Arquitectura de alto nivel de MBAM 2.5 con topología de integración de Configuration Manager
En este artículo se describe la arquitectura recomendada para implementar Microsoft BitLocker Administration and Monitoring (MBAM) con la topología de integración de Configuration Manager. Esta topología integra MBAM con System Center Configuration Manager. Para implementar MBAM con la topología independiente, consulte Arquitectura de alto nivel de MBAM 2.5 con topología independiente.
Para obtener una lista de las versiones compatibles del software mencionadas en este artículo, consulte Configuraciones admitidas de MBAM 2.5.
Importante
Windows To Go no se admite para la instalación de la topología de integración de Configuration Manager cuando se usa Configuration Manager 2007.
Número recomendado de servidores y número de clientes admitido
En la tabla siguiente se muestra el número recomendado de servidores y el número admitido de clientes en un entorno de producción:
| Arquitectura recomendada | Detalles |
|---|---|
| Número de servidores y otros equipos | Tres servidores Una estación de trabajo |
| Número de equipos cliente admitidos | 500,000 |
Diferencias entre la integración de Configuration Manager y las topologías independientes
Las principales diferencias entre las topologías son:
Las características de cumplimiento e informes se quitan de MBAM y se obtiene acceso desde Configuration Manager.
Los informes se ven desde la consola de administración de Configuration Manager, excepto para el informe de auditoría de recuperación, que se sigue viendo desde el sitio web de administración y supervisión de MBAM.
Arquitectura de alto nivel de MBAM recomendada con la topología de integración de Configuration Manager
En el diagrama y las secciones siguientes se describe la arquitectura de alto nivel recomendada para MBAM con la topología de integración de Configuration Manager. Las implementaciones de varios bosques de MBAM requieren una confianza unidireccional o bidireccional. Las confianzas unidireccionales requieren que el dominio de servidor confíe en el dominio cliente.
Servidor de bases de datos
Base de datos de recuperación
Esta característica se configura en un equipo que ejecuta Windows Server y admite la instancia de SQL Server.
Recovery Database almacena los datos de recuperación recopilados de los equipos cliente de MBAM.
Base de datos de auditoría
Esta característica se configura en un equipo que ejecuta Windows Server y admite la instancia de SQL Server.
La base de datos de auditoría almacena los datos de actividad de auditoría recopilados de los equipos cliente que han accedido a los datos de recuperación.
Informes
Esta característica se configura en un equipo que ejecuta Windows Server y admite la instancia de SQL Server.
Los informes proporcionan datos de auditoría de recuperación para los equipos cliente de la empresa. Puede ver informes desde la consola de Configuration Manager o directamente desde SQL Server Reporting Services.
Servidor de sitio principal de Configuration Manager
Característica de integración de System Center Configuration Manager
Esta característica se configura en el servidor de sitio principal de Configuration Manager, que es el servidor de nivel superior de la infraestructura de Configuration Manager.
Configuration Manager Server recopila la información de inventario de hardware de los equipos cliente y se usa para notificar el cumplimiento de BitLocker de los equipos cliente.
Al ejecutar el Asistente para la instalación de administración y supervisión de Microsoft BitLocker para instalar el software del servidor, la colección de equipos compatibles con MBAM, la línea base de configuración y los informes se configuran en el servidor de sitio principal de Configuration Manager.
La consola de Configuration Manager debe instalarse en el mismo equipo en el que se instala el software del servidor MBAM.
Servidor de administración y supervisión
Sitio web de administración y supervisión
Esta característica se configura en un equipo que ejecuta Windows Server.
El sitio web de administración y supervisión se usa para:
Ayuda a los usuarios finales a recuperar el acceso a sus equipos cuando están bloqueados. (Esta área del sitio web se denomina normalmente departamento de soporte técnico).
Vea el informe de auditoría de recuperación, que muestra la actividad de recuperación de los equipos cliente. Otros informes se ven desde la consola de Configuration Manager.
Portal de autoservicio
Esta característica se configura en un equipo que ejecuta Windows Server.
El Portal de autoservicio es un sitio web que permite a los usuarios finales de los equipos cliente iniciar sesión de forma independiente en un sitio web para obtener una clave de recuperación si pierden o olvidan su contraseña de BitLocker.
Supervisión de servicios web para este sitio web
Esta característica se instala en un equipo que ejecuta Windows Server.
El cliente de MBAM y los sitios web usan los servicios web de supervisión para comunicarse con la base de datos.
Importante
El servicio web de supervisión ya no está disponible en Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1, ya que los sitios web de MBAM se comunican directamente con la base de datos de recuperación.
Estación de trabajo de administración
Plantillas de directiva de grupo de MBAM
Las plantillas de directiva de grupo de MBAM son configuraciones de directiva de grupo que definen la configuración de implementación de MBAM, lo que le permite administrar el cifrado de unidad bitlocker.
Antes de ejecutar MBAM, debe descargar las plantillas de directiva de grupo de Cómo descargar e implementar plantillas de directiva de grupo mdop (.admx) y copiarlas en un servidor o estación de trabajo que ejecute un sistema operativo Windows Server o Windows compatible.
Nota
La estación de trabajo no tiene que ser un equipo dedicado.
Equipo cliente de MBAM y cliente de Configuration Manager
Software cliente de MBAM
El cliente de MBAM:
Usa objetos de directiva de grupo para aplicar el cifrado de unidad BitLocker en los equipos cliente de la empresa.
Recopila la clave de recuperación de BitLocker para tres tipos de unidades de datos: unidades de sistema operativo, unidades de datos fijas y unidades de datos extraíbles (USB).
Recopila información de recuperación e información del equipo sobre los equipos cliente.
Cliente del Administrador de configuración
El cliente de Configuration Manager permite a Configuration Manager recopilar datos de compatibilidad de hardware sobre los equipos cliente e informar de la información de cumplimiento.
Diferencias en la implementación de MBAM para las versiones admitidas de Configuration Manager
Al implementar MBAM con la topología de integración de Configuration Manager, puede instalar MBAM en un servidor de sitio principal. Sin embargo, la instalación de MBAM funciona de manera diferente para System Center 2012 Configuration Manager y Configuration Manager 2007.
| Versión de Configuration Manager | Descripción |
|---|---|
| System Center 2012 R2 Configuration Manager System Center 2012 Configuration Manager |
Si instala MBAM en un servidor de sitio principal o en un servidor de administración central, MBAM realiza todas las acciones de instalación en ese servidor de sitio. |
| Configuration Manager 2007 R2 Configuration Manager 2007 |
Si instala MBAM en un servidor de sitio primario que forma parte de una jerarquía de Configuration Manager mayor con un servidor primario de sitio central, MBAM identifica el servidor primario del sitio central y realiza todas las acciones de instalación en ese servidor primario. La instalación incluye comprobar los requisitos previos e instalar los informes y objetos de Configuration Manager. Por ejemplo, si instala MBAM en un servidor de sitio principal que es un elemento secundario de un servidor primario de sitio central, MBAM instala todos los objetos e informes de Configuration Manager en el servidor primario. Si instala MBAM en el servidor primario, MBAM realiza todas las acciones de instalación en ese servidor primario. |
Funcionamiento de MBAM con Configuration Manager
La integración de MBAM con Configuration Manager se basa en un paquete de configuración que instala los elementos descritos en las secciones siguientes.
Datos de configuración
Los datos de configuración instalan una línea base de configuración, denominada "Protección de BitLocker", que contiene dos elementos de configuración:
- Protección de unidad del sistema operativo BitLocker
- Protección de unidades de datos fijas de BitLocker
La línea base de configuración se implementa en la colección Equipos compatibles con MBAM, que también se crea cuando se instala MBAM. Los dos elementos de configuración proporcionan la base para evaluar el estado de cumplimiento de los equipos cliente. Esta información se captura, almacena y evalúa en Configuration Manager. Los elementos de configuración se basan en los requisitos de cumplimiento de las unidades de sistema operativo y las unidades de datos fijas. Los detalles necesarios para los equipos implementados se recopilan para que se pueda evaluar el cumplimiento de esos tipos de unidad. De forma predeterminada, la línea base de configuración evalúa el estado de cumplimiento cada 12 horas y envía los datos de cumplimiento a Configuration Manager.
Colección de equipos compatibles con MBAM
MBAM crea una colección que se denomina equipos compatibles con MBAM. La línea base de configuración está destinada a los equipos cliente que se encuentran en esta colección. Se trata de una colección dinámica. De forma predeterminada, se ejecuta cada 12 horas y evalúa la pertenencia, en función de tres criterios:
- El equipo es una versión compatible del sistema operativo Windows.
- El equipo es un equipo físico. No se admiten máquinas virtuales.
- El equipo tiene un módulo de plataforma segura (TPM) que está disponible. Se requiere una versión compatible de TPM 1.2 o posterior para Windows 7. Windows 11, Windows 10, Windows 8.1, Windows 8 y Windows To Go no requieren un TPM.
La recopilación se evalúa en todos los equipos y se crea un subconjunto de equipos compatibles, que proporciona la base para la evaluación de cumplimiento y la generación de informes para la integración de MBAM.
Informes
Al configurar MBAM con la topología de integración de Configuration Manager, verá todos los informes en Configuration Manager, excepto el informe de auditoría de recuperación, el último de los cuales seguirá viendo en el sitio web de administración y supervisión de MBAM. Los informes disponibles en Configuration Manager son:
- Panel de cumplimiento empresarial de BitLocker: Proporciona a los administradores de TI tres vistas de información en un único informe: Distribución de estado de cumplimiento, No compatible: Distribución de errores y Distribución de estado de cumplimiento por tipo de unidad. Las opciones de exploración en profundidad del informe permiten a los administradores de TI seleccionar a través de los datos y ver una lista de equipos que coinciden con el estado seleccionado.
- Detalles de cumplimiento empresarial de BitLocker: Permite a los administradores de TI ver información sobre el estado de cumplimiento de cifrado de BitLocker de la empresa e incluye el estado de cumplimiento de cada equipo. Las opciones de exploración en profundidad del informe permiten a los administradores de TI seleccionar a través de los datos y ver una lista de equipos que coinciden con el estado seleccionado.
- Cumplimiento del equipo de BitLocker: Permite a los administradores de TI ver un equipo individual y determinar por qué se ha notificado con un estado de compatible o no compatible. El informe también muestra el estado de cifrado de las unidades de sistema operativo y las unidades de datos fijas.
- Resumen de cumplimiento empresarial de BitLocker: Permite a los administradores de TI ver el estado del cumplimiento de directivas de MBAM en la empresa. Se evalúa el estado de cada equipo y el informe muestra un resumen del cumplimiento de todos los equipos de la empresa con respecto a la directiva. Las opciones de exploración en profundidad del informe permiten a los administradores de TI seleccionar a través de los datos y ver una lista de equipos que coinciden con el estado seleccionado.
Artículos relacionados
Arquitectura de alto nivel de MBAM 2.5 con topología independiente
Características ilustradas de una implementación de MBAM 2.5