SCCM CBのBitlocker管理（その３）

前回、前々回とSCCM側の設定、ポータル用のIISの設定を行いましたが、最後の総仕上げとして、クライアントの強制暗号化と、SelfServiceおよびHelpdeskポータルでの回復キーの発行をやってみます。

結果から言いますとハマりました。

前々回に配信したポリシーが何度やってもerrorのまま改善されず。
SCCMのクライアントログを見るとMP（管理ポイント）が見つからないと表示されます。

SCCMクライアントログ

何が悪いのかと悩んで、エラーログで色々検索してみてわかりました。

SCCMをhttps構成にする

言われてみればわかる気もしますが、MBAMは必須ではなかったのでなんともなーという感じです。

なので、今回はその辺の設定も含めてご紹介。

以下を準備

• ADCSをエンタープライズで構築
• 「ワークステーション認証」の証明書テンプレートを使って、クライアントにクライアント証明書を発行
  ・クライアントのローカルマシンの個人にクライアント証明書を入れる
• 「Webサーバー」の証明書テンプレートを使って、IISのサーバー証明書を発行
  ・IISで発行した証明書をバインド
• SCCMコンソールでサイトの設定をHttpsに変更
• SCCMコンソールでサイトサーバーの設定を変更

ざっくりここまでやったら、クライアント上でerrorが無くなり、warningに。（まだ暗号化されてないので、warningが正しい）

この状態でしばらく待つとMBAMで見たポップアップが表示され、クライアントの暗号化が…

しばらく待つと表示されるポップアップ

できませんでした。

イベントログを確認しても、説明がNULL。。。

イベントログ

ただ、エラーコードが載っていたので、エラーコードで検索すると。。。

Windows 10 1903 でMBAMを使用して暗号化できないKBを発見。

{{search404Captions.content404Title}}

今回、Windows 10の1903で検証してましてので、おそらくこの件に合致。ただ、更新プログラムをダウンロードしようにもページが繋がらない。。。

おそらく数日すれば繋がるようになると思います。

なので今回はここまで。