Windows Embeddedの運用方法：「Windows Embedded」を企業で使い倒す（1/2 ページ）

ここまで、さまざまな「Windows Embedded 8.1」の活用方法を紹介してきた。今回では、このOSを適切に管理する方法を紹介する。

[横田幸郎，日本マイクロソフト]

Windows Embedded 8.1クライアント管理の必要性

　これまで、「Windows Embedded 8.1 Industry Enterprise」（以下、Windows Embedded 8.1）の製品としての特長や、実際に利用するシーンでのシナリオについて紹介してきた。Windows Embedded 8.1の特長がビジネスのニーズに合致し、実際にWindows Embedded 8.1を企業内への導入する場合、IT管理者としては「従来のWindows OSと異なるEmbedded OSのクライアントをどのように管理をしていけばよいのだろうか？」という点を懸念するのではないだろうか。

　企業内でWindows Embedded 8.1を利用する場合でも、セキュリティやコンプライアンスの観点から、通常のWindows 8.1を企業内で利用する場合と同じようにクライアントの管理を行う必要がある。

　以前の記事で解説したように、Windows Embedded 8.1はWindows 8.1 Enterpriseをベースに、特定の機能や操作を制限するためのロックダウン機能を追加したOSであり、基本的にはWindows 8.1の管理機能を同じように利用できる。ただし、Windows Embedded 8.1を採用する場合には、特有の機能を利用した使い方が想定されるため、IT管理者はその特性を理解し、適切で十分な管理を行っていく必要がある。

　例えば、前回のシナリオでも紹介したように、Windows Embedded 8.1を搭載したPCをシンクライアントとして利用する場合もあるだろう。

　シンクライアントはローカルドライブへの書き込みを行わないため、ウイルス定義ファイルや更新プログラムの適用等の対応は必要ないと考えられがちだ。しかし、ウイルスに感染はOS起動中に発生し、ひとたび感染するとネットワークで接続した他のクライアントやサーバーへと感染が拡大するため、シンクライアントといえどもウイルス対策の徹底と管理が必要となる。

　また、Windows Embedded 8.1の特有の機能を利用しているため、管理者が注意すべき特別なポイントも存在する。本稿では、Windows Embedded 8.1と通常のWindows 8.1の管理について比較しつつ、「企業でWindows Embedded 8.1を導入する際にIT管理者が考慮すべきクライアント管理のポイント」を解説する。

ロックダウン機能の有効化

　Windows Embedded 8.1のロックダウン機能は、OSインストール後の既定の状態では無効になっているため、ロックダウン機能を使用するには機能を有効にする必要がある。

　具体的には、コントロールパネルの「Windows の機能の有効化または無効化」から「Embedded Features」を選択。必要なフィルターや設定に使用するツールである「Embedded Lockdown Manager（ELM）」のチェックボックスをオンにすることで機能を使用できる。

「Embedded Features」の各フィルターのチェックボックスをオンにすることで機能が使用可能になる。

グループポリシーによる管理

　企業内に展開されたWindowsクライアントのユーザーのパスワードポリシーや、Internet Explorer（IE）の設定、ログオン時のスクリプト実行による設定変更などを、Active Directoryのグループポリシーにより制御している企業も多いのではないだろうか。

　Windows Embedded 8.1でも、他のWindows OSと同じようにグループポリシーを使用した制御が可能だ。Windows Embedded 8.1をインストールしたクライアントがActive Directoryのドメインに参加する場合には、ドメインのグループポリシーによりコンピューターやユーザーのポリシーを設定・変更できる。また非ドメインのワークグループのクライアントとして使用する場合には、マスターイメージ作成時に設定するか、キッティング時に手動で設定することもできる。

ウイルス定義ファイルの更新、更新プログラムの適用

　クライアントのセキュリティへの対応は、IT管理者の最も大きなタスクのひとつだ。

　各クライアントはセキュリティ向上のため、ウイルス対策ソフトの定義ファイルに加え、Windows OSやMicrosoft Office、Adobeといった通常利用するソフトウェアの更新プログラムを常に最新の状態にする必要があり、IT管理者はクライアントでの適用状況を把握することが求められる。

　Windows Embedded 8.1ではロックダウン機能を提供しており、書き込みフィルターを有効にすることで、ローカルドライブへの変更がメモリー上にのみに反映し、再起動によってOSを初期状態に戻すことが可能だ。

　ただし、書き込みフィルターが有効な状態でウイルス定義ファイルや更新プログラムを適用すると、再起動により適用前の状態に戻るため、変更を正しく反映させるためには書き込みフィルターを適切にハンドリングする必要がある。

　マイクロソフトでは、Windows Embedded 8.1に対応したクライアントの構成管理製品として「System Center 2012 R2 Configuration Manager（SCCM）」を提供している。SCCMを使用してウイルス定義ファイルや更新プログラムを配布し、適用することによって、更新プログラム適用前後に書き込みフィルターを無効化／有効化し、OSを再起動するという一連のプロセスを自動化し、Windows Embedded 8.1に確実に更新プログラムを適用可能だ。また各クライアントでのウイルス定義ファイルや更新プログラムの適用状況はインベントリ情報として収集され、IT管理者がレポートとして出力することもできる。

SCCMを使用することで、Windows Embedded 8.1への更新プログラム適用時の書き込みフィルタの設定処理を自動化できる

Windows Embedded 8.1ロックダウンの設定と変更

　前回までの記事で機能説明とシナリオで紹介したように、Windows Embedded 8.1をOSとして採用することで、特定用途向けの業務端末やシンクライアント、ローカルにファイルを保存しないセキュアな持出し用クライアントなどを汎用的なPC、タブレットで実現できる。

　IT管理者は、意図したクライアント環境を実現するために必要なロックダウン機能をGUIベースの管理ツールである「Embedded Lockdown Manager（ELM）」によって設定できる。また、この設定はPowerShellスクリプト、またはCABファイルとしてエクスポートも可能なため、キッティング工程でスクリプトを使用してロックダウンを設定する、または、運用に入ってからCABファイルをSCCMから各クライアントに展開することでロックダウン設定の変更をクライアントに適用することも可能である。

ELM上でロックダウン機能のフィルター設定を、PowerShellスクリプトとしてエクスポートすることが可能