Windowsクライアント管理、変革のとき 「withコロナ」で噴出する課題にどう対応する?:特集:Microsoft & Windows最前線2021(2)
新型コロナウイルス感染症の拡大により、企業のテレワークが加速し、働き方も変革期を迎えています。これに伴い、企業の「Windowsクライアント管理」にも変化が求められています。本稿では、働き方の変化によってもたらされるWindowsクライアント管理の重要性と、今後の管理の在り方を考えるとともに、それらを実現するMicrosoftのテクノロジーを紹介します。
これまで(コロナ禍以前)のWindowsクライアント管理
本題へ入る前に、コロナ禍以前の働き方と「Windowsクライアント管理」の状況を確認しておきましょう。これまで、多くの企業では従業員はオフィスへ出社して、そこで業務を行うことを一般的な働き方としていました。そのために基幹業務システムは社内ネットワーク上に存在し、社外からの接続にはVPN(Virtual Private Network)などを利用していたと思います。
では、Windowsクライアントの管理はどうだったでしょうか。多くは「Active Directory」を導入し、「グループポリシー(GPO)」でWindowsクライアントの設定を管理していたことでしょう。
そして、多くの企業ではMicrosoftがWindows OSに提供する「更新プログラム」への対応が悩みの種になっていました。更新プログラムはダウンロード時にインターネット回線に大きな負荷がかかることから、オフィスではWindowsクライアントにインターネット経由で取得させることを避けます。
そのために「Windows Server Update Services」(以下、WSUS)やその他の更新管理ツールなどを利用して、ネットワークに負荷がかからないように更新プログラムを展開していたケースが多いのではないでしょうか。
社員数が多い(=クライアント台数が多い)企業ほど管理負荷が増えることから、Active DirectoryやGPO、WSUSのようなソリューション/機能を利用して、一元的に管理していたはずです。社内ネットワーク内での業務を基本とするこれまでの働き方では、これらが間違いのない対処であると考えられてきました。
業態変化によりWindowsクライアント管理の課題も浮き彫りに
新型コロナウイルス感染症(COVID-19)のパンデミック(世界的大流行)および緊急事態宣言の発令により、世間では「テレワーク(リモートワーク)」という働き方が認知されるようになりました。
日本ではCOVID-19による混乱が落ち着いたころから、オフィスへの出社を一部再開した企業もあるようです。しかし、世間の関心はいまだ「withコロナ」へ向いており、業務への意識が「必要に応じて社外で業務」から「必要に応じて社内で業務」に切り替わりつつあることも確かです。多くの企業では、こうした“働き方に対する認知の変化”を受け止め、対応する必要が出てきました。
しかし、これまでオフィスに出社することを一般的な働き方としていた企業が多い中、急激に進んだIT環境の変化によって、さまざまな課題が浮き彫りとなりました。
ただいまVPN接続は「180分待ち」です!
テレワークの開始直後、多くの企業で「VPN回線がパンクした」という話を聞きました。社内システムにアクセスするため、VPN環境を構築した時点で想定していなかったユーザー数による同時接続が行われたからです。
ネットワークロケーションに依存しない業務であれば、本来VPNで接続する必要はありませんが、多くのエンドユーザーは「回線切断」という行為を手間と感じるため、同時接続数が膨れ上がりこのような事態が生じたようです。
VPNが利用不可になると、Windowsクライアント管理にも問題が生じます。まず、社内ネットワークに存在するActive DirectoryからGPOの更新情報を取得できなくなります。例えば、IT管理者が最新のセキュリティレポートやMicrosoftの公開情報からGPO設定に問題点を発見し、更新しようとしてもできないため、Windowsクライアントは脅威にさらされたままの状態になります。
加えて、更新プログラムを取得できないという問題もあります。WSUSは社内ネットワークに存在するため、クライアントがVPNに接続している場合にしか更新プログラムを取得できません。
一方、VPN経由で更新プログラムを取得する場合には、これがVPN回線を逼迫(ひっぱく)する要因になるという一種のジレンマを抱えています。企業によってはVPN経由での更新プログラムの取得を制限しているところもあるでしょう。
一般的なクライアント管理では、クライアントが利用するネットワークの場所に応じてGPOが管理されるため、このような問題は生じません。しかし、テレワークへの対応を急ぐあまり、社内で使用していた(または、社内利用向けの設定のままで)業務PCを社外へ持ち出さざるを得なくなった企業も多く、結果としてこのような事態を引き起こしました。
このような問題への対応として、筆者が観測した範囲では、テレワーク実施ユーザーに対し「VPN接続を許可する時間帯を割り振る」ことで接続数を制限するという試みがありました。さながら人気アトラクション待ちの「長蛇の列」といったところでしょうか。
しかし、これは根本的な解決策ではありません。一定の社員はルールを守るかもしれませんが、切断忘れや急なVPN接続が必要な社員も多く、やはり回線は逼迫してしまいます。こうした問題に対応するには、社内ネットワークに依存しない形でWindowsクライアント管理を実現する必要がありました。
キッティングとテレワークのジレンマ
また、Windowsクライアントのキッティングを担当している多くの情報システム担当者からは、以下のようなことを聞きました。
「テレワーク用の端末を用意したが、キッティングのためにオフィスへ出社しなければならない……」
キッティング業務が社内ネットワークに依存するため、テレワークを開始するには、必ず出社しなければならないというジレンマに陥ったパターンです。例えば、社内Active Directoryへの参加設定やVPN接続用の証明書インストールといった作業が挙げられます。
これは筆者の私見になりますが、テレワークを開始するために出社を要する体制はナンセンスだと思います。つまり、Windowsクライアントのキッティングについても、社内ネットワークに依存しない形を目指す必要があると考えます。
withコロナに対応したクライアント管理を実現するには
ここまでの話から、withコロナのようなテレワーク主体となる働き方において、Windowsクライアント管理に求められることは以下にまとめられます。
社内ネットワークに依存しない形でWindowsクライアントのキッティングと管理が可能なこと
Copyright © ITmedia, Inc. All Rights Reserved.