MBAM wird zukünftig unter anderem in SCCM integriert. Wir haben uns die Technical Preview 1909 angeschaut, um einen Eindruck davon zu erhalten. Hier gibt es die ersten Einblicke inklusive Screenshots.
So geht es mit MBAM weiter
Wie Microsoft kürzlich mitteilte, endet in ein paar Jahren der Support für das MDOP-Paket inkl. MBAM. Damit einher gehen auch ein paar Veränderungen. So wird Microsoft MBAM in die On-Premises Service-Center-Produktreihe (SCCM) und mittels Intune-Suite in die Azure Cloud integrieren.
Was bringt die MBAM-Integration ins SCCM? Was ist hieran besonders? Um diese und weitere Fragen zu klären, haben wir einen Blick auf die Technical Preview 1909 geworfen.
MBAM-Integration in SCCM: die Vorteile
Durch die Umstellung wird das Verwalten von MBAM einfacher und die IT-Umgebung weniger komplex. Denn:
-
- Der MBAM-Client ist nun Teil der SCCM-Infrastruktur. Ein separates Verteilen entfällt, denn es werden die vorhandenen und bekannten SCCM-Mechanismen genutzt. Das bedeutet, der MBAM-Agent wird automatisch im Hintergrund verteilt.
- Es wird keine zusätzliche Infrastruktur benötigt, da im SCCM der MBAM Recovery and Hardware Service integriert ist
- Man benötigt keine zusätzlichen Lizenzen für Server und SQL
Zudem bleibt eine gute Sache erhalten: MBAM punktet immer noch gegenüber der Speicherung der Recovery Keys im Active Directory (AD). Denn löscht man versehentlich ein Objekt im AD, so sind auch die dazu passenden Recovery Keys weg. Administratoren des AD-Teams haben keinen Zugriff auf die Schlüssel, mit deren Management meistens ein anderes Team betraut ist. Mit den MBAM-Features in SCCM werden daher derlei Probleme immer noch vermieden.
Noch ist nicht alles verfügbar
Wir haben die Technical Preview 1909 getestet. Wie sich zeigte, fehlen noch wichtige Features – zum Beispiel die Verschlüsselungs-Verwaltung von
-
- USB-Datenträgern
- Wechselfestplatten
- und weiteren integrierten Laufwerken.
Wir sind daher sehr gespannt auf die kommende Version!
So wird MBAM über SCCM installiert
Damit die Schlüssel nicht unverschlüsselt übertragen werden, muss zuerst der Configuration Manager mit den Clients über HTTPS kommunizieren. Momentan – das heißt, in der SCCM Technical Preview 1909 – können nur Zertifikate erstellt werden, die eine CA generiert. Ob zukünftig auch selbst-signierte Zertifikate nutzbar sind, zeigt sich bei späteren Versionen.
Die MBAM-Policies werden im Configuration Manger unter “Assets and Compliance” > “Endpoint Protection” > “Bitlocker Management” erstellt.
Eine Client-Installation läuft dann SCCM-typisch im Hintergrund ab. Im Ordner “Logs” sieht man, ob die Installation erfolgreich war. Oder – wie im Fall des folgenden Screenshots – nicht, da MBAM immer noch lediglich für Workstations geeignet ist.
Webseiten-Installation mit MBAM in SCCM
Eine Neuerung in der SCCM Technical Preview 1909 gegenüber den vorherigen Releases ist die Integration des Helpdesk- und des Selfservice-Portals. Zudem ist nun auch die aus MBAM bekannte Report-Funktion zur Überwachung des Compliance-Status integriert und verfügbar.
Wichtig: Die Report-Funktion ist erst nach diesem Fix verfügbar.
Erst nach Ausführung dieser SQL-Query sind die einzelnen Reports unter “Monitoring” > “Reporting” > “Reports” > “Bitlocker Management” einsehbar.
Die Helpdesk- und SelfService-Webseiten installiert man über ein Powershell-Skript und der dazugehörigen CAB-Datei. Die beiden Dateien befinden sich im Ordner “\Microsoft Configuration Manager\bin\X64”.
Ein paar Sachen gegenüber der “alten” Version von MBAM haben sich nicht verändert:
-
- Die Installation des ASP-NET MVC 4.0 ist immer noch eine Grundvoraussetzung
- Die folgenden User-Gruppen müssen im AD angelegt werden:
- MBAMHelpDsk
- MBAMAdvHelpDsk
- MBAMRUGrp
Dann kann die Installation mithilfe des folgenden Befehls ausgeführt werden:
.\mbamwebsiteinstaller.ps1 -SqlServerName (Servername) -SqlDatabaseName (Datenbankname) -ReportWebServiceUrl (URL-des Report-Servers) -HelpdeskUsersGroupName mydomain\MBAMHelpDsk -HelpdeskAdminsGroupName mydomain\MBAMAdvHelpDsk -MbamReportUsersGroupName mydomain\MBAMRUGrp -SiteInstall Both
Das Skript erstellt die Web-Seiten. Diese tauchen im IIS auf und sind dann auch aufrufbar – hier derzeit “nur” per http – wir geloben Besserung im nächsten Artikel 😉
Die Keys werden wie vorgesehen in der Datenbank des SCCM-Servers abgelegt.
Hinweis: In unserem Beitrag “MBAM, SCCM und Intune: Wir vergleichen die Features” stellen wir den aktuellen Funktionsstand der drei Systeme gegenüber.
Bilder: Mocksdrop.io / FB Pro / Microsoft