SCCM CBのBitlocker管理(その2)
前回の記事ではポリシー配信まででしたが、SCCM CB Technical Preview 1909でポータルが使えるようになったとのことなので、遅ればせながら検証。
ほぼ上記手順通りなのですが、気をつけるポイントがいくつかありましたので、その辺を合わせてご紹介。
まずはポータルサイトを配置するサーバーに、IISをインストールし、SCCMサーバーのSMSSETUP\BIN\X64から以下の2つをコピー
MBAMWebSite.cab
MBAMWebSiteInstaller.ps1
あとはスクリプトの実行なのですが、その前にいくつか準備を。
- powershellスクリプトを実行するアカウントはSCCMのDBに対してsysadmin権限が必要(スクリプト実行時のみ)
- Helpdesk用ユーザーグループを3つ作成(グループ名は何でもOK)
後ほど実行するスクリプトで指定するそれぞれのグループの役割は多分以下の通り(あくまでも推測)
・HelpdeskUsersGroupName:ヘルプデスクポータルで回復キーを確認できるグループ
・HelpdeskUsersGroupName:ヘルプデスクポータルで対象のクライアント名がなくても回復キーを確認できるグループ
・MbamReportUsersGroupName:ヘルプデスクポータルで監査レポートが見れるグループ - 事前にASP.NET MVC 4.0をサーバーにインストールしましょう(1敗)
- SQLサーバーのSPNの設定も忘れずに
ここまで出来たら上記URLを参考にスクリプトを実行。(検証のためhttp構成でやってます)
少し待てばインストール完了です。
確認のため、SelfServiceポータルとHelpDeskポータルにアクセスしてみましょう。
・http://<サーバー名>/SelfService
・http://<サーバー名>/HelpDesk
事前に作成したグループにユーザーアカウントを入れておけば、そのグループのユーザーであればHelpDeskポータルにアクセスできます。
※selfserviceは全員アクセスできるはず。
なお、ここでも注意なのですが、事前に作成したグループのレポート用グループ(ここではMbamReportUsersGroupName)にもアカウントを入れなければ、他のグループに入っていてもHelpdeskポータルで「レポート」は表示されません。
※この辺はMBAMと同じですね。
長くなりそうなので、今回はここまで。
次回はクライアントの暗号化と回復キーの確認をやっていきます。
スクリプト実行時に下記のようなエラーが出た場合、SPNの設定ができていない可能性が高いです。よくわからない方はsetspn等で検索してみてください。(SQLサーバーのサービスアカウントに一時的にDomain Admin権限を付与でもOK)