Windowsクライアント管理、変革のとき 「withコロナ」で噴出する課題にどう対応する?:特集:Microsoft & Windows最前線2021(2)
新型コロナウイルス感染症の拡大により、企業のテレワークが加速し、働き方も変革期を迎えています。これに伴い、企業の「Windowsクライアント管理」にも変化が求められています。本稿では、働き方の変化によってもたらされるWindowsクライアント管理の重要性と、今後の管理の在り方を考えるとともに、それらを実現するMicrosoftのテクノロジーを紹介します。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
これまで(コロナ禍以前)のWindowsクライアント管理
本題へ入る前に、コロナ禍以前の働き方と「Windowsクライアント管理」の状況を確認しておきましょう。これまで、多くの企業では従業員はオフィスへ出社して、そこで業務を行うことを一般的な働き方としていました。そのために基幹業務システムは社内ネットワーク上に存在し、社外からの接続にはVPN(Virtual Private Network)などを利用していたと思います。
では、Windowsクライアントの管理はどうだったでしょうか。多くは「Active Directory」を導入し、「グループポリシー(GPO)」でWindowsクライアントの設定を管理していたことでしょう。
そして、多くの企業ではMicrosoftがWindows OSに提供する「更新プログラム」への対応が悩みの種になっていました。更新プログラムはダウンロード時にインターネット回線に大きな負荷がかかることから、オフィスではWindowsクライアントにインターネット経由で取得させることを避けます。
そのために「Windows Server Update Services」(以下、WSUS)やその他の更新管理ツールなどを利用して、ネットワークに負荷がかからないように更新プログラムを展開していたケースが多いのではないでしょうか。
社員数が多い(=クライアント台数が多い)企業ほど管理負荷が増えることから、Active DirectoryやGPO、WSUSのようなソリューション/機能を利用して、一元的に管理していたはずです。社内ネットワーク内での業務を基本とするこれまでの働き方では、これらが間違いのない対処であると考えられてきました。
業態変化によりWindowsクライアント管理の課題も浮き彫りに
新型コロナウイルス感染症(COVID-19)のパンデミック(世界的大流行)および緊急事態宣言の発令により、世間では「テレワーク(リモートワーク)」という働き方が認知されるようになりました。
日本ではCOVID-19による混乱が落ち着いたころから、オフィスへの出社を一部再開した企業もあるようです。しかし、世間の関心はいまだ「withコロナ」へ向いており、業務への意識が「必要に応じて社外で業務」から「必要に応じて社内で業務」に切り替わりつつあることも確かです。多くの企業では、こうした“働き方に対する認知の変化”を受け止め、対応する必要が出てきました。
しかし、これまでオフィスに出社することを一般的な働き方としていた企業が多い中、急激に進んだIT環境の変化によって、さまざまな課題が浮き彫りとなりました。
ただいまVPN接続は「180分待ち」です!
テレワークの開始直後、多くの企業で「VPN回線がパンクした」という話を聞きました。社内システムにアクセスするため、VPN環境を構築した時点で想定していなかったユーザー数による同時接続が行われたからです。
ネットワークロケーションに依存しない業務であれば、本来VPNで接続する必要はありませんが、多くのエンドユーザーは「回線切断」という行為を手間と感じるため、同時接続数が膨れ上がりこのような事態が生じたようです。
VPNが利用不可になると、Windowsクライアント管理にも問題が生じます。まず、社内ネットワークに存在するActive DirectoryからGPOの更新情報を取得できなくなります。例えば、IT管理者が最新のセキュリティレポートやMicrosoftの公開情報からGPO設定に問題点を発見し、更新しようとしてもできないため、Windowsクライアントは脅威にさらされたままの状態になります。
加えて、更新プログラムを取得できないという問題もあります。WSUSは社内ネットワークに存在するため、クライアントがVPNに接続している場合にしか更新プログラムを取得できません。
一方、VPN経由で更新プログラムを取得する場合には、これがVPN回線を逼迫(ひっぱく)する要因になるという一種のジレンマを抱えています。企業によってはVPN経由での更新プログラムの取得を制限しているところもあるでしょう。
一般的なクライアント管理では、クライアントが利用するネットワークの場所に応じてGPOが管理されるため、このような問題は生じません。しかし、テレワークへの対応を急ぐあまり、社内で使用していた(または、社内利用向けの設定のままで)業務PCを社外へ持ち出さざるを得なくなった企業も多く、結果としてこのような事態を引き起こしました。
このような問題への対応として、筆者が観測した範囲では、テレワーク実施ユーザーに対し「VPN接続を許可する時間帯を割り振る」ことで接続数を制限するという試みがありました。さながら人気アトラクション待ちの「長蛇の列」といったところでしょうか。
しかし、これは根本的な解決策ではありません。一定の社員はルールを守るかもしれませんが、切断忘れや急なVPN接続が必要な社員も多く、やはり回線は逼迫してしまいます。こうした問題に対応するには、社内ネットワークに依存しない形でWindowsクライアント管理を実現する必要がありました。
キッティングとテレワークのジレンマ
また、Windowsクライアントのキッティングを担当している多くの情報システム担当者からは、以下のようなことを聞きました。
「テレワーク用の端末を用意したが、キッティングのためにオフィスへ出社しなければならない……」
キッティング業務が社内ネットワークに依存するため、テレワークを開始するには、必ず出社しなければならないというジレンマに陥ったパターンです。例えば、社内Active Directoryへの参加設定やVPN接続用の証明書インストールといった作業が挙げられます。
これは筆者の私見になりますが、テレワークを開始するために出社を要する体制はナンセンスだと思います。つまり、Windowsクライアントのキッティングについても、社内ネットワークに依存しない形を目指す必要があると考えます。
withコロナに対応したクライアント管理を実現するには
ここまでの話から、withコロナのようなテレワーク主体となる働き方において、Windowsクライアント管理に求められることは以下にまとめられます。
社内ネットワークに依存しない形でWindowsクライアントのキッティングと管理が可能なこと
これを実現する製品が「Microsoft Intune」です。Microsoft Intuneは、Microsoftの「Enterprise Mobility+Security(EMS)」と呼ばれるセキュリティスイートの一部で、主にクライアントPCやモバイルデバイスの管理をクラウドベース、つまりインターネット経由で実現可能にする製品です。
- [参考]Microsoft IntuneはデバイスのMDMおよびMAMプロバイダーです(Microsoft Docs)
Microsoft IntuneによるWindowsクライアント管理
Microsoft Intuneは、テレワーク環境下でもインターネット経由でWindowsクライアントに制御ポリシーを受信、自動反映させることができます。つまり、社内ネットワークに依存しない形でのWindowsクライアント管理を可能にします。
制御ポリシーの展開方法は、Microsoft Intuneの管理画面から基本的な各種設定を手動で構成するだけではありません。「GPO分析機能」を用いて、既存の管理設定からMicrosoft Intuneへ移管可能な設定を一覧で確認することも可能です。既存の設定を引き継ぎたい場合は、この機能が便利です。
また、GPOのGUIに近い操作感で設定がまとまっている管理用テンプレートを利用するなど、複数の選択肢があります。
- [参考]Microsoftエンドポイントマネージャーでグループポリシー分析を使用してオンプレミスのグループポリシーオブジェクト(GPO)を分析する - プレビュー(Microsoft Docs)
- [参考]Windows 10テンプレートを使用し、Microsoft Intuneでグループポリシー設定を構成する
更新プログラムの管理も「更新リング」という形でMicrosoft Intuneから管理が可能です。更新リングでは、従来の更新プログラムの適用を極力避けるパッシブ運用から、積極的に適用するアクティブ運用へと切り替わります。管理者は最新の更新プログラムを適用する延期日数と、更新時の既定動作のみを指定し、後はOSの動作に一任する形となります。
これまではオフィスのインターネット回線の逼迫を避けるため、脆弱(ぜいじゃく)性対応パッチの適用漏れリスクを許容しつつ、パッシブ運用が採用されてきました。しかし、テレワークが主体となり、Windowsクライアントが分散された今、オフィスのインターネット回線は逼迫から解放されます。
つまり、従来のパッシブ運用を続けることは、脆弱性を放置するリスクが残る状態になります。この転換期、更新プログラムの運用管理についても、モダンなマインドセットへアップデートすることを強くお勧めします。
Microsoft Intuneで可能なのは、Windowsクライアントの制御だけではありません。インターネットに接続さえすれば、さまざまな管理コンテンツの展開が可能な点もMicrosoft Intuneを選択するメリットの一つです。
業務やセキュリティの関係上、Windowsクライアントにインストールが必要となるアプリケーションの展開やPowerShellスクリプト/バッチファイルの実行、設定ファイル(configファイル)の展開などをインターネット経由で実行可能になります。
Windows Autopilotでマスターイメージ更新にサヨウナラ
Microsoft Intuneは「Windows Autopilot」と呼ばれる、クライアントのキッティング機能を備えています。
Windows Autopilotでは、ハードウェアベンダーとMicrosoft Intuneが連携し、工場出荷状態の端末をMicrosoft Intuneへ事前登録することが可能です。これにより、端末のセットアップ(OOBE)時にMicrosoft Intuneからインターネット経由で各種制御ポリシーやアプリケーションが展開されます。
- Windows Autopilot(日本マイクロソフト)
つまり、管理者はハードウェアベンダーから提供されたデバイス情報をMicrosoft Intuneへ登録し、ユーザーは端末を受け取って初回起動時に待機するだけで新しいWindowsクライアントのセットアップが完了します。
従来のクライアント管理では、マスターイメージよる完成された初期状態でのキッティングが多く採用されていましたが、Windows Autopilotではこれらの管理形態を廃止し、各種制御ポリシーをベースとした管理を主体としています。
例えば、従来は機能更新プログラムの展開に合わせ、社内のマスターを再イメージングしたと思います。一方、Windows Autopilotでは、出荷状態からの展開時に必要最低限の制御ポリシーやアプリケーションを展開することにより、Windowsクライアントを“ビジネス開始可能”状態にします。
こうした管理手法のアップデートにより、情報システム部門はマスターイメージ管理やキッティング代行といった、高負荷業務から解放され、より生産的な業務へリソースを集中させることができるようになります。
Microsoft Intuneを活用したセキュアな企業リソースへのアクセス
ここまで、Windowsクライアント管理の話を主としましたが、Microsoft IntuneはiOS/iPadOSやAndroid、macOSといった幅広いプラットフォームに対応しています。
テレワークでは社外ネットワークから企業リソース(データやアプリケーション)へのアクセスが必要になりますが、この際、何を条件にユーザーからのアクセスを許可(信頼)するかが重要となります。
会社で管理されていない端末から企業リソースへアクセスできてしまうと、機密情報や顧客データの流出といったリスクが大きくなってしまうため、こういったアクセスを制御する必要があります。
このような問題に対して有効なのがMicrosoft Intuneの「コンプライアンスポリシー」と、EMSライセンス内で利用可能な「Azure AD条件付きアクセス」と呼ばれる機能です。
コンプライアンスポリシーは、Microsoft Intuneへ登録された端末に対し、企業が定めたセキュリティレベルを満たしているかどうかを判別する機能です。Azure AD条件付きアクセスは、Microsoft Intuneに登録済みで、コンプライアンスポリシーの条件を満たしている端末のみ、アクセスを許可させるといったルールを作成可能なアクセス制御機能です。
つまり、「社内で管理されている端末で、企業が定めたセキュリティレベルを満たしている端末のみ、企業リソースへのアクセスを許可する」という制御をコンプライアンスポリシーとAzure AD条件付きアクセスで実現することができます。
- 条件付きアクセスとは(Microsoft Docs)
Windowsクライアントだけでなく、さまざまなプラットフォームをMicrosoft Intuneで管理することで、前述したようなリスクを回避できるようになります。
Windowsクライアント管理、変革のとき
新型コロナウイルス感染症をきっかけに、テレワークという働き方への関心が高まり、企業では対応を進めてきました。そんな中、テレワークの実施で浮き彫りになった「社内ネットワークに依存したWindowsクライアント管理」という課題。これを解決する製品であるMicrosoft Intuneの主要機能を紹介しました。
筆者は、テレワークが広く認知された今、「必要に応じて出社」という働き方がデファクトスタンダードとなる将来が遠くないと感じています。このような時代の変革に順応するには、管理方法の問題点を認識し、あるべき姿を想像する必要があります。
ただし、最も大切なのは、目標に向かって積極的に変化を受け入れていく組織体制や社内風土、マインドの形成です。社会全体が変換期を迎えている今、変化に強い・受け入れられる組織を作り出すことこそが、今後のビジネスを加速させる鍵になるのではないでしょうか。
Windowsクライアント管理も同様です。ぜひ、次世代のあるべき姿を捉え、恐れず変化を受け入れていただければと思います。
筆者紹介
大須賀 謙太(おおすか けんた)
Microsoft MVP for Enterprise Mobility(2020-2021)。SBテクノロジー株式会社に勤務し、Enterprise Mobility+Security(EMS)に関する展開支援を業務としている。国内のEMSユーザーが集うコミュニティー「Japan EMS Users Group」の共同主催者として運営に携わる。
特集:Microsoft&Windows最前線2021
企業のビジネスを支え、エンドユーザーの利便性と生産性の向上に寄与してきたMicrosoft&Windowsテクノロジー。2020年も進化、改良が続けられ、安心で安全、より便利になる環境を提供してきた。しかし、本当にMicrosoftが提供するテクノロジーを理解し、十分に活用できているのだろうか――。本特集ではニューノーマルな時代に向けたWindowsプラットフォーム活用の新たな道筋を探ると同時に、さらなる利活用とITモダナイゼーションを推進するためのテクノロジーをあらためて解説する。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。