In vielen Unternehmen gibt es Überlegungen, MBAM in SCCM als On-Premises-Lösung oder zu Azure Intune in die Cloud zu migrieren. Welche Features bei den beiden Wegen hinzukommen oder fehlen, beleuchten wir in diesem Beitrag.
Wichtig vorab: Aus Support-Sicht muss Microsoft Bitlocker Administration and Monitoring (MBAM) aktuell nicht ersetzt werden. Microsoft verlängerte den erweiterten Support für MBAM bis Mitte April 2026. Somit sind rund sechs Jahre Zeit, um die beste Lösung zu finden.
Die Migrationsstrategie von Microsoft
Microsoft bietet für MBAM zwei Migrationspfade an:
-
- On premises unter Nutzung der SCCM-Infrastruktur
- Cloud-basiert unter Nutzung von Azure Intune
Details dazu beleuchten wir unter anderem in unserem Beitrag “Angeschaut: So funktioniert das Bitlocker-Management in der Azure-Cloud” und in unserer SCCM-Rubrik.
Sollte trotzdem eine zeitnahe Migration erfolgen?
Besteht aus fachlicher Sicht eine Notwendigkeit, eine Migration in naher Zukunft durchzuführen? Gibt es neue oder besondere Funktionen und Features, welche einen vorzeitigen Wechsel sinnvoll machen?
Die Antwort: Nein. Wir meinen, dass Microsoft als Hersteller der Produkte noch an einigen Stellen nachbessern muss.
Wie wir darauf kommen? Wir haben die aktuellste Version von MBAM (Version MBAM 2.5 May 2019 Servicing Release), SCCM in der Technical Preview 2002.2 und die aktuelle Fassung von Azure Intune verglichen.
Die wichtigsten Erkenntnisse sind:
-
- Eine der Kernfunktionen, die Reporting-Übersicht, funktioniert innerhalb der SCCM Technical Preview noch nicht.
- Auch die Reporting-Übersicht in Azure Intune sollte Microsoft im Vergleich zu MBAM noch optimieren. Beispielsweise fehlt in Azure komplett die Übersicht über den Verschlüsselungsstatus der Unternehmensplattform.
- Zu diversen Fragen liefert Microsoft keine Antworten. Zum Beispiel, ob die sensiblen Wiederherstellungsschlüssel (Recovery Keys) in Azure AD verschlüsselt abgespeichert sind. Oder ob Microsoft als Provider dort Zugriff hat.
Unser Vergleich: MBAM vs. SCCM vs. Intune
Features \ Produkt | MBAM standalone | SCCM Integration TP 2002.2 | Azure MDM with Intune |
Compliance &Audit |
|||
Compliance and Audit Reports | X | X (eingeschränkt) |
|
Reporting Website (Administration and Monitoring Website) | X | X (derzeit ohne Reporting) |
|
Configurable frequency of client status checking | X | X | |
Configurable frequency of status reporting | X | ||
Self-Service Portal | X | X | X |
Store recovery information in database | X | X | |
Store recovery information in AD | X (möglich, aber nicht gewollt) |
X (Azure AD) |
|
Separation of recovery keys in separate databases (“least privilege”) | X | ||
Encryption of keys in databases | X | X | derzeit nicht klar |
Key Handling | |||
Drive encryption settings for OS drives | X | X | X |
Drive encryption settings for fixed drives | X | X | X |
Drive encryption settings for removable data drives | X | X | X |
Saving of recovery password and key package for OS drives | X | X | X |
Saving of recovery password and key package for fixed drives | X | X | X |
Saving of recovery password and key package for removable drives | X | X | X |
Additional Features | |||
Support for devices running Windows 7 and Windows 8 | X | X | |
Using of Bitlocker without TPM | X | X | X |
Usage of key protector TPM | X | X | X |
Usage of other key protectors like USB medium, file system, e.g. | X | ||
Deny write access to fixed drives without encryption | X | X | X |
Deny write access to removable drives without encryption | X | X | X |
Encryption of storage cards on mobile devices like smartphones or tablets (“MDM feature”) | X | ||
Extended Bitlocker Features | |||
Bitlocker Network unlock | X |
Community gefragt
Gerne aktualisieren wir diese Tabelle, wenn Ihnen noch wichtige Inhalte fehlen. Schicken Sie uns Ihren Hinweis einfach über die Kommentar-Funktion am Ende des Beitrages!
Benötigen Sie Unterstützung?
Das Team der FB Pro GmbH besteht aus IT-Security-Spezialisten. Wir sorgen mit unserem Fachwissen und unseren Lösungen für sichere Systeme in Ihrem Unternehmen. Verschlüsselung von Daten, Härtung von Systemen, Audits zur Verwendung bspw. im Rahmen der DS-GVO: Dies und mehr bieten wir Ihnen gerne an.
Bild: Pixabay