SCCMとSCEPを含んだイメージの作成方法

SCCM + SCEPをVDIのクライアントイメージに盛り込みたいという要望を受けて、その準備作業に関して確認しました。

以下のブログが一番よくまとまっていました。

- [Henk's blog: Prepare ConfigMgr client for Sysprep or Master Image](http://henkhoogendoorn.blogspot.jp/2013/07/prepare-configmgr-client-for-sysprep-or.html)

やるべきことは結局以下2点です。

- SCCMをインストールしておく(ただし、一意の情報は削除しておくあるいは生成されない状態にしておく)
- SCEPをインストールし、フルスキャンが完了した状態にしておく。(VDI環境で個別にフルスキャンが走ると色々厳しい)

Microsoftからは以下のSCEPのマスター展開前の準備の手順が出ています。

- [Configuration Manager で Endpoint Protection クライアントをディスク イメージにプロビジョニングする方法](http://technet.microsoft.com/ja-jp/library/dn236350.aspx)

1つ目のブログの情報に加えて、レジストリエディタで各種レジストリを削除する手順が紹介されています。

2つのブログの手順を両方合わせて適用しておくのが良いのだと思います。最終的には以下の手順になります。

- 雛形の準備(各種ソフトウェアインストール、設定適用等実施する)
- SCCMクライアントを手動インストール

\\<SCCMサーバー>\SMS_<サイトコード>\Client\ccmsetup.exe /mp:<SCCMサーバー名>　SMSSITECODE=<SiteCode>

- SMS Agent Hostサービスを停止
- MMC.exeにて「証明書」スナップインを追加「コンピューターアカウント」を選択
- 「SMS」を展開し、2つの証明書を削除する
- %SystemRoot%\\SCSCFG.iniファイルを削除する
- scepinstall.exeをクライアントにコピーした上でSCPEをインストール。(ポリシーを適用するなら/policyオプションでポリシーを適用する)
- 「cd [c:\\Program](file:///c:/Program) Files\\Microsoft Security Client」「mpcmdrun.exe -buildSFC」でフルスキャンを実行
- 「HKLM\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\SFCState」を確認し、値が7になるまで待つ
- PsToolsをダウンロードする
- 「psexec.exe -s -i regedit.exe」を実行
- レジストリエディタで以下のキーを削除する

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\InstallTime
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastScanRun
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastScanType
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastQuickScanID
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastFullScanID
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT\GUID

これでSCCMエージェントとSCEPエージェントを含んだイメージを作成する事ができます。