ドメインの管理対象から外れたPCをどう管理するか

　クライアントPCをいかに確実に、かつ効率良く管理するか。企業のシステム管理者にとっては、永遠のテーマといっていいほど難しい問題だ。特に、管理対象のPCが何千台にものぼる大企業にとっては、クライアントPC管理は実に頭の痛い課題だ。

　かといって、決して手を抜くことはできない。クライアントPC管理の不手際は、即座にセキュリティ上のリスクに直結するからだ。OSのパッチファイルや、セキュリティソフトの定義ファイルの更新を少しでも怠ると、多くのセキュリティホールがPC上にできてしまう。その結果、情報漏えいなどのセキュリティインシデントが発生し、莫大な損害が発生するリスクが一気に高まる。

　またガバナンスの観点からも、クライアントPC管理の取り組みは極めて重要だ。PCにインストールされているソフトウェアの情報をきちんと管理できていなければ、ライセンス違反を犯してしまう恐れもある。そうした事態を未然に防ぐためには、社内に存在するクライアントPCの情報を漏れなく取得・管理し、資産管理をしっかり行う必要がある。

　そのために、Windows PCを多く抱える企業のほとんどは、Active Directoryをベースにしたクライアント管理基盤を構築している。Active Directoryに社内のクライアントPCをすべて登録すれば、グループポリシーを適用することで、PCの構成を効率良く、かつ確実に管理できる。加えて、マイクロソフトが提供するシステム管理ツール「System Center」を組み合わせれば、さらにきめ細かい管理が可能だ。

　しかし、この方法にも限界はある。社外に持ち出されるPC で、Active Directoryのドメインに参加していないPCを管理する場合は、管理機能に制限が生まれたり、社外にサーバーを公開する必要が生まれたりするのだ。これは、企業にとってセキュリティの観点からも、なかなか難しい。こういった制限が原因で、たとえ99％のPCを完ぺきに管理しても、管理の網から漏れた残り1％のPCが原因で事故が発生してしまっては、すべての努力が水泡に帰してしまう。

　ましてや近年では、モバイルワークやフリーアドレス、あるいは在宅勤務といったさまざまなワークスタイルを企業が取り入れている。つまり、社内ネットワークにつながっていない環境でPCが利用されるケースが増えてきている。また、遠隔地にあるビジネス拠点やグループ企業で利用するPCなども、必ずしもドメインに登録されているとは限らない。

　このような、ドメインの管理対象からこぼれてしまったPCの構成管理やセキュリティ管理を手作業でくまなく行うには、膨大な手間が掛かる。どのようなPCがどれだけ、どこで誰に利用されているのかを把握するだけでも一苦労だ。さらに、それらのPCの構成を1台1台手動で設定するとなると……。結果、こうしたPCの存在がもたらすセキュリティやガバナンス上の潜在的なリスクにうすうす気付いてはいても、「見て見ぬ振り」をしているIT管理者は決して少なくないはずだ。

ドメインに依存しないクラウドベースのクライアント管理サービス「Windows Intune」

　このような課題を解決するためにマイクロソフトが提供するのが、クラウドベースのクライアント管理サービス「Windows Intune」だ。日本マイクロソフト Windows本部のWindowsコマーシャル グループでプロダクトマネージャーを務める小黒信介氏（写真）によると、「一般的なクライアント管理ソリューションが、社内ネットワーク上に管理サーバーを設置して、社内ネットワークに接続されたPCを管理対象にするのに対して、Windows Intuneはクラウドサービスとしてインターネット経由で機能を提供するものだ」という。社内ネットワークにつながっていないPCであっても、インターネットにさえつながっていれば、設置場所にかかわらずすべてを管理対象にできる。

　Windows Intuneは、管理対象となるクライアントPCの情報を、Active Directoryではなく独自のデータベースで管理する。たとえドメインに参加していないPCであっても、その管理対象に含めることができるのだ。前項で述べたような、ドメイン外にあるPCの管理にまつわるもろもろの課題を、一気にまとめて解決することができる。

　しかも、Windows Intuneのすべての機能はクラウドサービスとして提供されるため、新たにハードウェアやソフトウェアを購入して社内に設置する必要は一切ない。そのため、迅速に、クライアント管理の仕組みを立ち上げることができる。

　提供される機能も、大企業の管理ニーズに十分応えられるレベルのものが一通り備わっている。例えば、セキュリティ更新プログラムの管理機能。いわゆる“パッチ”の管理である。Windows Server Update Services（WSUS）と同等の機能が提供されており、管理対象PCに適用する更新プログラムを個別に選択することも可能になっている（図）。また、資産管理の機能も充実している。管理対象のPCのハードウェア構成情報や、インストールされているソフトウェアの情報を自動的に取得し、インベントリ情報のリストを作成できる。インストールされているソフトウェアの数と購入ライセンス数を突き合わせ、ライセンス違反が発生していないかどうかを判別する機能も備わっている。

　管理対象のPCのエラーやアラートを、管理者がWebコンソール上から監視することもできる。管理対象のPCがインターネットに接続されてさえいれば、何らかの問題がPC上で発生したり、あるいはその予兆となる現象が発生した際には、管理者に自動的にアラート通知される。また、管理者がPCを遠隔操作してユーザーのトラブル解決を支援できるリモートアシスタンス機能も提供される。

　これらさまざまな機能は、Windows Intune 独自のポリシー基盤で運用される。Windows Intuneは、管理対象のPCを複数のグループに分けて管理できるようになっており、拠点別や部門別、あるいは職制別といったように、さまざまな切り口でPCをグループ分けし、それぞれのグループのニーズに適したポリシーを設定することで、各機能の挙動を管理できるようになっている。例えば、先ほど挙げた更新プログラム管理も、このグループ機能を使ってグループごとに異なる更新プログラムを適用するようなことが可能だ。

セキュリティ面でも数多くのメリットを持つWindows Intune

　Windows Intuneは、セキュリティ面でも役立つ機能を持っている。実は同製品は、クライアント管理の機能とともに、マイクロソフトのセキュリティ製品「Microsoft Forefront Endpoint Protection」と同等のマルウェア対策機能も併せて提供するのだ。管理対象のPCは、どこにあろうともインターネットに接続された時点で最新の定義ファイルがダウンロードされ、万が一マルウェアに感染しても即座に管理者と利用者に通知が届く。

　これは、現場の管理者にとっては非常に重宝する機能になるだろう。管理者は、いつでも各PCの定義ファイルの更新状態はどうなっているのか、スキャンは実行されているのかといった情報を管理コンソールでいつでも確認することができ、安心して運用を行うことができる。万が一の場合もリモートからスキャンを実行させるなどの機能も備えている。フルスキャンのスケジューリングや検疫時の処置内容など、詳細な設定内容についてはポリシーで設定することで、グループごとに分けて個別に設定できる。

　Windows Intune独自のライセンス体系を活用すれば、より強固な保護も可能だ。実はWindows Intuneのサブスクリプションには、マイクロソフトのボリュームライセンス「Windows SA（Software Assurance）」が付属する。このことがもたらすメリットは極めて大きい。というのは、Windows SAには法人向けクライアントOSの最上位エディションへのアップグレード権が含まれているため、Windows Intuneの管理対象PCは現時点での最新OSであるWindows 7 Enterpriseへいつでもアップグレードできるのだ。

　Windows 7 Enterpriseは数多くの新機能が盛り込まれているが、特にセキュリティ機能は従来のOSと比べ、はるかに進化している。例えば、ディスク暗号化機能「BitLocker」は、社外に持ち出されるPCを保護する上で極めて有用な機能である。また、「AppLocker」を活用することで、使用可能なソフトウェアを制限するソフトウェアのホワイトリスト化も可能となる。

　加えて、Windows SAには、デスクトップ仮想化環境上でクライアントOSを利用するための「VDIライセンス」も付属している。将来的にデスクトップ仮想化を導入し、さらなるセキュリティ強化やクライアント環境の最適化を図りたいと考えている企業にとっては、Windows Intuneは極めてお得な選択肢だといえるだろう。

バージョンアップでソフトウェア自動配布機能を実現

　このほかにも多彩な機能を持つWindows Intuneだが、2011年10月18日に行われたばかりのバージョンアップでは、さらにいくつかの機能が加わった。最も注目すべきは、ソフトウェア配布機能の追加だ。ソフトウェアを配布する機能自体は、旧来のオンプレミス型のクライアント管理ツールでは特に珍しくない機能だが、Windows Intuneの最新バージョンではそれをクラウドサービスとして、インターネット越しに行うことを可能にしたのだ（図）。

　Windows Intuneのサービスを申し込むと、Windows Azureのクラウド環境上に20Gバイト分のストレージ領域がユーザーに提供される。ここに配布したいソフトウェアのインストールプログラムをアップロードすれば、後は管理対象のPCにそのソフトウェアを一斉に配布できるようになる。

　それも、単に一斉に配布するだけでなく、配布方法をきめ細かく制御できるようになっている。例えば、グループごとに配布するソフトウェアを個別に指定したり、あるいは配布作業の実施時間をスケジューリングし、自動実行するようなことが可能だ。ファイルサイズの大きいソフトウェアの配布によって、必要以上にネットワーク帯域が圧迫されることを防ぐために、利用する帯域幅の上限を定めることもできる。配布に当たってはソフトウェアそのものに限らず、更新プログラムも配布することができる。配って終わりではなく、その後のメンテナンスにも活用できるのだ。

　Windows Intune以外にも、クライアントPC管理をSaaSやクラウドサービスとして提供する製品はほかにもあるが、これらが提供するソフトウェア配布機能は、実際には社内ネットワーク上に配布サーバーを設置し、単にそれを制御するためのインターフェイスをWebコンソールとして提供するものがほとんどだ。その点、クラウド環境上からインターネット経由で直接ソフトウェアそのものを配信することを可能にした点は、Windows Intuneの大変ユニークな点だといえるだろう。

　最新バージョンでは、異なるアクセス権限を持つ管理者アカウントが利用できるようになった。従来のバージョンでは、フルアクセス権限を持つ管理者アカウントのみが用意されていたが、最新バージョンではこれに「読み取り専用」の管理者アカウントが追加された。

　これは、ある程度規模が大きい企業での運用を考慮して追加されたものだ。Windows Intuneの資産管理機能を利用するユーザーは、大抵の企業では社内の資産管理業務を担う総務部門の担当者になるだろう。こうしたユーザーは、Windows Intuneが管理する広範な資産情報を参照する必要があるが、資産管理以外の機能にアクセスする必要はない。従って、こうしたユーザーには読み取り専用の管理者アカウントを付与し、フルアクセス権限を持つ管理者アカウントはIT部門で管理する、といった運用が可能になるのだ。

　最新バージョンではこのほかにも、資産管理機能そのものや、マルウェア対策機能などさまざまな面で機能強化が図られている。恐らくは今後も、こうした機能強化が随時行われていくであろうが、ユーザー側のバージョンアップ作業は一切必要ない。新機能をすぐに利用できるようになる点も、クラウドサービスであるWindows Intuneならではの強みだ。

　このようにWindows Intuneは、従来の管理手法ではクライアントPCの管理に限界を感じているIT管理者にとっては、多くの点で新たな可能性をもたらしてくれるソリューションだといえそうだ。

　なお、日本マイクロソフトは30日間無料で試用できるWindows Intuneのトライアル版を提供している。実際に使って、簡単に使えることを体感してほしい。そして同社は、2011年12月30日まで「Windows Intune 無料トライアルで挑戦クイズキャンペーン」を実施している。トライアル版を申し込んで、クイズに答えるとロゴ入りグッズなどが当たる。