Microsoft SCCM 向け Application Resilience ポリシー

Microsoft® System Center Configuration Manager (SCCM) 向け Application Resilience ポリシーを有効にして、Windows デバイスにインストールされている Microsoft SCCM クライアントの機能ステータスに関する情報を収集し、結果をレポートで確認することができます。また、このアプリケーションの修復または再インストールを試みるようにポリシーを設定することもできます。

Microsoft SCCM 向け Application Resilience ポリシーは、以下を実行しているデバイスでサポートされます。

  • サポートされているバージョンの Windows オペレーティングシステム

  • PowerShell バージョン 5.1 以降

    Microsoft によって課されている PowerShell の制限により、Windows 11 SE を実行しているデバイスでは、このアプリケーションで Application Resilience はサポートされていません。

  • 以下のいずれか 1 つのバージョンの Microsoft SCCM:

    • 5.00.x

以下の表は、Microsoft SCCM コンポーネントで実施される健全性チェックについて説明します。

以降のバージョンを適合と報告するを選択した場合、バージョンチェック以外のすべての健全性チェックに合格すると、それ以降のバージョンが「適合」と報告されます。

Microsoft SCCM コンポーネント テスト内容
Windows Management Instrumentation (WMI) WMI への接続が確立でき、単純なクエリーを実行できる
管理共有1 管理共有が存在し、有効である
割り当てられたサイト1 割り当てられたサイトが取得可能である
ドメイン属性1 ドメイン属性にアクセス可能で、デバイスがネットワーク上にある
クライアントのバージョン インストールされた SCCM クライアントのバージョン番号
クライアント変数 SCCM クライアント変数が取得可能である
CCM サービス

SCCM クライアントサービスおよびその従属サービスが実行中である

チェック対象のサービス:

  • SMS Agent Host (ccmexec)2
  • Windows Management Instrumentation (winmgmt)
  • Server (lanmanserver)1
  • Remote Procedure Call (rpcss)
管理ポイント1 管理ポイントが取得可能である
DCOM のレジストリー設定 DCOM が有効であり、遠隔クライアント接続が許可されている
ハードウェアインベントリー1 ハードウェアスキャンが実行され、最後のハードウェアインベントリーの日時が取得可能である
ソフトウェアインベントリー1 ソフトウェアスキャンが実行され、最後のソフトウェアインベントリーの日時が取得可能である
アプリケーション名

アプリケーションは次の名前を使用します。

  • Configuration Manager Client

1ポリシー設定で選択されている場合のみチェックされます。

2Microsoft SCCM が Task Sequence を使用している場合、RAR コンポーネントは、SMS Agent Host (ccmexec) が実行中かどうかを確認しません。

Microsoft SCCM 向け Application Resilience ポリシーは、 Application Resilience (RAR) コンポーネント デバイスにインストールされたサードパーティアプリケーションのステータスを検出する、Secure Endpoint Agent の軽量ソフトウェアコンポーネントです。このコンポーネントがサードパーティアプリケーションを修復するように試みる場合もあります (適合していない場合)。RAR コンポーネントは、デバイスがカスタムポリシーグループに関連付けられ、ポリシーグループのApplication Resilience ポリシーがアクティブになった場合のみデバイスに展開されます。 が、Microsoft SCCM が機能していない場合は修復し、存在しないまたは修復できない場合は再インストールを試みるように設定できます。

お客様のアカウントに関連付けられているAbsolute 製品ライセンスに応じて、レポートと修復オプションおよびレポート、修復および再インストールオプションが利用できない場合があります。

Secure Endpoint Agent の RAR コンポーネントは、次の問題に対応できます。

問題 解決策
修復
WMI サービスが動作していない、またはクエリできない RAR コンポーネントは Windows プロセス (ccmrepair.exe) を実行して WMI サービスを修復します。
管理共有が有効でない、または存在していない1 RAR コンポーネントが Server (lanmanserver) サービスを再起動します。

以下の Microsoft SCCM サービスの1 つ以上が動作していない:

  • SMS Agent Host (ccmexec)2
  • Windows Management Instrumentation (winmgmt)
  • Server (lanmanserver)1
  • Remote Procedure Call (rpcss)

RAR コンポーネントが停止した各サービスを再起動します。

サービス (SMS Agent Host 以外のサービス) が削除されている場合、Application Resilience は SCCM クライアントを修復したり再インストールすることはできません。
DCOM レジストリキーの値が正しくない RAR コンポーネントがレジストリキーをリセットします。
ハードウェアインベントリースキャンのスキャン日と時間が検出されない1 RAR コンポーネントがスキャンを再スケジュールします。
ソフトウェアインベントリースキャンのスキャン日と時間が検出されない1
再インストール

ダウングレードはサポートされていません。デバイスにインストールしたバージョンが想定されるバージョンよりも新しい場合、どのアクションも実行されません。
SMS Agent Host (ccmexec) サービスがインストールされていない

RAR コンポーネントが設定されたバージョンのアプリケーションをダウンロードしてインストールします。

ハードウェアインベントリースキャン/ソフトウェアインベントリースキャンポリシー設定で選択されている場合、それらのスキャン日時は検出されず、スキャンを再スケジュールしても問題は解決されず、デバイスは不適合と報告されます。設定されたバージョンのクライアントを再インストールしても、問題が修正されないため、RAR コンポーネントはこの操作を試みません。デバイスが引き続き不適合と報告される場合、ポリシー設定でハードウェアインベントリースキャン/ソフトウェアインベントリースキャンの選択を解除してみてください。
Microsoft SCCM が修復に失敗した、または想定されるバージョンがインストールされていない

1ポリシー設定で選択されている場合のみチェックされます。

2Microsoft SCCM が Task Sequence を使用している場合、RAR コンポーネントは、SMS Agent Host (ccmexec) が実行中かどうかを確認しません。

Microsoft SCCM クライアントが機能していない、または存在しない場合に Secure Endpoint Agent が Microsoft SCCM クライアントを再インストールするには、Microsoft SCCM インストーラーファイルを準備する必要があります。

インストーラーを準備するには:

  1. SCCM サーバー上で以下の場所に移動します。

    C:\Program Files\Microsoft Configuration Manager\Client

  2. クライアントフォルダー内のすべてのファイルとフォルダーを選択し、それらを新しい zip ファイルに追加します。

    クライアントフォルダーは zip ファイルに入れずに、その内容のみを入れてください。

  3. Zip ファイルをインストーラーを保存する場所にコピーします。インストーラーは任意の Web サーバーでホストできます。HTTP および HTTPS プロトコルの両方がサポートされます。必要であれば、HTTP 基本認証をサーバーで有効にすることで、ダウンロードへのアクセスを制限できます。
  4. お好きなハッシュ生成ツールを使用して、SHA-256 ハッシュを生成します。たとえば、ほとんどの Windows オペレーティングシステムに含まれている CertUtil.exe コマンドラインユーティリティを使用することができます。

Microsoft SCCM インストーラーファイルの準備ができました。

ZIP ファイルに変更を加えた場合、ハッシュを再生成する必要があります。

RAR コンポーネントは、プリキャッシュされたインストーラーを確認する際に、以下のファイル名を探します:

コンポーネント ファイル名
インストーラー

ccmsetup.zip (以下を含む):

  • ccmsetup.exe
  • クライアントフォルダーのその他すべてのファイル

Application Resilience ポリシーをアクティブ化する前に、ポリシーを設定する必要があります。Application Resilience ポリシーを設定するでの設定に加えて、アプリケーションバージョンを設定して、自分の組織に適用される Microsoft SCCM 関連コンポーネントを選択する必要があります。

アプリケーションバージョンと Microsoft SCCM コンポーネントの設定を行うには:

  1. Microsoft SCCM バージョンの下で、デバイスで実行されていると想定される Microsoft SCCM のバージョンを入力します。

    • ターゲットバージョンは、ピリオドで区切られた数字のシーケンスとする必要があります。

    • 主要なバージョン番号の後に、ワイルドカード "*" を使用できます (例: 5.* または 5.00.* または 5.00.9068.*)。

    入力するバージョンが、バージョン 5.* 以降に一致していることを確認します。

  2. デフォルトで、ポリシーは Microsoft SCCM コンポーネントのいくつかの健全性チェックを実行します。特定の Microsoft SCCM コンポーネントがお客様の組織の Microsoft SCCM 展開に該当しない場合、Microsoft SCCM クライアントが実際には正しく機能していても、健全性チェックが不適合ステータスを返す場合があります。誤った結果を避けるため、以下の 1 つ以上のコンポーネントのチェックボックスの選択を外すことで、そのコンポーネントを Microsoft SCCM 健全性チェックから除外できます。

    SCCM コンポーネント 説明
    管理共有 管理共有は、管理者がネットワーク経由でディスクボリュームに遠隔アクセスできるようにすることで、Microsoft SCCM ソフトウェアを遠隔で展開するために使用されます。健全性チェックでは、管理共有が存在し、有効であるかテストします。
    割り当てられたサイト 健全性チェックでは、割り当てられたサイトが取得可能であるかどうかテストして確認します。
    ドメイン属性 健全性チェックでは、ドメイン属性にアクセス可能で、デバイスがネットワーク上にあるかどうかテストして確認します。
    Lanmanserver サービス このサービスは、ネットワーク経由でのファイルや印刷リソースの共有を可能にします。健全性チェックは、 lanmanserver サービスが実行中かどうかを検出します。
    管理ポイント 健全性チェックでは、管理ポイントが取得可能であるかどうかテストして確認します。
    ハードウェアインベントリースキャン (レポートと修復のみ) 健全性チェックは、SCCM クライアントがデバイスにインストールされたハードウェアを最後にスキャンした日時を検出します。
    ソフトウェアインベントリースキャン (レポートと修復のみ) 健全性チェックは、SCCM クライアントがデバイスにインストールされたソフトウェアを最後にスキャンした日時を検出します。

レポートおよび修復を選択した場合、ccmrepair.exe ファイルが存在するフォルダーを入力する必要があります。

レポート、修復および再インストールを選択した場合、Application Resilience ポリシーを設定するMicrosoft SCCM インストーラーファイルを準備するのインストーラーと SHA-256 ハッシュキーを使用し、さらに、必要に応じてインストールファイルを設定してアップロードします。

Microsoft SCCM に固有の設定を行うには:

  1. Ccmrepair.exe のフォルダーの位置の下に、ccmrepair.exe ファイルを含むフォルダーの位置を入力します。設定ファイルを使用する場合、CCMINSTALLDIR パラメーターに使用される値である可能性が高くなります。

  2. Microsoft SCCM の実装によっては、Microsoft SCCM クライアント情報のパラメーターを設定するために設定ファイルが必要な場合があります。SCCM サイトサーバーの以下の場所に保管されている mobileclienttemplate.tcf テンプレートファイルを使用して、設定ファイルを作成します。

    コピーする 
    <Configuration Manager directory>\bin\<platform>

    設定ファイルの作成に関しては、Microsoft System Center の資料を参照してください。

    • 新しい設定ファイルを追加するには、ファイルのアップロードをクリックし、ファイルに移動して選択します。ファイル名は、ファイルのアップロードボタンの隣に表示されます。
    • 以前にアップロードした設定ファイルを削除するには、以前にアップロードした設定ファイルを削除の隣にあるチェックボックスを選択します。

  3. [オプション] 所在不明のアプリケーションの再インストールのみを行うには、アプリケーションがすでにインストール済みの場合は再インストールまたはアップグレードしないの隣にあるチェックボックスを選択します。このオプションを選択すると、以下のいずれかの条件が該当する場合、アプリケーションは再インストールされません

    • アプリケーションバージョンが想定されるバージョン未満である。
    • アプリケーションが修復不可能である。