［運用］ Windows Intuneで始めるPC管理 ―― クラウド型PC管理サービスのメリットと活用方法を探る ―― 第2回　Windows Intune管理者の実作業と注意点 その1 1．Windows Intuneクライアントの展開 マイクロソフト株式会社 エバンジェリスト 高添 修（http://blogs.technet.com/b/osamut） 2011/07/07

Page1 Page2 Page3

■本連載の目次 第1回 Windows Intuneは時間のないIT管理者の味方か？ 第2回 Windows Intune管理者の実作業と注意点 その1 第3回 Windows Intune管理者の実作業と注意点 その2

　前回は、「Windows Intuneは時間のないIT管理者の味方か？」と題してWindows Intuneを紹介した。どんな機能があるか、なぜWindowsという名前が付いているのか、評価サイトをどのように利用するか、さらには現在の価格をどう考えるかについても触れたので、Windows Intuneの全容をある程度把握できたと思う。そこで、これから2回に分けてWindows Intuneを実際に利用する際の管理者の作業と、知っておくべき注意点などを解説していく。

　今回取り扱う機能は以下のとおりである。

• クライアント・モジュールを社内に展開する
• コンピュータ・グループの作成
• 管理対象PCのインベントリ情報の閲覧
• 更新プログラムの管理

　Windows IntuneによるPC管理について、どの程度の負荷が管理者にかかるか、具体的に何ができるのかを、1つ1つ読者諸兄の管理下の環境に照らしながら読み進めていってもらえればと考えている。

クライアント・モジュールを社内に展開する

　Windows Intuneはクラウド型のサービスであり、手元にサーバは不要である。構成要素もいたってシンプルで、Windows Intuneのクライアント・ソフトウェアがインストールされたPCとクラウドとして提供されるサービスの2つしかない。そのため、Windows Intuneを利用するために最初に必要な作業はWindows Intuneのクライアント・ソフトウェアのインストールということになる。

■Windows Intuneで管理可能なWindows OS
　Windows Intuneクライアント・ソフトウェアをインストールできるOSは以下のとおりである。

• Windows XP Professional Service Pack 2／Service Pack 3
• Windows Vista Enterprise Edition／Ultimate Edition／Business Edition
• Windows 7 Enterprise Edition／Ultimate Edition／Professional Edition

　Windows Intuneのベータ・テスト中には、サーバOSにもインストールできていたが、現在はインストールできない。つまりWindows ServerはWindows Intuneで管理できない。また、Windows XP Service Pack 2も対象には入っているが、事前にインストールすべき更新プログラムがあるのでヘルプなどを参考にしていただきたい。

■クライアント・ソフトウェアの入手とインストール
　まず管理者が行うべきは、クライアント・ソフトウェアのダウンロードである。Windows Intuneの管理サイトへサインインし、クライアント・ソフトウェア（ZIPファイル）をダウンロードしよう（管理サイトへのアクセスやサインインの方法については連載第1回の「4．実際にWindows Intuneを使ってみる」参照）。このZIPファイルには、セットアップ用のファイル（Windows_Intune_Setup.exe）とWindows Intune利用者を認識するための証明書ファイル（WindowsIntune.accountcert）が入っている。ダウンロード後にZIPファイルを解凍したら、あとは管理したいコンピュータにてWindows_Intune_Setup.exeを実行してセットアップを行うだけだ（WindowsIntune.accountcertはWindows_Intune_Setup.exeと同じフォルダに配置すること）。

Windows Intuneクライアント・ソフトウェアのダウンロード画面

まずはWindows Intune管理サイトにサインインし、以下の手順でクライアント・ソフトウェアをダウンロードする。

これをクリックする。 これをクリックする。 これをクリックすると、約14Mbytesのクライアント・ソフトウェア（ZIPファイル）がダウンロードできる。→へ

ダウンロードしたWindows Intuneクライアント・ソフトウェアの内容

ダウンロードしたZIPファイルを解凍すると、2つのファイルが展開される。

セットアップ用の実行ファイル。管理したいPCでこれを実行してWindows Intuneをインストールする。 　 Windows Intune利用者を認識するための証明書ファイル。これが利用者の契約IDと管理対象PCのひも付けを行うため、管理者以外のユーザーにアクセスさせないよう取り扱いに注意すること。

　実は、Windows Intuneを利用するには、管理されるPCに複数のプログラム・モジュールが必要だ。しかし、管理者がそれらを個別にインストールする必要はない。Windows Intuneは、上記のクライアント・ソフトウェアのインストール作業時に、インターネット上のマイクロソフトのサイトから自動的に必要なモジュールをダウンロードしてインストールしてくれる。通常は30分もすればすべてのモジュールのインストールが完了し、Windows Intuneの管理サイト上の管理対象PC一覧に当該PCが加わるだろう。

　Windows Intuneクライアント・ソフトウェアと共にインストールされるモジュールの一覧を以下に記す。なお、これらは運用中に自動で更新されることがある。

• Windows Intune Center
• Microsoft Policy Platform
• Microsoft Online Management Client
• Microsoft Online Management Policy Agent
• Microsoft Online Management Update Manager
• Windows Firewall Configuration Provider
• Windows Intune Endpoint Protection
• Windows Intune Endpoint Protection Agent
• System Center Operations Manager 2007 R2 Agent
• Windows Intune Monitoring Agent
• Microsoft Easy Assist v2

■クライアント・ソフトウェアの展開
　管理したいPCの管理者権限を持っていて、そのマシンが手元にあれば、上記のようにクライアント・ソフトウェアのインストールは簡単である。ただ、すでに展開済みのPCをWindows Intuneの管理下に置きたい場合、クライアント・ソフトウェアの展開を自動化したいと思う企業もあるだろう。企業内にソフトウェア配布システムやActive Directory（グループ・ポリシー）があれば、それを使うという手もある。その際、Windows_Intune_Setup.exeをユーザーの操作なしでインストールするなら、次のようにオプションを指定して実行すればよい。

Windows_Intune_Setup.exe /Quiet

　もしWindows Installerパッケージ（MSIファイル）が必要な場合は、以下のコマンドを覚えておくとよいだろう。

Windows_Intune_Setup.exe /Extract <解凍したファイルを保存するフォルダ名>

TIPS「MSIファイルをADのグループ・ポリシーでインストールする」

　このコマンドによって、ダウンロードしたセットアップファイルから64bit OS用のインストール・ファイル（Windows_Intune_X64.msi）と 32bit OS用のインストール・ファイル（Windows_Intune_X86.msi）の2つのWindows Installerパッケージを取り出せる。例えば、これをグループ・ポリシーのソフトウェア配布機能などで配布すればよい（具体的な手順は関連記事を参照）。なお、/Extractオプションを指定して実行する際、<解凍したファイルを保存するフォルダ名>に“.”を指定すると、Windows_Intune_Setup.exe実行時のカレント・フォルダにMSIファイルが解凍される。また、MSIのファイル名を変更すると、クライアント・ソフトウェアのインストールが失敗するので注意をしていただきたい。

【コラム】Proxyサーバが存在する環境でWindows Intuneを利用する際の注意点

もし社内のネットワーク環境にProxyサーバが存在している場合は、Windows Intuneの通信について知っておくべきポイントがある。Windows Intuneが使用する通信ポートは80番（http）と443番（https）だけなので、ファイアウォールの設定変更は不要だろう。しかし、Windows Intuneは認証機能付きProxyサーバには対応していない。また、たとえ認証なしのProxyサーバであっても話は簡単ではない。Windows Intuneの管理対象PCとクラウド・サービス間の通信はSystemアカウントが行っている。そのため、たとえ管理対象PCにログオンしているユーザーがInternet ExplorerでProxyサーバの設定をしたとしても、Systemアカウントに対しては反映されず、結果としてWindows Intuneは通信に失敗する可能性がある（運用はもちろんセットアップすら失敗する）。解決方法の詳細は次のマイクロソフトTech Fieldersの記事を参照していただきたい。 Windows Intune利用時に知っておくべき Proxy Server 環境設定（マイクロソフトTech Fieldersコラム） 　このWebページ中で触れられているProxyのDHCPとWPADによる設定方法については、TIPS「WebブラウザのProxy設定を行うための4つの方法 − WPADのススメ −」も参考にしていただきたい。

　以上のように、いくつかの注意点はあるものの、管理対象PCにクライアント・ソフトウェアをインストールさえすれば、Windows Intune管理サイトにはそのPCが登録され、管理できるようになる。その後も、インターネットにつながってさえいれば、PCにインストールされたソフトウェアが自動的にクラウド上で動作するWindows Intuneサービスと通信をして、Windows Intuneサイト上の情報も最新に更新していく（ただし更新はリアルタイムではない。詳細は後で述べる）。

Windows Intuneで管理しているPCの一覧

Windows Intuneクライアント・ソフトウェアのインストールが成功すると、インストールしたPCがWindows Intuneに登録され、この画面に表示される。この画面からPCのリストをCSVファイルにエクスポートすれば、簡易的なPCリストがすぐに完成する。

まず、これをクリックする。 これをクリックすると、右のペインにすべての管理対象PCの一覧が表示される。

【コラム】Windows Intune操作のヒント

Windows Intuneの管理画面はシンプルなのですぐに慣れるだろう。ただ、初めて画面を見る方のために、操作方法を簡単に説明しておく。Windows Intuneの画面では、一番左に大項目（上の画面のの列）が並んでおり、管理者は自分が見たい情報の大項目をクリックするところからスタートする。その後、すぐ右側に現れる中項目（上の画面のの列）をクリックすることで、目的とする情報が一番右のペインに表示される。

INDEX
	［運用］Windows Intuneで始めるPC管理
	第2回　Windows Intune管理者の実作業と注意点 その1
	1．Windows Intuneクライアントの展開
	2．コンピュータ・グループの作成とインベントリ情報の閲覧
	3．更新プログラムの管理

運用

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）