XPマイグレーションに最適なSCCM
「Windows XP」のサポートが2014年4月9日に終了となり、セキュリティ更新プログラム(パッチ)の提供が終了する。
これを受けて、企業では現在使用中のWindows XPマシンとその情報資産を、新たなWindows OS環境にマイグレーションすることが求められている。一方で、実際にマイグレーションをする際には、単にOSを入れ替えるだけでなく、セキュリティ設定やデータ移行、アプリケーションの移行と動作検証など、さまざまな作業が発生するのが実状だ。従って、Windows XPマシンの保有台数が多ければ多いほど、マイグレーションに掛かる工数と時間・コストが膨れ上がることになり、IT担当者を悩ませている。
こうした「Windows XPマイグレーション」にまつわる課題を解決するソリューションとして、今、急速に導入が広がっているのが、日本マイクロソフト株式会社のシステム管理・構成ソフトウェア「Microsoft System Center 2012 Configuration Manager(以下、SCCM)」だ。同製品は、Windowsプラットフォームの変更と構成を管理するための総合ソリューションで、「セキュリティの強化・維持および、情報資産の的確な把握を可能にするため」のさまざまな機能を提供している。中でも同製品が、Windows XPのマイグレーションにおいて注目を集めている理由には、OSやアプリケーションを容易に展開できる“マイクロソフトならでは”の機能を備えている点が大きい。
「SCCMは、企業内ネットワーク上にあるさまざまなデバイスに対して、OSやアプリケーションを展開できる機能を標準で提供する。これによって、サポートが終了するWindows XPから、Windows 7もしくはWindows 8へのシームレスなマイグレーションが可能になる」と説明するのは、日本マイクロソフト ビジネスプラットフォーム統括本部 Windowsデバイスソリューション営業本部 テクノロジー営業部 シニアテクノロジースペシャリストの胡口敬郎氏だ。
マイクロソフトの管理製品だからこそできる自動化機能で工数が大幅削減
胡口氏は“マイクロソフトのシステム管理製品であるSCCMだからこそできる”マイグレーションのメリットとして、下記のように説明する。
「企業によっては、Windows VistaやWindows 7のマシンをダウングレードして、Windows XPマシンとして利用しているケースがあり、マイグレーションの際に、『ハードウェア資産を生かしながら、OSだけをアップグレードしたい』というニーズも多い。SCCMであれば、既存のマシンに新しいOSを簡単に展開することができる。SCCMの場合、OSの展開がバッチ処理にも対応しているので、Windows XPのマイグレーション作業を自動化することも可能なため、手作業によるマイグレーションに比べて、大幅に工数やコストを削減できる。他社製品の場合、ドメインへの参加やハードディスクの暗号化など、インストール作業に何らかの手作業が発生するため、数百台〜数千台単位のマイグレーションを行う際にはかなりの工数が発生する。その点、OS展開におけるほとんどの作業を自動化できるのは、マイクロソフト自身が提供するSCCMだけだ。このインストールの工数削減だけを考えても、SCCMによるWindows XPマイグレーションはかなりの価値・効果があると考えている」
また、これまでのWindows XPマイグレーションでは、OSだけでなくアプリケーションまで含めた構成イメージを各マシンごとに作成し、それをクローニングすることで、マシン環境の一致を図るのが一般的だ。しかし、この方法だと、ハードウェア毎に必要なドライバー等が異なるため、ハードウェアの種類や用途に応じたイメージファイルが必要となる。従ってイメージファイルが氾濫してしまい、管理負荷が増大するという課題も抱えていた。
これに対して、SCCMからWindows Vista以降のOSを展開する場合には、展開するイメージにハードウェアへの依存性がないため、1つのイメージからさまざまなマシンにOSを展開することができる。さらに、アプリケーションの展開機能も備えているため、OSのイメージにあらかじめアプリケーションを構成しておく必要もない。OSをインストールした後に、ユーザーごとに必要なアプリケーションを各マシンに最適化した上で展開することもできる。これによって、複数のOSイメージを管理する負荷を軽減するとともに、“ユーザー中心”のITプラットフォーム展開も実現できるのだ。
このほかにも、“マイクロソフト製品ならでは”の機能として、1度作成して登録したOSイメージに対して、通常のマシンにインストールされたOSと同じように最新のパッチを当て続けることができる点も、SCCMの特徴だ。OSイメージ自体を最新のセキュリティ状態に保っておくことができるので、「OSインストール後にセキュリティパッチを当てる工数」が減り、一層迅速なOSイメージの展開が可能だ。
Intuneとの組み合わせで、PCとモバイルの統合管理が実現
一方で、Windows XPからのマイグレーションにおいて、新しくPCやタブレットを導入する企業にも見逃せないのが、SCCMと「Windows Intune(以下、Intune)」によるPCとモバイルデバイスの統合管理ソリューションである。
Intuneは、クラウドベースの総合的なクライアント管理ソリューションだ。
「ソフトウェア・ハードウェア資産管理」「ソフトウェア配布」「リモートワイプ」などのMDM機能に加え、「更新プログラム管理(Microsoft Update & Windows Server Update Services)」や「セキュリティ対策機能」をオールインワンで提供する。企業内にあるクライアントPCだけでなく、タブレットやスマートフォンなどモバイルデバイスまでを含めて、Web上の管理コンソールから一元管理できるのが特徴だ。数台から数千台の管理対象デバイスを有している中小・中堅規模企業はもちろんのこと、SCCMと連携させることによって数万台までを管理する必要のある中堅・大規模企業まで、柔軟に対応することが可能だ。
SCCMとIntuneを連携させるメリットについて、胡口氏は「まず、スケーラビリティが大幅に向上することが挙げられる。デバイス管理の上限がSCCMベースになるため、10万台規模のエンタープライズ環境においても、PCとモバイルデバイスの統合管理が可能になる。また、運用面でも、管理コンソールがSCCMと統合されるため、オンプレミスのSCCM管理コンソールを使って一元化されたデバイス管理を行うことができるようになった」と説明した。
「PCとモバイルデバイスを統合管理する」というコンセプトは、運用管理の手間やコストを下げたい企業には必要でありながら、これに応える製品は少なかったのが現状だ。
具体的には、オンプレミスの「Active Directory」と、Intuneが共有している「Windows Azure Active Directory」の情報をディレクトリ同期させることで、ユーザー管理をSCCMのドメインに一元化。モバイルデバイスに関しては、Intuneを介してSCCMで管理する仕組みとなる。
「SCCMは、従来よりオンプレミスのExchange ServerやOffice 365のExchange Onlineと連携してExchange ActiveSync(EAS)に接続されているモバイルデバイスを管理する機能は備えていたが、SCCMからの直接管理には対応できていなかった。Intuneと連携することで、EASを介さないモバイルデバイスの直接管理が可能になる。これによって、ユーザーは従来のEASを介した管理と、Intuneを介した直接管理を組み合わせて利用することが可能となり、モバイルデバイス管理の最適な構成を選択できるようになった。このことは、インターネット上に存在するさまざまなモバイルデバイスの管理を容易に実現できるという点で、BYODを推進する企業にとって大きなメリットをもたらすはずだ」と、同氏は力を込める。
実際、モバイルデバイスの管理性向上を目的に、SCCMとIntuneの連携ソリューションの導入ニーズは高まってきていると言う。その理由のひとつはマルチデバイス管理が可能である点だ。SCCMとIntuneの連携ソリューションでは、WindowsベースのPC、タブレットはもちろん、iOSやAndroidベースのスマートフォンやタブレットを含めて管理可能になる。タブレットPC「Windows RT」を管理可能、というのも特徴的な点である。また、ユーザーライセンスでサービスを提供しているため、将来的なデバイス種類の変更にも柔軟に対応できるのだ。
新バージョンでは、ユーザーニーズの強かった「ワイプ機能」を強化
今後、同社ではSCCMを機能強化したバージョンアップ版「Microsoft System Center 2012 R2 Configuration Manager」を近日リリースする予定だ。また、このバージョンアップに合わせて、Intuneの新バージョンもリリースされる予定。このバージョンアップによって、連携ソリューションの機能がさらに拡張されるという。
連携ソリューションによる目玉新機能のひとつが、Windows OSのモバイルデバイスに対する「セレクティブワイプ機能」の提供だ。この機能は、モバイルデバイスが紛失や盗難された際に、機密情報のみを消去するもの。具体的には、「Windows Server 2012 R2」のワークフォルダ機能を活用。モバイルデバイスで企業の機密情報などを持ち出す際には、データをワークフォルダに入れ、EFSで暗号化しておく。このような外出時に、セレクティブワイプ機能が活躍するのだ。
セレクティブワイプ機能は、ワークフォルダに入れておけば、万が一、モバイルデバイスを紛失した際には、証明書を無効化することでファイルへのアクセスを制限できるというもの。具体的には、証明書が無効化されると暗号鍵も無くなるため、機密情報へのアクセスを不可能にできるのだ。「このワイプ機能は、従来よりユーザーから強いニーズが出ていた機能だ。今回ユーザーの声を反映して搭載した。今後もユーザーの声を反映し続ける」(胡口氏)。
また、最新のWindows 8.1およびWindows RT 8.1に対応し、VPNやWi-Fi、証明書など、さまざまな設定をモバイルデバイスに配布できる機能も追加。従来まで、モバイルデバイスの管理機能は、インベントリの収集やアプリケーションの配布までだったが、新機能によって、社内リソースへのアクセスも含めて管理者側がコントロールできるようになり、ユーザーは意識することなくBYODを活用できる環境を実現できるようになった点は大きい。
このほか、Intuneのモバイルデバイス管理機能として、モバイルデバイス管理プロトコルである「OMA-DM(Open Mobile Alliance-Device Management)」に対応した。これにより、エージェントレスでの管理も可能になるという。
ここまで、“マイクロソフト製品ならでは”の機能によるマイグレーション支援機能、Intune連携によるモバイルデバイス管理強化、新バージョンにおける機能拡張を説明してきた。まさにこれらの機能によって、Windows XPマイグレーション、さらにはBYODの本格導入を視野に入れたモバイルデバイスの統合管理を検討している企業にとって、SCCMとIntuneの連携ソリューションは、まさにベストプラクティスと言えるだろう。
Windows Intune 30日間無料トライアル
クラウド型モバイルデバイス管理ソリューション「Windows Intune」の30日間無料トライアル」はこちらから!
本編でも紹介したモバイルデバイス管理をクラウド上で可能にする「Windows Intune」の30日間無料トライアルをご用意しました。トライアル中は費用が一切かからず、サーバも不要です。アプリケーション配布用に20GBのストレージも用意されています。また、試用期間後には、データ損失なく有料サブスクリプションに移行できますので、「試しに使ってみたい」という方はぜひこちらからお試しください。
Copyright © ITmedia, Inc. All Rights Reserved.
関連リンク
提供:日本マイクロソフト株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2013年9月30日
