NAP 非準拠状態の場合にアプリケーション カタログにアクセスできない

こんにちは。System Center Configuration Manager サポート チームです。

System Center 2012 Configuration Manager (以下、Configuration Manager)ではネットワーク アクセス保護 (NAP) の機能を持っており、特定の更新プログラムが適用されていない場合は、イントラネットへのアクセスを禁止するという仕組みが提供されています。
今回は、NAP 機能をご利用の環境下において、公開情報には記載されていない制限事項についてご紹介いたします。NAP 機能をご利用のお客様は是非ご一読ください。

事象
Configuration Manager では、「アプリケーション カタログ」という機能を利用して、管理者が承認したソフトウェアをユーザーがブラウザ経由でインストールできるという仕組みが用意されています。
NAP 環境下において、「アプリケーション カタログ」からソフトウェアのインストールを試みた場合、以下のようなエラーが発生してインストールできない事象が発生することがあります。

原因
「クライアントが非準拠状態 (検疫モード) であった場合、アプリケーション カタログ経由のコンテンツ要求に失敗する」という内部動作に起因している可能性があります。

解決方法
NAP 機能を有効にしている場合、管理者が NAP 対象として設定した更新プログラムが適用されていないクライアントは、”検疫モード” となり、アクセスが制限されます。このモードにおいては、「アプリケーション カタログ」をご利用いただくことはできません。
そのため、このエラーが発生した場合は、まずは最新の更新プログラムが適用されているかご確認ください。更新プログラムの適用完了後に ”検疫モード” が解除されてアクセス可能な状態になれば、「アプリケーション カタログ」もご利用いただけます。

補足情報
本エラーが NAP の “検疫モード” に起因したものかどうかについては、クライアントに存在する以下のログよりご判断いただけます。

- %windir%\CCM\Logs\CAS.log
0x87d00227 CCM_E_DISABLED エラーが発生することがポイントです。System is in quarantine state. は現在の状態が “検疫モード” であることを意味します。
----------------------------------------
<![LOG[Requesting locations synchronously for content Content_xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.1 with priority Foreground]LOG]!>
<![LOG[Requesting locations from location services for Content_xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.1]LOG]!>
<![LOG[System is in quarantine state.]LOG]!>
<![LOG[GetLocationSyncEx failed with error 0x87d00227]LOG]!>
----------------------------------------