Special
» 2016年01月25日 10時00分 UPDATE

より良い働き方に変えられるWindows 10時代のクライアント管理とは?

モバイルデバイスの導入で外回りに出る社員の働き方は変わってきたが、デバイスの数や種類が増えてクライアント管理は以前よりも大変だ。IT担当者を含めてより良い働き方を実現していくというWindows 10時代のクライアント管理は、どのようなものだろうか。

[PR/ITmedia]
PR

クライアント管理基盤が異なるという課題

 総務省の2015年版「情報通信白書」によると、2014年末時点の国内のスマートフォン普及率は64.2%、タブレットデバイスの普及率も26.3%に上っている。こうしたモバイルデバイスを個人が日常的に利用するようになったのはもちろんのこと、企業や組織のビジネスにおける利用もおなじみの光景になりつつある。

 これまで多くの企業や組織が、例えば、MicrosoftのActive Directory(以下、AD)のような管理基盤をオンプレミスで構築し、グループポリシーによってPCを中心とするクライアントデバイスとユーザーを管理してきた。ところが、スマートフォンやタブレットなどのモバイルデバイスは企業や組織での運用管理を前提に開発されているわけではないため、企業や組織で利用していくにあたって新たな管理基盤を構築し、従来の管理基盤とは別にモバイルデバイスのクライアントを運用管理しなければならない。

 また、オンプレミスの業務システムを利用するにも、PCを中心とする従来のクライアント管理基盤ならシングルサインオンのようなユーザーの利便性を考慮した仕組みを構築しやすいだろう。しかし、モバイルデバイスのためのクライアント管理基盤で同様の仕組みを実現するには、まずVPN接続やプロキシサーバといったセキュリティを確保する仕組みが用意しなければない。IT担当者による運用管理の業務が煩雑になるばかりか、ユーザー側でもモバイルデバイスにVPN接続アプリを導入し、毎回のアクセスの度に接続操作をしなければならないといった手間がある。

 このように、PCとモバイルデバイスのクライアント管理の仕組みが異なる現在の状況は、企業や組織が本来目的としている社員の生産性や業務効率を高めるための多様な働き方を実現する上で障壁となっている。

Windows 10 日本マイクロソフト クラウド&ソリューションビジネス統括本部 デバイス&モビリティ営業本部 テクニカル営業部 プリンシパルテクノロジースペシャリストの野明純氏

 日本マイクロソフト プリンシパルテクノロジースペシャリストの野明純氏は、「従来のWindows PCを中心とするクライアント管理基盤は社内の閉じた環境であれば運用しやすいのですが、ファイアウォールの外側にあるデバイスの管理は難しいものでした。その結果、社外に持ち出すモバイルデバイスはWindow以外のOSを利用する機会が多いと思います」と話す。

 そこでマイクロソフトは、最新OSのWindows 10からクライアント管理の従来のオンプレミスからクラウドに拡張させようとしている。その中核になるのが、クラウドサービスで提供されている「Azure Active Directory」(以下、Azure AD)と、クライアント管理の「Microsoft Intune」だ。

オンプレミスの管理基盤をクラウドにも

 Azure ADとMicrosoft Intuneは、従来のオンプレミスで利用されてきたADやクライアント管理ツールの対をなすサービスであり、オンプレミスのクライアント管理基盤と同様の仕組みをクラウド環境で実現する。

 Azure ADはMicrosoft Azureで提供され、多要素認証やデバイスおよびユーザーの管理、アクセス制御、セキュリティ管理といったID管理機能を備える。容易な設定操作によってオンプレミスのADとAzure ADとの間でID情報を同期でき、ユーザーはAzure ADにログインすれば、Office 365やDynamics CRMといったMicrosoftのSaaSに加え、SalesforceなどMicrosoft以外のSaaSアプリケーションをシングルサインオンですぐに利用できる。

Windows 10 Azure Active Directoryの仕組み

 Microsoft Intuneはモバイルデバイス管理(MDM)のクラウドサービスとして2011年から提供されており、WindowsとWindows以外のOSを搭載するモバイルデバイスの一元管理が行える。デバイスやユーザーの管理や盗難・紛失対策などのセキュリティ機能が用意されている。Windows 8.1以前のWindows OSを搭載するPCでMicrosoft Intuneを利用するにはエージェントが必要になるが、Windows 10ではMDMの機能を利用するための標準仕様「OMA-DM」(Open Mobile Alliance Device Management)がサポートされ、主要なモバイルOSと同様にエージェントレスによる管理が可能だ。

 また、2015年11月にリリースされたWindows 10の最新メジャーアップデート「Windows 10 November Update 2015」にはAzure ADへ参加するための「Azure AD Join」という機能が強化された。これによってWindows 10を搭載するクライアントの管理をAzure ADとMicrosoft Intuneで行う仕組みが実現した。

 従来のオンプレミスでのグループポリシーに相当する管理はMicrosoft Intuneで実施する。Windows 10のクライアントがAzure ADに参加すると、自動的にMicrosoft Intuneからデバイスに対してポリシーが配布され、デバイスやユーザーが登録すると、セキュリティ設定の適用やアプリケーションのインストールなどが行われる。以降はインベントリの収集や管理、アプリケーションの更新や削除、リモートワイプ/ロック(盗難・紛失対策)など、Windows 10を含めて社外で利用されるモバイルデバイスの一元的に管理していける。

Windows 10 Microsoft Intune によるWindows 10のクライアント管理

 Windows 10とMicrosoft Intuneによる組み合わせなら、Windows 10の機能を利用してユーザーの利便性を高めながら、よりきめ細やかなクライアント管理も可能だ。

 例えば、Windows 10で提供されるセキュリティ機能「Enterprise Data Protection」は、デバイスの中をユーザー個人のプライベートな領域と、企業や組織による管理が可能な領域に分けることができ、企業や組織が管理できる領域のデータやアプリケーションをMicrosoft Intuneで管理していく。これによって、個人所有のデバイスを業務にも利用する「BYOD」(Bring Your Own Device)や、在宅勤務などのテレワークで利用するデバイスが万一盗難や紛失に遭っても、Microsoft Intuneからリモートで業務領域のデータやアプリケーションをワイプ(削除)したり、ロック(制限)したりできるようになる。

 社内の業務システムを含めた管理にMicrosoftのSystem Centerを利用しているなら、System Center Configuration Manager(SCCM)とMicrosoft Intuneを連携させて社内外のクライアントデバイスを高度に一元管理していくことも可能だ。

Windows 10 Azure AD とMicrosoft Intuneにより、オンプレミスと連携するハイブリッドなクライアント管理基盤が実現する

 「Microsoftは全ての製品において、オンプレミスでもクラウドでも利用することができるハイブリッドモデルの採用を進めており、Azure ADやIntune、SCCMを活用する新しいクライアント管理の仕組みはその一例です。既存のクライアント管理の仕組みをクラウドへ広げることはもちろん、クラウドのみでオンプレミスのようなクライアント管理の仕組みをシンプルに構築することができます」(野明氏)

展開をラクにする第3の手法

 Windows 10では新しいクライアントデバイスを導入、展開する方法として、「ワイプ&ロード」「インプレースアップグレード」「プロビジョニング」の3つが用意されている。

 ワイプ&ロードは、ボリュームライセンスなどのメディアから企業・組織ごとのOSイメージを作成して、調達したPCなどにインストールする。インプレースアップグレードは既存のPCで利用しているアプリケーションやユーザーデータをそのまま引き継いでWindows 10にアップグレードする。いずれも従来のWindowsで提供されてきた方法だ。企業や組織で特に注目したいのは、第3の方法としてWindows 10から導入された「プロビジョニング」である。

 プロビジョニングは、ワイプ&ロードのように企業・組織独自のOSイメージは使わず、調達したデバイスに搭載されているWindows 10をそのまま利用し、これに「プロビジョニングパッケージ」という企業・組織ごとの設定ファイルを適用する方法だ。

Windows 10 「プロビジョニング」を利用すれば、カスタムOSイメージの作成や管理が不要に

 プロビジョニングパッケージの作成や更新などの管理は、マイクロソフトが無償公開している「Windows Assessment and Deployment Kit for Windows 10」の「Windows イメージングおよび構成デザイナー」(ICD)を利用する。ICDでWindowsのエディションを選択し、ウィザードに従ってプロファイル(ユーザー名やパスワード、証明書、ネットワーク接続、参加先ドメインなど)とアプリケーションなどを設定して作成していく。

 デバイスへのプロビジョニングパッケージの適用は、例えばPCなら、OS起動時にキーボードの「Windows」キーを5回押すと、自動的にプロビジョニングパッケージが読み込まれ、設定が反映される。ICDで作成したプロビジョニングパッケージは、データサイズが数百キロバイト程度と軽量なため、USBメモリなどの記録媒体やメール、QRコードなどの様々な方法でユーザーに展開できる。ファイルにパスワードを設定したり、電子証明書を付与したりしてプロビジョニングパッケージを保護することも可能だ。

 プロビジョニングを利用してWindows 10を展開すれば、従来のようなカスタマイズされたOSイメージを作成したり、管理したりする手間とコストを削減でき、ユーザーへのデバイスの展開もスピードアップできる。例えば、遠隔地の事業拠点で使うクライアントデバイスを本社で調達、設定して現地に送るような作業も解消していけるだろう。


 モバイルを活用しつつも、一人のユーザーが幾つものデバイスやOSを使い分けざるを得ない現在主流のスタイルは、あまり効率的ではない。ユーザーの負担が減らないばかりか、クライアントを管理するIT担当者の負担も軽減されないままだ。

 野明氏は、「クラウドアプリケーションやBYODのような方法を利用してオフィスの外でも業務をする機会は今後ますます増えていきます。クライアント管理の仕組みはオンプレミスの制約を受けてきましたが、これからはクラウドへ一気にシフトしていくとみています」と話す。

 社員の生産性や業務効率を高める新しい働き方を実現するためにも、企業や組織にはWindows 10とMicrosoftの最新のクラウドサービスを積極的な活用をお勧めしたい。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.


提供:日本マイクロソフト株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2016年2月7日

特集