Non, MBAM n’est pas mort et Bitlocker arrive en force


  • Share on Pinterest

C’était un sujet chaud lors du MVP Summit, et bien entendu, étant sous NDA il était impossible d’en parler. Mais voilà les points à retenir concernant MBAM et Bitlocker discutés au MVP Summit puis annoncés publiquement à l’événement MMSMOA.

Microsoft annonce des améliorations et des fonctionnalités Bitlocker natives dans Microsoft Intune et dans System Center Configuration Manager (SCCM). Voici donc toutes les alternatives de gestion BitLocker pour répondre aux besoins des entreprises (Intune/SCCM/Intune co-mgmt+SCCM):

  • Gestion BitLocker dans le cloud avec Microsoft Intune
  • Gestion BitLocker avec System Center Configuration Manager
  • Administration et surveillance de Microsoft BitLocker (MBAM)

Gestion native de Bitlocker dans Configuration Manager

Avec l’intégration native de Bitlocker dans Configuration Manager, il faut voir cela comme une évolution directe de MBAM. Plus besoin de la suite MDOP et de l’abonnement Software Assurance mais avec les avantages suivants:

  • Bitlocker/MBAM sera supporté sur le même cycle de vie de Configuration Manager Current Branch
  • Licence incluse dans Configuration Manager ou dans Microsoft 365
  • Expérience intégrée, car Configuration Manager absorbe toutes les fonctionnalités de MBAM
  • Support de Windows 10 Pro et supérieur
  • Support de Windows 7, 8, 8.1
  • Fonctionnalités Bitlocker/MBAM directement dans le client Configuration Manager
  • Arrive dès Configuration Manager 1906

Configuration Manager fournira les fonctionnalités de gestion BitLocker suivantes:

  • Provisioning, la solution BitLocker sera une expérience transparente au sein de la console SCCM tout en conservant l’ampleur de MBAM.
  • Préparation du TPM, gestion du TPM pour les versions 1.2 et 2.0. De plus, SCCM prendra en charge le TPM + le code PIN pour la connexion. Pour les périphériques sans TPM, il y aura également les clés USB comme authentifications au démarrage.
  • Configuration des paramètres BitLocker, toutes les configurations MBAM seront réalisées à travers la console SCCM.
  • Chiffrementavec divers algorithme, règles, paramètres et plus
  • Stratégie et remédiation, pour les règles de sécurité avant l’accès au disque dur
  • L’utilisateur peut configurer un pin ou mot de passe sur les machines avec TPM ou pas
  • Déverrouillage auto, stratégies permettant de spécifier s’il faut déverrouiller uniquement un lecteur de système d’exploitation ou tous les lecteurs connectés
  • Portail avec audit pour l’assistance, permet à d’autres personnes en dehors des admins SCCM de fournir une aide pour la récupération de clé, y compris la rotation de clé, etc.
  • Rotation des clés, permet d’utiliser une clé à usage unique pour déverrouiller un périphérique chiffré par BitLocker.
  • Rapport de conformités, les rapports SCCM incluront tous les rapports actuellement trouvés sur MBAM dans la console SCCM. Cela inclut des informations clés telles que l’état du chiffrement par volume, par périphérique, l’utilisateur principal du périphérique, l’état de conformité, les raisons de la non-conformité, etc.

Gestion Bitlocker avec Intune

Microsoft Azure Active Directory et Microsoft Intune apportent toute la puissance du cloud à la gestion Bitlocker des périphériques Windows 10 sur les éditions Windows 10 Pro, Windows 10 Entreprise et Windows 10 Education.

La gestion BitLocker sur Microsoft Intune est disponible dès aujourd’hui et comprend des fonctionnalités telles que la génération de rapports de conformité, la configuration du chiffrement, la récupération de clés et la rotation des clés (à venir). Dans les mois à venir, la gestion BitLocker basée sur le cloud de Microsoft devrait dépasser les fonctionnalités MBAM que vous connaissez bien. Aussi, Windows Autopilot supporte une configuration Bitlocker transparente et pouvant aussi se baser sur l’accès conditionnel Access pour fournir un périphérique conforme à la première connexion.

Extrait des configuration Bitlocker dans Microsoft Intune

Voici quelques fonctionnalités de gestion BitLocker que vous trouverez dans Microsoft Intune:

  • Rapports de conformité, permet de comprendre l’état de chiffrement des périphériques. Indique si les périphériques peuvent être activés avec succès avec BitLocker. Dans le cas contraire, une aide est proposée.
  • Configuration BitLocker granulaire qui permet aux administrateurs de gérer les périphériques avec le niveau de sécurité souhaité.
  • Conformité, exploitant les stratégies de conformité d’Intune. Révoquez l’accès aux ressources de l’entreprise si les périphériques ne répondent pas à vos exigences de chiffrement.
  • Audit de récupération de clé, avec des rapports sur les utilisateurs qui ont accédé aux informations de la clé de récupération dans Azure AD. (Rapports à venir plus tard en 2019)
  • Récupération de clé, permet de récupérer des clés dans la console Microsoft Intune. Vous pouvez activer la récupération de clé en libre-service à l’aide de l’application Portail d’entreprise. (le libre-service à venir plus tard en 2019)
  • Gestion des clés à venir en 2019, pour activer les clés de récupération à usage unique sur les périphériques Windows en veillant à ce que les clés soient déployées à l’accès (par client) ou à la demande par des actions à distance Intune. (La rotation clé est prévue plus tard en 2019)
  • Migration de MBAM vers Microsoft Intune (à partir de 2019), pour les clients MBAM actuels qui souhaitent une gestion BitLocker moderne, Microsoft intégrera la migration directement dans la fonctionnalité de rotation de clé, disponible plus tard en 2019.

Cette annonce devrait répondre aux questions concernant la suite logique de MBAM sachant que la solution sera dans le support étendu à partir du 9 juillet 2019. Il est déjà possible de tester les prémices des travaux avec la TP de Configuration Manager 1905.