidente, devuelve un mensaje de error.

    Después de recuperar la contraseña de recuperación y el paquete de recuperación, el sitio web muestra la contraseña de recuperación.

  6. Para copiar la contraseña, seleccione Copiar clave. Para guardar la contraseña de recuperación en un archivo, seleccione Guardar.

Para desbloquear la unidad, escriba la contraseña de recuperación o use el paquete de recuperación.

Recuperación de una unidad movida

Al mover una unidad a un equipo nuevo, dado que el TPM es diferente, BitLocker no acepta el PIN anterior. Para recuperar la unidad movida, obtenga el identificador de clave de recuperación para recuperar la contraseña de recuperación.

Para recuperar una unidad movida, use el área Recuperación de unidad del sitio web de administración y supervisión.

  1. En el equipo con la unidad movida, inicie el equipo en modo Windows Recovery Environment (WinRE).

  2. En WinRE, BitLocker trata la unidad del sistema operativo movida como una unidad de datos fija. BitLocker muestra el identificador de contraseña de recuperación de la unidad y solicita la contraseña de recuperación.

    Nota:

    En algunas situaciones, durante el proceso de inicio, seleccione Olvidé el PIN si la opción está disponible. A continuación, escriba el modo de recuperación para mostrar el identificador de clave de recuperación.

  3. Use el identificador de clave de recuperación para obtener la contraseña de recuperación del sitio web de administración y supervisión. Para obtener más información, consulte Recuperación de una unidad en modo de recuperación.

Si configuró la unidad movida para usar un chip TPM en el equipo original, complete los pasos siguientes. De lo contrario, el proceso de recuperación se completa.

  1. Después de desbloquear la unidad, inicie el equipo en modo WinRE. Abra un símbolo del sistema en WinRE y use el manage-bde comando para descifrar la unidad. Esta herramienta es la única manera de quitar el protector TPM + PIN sin el chip tpm original. Para obtener más información sobre este comando, vea Manage-bde.

  2. Cuando haya terminado, inicie el equipo con normalidad. Configuration Manager aplicará la directiva de BitLocker para cifrar la unidad con el TPM del nuevo equipo más el PIN.

Recuperación de una unidad dañada

Use el identificador de clave de recuperación para obtener un paquete de clave de recuperación del sitio web de administración y supervisión. Para obtener más información, consulte Recuperación de una unidad en modo de recuperación.

  1. Guarde el paquete de claves de recuperación en el equipo y cópielo en el equipo con la unidad dañada.

  2. Abra un símbolo del sistema como administrador y escriba el siguiente comando:

    repair-bde <corrupted drive> <fixed drive> -kp <key package> -rp <recovery password>

    Reemplace los valores siguientes:

    • <corrupted drive>: la letra de unidad de la unidad dañada, por ejemplo D:
    • <fixed drive>: la letra de unidad de una unidad de disco duro disponible de tamaño similar o mayor que la unidad dañada. BitLocker recupera y mueve los datos de la unidad dañada a la unidad especificada. Todos los datos de esta unidad se sobrescriben.
    • <key package>: ubicación del paquete de clave de recuperación
    • <recovery password>: la contraseña de recuperación asociada

    Por ejemplo:

    repair-bde C: D: -kp F:\RecoveryKeyPackage -rp 111111-222222-333333-444444-555555-666666-777777-888888

Para obtener más información sobre este comando, vea Repair-bde.

Informes

El sitio web de administración y supervisión incluye el informe de auditoría de recuperación. Otros informes están disponibles en el punto de servicios de informes de Configuration Manager. Para obtener más información, vea Ver informes de BitLocker.

  1. Vaya al sitio web de administración y supervisión en el explorador web, por ejemplo https://webserver.contoso.com/HelpDesk.

  2. En el panel izquierdo, seleccione el área Informes .

  3. En la barra de menús superior, seleccione el Informe de auditoría de recuperación.

Para obtener más información sobre este informe, vea Informe de auditoría de recuperación.

Sugerencia

Para guardar los resultados del informe, seleccione Exportar en la barra de menús Informes .