SCCM CBのBitlocker管理(その4)

Kimura Yoshihide (KIM)
Nov 1 · 4 min read

前回、見事にエラーを引いたのですが、なんとか更新プログラムをダウンロードできたので、クライアントに適用。

ただし、すでにMBAMクライアントがインストールされているためか、上記更新プログラムが適用できないため、一度MBAMエージェントをアンインストールし、MBAM2.5SP1のMBAMクライアントをインストール。
その後、上記更新プログラムを適用することで適用できました。
※この手順が推奨されているかは不明。

レジストリでバージョンも確認したので、あとはポップアップが出るのを待ちます。

ポップアップが出たので、いざ暗号化…今度は成功!

このまま暗号化を実行します。

ちなみにHyper-Vの仮想マシンでもTPMを有効化すれば強制暗号化は可能です。(今回の検証はすべて仮想マシンで実施しています。)

ここからは各ポータル側に回復キーが格納されているかを確認。

まずはクライアント側で回復用のキーIDを確認します。
コマンドプロンプト(管理者でmanage-bde -protects -get c:を実行)

ここに表示された数字パスワードのIDをコピーします。
次にブラウザを立ち上げ、SelfServiceポータルにアクセスします。

「上記の注意を読み、理解しました」のチェックボックスにチェックを入れ、続行をクリック。

コピーした回復キーIDを入力し、理由を選んで「キーの取得」をクリック。

無事、回復キーが表示されました。

先程コマンドで確認した回復キーとも一致してます。

つぎに、Helpdeskポータルでも、確認します。
まずはブラウザーでHelpdeskポータルにアクセスします。

左メニューから「ドライブの回復」をクリックし、キーIDの最初の8文字を入力。理由を選択して「送信」をクリック。

こちらも無事回復キーが表示されました。

画面ショットは準備していないのですが。ちゃんと監査レポートも表示されました。

ここまで4回に分けてご紹介しましたが、中身はほぼMBAMですね。
クライアント側のレジストリを確認したところ、MBAMと同じキーが利用されているのを確認しましたので、コンポーネントは同じものと思われます。
元々、MBAM自体もレポートのみですがSCCM連携できていたので、SCCMに統合されるのは理解できなくは無いかなと。

構築するにもHttps構成が必須であること以外はそんなに難しくはありません。
ただ、MBAMを知らない人には少し難しい点もありますので、色々試しながら実装してみてください!

次回はちょっとしたおまけを投稿する予定です。

objectbuzz

Technical Memo 試したことや気にったことを適当に。

Kimura Yoshihide (KIM)

Written by

MS系インフラエンジニア。やりたいことだけやってます。

objectbuzz

Technical Memo 試したことや気にったことを適当に。

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade