［運用］ Windows Intuneで始めるPC管理 第1回 2．クラウド型のPC管理サービスができること（1） マイクロソフト株式会社 エバンジェリスト　 高添 修（http://blogs.technet.com/b/osamut） 2011/06/02
Page1 Page2 Page3 Page4

これから始めるWSUS 3.0入門 [Q&A]そこが知りたい　Windows Server Update Services

■更新プログラム管理
　Windows OSには、Windows Update／Microsoft Updateというマイクロソフト提供の更新プログラムなどを自動的に適用する仕組みが用意されている。しかし、これらのプログラムはOSのモジュールを置き換えるため、その適用後、利用しているアプリケーションが正しく動作しなくなるというリスクがある。そのため企業においては、更新プログラムが正常に社内へ展開可能かどうかを管理者が確認した上で適用するのが一般的とされる。社内にWindows Server Update Services（WSUS）のような更新プログラム管理ツールを用意して制御をする、という運用パターンも多くみられるのはそのためだ。

　Windows Intuneの場合、WSUSのように更新プログラムをいったん社内にダウンロードしてそこから展開する*1ことはできないし、またサーバの更新管理も対象外である。その一方で、WSUS環境を自社内に構築する必要はなく、クラウド上にあらかじめ用意されたWSUSと同等の機能および設定画面を利用して更新プログラムを管理できる。

*1　各PCが直接インターネットから更新プログラムをダウンロードせずに済むため、インターネット接続回線の帯域消費を減らす効果がある。また各PCがインターネットに直接接続できない環境でも、更新プログラムを展開できるというメリットもある。

更新プログラム管理の画面

クラウド上に用意されたWindows Intuneの更新プログラム管理の画面は、WSUSそのものである。自社内にWSUS環境を構築する必要がなく、Windows Intuneサイトにログオンするだけでこの設定画面を表示できた瞬間、Windows Intuneが便利だと気付くシステム管理者もいる。

　中小企業の場合、1つ1つの更新プログラムを確認する時間を作れないということも考えられる。そんな場合でもWindows Intuneは、更新プログラムをすべて適用して、PCを常に最新の状態にしておくことを強制できる。更新プログラムの適用が特に管理されていない環境では、これだけでも大きな進歩ではないだろうか。また、現在どのような更新プログラムが適用可能で、それがどのPCに適用済みなのかを、Windows Intuneのサイトでいつでも確認できる。これも「PC管理」には重要だといえる。

更新プログラムの一覧

Windows Intuneの画面には、マイクロソフトが提供する更新プログラムの情報が一覧として表示される。更新プログラムごとに承認作業をして社内へ展開することも、自動承認（常に最新の更新プログラムを適用する）の設定をすることも可能。

ある更新プログラムに関係のあるコンピュータの一覧

特定の更新プログラムがどのコンピュータに適用されているかを確認することも可能。

■マルウェア（ウイルス）対策
　Windows Intuneには、マイクロソフトの「Forefront Endpoint Protection」というマルウェア対策ソフトウェアが含まれている。

Windows Intuneで管理されるPCにインストールされたForefront Endpoint Protectionの画面

ウィンドウ・タイトルは「Windows Intune Endpoint Protection」となっているが、マルウェアをスキャンするエンジン部分は、単体版のForefront Endpoint Protectionと同じものが使われている。

• Forefront Endpoint Protectionのホームページ（マイクロソフト）

　もちろんForefront Endpoint Protection を利用するのに、Windows Intuneと別の作業をする必要はない。インストールはWindows Intuneのクライアント・クライアント・モジュールと同時に行われ、マルウェア対策にとって重要な定義ファイルの更新も自動化されている。PCがマルウェアに感染した場合も、PCにインストールされたForefront Endpoint Protectionがリアルタイムに検知し、自動的に処理が行われる。そのため、管理者は、アラートとして届いた感染情報を見て、必要に応じて感染したマルウェアのリスクを確認したり、社内へ警告を発したりするだけでよい。

Windows Intuneのマルウェア・スキャン設定画面の例

これは特定時刻にPCをスキャンする設定をしているところ。管理対象の複数PCに対して、こうしたマルウェア・スキャンの設定を一律に反映できる。

　また、ほとんどの企業がマルウェア対策ソフトウェアをすでに利用していることを考慮し、Forefront Endpoint Protectionを無効化する機能も用意されている。しばらくは既存のソフトウェアを利用し、次の投資のタイミングでWindows Intuneに統合させることもできるわけだ。

Forefront Endpoint Protectionを無効にする設定

■稼働監視（アラート）
　Windows Intuneには380個のアラート設定があるが、すべてを使いこなす必要はない。その詳細は今後解説するとして、今回はよく使う機能を紹介しておこう。例えば、クライアント・モジュールが正しくインストールされなかった場合、24時間報告をしなかったエージェントがある場合、そして7日間以上Windows Intuneサイトと通信をしていない場合などは、アラートとして管理者に通知される。マルウェア感染などの不具合発生時にアラートを受け取れるのはエージェントが正しく動作しているからこそなので、「エージェント・ヘルス」と呼ばれる利用環境の正常性確認はアラート機能の重要な役割の1つといえる。

マルウェア感染時のアラートの例

マルウェア感染の際、PC側では自動駆除されたとしても、管理者は感染したという事実を理解すべきである。Windows Intuneのアラートでは、必要に応じて感染したマルウェアの詳細情報を閲覧できる。画面上のマルウェア名のリンクをクリックすると、マイクロソフトが提供するマルウェア・プロテクション・センターのサイトにあるマルウェアの情報が表示される。

　ほかにも、各PCにはWindows Intune Centerというツールがインストールされており、エンドユーザーはその画面からリモートでのサポートを管理者に要求できる（この機能はあとで説明する）が、その要求はアラートとして管理者に届けられる。アラートをメールで受け取るようにしておけば、管理者はどこにいてもエンドユーザーからの依頼を迅速に受け取ることができるわけだ。

■ポリシー設定
　マイクロソフトのポリシー管理基盤といえばActive Directoryのグループ・ポリシーを思い浮かべる方も多いだろう。だがWindows Intuneに含まれるポリシーはActive Directoryを必要としない新しいポリシーである。

　現時点では、PCのファイアウォールの設定やコンピュータをスキャンするタイミングの指定、Windows Intune Center（Windows IntuneでインストールされるPC側のモジュールの１つ）上に管理者のメール・アドレスなどを表示させる、といった設定項目しかない。その一方で、設定画面は分かりやすさを重視して新たに設計されたので、グループ・ポリシーと比べれば、あまり経験の多くない管理者にとっても設定作業は難しくないだろう。

■Active Directoryのグループ・ポリシーの設定画面

■Windows Intuneのポリシーの設定画面

Active Directory のグループ・ポリシー設定画面（上）とWindows Intuneのポリシー設定画面（下）の違い

Windows Intuneの方は、項目数が少なく、また誰もが操作できるようにという意図を含めて設計されている。こうしたことから、両者の設定画面は大きく異なっていることが見て取れる。

INDEX
	［運用］Windows Intuneで始めるPC管理
	第1回　Windows Intuneは時間のないIT管理者の味方か？
	1．Windows Intuneの概要
	2．クラウド型のPC管理サービスができること（1）
	3．クラウド型のPC管理サービスができること（2）
	4．実際にWindows Intuneを使ってみる

運用

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）