連載
» 2017年09月07日 05時00分 公開

企業ユーザーに贈るWindows 10への乗り換え案内(6):Windows as a Serviceの展開状況を監視することが重要な理由

Windows 10の導入後は「サービスとしてのWindows(Windows as a Service:WaaS)」に基づいて継続的に更新が行われます。更新には毎月の「品質更新」と、通常は半年ごとの「機能更新」の2つがあります。多数のWindows 10クライアントを抱える企業にとって、この両方の更新が適切に展開されているかどうかを監視することは重要な運用タスクになります。

[山市良,テクニカルライター]
「企業ユーザーに贈るWindows 10への乗り換え案内」のインデックス

連載目次

なぜ、品質/機能更新の展開状況を把握することが重要なのか

 前々回に説明したように、2017年7月から、つまりWindows 10 Creators Updateの「Current Branch for Business(CBB)」向けリリースから、CBBの名称が「Semi-Annual Channel」に変更されました。また、間もなく「Current Branch(CB)」向けにリリースされるWindows 10 Fall Creators Updateからは、CBの名称が「Semi-Annual Channel(Targeted)」に変更される予定です。

 ただし、Windows 10のUI(ユーザーインタフェース)やポリシー設定、管理ツールでは、現状、Semi-Annual Channelの名称変更は行われておらず、CB/CBBのままです。ユーザーだけでなく、Microsoftも含めて、しばらくは混乱することになるでしょう。今回も余計な混乱を避けるため、UIや設定と一致しているCB/CBBを名称として使用します。なお、Windows 10 Fall Creators Updateのリリースに向けたWindows 10 Insider Previewの最新ビルドでは、Semi-Annual Channel(日本語環境では「半期チャネル(ターゲット)」「半期チャネル」)の名称変更が反映されています。

 Windows 10の各バージョン(ビルド)は、現在のサポートポリシーではCB向けリリース後18カ月、品質更新サポートが提供されます。前回説明したように、毎月第二火曜日(日本ではその翌日の水曜日)に提供される累積的な品質更新プログラムには、新たなセキュリティ更新が含まれています。脆弱(ぜいじゃく)性を放置しないためには、毎月第二火曜日の累積的な更新プログラムが管理対象のWindows 10クライアントに確実に展開されていることを確認することが重要です。Windows 10に関連する特定のセキュリティ問題に対応するための“個別のセキュリティ更新プログラム”として修正されることは、基本的にありません。

 Windows 10に対しては、新しいバージョンが「機能更新プログラム」(旧称、機能アップグレード)として、Windows UpdateやWindows Server Update Services(WSUS)を通じて提供されます。クライアントが古いバージョンのWindows 10を実行している場合、実行中のバージョンがCB向けにリリースされてから18カ月以内に、次の(または最新の)バージョンにアップグレードしないと、品質更新プログラムの提供が停止され、以後、脆弱性が放置されてしまうことになり、セキュリティリスクが大きく高まります。そのため、クライアントがいま、どのバージョンのWindows 10を実行しているのかを把握しておくこともまた、非常に重要になります。

 本稿執筆時点(2017年8月末)では、Long Term Servicing Branch(LTSB)を除くと、次の3バージョンのWindows 10に対して品質更新サポートが提供されています。

  • Windows 10 November Update バージョン1511(ビルド10586)
  • Windows 10 Anniversary Update バージョン1607(ビルド14393)
  • Windows 10 Creators Update バージョン1703(ビルド15063)

 Windows 10初期リリースであるバージョン1507(ビルド10240)は、2017年5月に品質更新サポートが終了しました。ただし、10年の長期サポートが提供されるWindows 10 Enterprise 2015 LTSBに対しては、引き続き品質更新プログラムが提供されます。Windows 10 November Update バージョン1511については、2017年7月のWindows 10 Creators Update バージョン1703のCBB向けリリース(このリリースからSemi-Annual Channel)に伴い、2017年10月10日(日本ではその翌日)を最後に品質更新サポートの提供が終了します。

 企業では、Windows Server 2012以降のWSUSを導入することで、Windows 10の品質更新プログラムや機能更新プログラム、Microsoftのマルウェア対策ソフトウェア(Windows Defenderなど)の定義ファイルを、自動または承認に基づいてクライアントに配布することができます。

 WSUSにはレポート機能が備わっており、更新プログラムを必要とするコンピュータと更新プログラムのインストール状況をレポートできますが、「サービスとしてのWindows(Windows as a Service:WaaS)」の視点では見せてくれません(画面1)。なぜなら、WSUSは従来のWindowsの更新管理を想定しており、Windows 10のサポートは後から追加されたものだからです。

画面1 画面1 WSUSの管理コンソール。更新を必要とするコンピュータとそのインストール状況は把握できるが、WaaSの概念は考慮されていない

 そこで今回は、Microsoftが提供するWaaS対応のWindows 10向け更新管理ソリューションを幾つか紹介します。

System Center Configuration Manager(Current Branch)

 「System Center Configuration Manager」は、Windows、Linux、Mac、モバイルデバイス(Microsoft Intuneとの連携を必要とする場合あり)に対応した、資産管理、コンプライアンス管理、更新管理、アプリ管理などを実現する統合的なシステム管理ツールです。

 現在、System Center Configuration Managerは、「Current Branch」と「LTSB」の2つのリリースがあります。Current Branchは2015年12月リリースのバージョン1511から始まり、ソフトウェアアシュアランス(SA)に基づいて、おおむね4カ月ごとに新機能を含む更新バージョンが提供されます。本稿執筆時点(2017年8月末)では、2017年7月にリリースされたバージョン1706が最新です。

 LTSBは従来と同じ10年の長期サポートバージョンで、新機能は提供されません。こちらは、2017年10月リリースのSystem Center 2016ファミリーに含まれるものが最新で、Current Branchのバージョン1606がベースになっています。System Center Configuration ManagerにおけるCurrent BranchとLTSBの違いについては、以下のドキュメントおよび公式ブログをご覧ください。

 WaaSで継続的に更新されるWindows 10の管理には、Windows 10に今後追加される新機能や変更点にいち早く対応できるSystem Center Configuration Manager Current Branchが最適です。System Center Configuration ManagerはWSUSを更新サーバとして利用しますが、WSUS単体で運用する場合とは異なり、WaaSの企業向け機能である「Windows Update for Business」と組み合わせて管理することが可能です。

 具体的には、例えば、パイロット展開向け、運用環境展開向けといった複数のサービスプラン(「リング」と呼ばれることもあります)を作成し、サービスプランごとに異なるWindows Update for Businessのポリシーを適用し、品質更新プログラムと機能更新プログラムを展開し、その状況を監視することができます(画面2画面3)。

画面2 画面2 System Center Configuration Managerの管理コンソールのWindows 10向け更新サービス(画面はCurrent Branch バージョン1706)
画面3 画面3 WSUSを更新サーバとして利用しながら、複数のサービスプランを作成し、それぞれ独自のWindows Update for Businessポリシーで管理できる

 また、System Configuration Managerは、従来の「Windows Installer形式(MSI版)」のOfficeアプリケーション(ボリュームライセンス製品のOffice Professional Plus 2016など)だけでなく、ストリーミング技術を用いて配布、更新される「クイック実行(Click To Run:C2R)版」のOffice 365 ProPlusアプリケーションの展開と、C2R版の更新配布にも対応しています。この機能は、Current Branch バージョン1602から利用可能になりましたが、バージョン1702、バージョン1706でさらにサポートが強化されています。なお、WSUS単体ではC2R版の更新の配布をサポートしていません。

Microsoft Intune

 「Microsoft Intune」は、クラウドベースのシステム管理サービスです。もともとは、Windows 7 Enterpriseライセンスとマルウェア対策(Microsoft Intune Endpoint Protection)をバンドルした“Windows向けの総合的なシステム管理およびセキュリティソリューション”という位置付けで登場しました。現在のMicrosoft IntuneにはEnterpriseライセンスはバンドルされていません。

 現在のMicrosoft Intuneは主に、Windows、Mac、モバイルデバイスに対して、構成管理、更新管理、アプリケーション管理、モバイルデバイス管理の機能を提供するサービスとなっています。Microsoft IntuneはAzure Active Directory(Azure AD)のID管理サービスを利用しており、Azureの各種サービスとの連携や、同じくAzure ADを利用するOffice 365と連携できるという特徴もあります(例えば、デバイス属性に基づいたアクセス制御やOfficeアプリの配布など)。

 また、オンプレミスのSystem Center Configuration Managerのモバイル管理機能を拡張するために連携することも可能です。なお、以前はMicrosoft Intune専用の管理ポータルを使用する必要がありましたが、現在の管理機能はMicrosoft Azureのポータルに完全に統合されています。

 Microsoft Intuneの製品サイトは、次のURLです。本稿執筆時点では、日本語の製品サイトは少し情報が古いため、英語サイトを確認することをお勧めします。

 Windows 10の更新管理の視点からは、Microsoft Intuneはオンプレミスに更新サーバを持たない環境で、Windows Update for Businessの運用を簡素化するのに適しています。System Center Configuration Managerと同様、Microsoft IntuneはC2R版のOffice 365 ProPlusアプリケーションの配布にも対応しています(ただし、更新についてはOffice 365 ProPlusアプリケーション側の自動機能を利用)。

 Microsoft Intuneを使用すると、System Center Configuration Managerと同じように管理対象をリングにグループ化して、それぞれ別のWindows Update for Businessのポリシーを作成して適用できます(ただし、System Center Configuration Managerとは異なり、更新元はWSUSではなくWindows Updateを使用します)。品質更新プログラムや機能更新プログラムに問題があった場合でも、Microsoft Intuneのポータルから素早く一時停止することができます(画面4画面5)。

画面4 画面4 Microsoft Azureのポータルに統合されたMicrosoft Intuneの管理画面。Windows 10の更新管理にためにWindows Update for Businessのポリシーをリングごとに作成できる
画面4 画面5 更新プログラムに問題があった場合は、ポータルから直感的な操作で素早く一時停止(未配布のPCでの一時停止)が可能

 Microsoft IntuneやSystem Center Configuration Managerを使用しない場合でも、グループポリシーを使用して更新プログラムを一時停止することはできますが、その方法はMicrosoft Intuneのように直感的で、使いやすいものではありません。

Windows AnalyticsのUpdate Compliance

 Microsoftは企業におけるWindows 7 SP1およびWindows 8.1からWindows 10へのアップグレードとWindows 10へのアップグレード後の更新管理を支援するため「Windows Analytics」(旧称、Windows Upgrade Analytics)という、Microsoft Operations Management Suiteに追加可能なクラウドベースのサービスを無償提供しています。

 Windows Analyticsは「Upgrade Readiness」と「Update Compliance(更新プログラムのコンプライアンス)」の2つのサービスで構成され、Upgrade Readinessは2017年3月から正式版となりました。Update Complianceは現在、パブリックプレビューとして提供中です。Update Complianceについては、本連載の第3回で紹介しました。

 Windows 10への移行後あるいは新規導入後は、Update Complianceを使用して、品質更新プログラムと機能更新プログラムの両方の展開状況をレポートすることができます。Update Complianceは、Upgrade Readinessと同様、個々のクライアントからテレメトリー情報を収集して分析し、レポートを作成します。そのため、WSUS単体、System Center Configuration Manager、Microsoft Intune、あるいは他社の更新管理ソリューションと組み合わせて、企業内でのWaaSのレポート機能として活用することができます(画面6画面7)。

画面6 画面6 Windows AnalyticsのUpdate Compliance(更新プログラムのコンプライアンス)の画面
画面7 画面7 品質更新プログラムや機能更新プログラムの展開状況のレポートを確認し、報告された問題への対処方法を得られる

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』(日経BP社)。


Copyright© 2017 ITmedia, Inc. All Rights Reserved.

「Windows 7」サポート終了 対策ナビ

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。