Angeschaut: SCCM integrierte MBAM-Dienste, Technical Preview 1909

MBAM wird zukünftig unter anderem in SCCM integriert. Wir haben uns die Technical Preview 1909 angeschaut, um einen Eindruck davon zu erhalten. Hier gibt es die ersten Einblicke inklusive Screenshots.

So geht es mit MBAM weiter

Wie Microsoft kürzlich mitteilte, endet in ein paar Jahren der Support für das MDOP-Paket inkl. MBAM. Damit einher gehen auch ein paar Veränderungen. So wird Microsoft MBAM in die On-Premises Service-Center-Produktreihe (SCCM) und mittels Intune-Suite in die Azure Cloud integrieren.

Was bringt die MBAM-Integration ins SCCM? Was ist hieran besonders? Um diese und weitere Fragen zu klären, haben wir einen Blick auf die Technical Preview 1909 geworfen.

MBAM-Integration in SCCM: die Vorteile

Durch die Umstellung wird das Verwalten von MBAM einfacher und die IT-Umgebung weniger komplex. Denn:

    • Der MBAM-Client ist nun Teil der SCCM-Infrastruktur. Ein separates Verteilen entfällt, denn es werden die vorhandenen und bekannten SCCM-Mechanismen genutzt. Das bedeutet, der MBAM-Agent wird automatisch im Hintergrund verteilt.
    • Es wird keine zusätzliche Infrastruktur benötigt, da im SCCM der MBAM Recovery and Hardware Service integriert ist
    • Man benötigt keine zusätzlichen Lizenzen für Server und SQL

Zudem bleibt eine gute Sache erhalten: MBAM punktet immer noch gegenüber der Speicherung der Recovery Keys im Active Directory (AD). Denn löscht man versehentlich ein Objekt im AD, so sind auch die dazu passenden Recovery Keys weg. Administratoren des AD-Teams haben keinen Zugriff auf die Schlüssel, mit deren Management meistens ein anderes Team betraut ist. Mit den MBAM-Features in SCCM werden daher derlei Probleme immer noch vermieden.

Noch ist nicht alles verfügbar

Wir haben die Technical Preview 1909 getestet. Wie sich zeigte, fehlen noch wichtige Features – zum Beispiel die Verschlüsselungs-Verwaltung von

    • USB-Datenträgern
    • Wechselfestplatten
    • und weiteren integrierten Laufwerken.

Wir sind daher sehr gespannt auf die kommende Version!

So wird MBAM über SCCM installiert

Damit die Schlüssel nicht unverschlüsselt übertragen werden, muss zuerst  der Configuration Manager mit den Clients über HTTPS kommunizieren. Momentan – das heißt, in der SCCM Technical Preview 1909 – können nur Zertifikate erstellt werden, die eine CA generiert.  Ob zukünftig auch selbst-signierte Zertifikate nutzbar sind, zeigt sich bei späteren Versionen.

Die MBAM-Policies werden im Configuration Manger unter “Assets and Compliance” > “Endpoint Protection” > “Bitlocker Management” erstellt.

SCCM Technical Preview 190901 MBAM Installation (Bild: FB Pro)

SCCM Technical Preview 190901 MBAM Installation (Bild: FB Pro)

SCCM Technical Preview 190901 MBAM Installation (Bild: FB Pro)

Eine Client-Installation läuft dann SCCM-typisch im Hintergrund ab. Im Ordner “Logs” sieht man, ob die Installation erfolgreich war. Oder – wie im Fall des folgenden Screenshots – nicht, da MBAM immer noch lediglich für Workstations geeignet ist.

SCCM Technical Preview 190901 MBAM Installation (Bild: FB Pro)

Webseiten-Installation mit MBAM in SCCM

Eine Neuerung in der SCCM Technical Preview 1909 gegenüber den vorherigen Releases ist die Integration des Helpdesk- und des Selfservice-Portals. Zudem ist nun auch die aus MBAM bekannte Report-Funktion zur Überwachung des Compliance-Status integriert und verfügbar.

Wichtig: Die Report-Funktion ist erst nach diesem Fix verfügbar. 

Erst nach Ausführung dieser SQL-Query sind die einzelnen Reports unter “Monitoring” > “Reporting” > “Reports” > “Bitlocker Management” einsehbar.

SCCM Technical Preview 190901 MBAM Installation (Bild: FB Pro)

Die Helpdesk- und SelfService-Webseiten installiert man über ein Powershell-Skript und der dazugehörigen CAB-Datei. Die beiden Dateien befinden sich im Ordner “\Microsoft Configuration Manager\bin\X64”.

SCCM Technical Preview 190901 MBAM Installation (Bild: FB Pro)

Ein paar Sachen gegenüber der “alten” Version von MBAM haben sich nicht verändert:

    • Die Installation des ASP-NET MVC 4.0 ist immer noch eine Grundvoraussetzung
    • Die folgenden User-Gruppen müssen im AD angelegt werden:
      • MBAMHelpDsk
      • MBAMAdvHelpDsk
      • MBAMRUGrp

SCCM Technical Preview 190901 MBAM Installation (Bild: FB Pro)

Dann kann die Installation mithilfe des folgenden Befehls ausgeführt werden:

.\mbamwebsiteinstaller.ps1 -SqlServerName (Servername) -SqlDatabaseName (Datenbankname) -ReportWebServiceUrl (URL-des Report-Servers) -HelpdeskUsersGroupName mydomain\MBAMHelpDsk -HelpdeskAdminsGroupName mydomain\MBAMAdvHelpDsk -MbamReportUsersGroupName mydomain\MBAMRUGrp -SiteInstall Both

Das Skript erstellt die Web-Seiten. Diese tauchen im IIS auf und sind dann auch aufrufbar – hier derzeit “nur” per http – wir geloben Besserung im nächsten Artikel 😉

Die Keys werden wie vorgesehen in der Datenbank des SCCM-Servers abgelegt.

SCCM Technical Preview 190901 MBAM Installation (Bild: FB Pro)

 

Hinweis: In unserem Beitrag “MBAM, SCCM und Intune: Wir vergleichen die Features” stellen wir den aktuellen Funktionsstand der drei Systeme gegenüber.

 

Bilder: Mocksdrop.io / FB Pro / Microsoft

Schreibe einen Kommentar