SCCM CBのBitlocker管理(Technical Preview)
SCCM CB Technical Preview 1905で追加されたBitlocker管理機能を試してみましたのでご紹介。
詳細は↓こちら
これまでMicrosoft Desktop Optimization Pack(MDOP)の一部として提供されてきたMicrosoft BitLocker Administration and Monitoring(MBAM)を統合したようです。(ただし、MDOP自体はまだ提供中)
そもそもMBAMとは何かを知りたい方は↓こちら
ざっくり言うとBitlockerの管理製品です。
Bitlockerの管理と言えばGPOで暗号化の強度を設定等を行い、回復パスワードをActive Directoryに格納することが多いのですが、
回復パスワードをADDSに格納した場合、回復パスワードの確認は「Active Directoryユーザーとコンピューター」に接続できる権限を持つアカウントのみとなり、そうなると運用上はAD管理者の負担になることが多いです。
例えば一定の条件下において、Helpdeskの方やエンドユーザーが直接、回復パスワードを確認できるとAD管理者の負担も軽減できます。
そこで利用できるのがMBAMです。
MBAMはHelpdesk専用ポータルやエンドユーザー向けのポータルが提供されており、端末名とユーザーアカウントを入力すればAD管理者でなくとも回復パスワードが確認できます。
また、回復パスワードを1度利用すると新しい回復パスワードが自動的に発行され、古い回復パスワードは利用できなくなるといういわゆるワンタイムパスワードのようなことができる製品です。
もちろん監査にも対応しており、誰がいつどの端末の回復パスワードを検索したのかがログに残ります。
また、予め定めておいた暗号化の設定に準拠しているかといったような確認もできる、Bitlockerの総合的管理ソリューションです。
ただ、MBAM自体はバージョン2.5Sp1が最新で、2015年8月に公開されてから更新がありませんでした。(更新プログラムは随時提供されています)
このままMBAMは消えるのかと思いましたが、SCCMに統合されるようです。
と長々と説明してきましたが、どうやらMBAMと同じようなことがSCCMでできるようになるとのことで、早速試してみました。
設定自体はすごく簡単で、こちらの手順に記載の通りなのですが、まだTechnical Previewのためか「監査付きヘルプデスクポータル」は未搭載のようです。
ポリシーの内容としては暗号化の強度やクライアントのステータスチェック間隔等、MBAM用GPOに近い感じの設定が可能でした。
※「Configure MBAM Services: If you enable this setting, key recovery info is automatically and silently backed up to the Configuration Manager site.」とありますので、回復パスワードを格納できてもいいはずなのですが。。。
それ以外の機能についても概ねMBAMと同等のようですが、上記URLの手順に記載されているものは所謂「コンプライアンスポリシー」のようで、実際にWindows10端末に配信してみたところ、「コンプライアンスポリシー」が1つ配信されておりました。
ただ、MBAMクライアントも自動的にインストールされたため、MBAMクライアントは個別に配信する必要は無さそうです。
また、MBAMではGPOが必須だったのですが、SCCMの場合も必須かどうかは不明で、SCCMコンソール内をざっと確認したところ、MBAMの設定に関連しそうな項目はありませんでした。
この辺りの手順も記載がないため、今確認できたのはここまでですが、おそらく今後のアップデートでポータルやGPO連携(もしくはクライアント設定かな)辺りが追加されると思われます。
この辺りはFeedbackも送付していますが、アップデートがありましたら改めて検証してみます。
ただ、Azure AD JoinであればBitlockerの回復パスワードはAzure ADに格納されますし、端末の所有者であれば「https://myapps.microsoft.com」にアクセスすれば回復パスワードを確認できます。
そのため、端末がオンプレADにのみ参加しており、かつ、AD管理者以外(またはエンドユーザー)が回復パスワードを確認する手法としての利用であればSCCMのBitlocker管理機能は選択肢として有りかと思われます。
※今後のアップデート次第ではありますが。