クライアント管理はConfiguration Managerにお任せを:【徹底解剖】System Center 2012 R2(4)
「System Center 2012 R2」はプライベートクラウドの運用管理ツールとして注目されているが、企業クライアントの管理においても重要な役割を果たす。多種多様なOS/デバイスが利用されるようになり、ますます複雑化する運用管理は「System Center 2012 R2 Configuration Manager」にお任せしよう。
クライアントを一元管理する重要性
これまで企業や組織で利用するクライアントOSといえば、ほとんどがWindowsであった。今でもWindowsが主流であることに違いないが、最近は一般的な業務でMac OS(Mac OS X)を利用するケースが見られるようになってきた。さらに、タブレットやスマートフォンなどモバイルデバイス用の各種OSの利用も爆発的に増加している。企業内で利用されるOS/デバイスが多様化し、複数のOS/デバイス環境が混在するようになったことで、運用管理はますます複雑化してきている。
もちろん、モバイルデバイスという新しい管理対象が登場したのだから、それに合わせて新たな運用管理ツールを導入すればよいという考えもあるだろう。しかし、このようなパッチワーク的な考えで運用管理ツールを導入しても、IT管理者のタスクは増えるばかりだ。
最悪のケースになると運用管理タスクが増え過ぎて、運用管理のためのマニュアル作りもままならず、「あの作業は○○さんに聞かなければ、分からない」といった事態になりかねない。これでは何のために運用管理ツールを導入しているのか分からないし、根本から課題を解決しているとはいえないだろう。
こうした企業の運用管理の現状において「System Center 2012 R2 Configuration Manager」(以下、SCCM)は、クライアントの一元的な管理環境を提供し、IT管理者のタスクをシンプルにすることで、結果として運用管理コストの削減に貢献する。
具体的には、管理対象に対して運用管理コンポーネントを提供することで、1つの管理コンソール画面から全ての管理が完結する。
- Windows、Unix、Linux、Mac OSなど、OSの種類を問わない一元管理
- デバイスの種類(PCとモバイルデバイス)を問わない一元管理
- ユーザーが使用する複数のデバイスを管理
- アプリケーション配布の一元管理
- エンドポイント保護の一元管理
次からはそれぞれの管理要素について、どのようにして一元管理を実現するかを確認していこう。
OSの種類を問わない一元管理
最近、Mac OSのシェアが上昇しているとの報道をよく見かける。実際、筆者の周囲でもビジネス用途のクライアントとしてMac OSを利用するユーザーは増えてきている。サーバーOSでは、Windows Serverが圧倒的なのだが、まだまだLinux系OSを利用しているところも多い。これらが意味することは、IT管理者が管理すべきOSは1つではないということである。
SCCMはマイクロソフトの運用管理ツールであるため、管理対象OSもWindowsオンリーと思っている人も多いかもしれない。最新のSCCMではWindowsの他、Unix、Linux、Mac OSと、企業で利用される機会の増えているさまざまなOSに対応している(図1)。
OSの展開などで、Unix、Linux、Mac OSで一部サポートしない機能もあるが、インベントリ収集、ソフトウェア配布、パッチ管理、ポリシー管理など、Windowsクライアントとほぼ同じ機能をUnix、Linux、Mac OSにも提供している。
LinuxとMac OS用のSCCMクライアントはマイクロソフトのWebサイトで提供されており、ダウンロードしたセットアッププログラムをそれぞれのコンピューターにインストールすることで、SCCMサイトシステム配下のコンピューターとして管理できるようになる(図2)。
モバイルデバイスの一元管理
SCCMでは、クラウドベースの運用管理サービス「Windows Intune」と連携することで、モバイルデバイスの運用管理が可能になる(前出の図1)。なぜ、SCCMから直接管理しないのか、と疑問に思う方もいるだろう。これは、モバイルデバイスは持ち運ぶ機会が多く、外出先からでも運用管理サーバーとの通信が必要になることが多いために、いつでも、どこでも管理が可能なクラウドのWindows Intuneを経由する構成になっている。
SCCMとは別にWindows Intuneを利用すると、ライセンス費用の増加が心配になるかもしれない。だが、安心してほしい。Windows IntuneのライセンスにはSCCMのCAL(Client Access License)が含まれているので、事実上、1つのライセンスでSCCMとWindows Intuneの両方を利用することができる。
モバイルデバイスの管理機能に話を戻そう。SCCMとWindows Intuneは、Windows 8/8.1/RT/RT 8.1、iOS、Androidをサポートしており、デバイスを管理するための登録作業には「Windows Intuneポータルサイト」と呼ばれるアプリを使用する。アプリはそれぞれのストア(Windowsストア、App Store、Google Play)で提供されており(Windows用はMicrosoft Download Centerでも)、ユーザー自身がダウンロードとインストール、Windows Intuneへの登録を行うことができる(図3)。
■Windows Intuneポータルサイトアプリ
- Microsoft Download Center(Windows 8/Windows 8.1/Windows RT/Windows RT 8.1)
- App Store(iOS 6.0以降)
- Google Play(Android 4.0以降)
Windows Intuneに登録されたデバイスは、SCCMの管理コンソールから確認することができる。登録が完了したデバイスは、SCCMからインベントリ情報の確認、各種ポリシーの設定やソフトウェアの配布ができるようになる(図4)。
モバイルデバイスを紛失した場合には、IT管理者にはおなじみの遠隔地からデータを消去する「リモートワイプ機能」が利用可能だ。SCCMのリモートワイプには、「フルワイプ」と「セレクティブワイプ」の2つの方法が用意されている。
フルワイプではデバイス内の全てのデータを消去し、iOSとAndroidデバイスに対して実行できる。セレクティブワイプではVPN(Virtual Private Network)、Wi-Fiプロファイル、証明書データ、ポリシー設定など、SCCMで配布したデータだけを削除するので、BYOD(Bring Your Own Device)で個人所有デバイスをSCCMで管理している場合など、プライベートなデータを消去すると問題になる場面で利用できるだろう。
なお、Windows 8.1は、PCとしてSCCMから直接管理する方法と、モバイルデバイスとしてWindows Intune経由で管理する方法の両方ができる。Windows 8.1デバイスの用途に合わせて、どちらの方法で管理するかは選択するとよいだろう。
アプリケーション配布の一元管理
運用管理ツールの対象がWindowsだけだった頃、アプリケーションを展開するには、セットアッププログラムであるexeファイルやmsiファイルを配布できればよかった。しかし、現在は利用するOSが多様化し、デバイスも多様化している時代。多種多様なアプリケーションを配布できる環境が求められている。
SCCMではWindows用のセットアッププログラムだけでなく、アプリケーションの仮想化で使用されるApp-Vパッケージの配布、Windowsストア、App Store、Google Playのようなアプリストアから提供されるアプリの配布、サイドローディングと呼ばれる自社開発したモバイルデバイス用アプリの配布をサポートし、アプリケーション配布の多様化にも対応している(図5)。
ちなみに、各ストアから提供されるアプリに関しては、SCCMやWindows Intuneから直接配布するのではなく、ストアへのリンクを配布する。モバイルデバイス上では、配布されたリンクをクリックして、アプリをダウンロード、インストールする仕組みになっている。
ユーザー主導の一元管理
これまで、多くの運用管理製品では「デバイス単位」で管理を行ってきた。実際、「デバイス=ユーザー」であったため、デバイスに対して会社のルールを適用する管理手法は、そのままユーザーに会社のルールを当てはめることを意味していた。
しかし、最近は、1人に1台のデバイスではなく、1人で複数のデバイスを使用して仕事を行うケースも多くなってきている。こうなると「デバイス=ユーザー」ではなくなり、デバイス単位で会社のルールを適用しても、ユーザーが別のデバイスを使えば、違うルールやポリシーが割り当てられる可能性が出てくる。これはIT管理者の意図するところではないだろう。このように考えると、これからの運用管理製品に求められる管理手法は、デバイス単位ではなく、ユーザー単位としていく方が適切なのではないだろうか。
こうしたことを踏まえて、SCCMでは従来のデバイス単位に加え、ユーザー単位での運用管理手法をサポートしている。例えば、アプリケーションを配布する場合、デバイスに対してアプリケーションをインストールする設定にしていると、ユーザーが異なるデバイスを利用したときに、今まで使えていたアプリケーションが利用できなくなるという問題が起きる。
そこで、ユーザーに対してアプリケーションを配布するようにしておけば、デバイスが変わっても使うユーザーが同じであればアプリケーションはインストールされるため、デバイスの違いを意識することなく、仕事に集中することができる。
エンドポイント保護の一元化
マルウェア対策(ウイルス対策)も運用管理の重要な要素の1つだが、一元化が難しいコンポーネントであった。
実際、Windows、Linux、Mac OSで別々のマルウェア対策ソフトウェアを利用し、運用管理もバラバラに行われていたケースが多かった。SCCMでは「Forefront Client Security」から提供されてきたマルウェア対策ソフトウェア「System Center Endpoint Protection」を機能の一部として提供する。しかも、Windows、Linux、Mac OSを全てサポートしているので、OSの違いを意識することなく、SCCMで一元的にマルウェア対策を行えるようになる。
SCCMは他のSystem Centerコンポーネントとは異なり、社内のサーバーやクライアントデバイスの管理にフォーカスしている。そして、SCCMの中心となる考え方は“一元管理”であり、さまざまなテクノロジの台頭によって生じた管理の複雑性に対応したソリューションになっている。
今回は、中でも異なるOSの一元管理、異なるデバイスの一元管理、アプリケーション配布の一元管理、ユーザー単位での一元管理、エンドポイント保護の一元管理、とさまざまな場面での一元管理を確認し、それによるメリットを確認した。複数のツールの導入によって複雑化した運用管理体制を見直すきっかけとして、SCCMを検討するのも1つの考えだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
業務で使えるバックアップの基礎知識(1):あらためて知っておくべき、バックアップ最新基礎知識
仮想環境など、より高次の環境が当たり前となった現在、バックアップ工程を検討する際にも従来とは比較にならないほど複雑な検討が必要になりつつあります。本連載では、バックアップの常識を入れ替える知識を紹介していきます。
店舗などで利用する映像素材は全て内製:ドン・キホーテ、ファイル共有基盤にストレージ製品「EMC VNXe3150」を導入
ドン・キホーテは、映像コンテンツを社内共有するためのファイルサーバとして、エントリ向けストレージ製品「EMC VNXe3150」を導入、2013年3月から本番稼働を開始した。
分散KVSを使ったファイルシステム「okuyamaFuse」(1):僕たちが分散KVSでファイルシステムを実装した理由
データベースで使われるKVSの仕組みをそのままファイルシステムに使ったら? okuyamaの開発者たちがファイルシステムを実装してみたらこうなった。
Windows Server 2012クラウドジェネレーション:第7回 信頼性とスケーラビリティを高めた新ファイル・システムReFS
年々大容量化するディスクや仮想ディスクなどの普及により、大容量のストレージを生かすファイル・システムが求められている。高い信頼性とスケーラビリティを実現した新しいファイルシステムReFSについて解説する。
仮想化基盤共通化、DR対応DC運営を自社で実践
ネットワンシステムズは自社データセンターの基盤を刷新、運用効率化、リソース効率化とともに、運用ノウハウの蓄積に向けたプロジェクトを推進している。