Requisitos previos del servidor de MBAM 2.5 para topologías de integración independientes y de Configuration Manager
Antes de iniciar la instalación de Administración y supervisión de Microsoft BitLocker (MBAM), debe completar los requisitos previos enumerados en este artículo. Estos requisitos previos se aplican a la topología independiente de MBAM y a la topología de integración de System Center Configuration Manager.
Si va a implementar MBAM con System Center Configuration Manager, debe completar otros requisitos previos, que se enumeran en los requisitos previos del servidor MBAM 2.5 que se aplican solo a la topología de integración de Configuration Manager.
Para obtener una lista de los sistemas operativos y hardware admitidos para MBAM, consulte Configuraciones compatibles con MBAM 2.5.
Importante
Si BitLocker se usó sin MBAM, debe descifrar la unidad y, a continuación, borrar TPM mediante tpm.msc. Si el dispositivo ya está cifrado y se ha creado la contraseña de propietario de TPM, MBAM no puede asumir la propiedad de TPM.
Roles y cuentas de MBAM necesarios
Para obtener más información sobre los grupos creados en Active Directory Domain Services (ADDS), consulte Planeamiento de grupos y cuentas de MBAM 2.5.
Requisitos previos para la base de datos de recuperación
| Prerrequisito | Detalles |
|---|---|
| Versión compatible de SQL Server | Instale Microsoft SQL Server con SQL_Latin1_General_CP1_CI_AS intercalación. Consulte Configuraciones admitidas de MBAM 2.5 para las versiones admitidas. |
| Permisos necesarios de SQL Server | Permisos necesarios: - Roles de servidor de inicio de sesión de instancia de SQL Server: - dbcreator- processadmin- Derechos de instancia de SQL Server Reporting Services: - Crear carpetas - Publicar informes |
| Opcional: instale la característica cifrado de datos transparente (TDE) disponible en SQL Server. | La característica TDE SQL Server realiza el cifrado y descifrado de E/S en tiempo real de los archivos de datos y de registro, lo que puede ayudarle a cumplir con las leyes, regulaciones y directrices que se aplican a diversos sectores. Nota: TDE realiza el descifrado en tiempo real de la información de la base de datos. Si ve información de clave de recuperación en la base de datos de SQL Server y ha iniciado sesión en una cuenta que tiene permisos para la base de datos, la información de la clave de recuperación es visible. Para obtener más información sobre TDE, consulte Consideraciones de seguridad de MBAM 2.5. |
| Servicios del motor de base de datos de SQL Server | Los servicios del motor de base de datos de SQL Server deben instalarse y ejecutarse durante la instalación del servidor MBAM. |
| Windows PowerShell 3.0 o posterior | Windows PowerShell no tiene que instalarse en el servidor de base de datos de recuperación si usa Windows PowerShell para configurar la base de datos desde un equipo remoto. |
Requisitos previos para la base de datos de cumplimiento y auditoría
| Prerrequisito | Detalles |
|---|---|
| Versión compatible de SQL Server | Instale SQL Server con SQL_Latin1_General_CP1_CI_AS intercalación. Consulte Configuraciones admitidas de MBAM 2.5 para las versiones admitidas. |
| Permisos necesarios de SQL Server | Permisos necesarios: - Roles de servidor de inicio de sesión de instancia de SQL Server: - dbcreator- processadmin- Derechos de instancia de SQL Server Reporting Services: - Crear carpetas - Publicar informes |
| Opcional: instalar la característica cifrado de datos transparente (TDE) en SQL Server | La característica TDE SQL Server realiza el cifrado y descifrado de E/S en tiempo real de los archivos de datos y de registro, lo que puede ayudarle a cumplir con las leyes, regulaciones y directrices que se aplican a diversos sectores. TDE realiza el descifrado en tiempo real de la información de la base de datos. Esto significa que, si ve información de clave de recuperación en la base de datos de SQL Server y ha iniciado sesión en una cuenta que tiene permisos para la base de datos, la información de la clave de recuperación es visible. Para obtener más información sobre TDE, consulte Consideraciones de seguridad de MBAM 2.5. |
| Servicios del motor de base de datos de SQL Server | Los servicios del motor de base de datos de SQL Server deben instalarse y ejecutarse durante la instalación del servidor MBAM. Sin embargo, SQL Server puede ejecutarse de forma remota; no tiene que estar en el mismo servidor en el que va a instalar el software del servidor MBAM. |
| Windows PowerShell 3.0 o posterior | Windows PowerShell no tiene que instalarse en el servidor de base de datos de cumplimiento y auditoría si usa Windows PowerShell para configurar la base de datos desde un equipo remoto. |
Requisitos previos para los informes
| Prerrequisito | Detalles |
|---|---|
| Versión compatible de SQL Server | Instale SQL Server con SQL_Latin1_General_CP1_CI_AS intercalación. Consulte Configuraciones admitidas de MBAM 2.5 para las versiones admitidas. |
| SQL Server Reporting Services (SSRS) | SSRS debe instalarse y ejecutarse durante la instalación del servidor MBAM. Configure SSRS en modo "nativo" y no en modo no configurado o "SharePoint". |
| Derechos de instancia de SSRS: necesarios para configurar informes solo si va a instalar bases de datos en un servidor independiente del servidor donde se configuran los informes. | Derechos de instancia necesarios: - Crear carpetas - Publicar informes |
| Windows PowerShell 3.0 o posterior | Windows PowerShell no tiene que instalarse en este servidor de base de datos si usa Windows PowerShell para configurar la base de datos desde un equipo remoto. |
Requisitos previos para el servidor de administración y supervisión
En las secciones siguientes se enumeran los requisitos previos de instalación para el servidor de administración y supervisión de MBAM.
Rol de servidor web de Windows Server
Este rol debe agregarse a un sistema operativo de servidor compatible con la característica Servidor de administración y supervisión.
Herramientas de administración del servidor web (IIS)
Seleccione Herramientas y scripts de administración de IIS.
Certificado SSL
Opcional. Para proteger la comunicación entre los equipos cliente y los servicios web, debe obtener e instalar un certificado firmado por una entidad de seguridad de confianza.
Servicios de rol de servidor web
Características HTTP comunes
- Contenido estático
- Documento predeterminado
Desarrollo de aplicaciones
- ASP.NET
- Extensibilidad de .NET
- Extensiones ISAPI
- Filtros ISAPI
Seguridad
- Autenticación de Windows
- Filtrado de solicitudes
Características de Windows Server
Características de .NET Framework 4.5
.NET Framework 4.5 o 4.6
- Windows Server 2016 - .NET Framework 4.6 ya está instalado para estas versiones de Windows Server, pero debe habilitarlo.
- Windows Server 2012 o Windows Server 2012 R2 - .NET Framework 4.5 ya está instalado para estas versiones de Windows Server, pero debe habilitarlo.
- Windows Server 2008 R2 - .NET Framework 4.5 no se incluye con Windows Server 2008 R2, por lo que debe descargar Microsoft .NET Framework 4.5 e instalarlo por separado.
Activación de WCF
- Activación HTTP
- Activación no HTTP (solo para Windows Server 2008, 2012 y 2012 R2)
Activación de TCP
Servicio de activación de procesos de Windows
- Modelo de proceso
- Entorno de .NET Framework
- API de configuración
ASP.NET MVC 4.0
Nota
ASP.NET MVC 4.0 ya no es necesario después de la actualización de mantenimiento de enero de 2023 (HF08).
Nombre de entidad de seguridad de servicio (SPN)
Las aplicaciones web requieren un SPN para el nombre de host virtual en la cuenta de dominio que se usa para los grupos de aplicaciones web.
Si sus derechos administrativos le permiten crear SPN en Active Directory Domain Services, MBAM crea el SPN automáticamente. Consulte Setspn para obtener información sobre los derechos necesarios para crear SPN.
Si no tiene derechos administrativos para crear SPN, debe pedir a los administradores de Active Directory de su organización que creen el SPN automáticamente mediante el siguiente comando:
Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
En el ejemplo de código, el nombre de host virtual es mbamvirtual.contoso.comy la cuenta de dominio usada para los grupos de aplicaciones web es contoso\mbamapppooluser.
Nota
Si configura el equilibrio de carga, use la misma cuenta de grupo de aplicaciones en todos los servidores.
Para obtener más información sobre cómo registrar SPN para nombres de host completos, NetBIOS y personalizados, consulte Planeamiento de cómo proteger los sitios web de MBAM.
Requisitos previos para el portal de Self-Service
Versión compatible de Windows Server
Para obtener la lista de versiones admitidas, consulte Configuraciones compatibles con MBAM 2.5.
ASP.NET MVC 4.0
Nota
ASP.NET MVC 4.0 ya no es necesario después de la actualización de mantenimiento de enero de 2023 (HF08).
Herramientas de administración de IIS del servicio web
Seleccione Herramientas y scripts de administración de IIS.
Nombre de entidad de seguridad de servicio (SPN)
Las aplicaciones web requieren un SPN para el nombre de host virtual en la cuenta de dominio que se usa para los grupos de aplicaciones web.
Si sus derechos administrativos le permiten crear SPN en Active Directory Domain Services, MBAM crea el SPN automáticamente. Consulte Setspn para obtener información sobre los derechos necesarios para crear SPN.
Si no tiene derechos administrativos para crear SPN, debe pedir a los administradores de Active Directory de su organización que creen el SPN automáticamente mediante el siguiente comando:
Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
En el ejemplo de código, el nombre de host virtual es mbamvirtual.contoso.comy la cuenta de dominio usada para los grupos de aplicaciones web es contoso\mbamapppooluser.
Nota
Si configura el equilibrio de carga, use la misma cuenta de grupo de aplicaciones en todos los servidores.
Para obtener más información sobre cómo registrar SPN para nombres de host completos, NetBIOS y personalizados, consulte Planeamiento de cómo proteger los sitios web de MBAM.
Requisitos previos para la estación de trabajo de administración
Antes de instalar el cliente de MBAM, descargue las plantillas de directiva de grupo de MBAM. Configúrelos con los valores que desea implementar en su entorno para el cifrado de unidad BitLocker.
Antes de instalar el cliente de MBAM, realice también los pasos siguientes:
- Copia de las plantillas de directiva de grupo de MBAM 2.5
- Editar la configuración de directiva de grupo de MBAM 2.5
Artículos relacionados
Preparación del entorno para MBAM 2.5