「クライアントPCの管理」と聞くと、何かと手間やお金が掛かるやっかいな仕事だという先入観を持つ人が多いようだ。事実、社内のどこで誰が、どんなPCを使っているかを正確に把握するだけでも一苦労、ましてやすべてのPCでセキュリティ対策を徹底させるとなれば、大仕事だ。そこで、こうした作業を効率化するためのクライアント管理ツールの出番となるわけだが、これはこれでサーバーの導入や設置にも手間とお金が掛かるし、管理者のスキルも問題になってくる。

　おまけに、せっかく手間を掛けてPCのセキュリティを強化しても、現場の社員からは「PCの使い勝手が悪くなった！」「なぜノートPCを社外に持ち出しちゃいけないんだ！」と不評を買う始末。これでは、割の合わない仕事だと思われても仕方がない。そのため、専任のIT管理者がいない中小企業などでは、クライアントPCの管理はどうしても後回しになりがちだ。

　しかし言うまでもなく、PC管理の不備はそのままセキュリティやコンプライアンス上のリスクに直結する。決して放置するわけにはいかない。「PCは管理しなければいけない、でも多額のコストは掛けられないし、ユーザーの利便性も犠牲にしたくない……」。クライアントPCを一定数以上抱える企業なら必ず直面するジレンマだ。

　日本マイクロソフトは、このジレンマを解消する可能性を秘めたソリューションを提供している。それが「Windows Intune」だ。「どうせ、おなじみの管理ツール製品なんだろう」と言うなかれ。Windows Intuneを利用するのに、サーバーを導入する必要はない。しかも、社外に持ち出されたPCもきちんと管理できるのだ。恐らく、多くの方々が想像する「クライアント管理ツール」のイメージとは、かなりかけ離れたものだ。

　ではこのWindows Intuneは、具体的にどのような課題を、どのような方法で解決してくれるのだろうか？ 以降では、一般的な企業にありがちなクライアントPC管理の課題をいくつか挙げながら、その利用シナリオを紹介してみよう。

社内のPCを管理しろと言われたけど、管理ツールって高いよなぁ……

　「クライアント管理ツールを導入するのに、こんなにお金が掛かるとは想像してなかった。まいったな……」

　某中堅企業A社の総務課に勤めるY氏は、見積書を前にして大きくため息をついた。これまでA社では、業務用PCは必要になったタイミングで適宜購入しており、その管理はほとんど利用者に任せっきりだった。しかし、社員数の増加に伴いPCの台数が増加。さらに、老朽化して買い換える必要があるPCも増えてきたため、来期からはPCを一括購入するとともに、それらをきちんと管理できる体制を整えることになった。

　「PCをきちんと管理するために何が必要か、見積もってみてくれ。ただし、知っての通りわが社の業績はそれほど芳しくないから、そんなに予算はとれないからね。なるべくコストを抑えた形で頼むよ！」

　上司からこう命じられたY氏は、以前から付き合いのあったシステム会社に見積もりを依頼したのだが、返ってきた見積書に記された金額を見て愕然とした。ソフトウェアのライセンス費用に加え、サーバー機器の購入と保守に掛かる費用、それらをセットアップするために掛かるSI費用……。さらに、稼働開始後にシステムをメンテナンスするための人件費まで必要だという。合計額は、Y氏がおおよそ予想していた金額の3倍を超えていた。そこで、冒頭の嘆きが漏れ出たというわけだ。

　「この金額じゃあ、とてもじゃないが予算を確保できない。かといって、導入や運用を自分たちの手でやって費用を浮かせることも無理だ。そもそもうちは、システム管理の専任要員もいないしなあ。一体どうしたものか……」

　こうした課題にちょうどマッチするソリューションが、Windows Intuneだ。Windows Intuneは、いわゆる「SaaS」（Software as a Service）と呼ばれる形態で提供されるソリューション。どういうものかというと、サーバーの運用はすべてマイクロソフトにお任せ。マイクロソフトが運営するデータセンター内で運用してくれる。ユーザーはサーバーが提供する機能をインターネット経由で利用するのだ。システムの利用料金は、月額で支払う形になる。

　利用を始めるに当たって必要な作業は、管理対象のPCにエージェントソフトウェアをインストールするのみ。後は、データセンター上のWindows Intuneがインターネット経由で管理対象のPCにアクセスして、管理機能を提供してくれる。PCの管理担当者は、データセンター上のWindows Intuneが提供する管理コンソールにWebブラウザでアクセスすれば、即座に管理作業を開始できる。

　こうした方式なら、ユーザーがサーバーのメンテナンスや監視作業に手間をかける必要が一切なくなる。初期導入コストはもちろんのこと、導入後の運用やメンテナンスに掛かるコストも大幅に節約できる。先ほど挙げたA社のように、社内に専任のシステム管理者を置く余裕がない会社にとっては、大きな利点になるはずだ。

取引先がコンピュータウイルスに感染、ウチは大丈夫だろうか……

　Y氏がクライアント管理ツールの選定で頭を悩ませているちょうどそのとき、追い討ちを掛けるかのように上司から次のような注文が飛んできた。

　「今、取引先の1社で、社内のPCが軒並みウイルスに感染してしまって大騒ぎになっているらしい。うちは大丈夫だろうね？ 今やってもらっているPC管理の件も、当然セキュリティ対策は込みで考えてもらってるんだろうね」

　「そんな無茶な！」

　Y氏は心の中でそう叫んだ。クライアント管理ツールを導入するだけでも予算オーバーはほぼ確実なのに、これに加えてウイルス対策ソフトやディスク暗号化ソフトを入れるとなれば、一体いくらかかると思っているんだ。

　このようなケースにおいても、Windows Intuneは威力を発揮する。同製品は単なるクライアント管理ツールとしてだけでなく、PCセキュリティの統合プラットフォームとしても機能するのだ。

　例えば、OSのセキュリティパッチの更新。Windows Intuneが導入された環境下では、Windows Server Update Service（WSUS）と同等のパッチ更新機能が、管理対象のPCすべてに対して自動的に適用される。PCのユーザーの中には、セキュリティパッチの更新を面倒に感じてなかなか行わなかったり、中にはWindows Update を無効化してしまう者もいるが、Windows Intuneの更新管理の機能を使えば、すべてのPCに対して確実に漏れなくセキュリティパッチを適用できる。また、マイクロソフトから提供されるすべてのパッチを適用するだけでなく、管理者が選別したものだけを個別に適用することも可能だ。

　さらには、マイクロソフトが提供するセキュリティ関連ツール「Forefrontファミリー」と同等のマルウェア対策機能が、同じく管理対象のすべてのPCに対して自動的に適用される。そのため、セキュリティ対策ソフトウェア製品を別途導入する必要はない。これはコストの面でも管理の手間の面でも、極めて大きなメリットだと言えよう。

　これらの機能に加えて、Windows Intuneの管理対象PCには、Windows 7 Enterprise（その時点での法人向けクライアントOSの最上位エディション）へのアップグレード権が付与される。これをうまく活用すれば、ディスク暗号化機能「BitLocker」をはじめとしたWindows 7 Enterpriseの強力なセキュリティ機能も、追加投資なしで利用できるのだ。

　このようにWindows Intuneは、PCセキュリティに関するあらゆる機能をオールインワンで提供している。ユーザーはWindows Intuneを導入するだけで、クライアントPCの包括的なセキュリティ対策を効率よく実現できる。

営業部門が「ノートPCを社外で使わせろ！」とうるさくて仕方がない……

　ところで、クライアントPCのセキュリティ対策を強化していくと、必ずといっていいほど課題に挙がるのが、ユーザーの利便性とのトレードオフだ。特に、情報漏えいを防止するためにノートPCの社外持ち出しの件は頭が痛い問題だ。禁止してしまえば、セキュリティ上、大きな効果を期待できるが、エンドユーザーから不評を買いやすい。中でも、外回りの多い営業マンにとって、ノートPCを社外に持ち出せるかどうかは、仕事の効率を大きく左右する大問題だ。

　しかし、従来の一般的なクライアント管理ツールでは、社外に持ち出されたPCを確実に管理するのは難しい。既存のツールは通常、PCが社内ネットワークにつながっていることを前提としているからだ。Active Directoryの管理下に入っているということも多いだろう。こういったケースでは、社内ネットワークから離脱して、社外に持ち出されてしまうと管理の手が届きにくくなる。

　営業マンが社外に持ち出すPCのほかにも、遠隔地にある支店や拠点に設置されたPC、グループ子会社に設置されたPC、在宅勤務者が自宅で利用しているPCなど、至るところに管理の手が届きにくいPCが存在している可能性がある。多くのクライアントPCを抱える企業においては、こうしたPCを管理できていないケースは、決して少なくないはずだ。

　実はこうしたPCの管理にこそ、Windows Intuneは大きな威力を発揮する。Windows Intuneはドメインにまったく依存することなく、独自に管理対象PCに関する情報を収集・管理するからである。たとえドメインに参加していないPCであっても、インターネットに接続できさえすれば、どこに設置されていようともその管理対象に含めることができる。従って、社外に持ち出されるノートPCはもちろんのこと、それこそ海外に設置されたPCであっても、インターネットを通じてすべて一元的に管理できる。

　さらには、PCのOSをWindows 7 Enterpriseにアップグレードすれば、セキュアなディスク暗号化機能「BitLocker」が使えるようになる。これを活用すれば、セキュリティを損なうことなく、社外に持ち出されたPCの利用幅を大きく広げることができる。

　このように、これまでは「見て見ぬ振り」をしてきたドメイン管轄外のPCを、Windows Intuneで一挙に束ねて管理することで、セキュリティ面においてもコンプライアンス面においても、より強固で確実なクライアントPC管理が実現できるのである。

　Windows Intuneは、既存のクライアント管理ソリューションでは対処できなかったさまざまな課題をまとめて解決できる可能性を秘めている。PCの管理に掛かる手間とコストに頭を痛めている管理者なら、検討してみる価値があるソリューションではないだろうか。