SCCM CBのBitlocker管理(その4)
前回、見事にエラーを引いたのですが、なんとか更新プログラムをダウンロードできたので、クライアントに適用。
ただし、すでにMBAMクライアントがインストールされているためか、上記更新プログラムが適用できないため、一度MBAMエージェントをアンインストールし、MBAM2.5SP1のMBAMクライアントをインストール。
その後、上記更新プログラムを適用することで適用できました。
※この手順が推奨されているかは不明。
レジストリでバージョンも確認したので、あとはポップアップが出るのを待ちます。
ポップアップが出たので、いざ暗号化…今度は成功!
このまま暗号化を実行します。
ちなみにHyper-Vの仮想マシンでもTPMを有効化すれば強制暗号化は可能です。(今回の検証はすべて仮想マシンで実施しています。)
ここからは各ポータル側に回復キーが格納されているかを確認。
まずはクライアント側で回復用のキーIDを確認します。
コマンドプロンプト(管理者でmanage-bde -protects -get c:を実行)
ここに表示された数字パスワードのIDをコピーします。
次にブラウザを立ち上げ、SelfServiceポータルにアクセスします。
「上記の注意を読み、理解しました」のチェックボックスにチェックを入れ、続行をクリック。
コピーした回復キーIDを入力し、理由を選んで「キーの取得」をクリック。
無事、回復キーが表示されました。
先程コマンドで確認した回復キーとも一致してます。
つぎに、Helpdeskポータルでも、確認します。
まずはブラウザーでHelpdeskポータルにアクセスします。
左メニューから「ドライブの回復」をクリックし、キーIDの最初の8文字を入力。理由を選択して「送信」をクリック。
こちらも無事回復キーが表示されました。
画面ショットは準備していないのですが。ちゃんと監査レポートも表示されました。
ここまで4回に分けてご紹介しましたが、中身はほぼMBAMですね。
クライアント側のレジストリを確認したところ、MBAMと同じキーが利用されているのを確認しましたので、コンポーネントは同じものと思われます。
元々、MBAM自体もレポートのみですがSCCM連携できていたので、SCCMに統合されるのは理解できなくは無いかなと。
構築するにもHttps構成が必須であること以外はそんなに難しくはありません。
ただ、MBAMを知らない人には少し難しい点もありますので、色々試しながら実装してみてください!
次回はちょっとしたおまけを投稿する予定です。