[運用] Windows Intuneで始めるPC管理 第2回 3.更新プログラムの管理 マイクロソフト株式会社エバンジェリスト 高添 修(http://blogs.technet.com/b/osamut) 2011/07/07 |
|
|
更新プログラムの管理
■更新プログラムを管理する意義とは?
Windows やその上で動くソフトウェアには、動作の安定性を損なう要素が存在する。それは単なる製品の不具合の場合もあれば、安全性を脅かす最新の攻撃などもある。特に、インターネット接続が前提になるWindows Intune環境においては、PCを常に最新の状態にしておくことがとても重要なセキュリティ対策といえる。そこでマイクロソフトでは、ソフトウェアを最新状態に更新するためのプログラム(更新プログラムとか修正プログラムなどと呼ばれる)を定期的に提供し、さらには自動的にPCを最新にするWindows Updateという仕組みも用意している。しかし、PCの更新を各PCのユーザーに委ねてしまうと、長らく更新していないPCや正しく更新できていないソフトウェアの存在に管理者が気付かないことがあるかもしれない。会社が支給したPCには重要なデータが保管されている可能性もあるため、忙しい管理者であっても、責任の範疇としてPCの更新管理を行うべきだろう。
セキュリティのリスクは減らさなければならないが、更新プログラムはOSそのもののファイルを置き換えるため、既存のアプリケーションが動かなくなるというリスクも存在する。そのため大手企業の中には、更新プログラム1つ1つの特徴を理解し、社内に展開してよいかどうかの確認を事前に行った上で、問題ないと判断できたものだけを社内のPCにインストールしているところもある。おそらく、そのような企業の管理者はWindows Intuneの更新プログラムに関する画面を見ればすぐに何ができるか理解できるだろう。そこで、このセクションでは、これまで社内のPCの管理に手が出せていなかった中小企業の管理者を主な対象として解説をしようと思う。
■更新プログラムを自動かつ強制的に適用する「自動承認規則」を作成する
さて、Windows Intuneには、管理者が多くの手間をかけずにPCの更新管理を実現する機能が用意されている。その1つが「自動承認規則」である。簡単にいうと、必要と思われる更新プログラムを強制的に適用するというものだ。強制するといってもインターネットにつながっていなければ更新はされないが、更新していないPCをリスト化することもできるため、更新管理は基本的に自動化し、正しく更新されないPCだけ個別に対応をすると決めて運用するのもよい。アバウトに思えるかもしれないが、管理していないPCを残すよりも大きな進歩といえるだろう。
それでは、自動承認規則の設定について見ていこう。ここでの注意点はWindows Intuneの大項目の中から[更新プログラム]ではなく[管理]を選ぶことだ。その中にある[更新プログラム]を選択することで自動承認規則を作成できる。
具体的には、Windows Intuneで管理しているOSの種類(例えばWindows 7とWindows XP)やソフトウェア(Officeのバージョンなど)を選択した上で、そのPCに自動適用したい種類の更新プログラムを選び、最後に適用したいコンピュータ・グループを指定する。もしWindowsに詳しいエンジニアが身近にいるなら、自社内に適用してはいけない更新プログラムについて確認を取ってみるとよいだろう。ただ、そもそも管理されていなかったPCをWindows Intuneで管理するという場合には、PCを常に最新の状態にし、セキュリティ上の脆弱性を極力排除するという観点から設定をし、更新プログラムの適用によって不都合が生じたら、その時点で対処するというのも選択肢の1つといえる。
更新プログラムの自動承認規則を作成する一連の流れ | |||||||||||
管理をする以上、更新プログラムについても知識を得ていただきたいという思いはあるが、まずはPCを最新の状態にするというところをゴールに据えるのも1つの手だといえる。そういう意味では、すべてのカテゴリに対して、不要なツール以外の更新プログラムを、すべてのコンピュータに強制適用するという設定も考えられる。 | |||||||||||
|
■更新プログラムの適用状況を確認する
大項目の[更新プログラム]を選択すると、どのような更新プログラムが存在しているのか、それが社内にどれだけインストールされ、どれだけ失敗しているのかなどの情報を確認できる。各更新プログラムについては、マイクロソフトのWebサイトにある詳細な説明ページ(実体はサポート技術情報(KB))へのリンクもあるので、社内に自動展開された更新が何を意味しているのか、仕事が落ち着いたときに確認してみるのもよいだろう。
更新プログラムの管理画面 | ||||||||||||
セキュリティ問題の修正プログラムに関する情報を表示しているところ。Silverlightのセキュリティ更新プログラムがすでに10台のPCにインストールされていることも分かる。 | ||||||||||||
|
■Windows Intune Centerから手動で更新プログラムを適用する
PCの管理をしていると、どうしてもすぐに手動で最新の更新プログラムを適用したいこともある。そんな場合には管理対象のPC上でWindows Intune Centerを利用するとよい。Windows Intune CenterはWindows Intuneクライアント・ソフトウェアをインストールする際に自動的にインストールされ、管理対象PCのデスクトップ上にそのショートカットが作られる。Windows Intune Centerには、[更新プログラムの確認]というボタンが用意されており、しばらくインターネットに接続できていなかったPCを強制的に最新の状態に更新したりできる。
Windows Intune Centerから手動で更新プログラムを適用する | |||
例えば、しばらくインターネットに接続できていなかったPCに対して、Windows Intuneによる自動適用を待つことなく、強制的に最新の状態に更新できる。Windows Intuneインストール以前のように、スタート・メニューからWindows Updateを選択してもよい。 | |||
|
◆
今回は、Windows Intuneが提供する機能の詳細について解説をした。いろいろと管理のポイントはあるものの、管理者が行う必要のある作業が少ないのもWindows Intuneのメリットなので、まだという方は、Windows Intuneの評価サイトでトライアルを申し込んで実際の画面を見ながら記事を読み返していただければ幸いである。
次回は、今回解説できなかったマルウェア(ウイルス)対策やポリシー設定、稼働監視(アラート)、リモート・アシスタンス、レポートといった機能について解説する予定である。
INDEX | ||
[運用]Windows Intuneで始めるPC管理 | ||
第2回 Windows Intune管理者の実作業と注意点 その1 | ||
1.Windows Intuneクライアントの展開 | ||
2.コンピュータ・グループの作成とインベントリ情報の閲覧 | ||
3.更新プログラムの管理 | ||
運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|