SCCM CBのBitlocker管理（その２）

前回の記事ではポリシー配信まででしたが、SCCM CB Technical Preview 1909でポータルが使えるようになったとのことなので、遅ればせながら検証。

テクニカル プレビュー 1909 - Configuration Manager

ほぼ上記手順通りなのですが、気をつけるポイントがいくつかありましたので、その辺を合わせてご紹介。

まずはポータルサイトを配置するサーバーに、IISをインストールし、SCCMサーバーのSMSSETUP\BIN\X64から以下の２つをコピー

• MBAMWebSite.cab
• MBAMWebSiteInstaller.ps1

あとはスクリプトの実行なのですが、その前にいくつか準備を。

• powershellスクリプトを実行するアカウントはSCCMのDBに対してsysadmin権限が必要（スクリプト実行時のみ）
• Helpdesk用ユーザーグループを3つ作成（グループ名は何でもOK）
  後ほど実行するスクリプトで指定するそれぞれのグループの役割は多分以下の通り（あくまでも推測）
  ・HelpdeskUsersGroupName：ヘルプデスクポータルで回復キーを確認できるグループ
  ・HelpdeskUsersGroupName：ヘルプデスクポータルで対象のクライアント名がなくても回復キーを確認できるグループ
  ・MbamReportUsersGroupName：ヘルプデスクポータルで監査レポートが見れるグループ
• 事前にASP.NET MVC 4.0をサーバーにインストールしましょう（1敗）
• SQLサーバーのSPNの設定も忘れずに

ここまで出来たら上記URLを参考にスクリプトを実行。（検証のためhttp構成でやってます）

こんな感じで実行

少し待てばインストール完了です。

インストール完了

確認のため、SelfServiceポータルとHelpDeskポータルにアクセスしてみましょう。
・http://<サーバー名>/SelfService

SelfServiceポータル

・http://<サーバー名>/HelpDesk

HelpDeskポータル

事前に作成したグループにユーザーアカウントを入れておけば、そのグループのユーザーであればHelpDeskポータルにアクセスできます。
※selfserviceは全員アクセスできるはず。

なお、ここでも注意なのですが、事前に作成したグループのレポート用グループ（ここではMbamReportUsersGroupName）にもアカウントを入れなければ、他のグループに入っていてもHelpdeskポータルで「レポート」は表示されません。
※この辺はMBAMと同じですね。

長くなりそうなので、今回はここまで。

次回はクライアントの暗号化と回復キーの確認をやっていきます。

スクリプト実行時に下記のようなエラーが出た場合、SPNの設定ができていない可能性が高いです。よくわからない方はsetspn等で検索してみてください。（SQLサーバーのサービスアカウントに一時的にDomain Admin権限を付与でもOK）