[運用]
Windows Intuneで始めるPC管理 第3回

2.ポリシー設定とアラート(稼働監視)、メール通知

マイクロソフト株式会社
エバンジェリスト
高添 修(http://blogs.technet.com/b/osamut
2011/08/04
Page1 Page2 Page3

ポリシー設定

 ポリシー機能とは、複数のPCを一括して制御するための仕組みのことだ。管理者は1つのポリシーを定義し、コンピュータ・グループにポリシーを割り当てさえすれば、そのグループに所属する全PCにポリシーが適用される。1台1台のPCに対して個別に作業をする必要がないため、効率的な運用を実現するものといえる。ただし、現在Windows Intuneが提供するポリシーは3種類で、設定可能な項目数も少なく、限定的な機能といえるだろう。

3種類のポリシー
 現在のWindows Intuneには、以下の3種類のポリシーが用意されている。

(1)Windows Intuneエージェントの設定
  PCのスキャンのタイミングや、マルウェア感染時の処理を制御する。FEPの無効化などもここで行う。基本的な設定手順は前述のマルウェア対策のためのポリシー設定と同じである。また、このポリシーはWindows Intuneのクライアント・ソフトウェアをインストールする際、自動的に適用される。

(2)Windows Intune Centerの設定
 各PCにインストールされるWindows Intune Centerの画面上に、管理者への連絡先などを記載するために利用する。

Windows Intune Centerカスタマイズ用のポリシー設定画面
各PCにインストールされるWindows Intune Centerの画面上に、管理者の連絡先情報などを表示できる。ポリシー機能なので、適用するコンピュータ・グループによって連絡先を変えたりすることも可能だ。

(3)Windowsファイアウォールの設定
 各PC上で動作するWindowsファイアウォールを制御し、その設定をユーザー任せの状態から集中管理へと移行する。それに加えて、設定画面に表示される定義済みの項目については、例外設定(通信の許可/拒否の指定)を個別に行うことができる。Windowsファイアウォールの規則やプロファイルの意味については、別稿の「Windows 7のファイアウォール機能」も参照していただきたい。

Windowsファイアウォール用のポリシー設定画面 その1
ドメイン/プライベート/パブリックというPCが接続されているネットワークに合わせて、Windowsファイアウォールを有効にするかどうかを制御できる。ファイアウォールの設定をユーザーに委ねずに、企業のポリシーとして利用を強制できることも重要である。スクロールすると次の画面が表示される。

Windowsファイアウォール用のポリシー設定画面 その2
Windows Intune側で用意してある項目(ここではWindowsファイアウォールの各規則)については、個別に設定も可能。ただし、あくまでもWindowsファイアウォールの設定であって、Windows OSが持つそのほかの機能(例えばリモート・デスクトップなど)を有効にできるわけではないので注意していただきたい。

Active Directoryのグループ・ポリシーとの共存と注意点
 Windows環境でポリシーといえばActive Directoryのグループ・ポリシーを思い浮かべる方も多いだろうが、Windows Intuneを利用するのにActive Directoryは必須ではない。Windows Intuneには、新しいポリシー管理基盤が組み込まれているのだ。どちらもポリシーによる管理という考え方は同じだが、実装方法に違いがあるということだけは知っておきたい。なお、この新しいポリシー基盤は、Windows Intune専用の特殊なものではなく、オンプレミスの運用管理製品System Center Configuration Manager 2012(現在ベータ2が提供中)にも採用される予定だ。

 さて、Windows Intuneの管理対象PCがActive Directoryにも参加している場合、Windows Intuneポリシーとグループ・ポリシーの両方が適用され、設定項目が重複する可能性もある。このような場合、Active Directoryのグループ・ポリシー設定が優先されるので、ポリシーが管理者の思い通りに反映されない場合などはチェックすべきポイントになるだろう。いまのところはWindows Intuneの設定項目が少ないため、重複する危険性はほとんどないだろう。しかし、クラウド・サービスであるWindows Intuneは、機能拡張のスピードも早いことが予想されるので、重複項目は次第に増えていく可能性もある。

アラート(稼働監視)とメール通知

 Windows Intuneには、PCの状態を監視していて、何かが生じたら管理者にアラートを通知する機能がある。この機能は、PCへのクライアント・ソフトウェアのインストール失敗という利用初期の段階から、マルウェアへの感染や更新プログラム未適用といった稼働監視、さらにはWindows Intuneサイトとの通信が途絶えているPCの検知など、さまざまな情報をアラートとして管理者に通知してくれる。これにより、管理者はいま起きていることや何も起きていないことも常に認識できる。

アラートのリストを表示する画面
Windows Intuneサイトには、管理対象PCからさまざまな情報が報告され、それらがアラートとして管理画面に表示される。大項目の[アラート]を選択すればシステム全体のアラート概要が表示され、中項目として[すべてのアラート]や確認したいアラートの種類を選択することでフィルタされた情報がリスト化される。
これをクリックする。
これをクリックすると、すべてのアラートがリスト化される。
各アラートをクリックすると、そのアラートの詳細がこの下のペインに表示される。
これをクリックすると、既知の問題であれば、対処方法が表示される。
これをクリックすると、選択されているアラートが終了してリストから消去される。

 また、運用管理ツールを普段触っていない方は、アラートの対処後に行う「アラートを閉じる」(上記の)という作業についても覚えておくとよい。これは、不要なアラートを表示しないだけでなく、複数のメンバでPCの管理をしている場合などに対処の二度手間を防止できる機能である。また、Windows Intuneの管理画面上では、「閉じて」終了したアラートはリストから消去されるが、画面右上にあるフィルタ機能を使うと終了したアラートを再び表示することもできる。

 セキュリティの問題などの最低限必要と思われるアラートはデフォルトで有効になっているため、管理者がいちいち設定を変更しなくても、デフォルトのままでPCの運用が可能である。ただ、Windows Intuneには380種類のアラートが用意されており、自社にとって必要と思われるものがほかにあれば、それを有効にして日々の運用に活用できる。

アラートの追加設定画面
380種類とはいえ、現在Windows Intuneで管理できないサーバ製品に関する項目も含まれているため、OSやOfficeのバージョンなどでアラートのリストを並べ替えてみると、設定しておきたい項目はそれほど多くないことにも気付くだろう。この画面では、Logical Disk Free Space(各PCのシステム・ディスクの空きスペースが10%を切ったら警告、5%を切ったらエラーをアラートとして受け取る)設定を有効にした。ディスクの容量不足はアプリケーションの動作にも影響を及ぼすため、管理者にとって便利なアラート設定の1つだろう。
これをクリックする。[アラート]ではないので注意。
これをクリックすると、すべてのアラートがリスト化される。
この下の欄から該当するアラートを探して選択してから、これをクリックする。
「有効」と表示されれば設定完了である。

 これらのアラートは、Windows Intuneのサイトで確認できるほか、ほかメールで受け取れるようにも設定できる。設定方法は以下のとおりで、メールを受け取るユーザーの登録と、どのような種類のメールを受け取るかという2つの設定が必要である。

メール通知を受け取るユーザーの管理画面
Windows Intuneの管理者は自動的にリストに表示されるが、メール通知を受け取りたいほかの担当者がいる場合は、ここで追加するとよい。また、海外拠点の担当者を登録する場合は、12カ国語の中から電子メールの言語を選択できる。
これをクリックする。大項目の[管理]で設定を行う。
これをクリックする。
これをクリックすると、メール受信者の登録画面が表示されるので、名前と電子メールアドレスを入力し、言語を選択する。ただし、あくまでもメールを受け取れる受信者の設定をしただけで、これだけではメールは配信されない。次の画面でどのようなアラートを受け取るかを設定する必要もある。

アラートの種類ごとに、メールを受け取るユーザーを選択する画面
管理者だからといってすべてのアラートを受け取る必要はないだろう。どのようなアラートを誰がメールで受け取るかをこの画面で設定できる。
これをクリックする。大項目の[管理]で設定を行う。
これをクリックする。
受け取りたいアラートを選択する。
これをクリックすると、メール配信可能な受信者の一覧が表示されるので、配信したいメンバを選択する。
で選んだアラートを受け取るメンバの一覧。


 INDEX
  [運用]Windows Intuneで始めるPC管理
  第3回 Windows Intune管理者の実作業と注意点 その2
    1.マルウェア(ウイルス)対策
  2.ポリシー設定とアラート(稼働監視)、メール通知
    3.リモート・アシスタンスとレポート、アカウント管理

 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間