Special
» 2019年02月22日 15時00分 公開

Microsoft 365で実現! Windows 10のモダン管理(第1回):Windows 10の展開はMicrosoft 365におまかせ

本稿では、Windows 10の「モダン管理」を3回にわたって解説します。モダン管理は、IT管理者の負担を軽減するだけでなく、ユーザーのPCの選択肢も広げる最新の運用管理手法です。また、Windows 10は常に進化しており、このモダン管理を最適化し次々と新しい機能を提供しています。この機会にモダン管理を実現し、Windows 10へとアップグレードしましょう。

[PR/@IT]
PR

Windows 10とモダン管理

 2020年1月14日にWindows 7のサポートが終了します。サポート切れまで、ついに1年を切りましたが、皆さまのIT環境での対策は整っていますでしょうか。2018年12月のNet Market Shareのデータによれば、Windows 10のシェアは順調に拡大し、ついにWindows 7を超えました。しかし、いまだにWindows 7は30%を超えるシェアを持っています。

 Windows 10への移行が進まない原因としては、OSの入れ替えに伴う負担、互換性問題、ユーザーリテラシーなど、さまざまな課題が挙げられます。しかし、本当にそれが原因でしょうか――。世の中にはスマートフォンが普及し、社内システムの半分以上がSaaSサービス化やクラウド化を果たしている昨今、Windows 10への移行は皆さんが考えているよりもハードルは低い可能性があります。また、いままでのPC管理方法をずっと最適化してきたので、画一的なキッティングの手法以外に方法がないと考えてしまうのが問題なのかもしれません。

 過去にも大きな変革がありました。その昔、社内システムというのは各社個別にカスタマイズして作られていました。そこにパッケージ製品が提供されると、「業務にシステムを合わせる」から「システムに業務を合わせる」という大きな変化が起こりました。その後、SaaSやクラウドのサービスが登場し、ますますカスタマイズの領域が減り、共通化が図られてきています。その過程で最適化と省力化が常に図られてきていますが、PCの運用管理にもその流れがあります。

 Windows 10は「WaaS(Windows as a Service:サービスとしてのWindows)」というコンセプトの下、これまでのWindowsとは大幅に異なった展開・運用方法を採用しました。それが「モダン管理」と呼ばれる管理手法です。モダン管理に対して、従来の管理手法を「トラディッショナル管理」といいます。両方の管理方法には以下のようなコンセプトの違いがあります(図1)。

図1 図1 モダン管理(右)とトラディッショナル管理(左)のコンセプトの違い《クリックで拡大します》

 Windows 10でモダン管理が採用された背景には幾つかの理由がありますが、“セキュリティが最優先事項”であるということが第一です。また、新機能の提供とセキュリティ対策を早く確実に届けるために、アップデートのタイミングが半年に1回になっています。

 セキュリティモジュールは「累積型」とすることで、1つのバージョンで複数の状態を作らないようにしています。この方式にすることで、OSのモジュールが共通化されて互換性問題の発生を少なくできます。また、モジュールを累積型で提供することで、最小の負荷でのアップデートを可能にしています。

 Windows 10はクラウド対応のOSに進化しています。OSをサービス化することで、クラウド上の各種SaaSサービスに対応しやすくしています。例えば、Windowsの定期アップデートでOSの問題が発生した場合でも、その問題はすぐに修正されます。これはアプリにも言えることで、アプリの互換性問題が生じた場合でも、Microsoft Storeを利用してすぐに対応したアップデート版が配信されます。スマートフォンと同様に、Windows 10のサポートバージョンがむやみに増えないように管理されているため、このようなことができます。

 Windows 10の全ての管理は、クラウドだけで完結するようになっています。通信が高速化し、常時接続が当たり前となりつつある中、今後Windows 10の管理はこのモダン管理にどんどんシフトしていくことでしょう。

 しかし、イントラネットの帯域や、現行で残っている旧式の業務システムなどの影響で、全てをモダン管理へとシフトすることは難しいという意見をよく聞きます。では、「全て」でなければどうでしょうか。

 もともと、モダン管理は「キッティング」や「標準化」といったトラディッショナル管理の課題を解決するために開発されました。組織内を見渡してみると、モダン管理でも運用可能な部署や用途のPCが存在します。案外、PC管理は「Windows Server Update Services(WSUS)」で定期的にパッチを適用しているだけ、という話もよく聞きます。このような環境にはモダン管理が最適なのです。また、最近ではモダン管理でサイネージやKIOSK端末、BYOD(Bring Your Own Device:私物端末の業務利)の運用を行うことも増えてきました。

 ぜひ、本稿を読んでいただいて、少しでも早くモダン管理へのシフトをお試しいただけければと思います。皆さまのWindows 10の展開が早く進むことを望みます。

Windows 10のライフサイクル

 Windows 10のモダン管理の運用は、スマートフォンの管理と同じです。端末の展開から運用まで自動化しています。Windows 10は常に最新であり、安全な状態が確保されています。このコンセプトの下、PCがどこにあっても、常に安全な端末環境を提供できるように「Microsoft 365」はさまざまな機能を提供しています。

 以下の図2は、Windows 10の運用モデルの概念図です。

図2 図2 モダン管理のPCライフサイクルの概念図《クリックで拡大します》

 Microsoft 365の各機能が連携し、Windows 10をクラウドのみで運用管理できるようにしています。PCのライフサイクルを通じて、購入から廃棄まで一貫した管理基盤を提供しています。

 それでは、それぞれのフェーズでの特徴を順に見ていきましょう。

●展開フェーズ

 これまで、PCの展開にはキッティングイメージを作成し、管理者がキッティングという手順を経てセットアップを行い、展開していました。これは、大量展開についてはPCを早く展開できるというメリットはありますが、端末の種類が増えたり、更新の頻度が上がったりするとキッティングイメージの数が増えて管理ができない状況となっていました。

 Windows 10の展開にキッティングは必要ありません。メーカーから納品された状態から「Windows AutoPilot」で展開できます。再インストールを行わないため、デバイスドライバなどの問題が起こらず、複数の機種に展開しても問題が起こりません。いままでの標準機の環境では利用できる種類が限られていたクライアント環境から、各ユーザーの作業に最適な端末を提供できるようになります。

 新しい展開方式では、管理者が配布前のPCに一切触る必要がないことやキッティングイメージを作成しないため、よけいな管理工数もかかりません。

 Windows AutoPilotで端末の設定を始めた後は、初期設定では「Microsoft Intune」が活躍します。端末への設定やアプリケーションの配布、展開後の設定変更は全てMDM(モバイルデバイス管理)で行います。セキュリティ設定も全てMDMから展開できます。

 展開時に必要な設定が可能なように、Microsoft Intuneでは以下のようなさまざまな機能が提供されています。

・OSのアップグレード

 「Azure Active Directory(Azure AD)」にWindows 10 E3、E5ライセンスを割り当てると、PCがAzure ADに参加した時に自動的にアップグレードが行われます(要Windows 10 Proエディション)。また、アップグレード用のライセンスキーを配布することもできます。


・BitLockerの設定

 Azure ADに参加すると端末は自動的に「BitLockerドライブ暗号化」機能が有効になり、暗号化の解除キーが各ユーザーのAzure AD環境に保存されます。


・Windows Updateのタイミングの設定

 Windowsの品質更新プログラム、機能更新プログラムが定期的に適用されます。Microsoft Intuneでは適用のタイミングを一定の日数、遅らせることができます。WSUSの自動更新と似た動作となります。


・Windows Hello for Businessの設定

 「Windows Hello for Business」の設定を強制することができます。Windows Hello for BusinessはイントラネットのActive Directoryと連携できるので、Azure ADに参加するだけでイントラネットの認証もスムーズに行うことが可能です。


・Windows Defenderの設定

 「Windows Defender」の設定をMicrosoft Intuneでコントロールできます。除外フォルダなどの設定が可能です。「Windows Defender Advanced Threat Protection(ATP)」の設定も含みます。


・Windows Store for Businessの設定

 Windows Storeへのアクセスをコントロールできます。専用のストアを構築することができ、必要なアプリを指定して配布できます。ゲームの排除、アプリのまとめ買いなども可能です。


・ユーザーのローカル設定

 Azure ADが管理する端末のユーザーに対し、PCのローカル管理権限をコントロールできます。通常ユーザーは一般権限しか持ちませんが、指定したユーザーがログインするとローカル管理者となります。


・グループポリシー

 Microsoft Intuneから「グループポリシー」を配布することができるようになりました。Intuneの設定画面になく、クラウドソリューションプロバイダー(CSP)での設定が難しい場合は、ADAMXファイルから設定を適用できます。


・セキュリティベースラインの適用

 Microsoftから提供されるクライアントの推奨セキュリティ設定を一括で適用できます。


・PowerShellによるコントロール

 その他、端末の細かな設定が必要な場合は、Windows PowerShellを用いたコマンド実行が可能です。


●アップデート

 アップデートやバージョンアップはPCが自動的に行います。管理者は適用のタイミングを公開後から一定期間延期できるので、影響度を確認してから展開できます。また、このスケジュールは「リング」という適用のタイミングごとのグループでコントロールできます。

 また、イントラネットへの帯域の圧迫を考慮して、「配信の最適化」の機能をコントロールすることもできます。この内容は次回詳細にご紹介します。

●故障、交換時対応

 端末の故障時には、端末交換で対応できます。モダン管理の下では、環境をすぐに元に戻すことができます。これには、Azure ADの「Enterprise State Roaming」を利用します。ユーザーの各種設定情報はクラウドに保存され同期されているので、新しい環境に元の設定をすぐに戻すことができます。

 また、クライアントPC上に保存したファイル(ドキュメントやディスクトップなど)も「OneDrive for Business」を利用してクラウドに保存し、複数の環境で同期することが可能です。この際、バックアップも自動的に行われます。

 最近、OneDrive for Businessには「Known」フォルダのバックアップ設定が提供され、ユーザー側でも簡単に設定できます。

●廃棄時対応

 廃棄時には端末をリセットするか、端末をリモートワイプするだけです。ディスクはBitLockerで暗号化されているため、リセットで暗号化キーを消し、ファイルを削除するだけでディスク内容の復元は難しい状態となります(ディスクの破棄時の安全なデータの消去法として、暗号化を施した上で暗号化キーを破棄する方式も有用とされています)。

 このようにライフサイクル全体において管理形態は変わりますが、新しい、効率の良い管理方式が提供されます。以下の図3は、PC管理の各項目の新旧対応表です。

図3 図3 モダン管理(右)とトラディッショナル管理(左)の違い《クリックで拡大します》

 いかがでしたでしょうか。モダン管理でも、PCの運用管理が可能な範囲は十分あると思います。ユーザー主体の展開、自動更新のコンセプトを受け入れられるのであれば、管理者の負担を大幅に減らし、ユーザーに合った最適なPCを選択できる環境を手に入れることができます。

 ぜひ、Windows 10の展開にモダン管理を活用して新しい環境を手に入れてみてください。次回は実際の運用管理、アップデートなどについて紹介します。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:日本マイクロソフト株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2019年3月21日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。