вторник, 28 апреля 2020 г.

MBAM и Enhanced HTTP, лайфхак

Как известно, для использования MBAM в SCCM необходимо, что бы Management Point был настроен по HTTPS. 
Во время разворачивания лабы надо было быстро проверить MBAM на 2002, а PKI разворачивать не очень хотелось.

Enhanced HTTP - released feature начиная с версии 1810, позволяющая следующее:
  • You can secure sensitive client communication without the need for PKI server authentication certificates.
  • Clients can securely access content from distribution points without the need for a network access account, client PKI certificate, and Windows authentication.
Более подробно - в документации

В одном из сценариев указано, что можно использовать для связи клиента с Management Point.
Идем в свойства сайта, переходим на вкладку Communication Security и выставляем галку 
Use Configuration Manager-generated certificates for HTTP site systems:


При этом в свойствах Management Point у нас остается Client Connection HTTP:


Идем в IIS и смотрим Bindings Default Web Site, видимо, что на 443 порту установлен сертификат SMS Role SSL Certificate:


Нажимаем View, переходим на вкладку Details, Copy to file и сохраняем сертификат.

Вешаем политику MBAM с шифрованием системного диска на коллекцию, запускаем цикл Machine Policy и смотрим в лог BitlockerManagementHandler.log, где видим, что агент MBAM успешно установлен, но на шаге Checking for recovery service at https://lab-sccm.lab.local/SMS_MP_MBAM/CoreService.svc получаем ошибку:


Идем на клиента, берем сохраненный SMS Role SSL Certificate и импортируем его в Доверенные корневые центры сертификации

Запускаем на клиенте Панель управления - Configuration Manager - Конфигурации наш Bitlocker Compliance, смотрим в BitlockerManagementHandler.log еще раз:



Порталы так же устанавливаются и работают:



А вот с IBCM у меня не взлетает, ругается:"Unable to find suitable Recovery Service MP".
Будем посмотреть.