SCCM CBのBitlocker管理(その3)
Published in
3 min readOct 31, 2019
前回、前々回とSCCM側の設定、ポータル用のIISの設定を行いましたが、最後の総仕上げとして、クライアントの強制暗号化と、SelfServiceおよびHelpdeskポータルでの回復キーの発行をやってみます。
結果から言いますとハマりました。
前々回に配信したポリシーが何度やってもerrorのまま改善されず。
SCCMのクライアントログを見るとMP(管理ポイント)が見つからないと表示されます。
何が悪いのかと悩んで、エラーログで色々検索してみてわかりました。
SCCMをhttps構成にする
言われてみればわかる気もしますが、MBAMは必須ではなかったのでなんともなーという感じです。
なので、今回はその辺の設定も含めてご紹介。
以下を準備
- ADCSをエンタープライズで構築
- 「ワークステーション認証」の証明書テンプレートを使って、クライアントにクライアント証明書を発行
・クライアントのローカルマシンの個人にクライアント証明書を入れる - 「Webサーバー」の証明書テンプレートを使って、IISのサーバー証明書を発行
・IISで発行した証明書をバインド - SCCMコンソールでサイトの設定をHttpsに変更
- SCCMコンソールでサイトサーバーの設定を変更
ざっくりここまでやったら、クライアント上でerrorが無くなり、warningに。(まだ暗号化されてないので、warningが正しい)
この状態でしばらく待つとMBAMで見たポップアップが表示され、クライアントの暗号化が…
できませんでした。
イベントログを確認しても、説明がNULL。。。
ただ、エラーコードが載っていたので、エラーコードで検索すると。。。
Windows 10 1903 でMBAMを使用して暗号化できないKBを発見。
今回、Windows 10の1903で検証してましてので、おそらくこの件に合致。ただ、更新プログラムをダウンロードしようにもページが繋がらない。。。
おそらく数日すれば繋がるようになると思います。
なので今回はここまで。