Configuration Manager の概要
適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1
管理ソリューションの Microsoft System Center スイートのメンバーである System Center 2012 Configuration Manager は、手動タスクを削減し、価値の高いプロジェクトに注目させることで IT の生産性と効率性を高め、ハードウェアとソフトウェアの投資を最大化するだけでなく、適切なタイミングで適切なソフトウェアを提供してエンドユーザーの生産性を高めます。Configuration Manager は、ソフトウェア展開の安全性と拡張性、コンプライアンス設定の管理、およびサーバー、デスクトップ PC、ノート PC、モバイル デバイスの総合資産管理を可能にして、より効果的な IT サービスを提供するのに役立ちます。
Configuration Manager は、既存の Microsoft テクノロジとソリューションを拡張し、これらと共に機能します。 たとえば、
Configuration Manager は、セキュリティ、サービスの場所、構成、および管理対象のユーザーとデバイスの探索に Active Directory ドメイン サービスを使用します。
Configuration Manager では、Microsoft SQL Server を分散型の変更管理データベースとして使用し、SQL Server Reporting Services (SSRS) と統合することで、管理アクティビティを監視および追跡するためのレポートを作成できます。
管理機能を提供する Configuration Manager サイト システムの役割の多くは、インターネット インフォメーション サービス (IIS) の Web サービスを使用します。
バックグラウンド インテリジェント転送サービス (BITS) および BranchCache を使用すると、使用可能なネットワーク帯域幅を管理するのに役立ちます。
さらに、Configuration Manager は Windows Server Update Services (WSUS)、ネットワーク アクセス保護 (NAP)、証明書サービス、Exchange Server および Exchange Online、グループ ポリシー、DNS サーバーの役割、Windows 自動インストール キット (Windows AIK) とユーザー状態移行ツール (USMT)、Windows 展開サービス (WDS)、リモート デスクトップ、およびリモート アシスタンスとも統合できます。
Configuration Manager を適切に使用するためには、運用環境で Configuration Manager を使用する前に、まず、管理機能のテストと計画を十分に行う必要があります。 強力な管理アプリケーションとして、Configuration Manager は組織内のすべてのコンピューターに影響する可能性があります。 ビジネス要件に沿って十分な計画を行ってから Configuration Manager を展開および管理すれば、Configuration Manager で管理オーバーヘッドと総所有コストを削減することができます。
Configuration Manager の詳細については、次のセクションを参照してください。
Configuration Manager の管理機能
Configuration Manager コンソール
アプリケーション カタログ、ソフトウェア センター、会社ポータル
- Configuration Manager のプロパティ (クライアント)
Configuration Manager の導入例
例:すべてのデバイスからアプリケーションにアクセスできるようにしてユーザーの生産性を高める
例:デバイスのコンプライアンス管理を統合する
例:デバイスのクライアント管理を簡素化する
次のステップ
Configuration Manager の管理機能
次の表に、Configuration Manager の主な管理機能の詳細を示します。 機能ごとに個別の前提条件があり、使用する機能が Configuration Manager 階層の設計と実装に影響する可能性があります。 たとえば、階層内のデバイスにソフトウェアを展開する場合、配布ポイント サイト システムの役割をインストールする必要があります。
管理機能 |
説明 |
説明 |
|---|---|---|
アプリケーション管理 |
企業内でアプリケーションを作成、管理、展開、および監視するのに役立つ一連のツールとリソースを提供します。 |
|
会社のリソースへのアクセス |
System Center 2012 R2 Configuration Manager 以降: 組織内のユーザーがリモートの場所からデータとアプリケーションにアクセスできるようにするための、ツールのセットとリソースを提供します。 ツールには次のようなものがあります。
|
|
コンプライアンス設定 |
企業内のクライアント デバイスの構成対応状態を評価、追跡、および修復するのに役立つ一連のツールとリソースを提供します。 |
|
Endpoint Protection |
企業内のコンピューターにセキュリティ、マルウェア対策、および Windows ファイアウォール管理を提供します。 |
|
インベントリ |
資産の特定と監視に役立つ一連のツールを提供します。
|
次のドキュメントを参照してください。 |
オペレーティング システムの展開 |
オペレーティング システム イメージを作成するためのツールを提供します。 これらのイメージを使用し、PXE ブートまたは CD セット、DVD、USB フラッシュ デバイスなどの起動可能メディアを用いて、Configuration Manager の管理対象のコンピューターおよび管理対象外のコンピューターにイメージを展開できます。 |
|
帯域外管理 |
Intel Active Management Technology (Intel AMT) との統合により、Configuration Manager クライアントやコンピューターのオペレーティング システムとは別にデスクトップ コンピューターとラップトップ コンピューターを管理できます。 |
|
電源管理 |
企業内のクライアント コンピューターの電力消費を管理および監視するために使用する一連のツールとリソースを提供します。 |
|
クエリ |
階層内のリソースに関する情報、およびインベントリ データとステータス メッセージに関する情報を取得するためのツールを提供します。 この情報は、レポートに使用したり、ソフトウェア展開や構成設定でデバイスやユーザーのコレクションを定義するために使用できます。 |
|
リモート接続プロファイル |
System Center 2012 R2 Configuration Manager 以降: 組織のデバイスのリモート接続設定を作成、展開、監視する際に役立つツールのセットとリソースを提供します。 これらの設定を展開すると、会社のネットワークにコンピューターを接続するのに必要なエンドユーザーの労力が最小化されます。 |
|
リモート コントロール |
Configuration Manager コンソールからクライアント コンピューターをリモート管理するためのツールを提供します。 |
|
レポート |
Configuration Manager コンソールから SQL Server Reporting Services の高度なレポート機能を使用するための一連のツールとリソースを提供します。 |
|
ソフトウェア使用状況測定 |
Configuration Manager クライアントからソフトウェア使用状況データを監視および収集するためのツールを提供します。 |
|
ソフトウェア更新プログラム |
企業内のソフトウェアの更新を管理、展開、および監視するための一連のツールとリソースを提供します。 |
|
Microsoft Intune の管理 |
Configuration Manager を使用すると、インターネット上で Microsoft Intune サービスを利用して iOS、Android (Samsung KNOX など)、Windows Phone、および Windows デバイスを管理することができます。 Microsoft Intune サービスを使用しますが、管理作業は、Microsoft Intune コンソールで Configuration Manager コネクタ サイト システムの役割を使って実施します。 また、System Center 2012 R2 Configuration Manager には、Configuration Manager クライアントがインストールされていないモバイル デバイスと同じ方法で Windows 8.1 デバイスを管理するオプションがあります。 |
Configuration Manager を計画およびインストールして環境内でこれらの管理機能をサポートする方法の詳細については、「Configuration Manager のサイト管理の概要」を参照してください。
Configuration Manager コンソール
Configuration Manager をインストールしたら、Configuration Manager コンソールを使用して、サイトとクライアントを構成し、管理タスクを実行および監視します。 このコンソールは管理の中核であり、このコンソールで複数のサイトを管理できます。 コンソールを使用してセカンダリ コンソールを実行し、次のような特定のクライアント管理タスクをサポートすることもできます。
リソース エクスプローラー。ハードウェアとソフトウェアのインベントリ情報を表示します。
リモート コントロール。トラブルシューティング タスクを実行するために、クライアント コンピューターにリモート接続します。
帯域外管理。Intel AMT ベースのコンピューターの AMT 管理コントローラーに接続し、電源管理操作やトラブルシューティング タスクを実行します。
追加のサーバー コンピューターやワークステーションに Configuration Manager コンソールをインストールし、Configuration Manager の役割に基づいた管理権限で、アクセスを制限したり、コンソールで管理ユーザーが表示できる内容を制限できます。
詳細については、「Configuration Manager コンソールのインストール」トピックの「Configuration Manager のサイトのインストールと階層の作成」セクションを参照してください。
アプリケーション カタログ、ソフトウェア センター、会社ポータル
Configuration Manager アプリケーション カタログは、ユーザーが Windows ベースの PC のソフトウェアを参照および要求できる Web サイトです。 アプリケーション カタログを使用するためには、サイトにアプリケーション カタログ Web サービス ポイントおよびアプリケーション カタログ Web サイト ポイントをインストールする必要があります。
ソフトウェア センターは、Windows ベースのコンピューターに Configuration Manager クライアントをインストールするとインストールされるアプリケーションです。 ユーザーは、このアプリケーションを実行して、ソフトウェアを要求したり、Configuration Manager を使用して各自に展開されるソフトウェアを管理したりします。 ソフトウェア センターにより、ユーザーは次のことを行うことができます。
アプリケーション カタログでソフトウェアを見つけてインストールする。
自身のソフトウェア要求履歴を表示する。
Configuration Manager がデバイスにソフトウェアをインストールできるタイミングを構成する。
管理ユーザーがリモート コントロールを有効にしている場合、リモート コントロールのアクセス設定を構成する。
会社ポータルは、アプリケーション カタログと同様の機能を持つアプリケーションまたは Web サイトですが、Microsoft Intune で登録されるモバイル デバイス用である点が異なります。
詳細については、「Configuration Manager でのアプリケーション管理の概要」トピックを参照してください。
Configuration Manager のプロパティ (クライアント)
Windows コンピューターに Configuration Manager クライアントがインストールされると、コントロール パネルに Configuration Manager がインストールされます。 通常、クライアント構成は Configuration Manager コンソールで実行されるため、このアプリケーションを構成する必要はありません。 このアプリケーションは、管理ユーザーとヘルプ デスクが個々のクライアントの問題をトラブルシューティングする際に役立ちます。
クライアント展開の詳細については、「Configuration Manager でのクライアント展開の概要」を参照してください。
Configuration Manager の導入例
次の例は、Trey Research という会社が System Center 2012 Configuration Manager を使用してユーザーの生産性を高め、デバイスのコンプライアンス管理を統合して管理をさらに効率化し、デバイス管理を簡素化して IT 運用コストを削減している方法を示しています。 どの例でも、Adam が Configuration Manager のメインの管理者です。
例:すべてのデバイスからアプリケーションにアクセスできるようにしてユーザーの生産性を高める
Trey Research では、必要なアプリケーションに従業員が効率的にアクセスできるようにする必要があります。 Adam は、これらの要件を次のように分類します。
要件 |
現在のクライアント管理の状態 |
将来のクライアント管理の状態 |
|---|---|---|
新しい従業員が 1 日目から効率的に作業することができる。 |
従業員が入社すると、その従業員は、最初にログオンした後で、アプリケーションがインストールされるまで待つ必要がある。 |
従業員が入社したときに、その従業員がログオンすると、アプリケーションがインストールされており、いつでも使用できる状態になっている。 |
従業員が、必要な追加のソフトウェアをすばやく簡単に要求することができる。 |
従業員が追加のアプリケーションを要求する際、ヘルプ デスクにチケットを提出し、チケットが処理されてアプリケーションがインストールされるまで通常 2日間待っている。 |
従業員が追加のアプリケーションを要求する際、Web サイトからアプリケーションを要求でき、ライセンス制限が無い場合は、すぐにアプリケーションがインストールされる。 ライセンス制限がある場合、ユーザーがアプリケーションをインストールするには、まず承認を得る必要がある。 Web サイトには、インストールが許可されているアプリケーションのみユーザーに表示される。 |
従業員は、各自のモバイル デバイスが監視および適用されているセキュリティ ポリシーに準拠している場合、そのデバイスを職場で使用することができる。 このようなポリシーには、次のようなものがある。
|
従業員は電子メール サービス用にモバイル デバイスを Exchange Server に接続しているが、既定の Exchange ActiveSync メールボックス ポリシーのセキュリティ ポリシーに従業員が準拠していることを確認するためのレポートが限られている。 個人使用のモバイル デバイスは、IT 部門でポリシーの準拠を確認できない場合、禁止になる恐れがある。 |
IT 組織で、必要な設定を行って、モバイル デバイスのセキュリティ準拠をレポートすることができる。 この確認により、ユーザーは各自のモバイル デバイスを職場で引き続き使用することができる。 モバイル デバイスが紛失または盗難にあった場合、ユーザーがモバイル デバイスをリモートでワイプできる。また、紛失または盗難にあったと報告されたユーザーのモバイル デバイスを、ヘルプ デスクがワイプすることができる。 セキュリティと制御を高めるため、PKI 環境内でモバイル デバイスを登録できるようにする。 |
各自のデスクを離れているときでも従業員が生産性を維持できる。 |
従業員が各自のデスクを離れており、ポータブル コンピューターを持っていない場合、全社で利用可能なキオスク コンピューターを使用して各自のアプリケーションにアクセスすることができない。 |
従業員がキオスク コンピューターを使用して各自のアプリケーションとデータにアクセスすることができる。 |
通常、必要なアプリケーションとソフトウェア更新プログラムのインストールよりも、業務の継続性が優先される。 |
必要なアプリケーションとソフトウェア更新プログラムは昼間にインストールされるため、コンピューターのパフォーマンスが低下したりインストール時に再起動が必要になって、ユーザーの業務が中断されることが多い。 |
コンピューターを使用している間は必要なソフトウェアがインストールされないように、ユーザーが業務時間を設定することができる。 |
これらの要件を満たすため、Adam は次の Configuration Manager 管理機能と構成オプションを使用します。
アプリケーション管理
モバイル デバイス管理
これらを、次の表の構成手順を使用して実装します。
構成手順 |
成果 |
|---|---|
Adam は、新しいユーザーが Active Directory のユーザー アカウントを持っていることを確認し、これらのユーザーについて、Configuration Manager でクエリベースのコレクションを作成します。 次に、これらのユーザーが使用するプライマリ コンピューターにユーザー アカウントをマップするファイルを作成することで、これらのユーザーにユーザー デバイスのアフィニティを定義し、このファイルを Configuration Manager にインポートします。 新規ユーザーが持つアプリケーションは、Configuration Manager で既に作成されています。 次に、目的が [必須] のアプリケーションを、新規ユーザーを含むコレクションに展開します。 |
ユーザー デバイスのアフィニティ情報により、これらのアプリケーションは、ユーザーがログオンする前に各ユーザーのプライマリ コンピューターにインストールされます。 ユーザーが正常にログオンするとすぐに、アプリケーションが使用できるようになります。 |
Adam は、インストールするアプリケーションをユーザーが参照できるように、アプリケーション カタログ サイト システムの役割をインストールして構成します。 利用可能の目的に設定されたアプリケーション展開を作成し、これらのアプリケーションを新しいユーザーが含まれるコレクションに展開します。 ライセンス数が制限されているアプリケーションの場合、Adam は承認を要求するようにこれらのアプリケーションを構成します。 |
これらのユーザーから利用可能とアプリケーションを構成し、アプリケーション カタログを使用することで、ユーザーはインストールが許可されているアプリケーションを参照できるようになりました。 ユーザーはすぐにアプリケーションをインストールするか、承認を要求して、ヘルプ デスクから要求が承認されてからアプリケーション カタログに戻り、アプリケーションをインストールすることができます。 |
Adam は、会社の社内 Exchange Server に接続するモバイル デバイスを管理するために、Configuration Manager で Exchange Server コネクタを作成します。 このコネクタに、強力なパスワードの要件を含み、非アクティブの期間が一定の時間続いた後でモバイル デバイスをロックする、セキュリティ設定を構成します。 Adam は Configuration Manager SP1 を持っているので、Windows Phone 8、Windows RT、および iOS を実行するデバイスの管理を追加するために、Microsoft Intune サブスクリプションを取得し、Microsoft Intune コネクタ サイト システムの役割をインストールします。 このモバイル デバイス管理ソリューションを使用すると、モバイル デバイスの管理のサポートを改善できます。 たとえば、ユーザーがモバイル デバイスにアプリケーションをインストールできるようになり、さまざまな設定の管理も可能になります。 さらに、モバイル デバイス接続は PKI 証明書を使用して保護されます。PKI 証明書は Intune によって自動的に作成され、展開されます。 Adam は、Microsoft Intune コネクタを構成してから、モバイル デバイスを所有しているユーザーに対して、リンクをクリックして登録プロセスを開始するように通知する電子メール メッセージを送信します。 モバイル デバイスが Intune で登録されると、Adam はコンプライアンス設定を使用して、これらのモバイル デバイスのセキュリティ設定を構成します。 これらの設定には、強力なパスワードを構成し、非アクティブの期間が一定の時間続いた後でモバイル デバイスをロックするための要件が含まれます。 |
これらの 2 つのモバイル デバイス管理ソリューションにより、IT 組織では、社内ネットワークで使用されているモバイル デバイス、および構成されているセキュリティ設定の準拠に関するレポート情報を提供できるようになりました。 ユーザーには、モバイル デバイスが紛失または盗難にあった場合に、アプリケーション カタログまたは会社ポータルを使用してモバイル デバイスをリモートでワイプする方法が示されます。 ヘルプ デスクにも、Configuration Manager コンソールを使用してユーザーのモバイル デバイスをリモートでワイプする方法が説明されます。 また、Adam は、Intune で登録されたモバイル デバイスについて、さらに多くの設定にアクセスできるようにすることで、ユーザーがインストールするモバイル アプリケーションを展開し、モバイル デバイスからより多くのインベントリ データを収集し、モバイル デバイスの管理制御を強化できるようになりました。 |
Trey Research には、オフィスを訪れた従業員が使用するキオスク コンピューターが何台かあります。 これらの従業員は、ログオンする場所に関係なく、各自のアプリケーションを利用することを望んでいます。 ただし、Adam は、すべてのアプリケーションを各コンピューターにローカルにインストールするのは避けたいと考えています。 そのため、Adam は次の 2 つの展開の種類で、必要なアプリケーションを作成します。
|
オフィスを訪れた従業員がキオスク コンピューターにログオンすると、各自が必要なアプリケーションがキオスク コンピューターのデスクトップ上にアイコンとして表示されます。 アプリケーションを実行すると、仮想アプリケーションとしてストリーミングされます。 そのため、普段のデスクトップと同様の生産性を維持できます。 |
Adam は、ソフトウェア センターでユーザーが業務時間を構成でき、この業務時間内およびコンピューターがプレゼンテーション モードになっている間はソフトウェア展開処理が行われないようにするオプションをユーザーが選択できることを、ユーザーに通知します。 |
Configuration Manager によってコンピューターにソフトウェアを展開する時間帯をユーザーが制御できるため、業務時間内の生産性が向上します。 |
これらの構成手順と成果により、Trey Research では、すべてのデバイスからアプリケーションにアクセスできるようにすることで、従業員の生産性を向上するのに成功しました。
例:デバイスのコンプライアンス管理を統合する
Trey Research は、最新の状態を自動的に保つウイルス対策ソフトウェアを社内のコンピューターで実行する、統合クライアント管理ソリューションを求めています。 つまり、Windows ファイアウォールが有効になって、重要なソフトウェアの更新プログラムがインストールされている、特定のレジストリ キーが設定および管理対象モバイル デバイスをインストールまたは署名されていないアプリケーションを実行できません。 また、Trey Research では、イントラネットからインターネットに移動するラップトップ向けに、この保護をインターネットに拡張する必要があります。
Adam は、これらの要件を次のように分類します。
要件 |
現在のクライアント管理の状態 |
将来のクライアント管理の状態 |
|---|---|---|
すべてのコンピューターで、定義ファイルが最新のマルウェア対策ソフトウェアを実行し、Windows ファイアウォールを有効にする。 |
コンピューターごとに、常に最新の状態になっているとは限らない、異なるマルウェア対策ソリューションを実行している。また、Windows ファイアウォールが既定で有効になっている場合でも、ユーザーが無効にしていることがある。 コンピューターでマルウェアが検出されると、ユーザーはヘルプ デスクに連絡する必要がある。 |
すべてのコンピューターで、最新の定義更新ファイルが自動的にダウンロードされる、同じマルウェア対策ソリューションを実行し、ユーザーが無効にした場合でも Windows ファイアウォールが自動的に再度有効になる。 マルウェアが検出されると、ヘルプ デスクに自動的に通知される。 |
すべてのコンピューターで、リリースの 1 か月以内に重要なソフトウェア更新プログラムをインストールする。 |
ソフトウェア更新プログラムはコンピューターにインストールされますが、多くのコンピューターは、重要なソフトウェア更新プログラムがリリースされても自動的にインストールせず、数か月後にインストールしている。 この期間は攻撃に対して脆弱な状態である。 重要なソフトウェア更新プログラムをインストールしていないコンピューターについては、ヘルプ デスクがまず電子メール メッセージを送信して、ユーザーに更新プログラムをインストールするように依頼している。 未対応のままのコンピューターについては、エンジニアがそれらのコンピューターにリモート接続し、不足しているソフトウェア更新プログラムを手動でインストールしている。 |
電子メール メッセージを送信したり、手動でインストールするようにヘルプ デスクに依頼せずに、指定の月内に現在の対応率を 95% 以上に向上する。 |
特定のアプリケーションのセキュリティ設定が定期的にチェックされて、必要に応じて修復される。 |
コンピューターで特定のアプリケーションのレジストリ値をリセットするために、コンピューター グループのメンバーシップを使用した複雑なスタートアップ スクリプトを実行している。 これらのスクリプトは起動時にのみ実行されるが、一部のコンピューターは何日もオンになったままであるため、既定の構成かどうかをヘルプ デスクが適時確認できない。 |
コンピューター グループのメンバーシップを使用したりコンピューターを再起動することなく、レジストリ値がチェックされて自動的に修復される。 |
モバイル デバイスで安全でないアプリケーションをインストールおよび実行できない。 |
ユーザーは、安全でない可能性があるアプリケーションをインターネットからダウンロードしないことが求められているが、これを監視したり強制するための制御がない。 |
Microsoft Intune コネクタまたは Configuration Manager の管理対象のモバイル デバイスで、署名されていないアプリケーションのインストールおよび実行を自動的に阻止する。 |
イントラネットからインターネットに移動するラップトップのセキュリティを確保する必要がある。 |
出張するユーザーは、VPN 経由では日常的に接続できないことが多く、これらのラップトップはセキュリティ要件に対応しなくなる。 |
インターネット接続が、ラップトップがセキュリティ要件に対応するために必要なすべてである。 ユーザーは、ログインしたり VPN を使用したりする必要がない。 |
これらの要件を満たすため、Adam は次の Configuration Manager 管理機能と構成オプションを使用します。
Endpoint Protection
ソフトウェア更新プログラム
コンプライアンス設定
モバイル デバイス管理
インターネット ベースのクライアント管理
これらを、次の表の構成手順を使用して実装します。
構成手順 |
成果 |
|---|---|
Adam は、Endpoint Protection を構成し、他のマルウェア対策ソリューションをアンインストールするようにクライアント設定を有効にし、Windows ファイアウォールを有効にします。 コンピューターが定期的に最新の定義更新ファイルをチェックしてインストールするように、自動展開規則を構成します。 |
単一のマルウェア対策ソリューションにより、すべてのコンピューターを最小限の管理オーバーヘッドで保護できます。 マルウェアが検出された場合、ヘルプ デスクには電子メール メッセージで自動的に通知されるため、問題を迅速に解決できます。 この機能によって、他のコンピューターに対する攻撃を防ぐことができます。 |
対応率を高めるため、Adam は、自動展開規則を使用し、サーバーのメンテナンス ウィンドウを定義し、休止状態のコンピューターで Wake On LAN を使用する場合の長所と短所を調べます。 |
重要なソフトウェア更新プログラムへの対応率が高くなり、ユーザーやヘルプ デスクがソフトウェア更新プログラムを手動でインストールする必要が少なくなります。 |
Adam は、コンプライアンス設定を使用して、指定のアプリケーションが存在するかどうかをチェックします。 アプリケーションが検出されると、構成項目によってレジストリ値がチェックされ、対応していない場合は自動的に修復されます。 |
すべてのコンピューターに展開されてコンプライアンスを毎日チェックする構成項目と構成基準を使用することで、コンピューターのメンバーシップを使用する個々のスクリプトや、コンピューターの再起動は必要なくなります。 |
Adam は、登録されたモバイル デバイスに対してコンプライアンス設定を使用して、署名されていないアプリケーションはモバイル デバイスでインストールおよび実行できないように、Exchange Server コネクタを構成します。 |
署名されていないアプリケーションを禁止することで、モバイル デバイスは有害な可能性があるアプリケーションから自動的に保護されます。 |
Adam は、HTTPS 接続に Configuration Manager で必要になる PKI 証明書がサイト システム サーバーとコンピューターにあることを確認してから、インターネットからのクライアント接続を受け入れる境界ネットワークに追加のサイト システムの役割をインストールします。 |
コンピューターがイントラネットからインターネットに移動した場合、インターネットに接続したときに Configuration Manager の管理が自動的に継続されます。 これらのコンピューターは、ユーザーがコンピューターにログオンしているか、VPN に接続しているかに依存しません。 これらのコンピューターのマルウェア対策と Windows ファイアウォール、ソフトウェア更新プログラム、および更新アイテムは引き続き管理されます。 そのため、対応レベルが自動的に向上します。 |
これらの構成手順と成果により、Trey Research では、デバイスのコンプライアンス管理を統合するのに成功しました。
例:デバイスのクライアント管理を簡素化する
Trey Research では、すべての新しいコンピューターが Windows 7 を実行する会社の基本のコンピューター イメージを自動的にインストールする必要があります。 オペレーティング イメージをインストールした後、これらのコンピューターにユーザーが追加でインストールしたソフトウェアは管理および監視される必要があります。 機密性の高い情報を保存しているコンピューターには、他のコンピューターよりも制限の厳しい管理ポリシーが必要です。 たとえば、そのようなコンピューターにはヘルプ デスクのエンジニアはリモート接続できず、再起動には BitLocker PIN の入力を使用する必要があり、ローカル管理者だけがソフトウェアをインストールできます。
Adam は、これらの要件を次のように分類します。
要件 |
現在のクライアント管理の状態 |
将来のクライアント管理の状態 |
|---|---|---|
新しいコンピューターに Windows 7 をインストールする。 |
ヘルプ デスクがユーザー用に Windows 7 をインストールして構成し、コンピューターを個々の場所に送付している。 |
新しいコンピューターは最終送付先に直接送付され、ネットワークに接続されると Windows 7 が自動的にインストールされて構成される。 |
コンピューターを管理および監視する必要がある。 これには、ライセンス要件を決定できるハードウェアおよびソフトウェア インベントリが含まれる。 |
Configuration Manager クライアントは自動クライアント プッシュを使用して展開され、ヘルプデスクが、インストールのエラーや、予定されたタイミングでインベントリ データを送信しないクライアントを調査している。 エラーは多くの場合、インストールの依存関係が満たされていないためや、クライアントの WMI の破損によるものである。 |
クライアント インストール、およびコンピューターから収集されるインベントリ データの信頼性が高まり、ヘルプ デスクが調査する必要が少なくなる。 レポートに、ライセンス情報用にソフトウェア使用状況を表示する。 |
一部のコンピューターの管理ポリシーをさらに厳しくする必要がある。 |
このさらに厳しい管理ポリシーのために、これらのコンピューターは現在、Configuration Manager によって管理されていない。 |
例外に対応するため、Configuration Manager を使用して管理オーバーヘッドを増やさずにこれらのコンピューターを管理する。 |
これらの要件を満たすため、Adam は次の Configuration Manager 管理機能と構成オプションを使用します。
オペレーティング システムの展開
クライアント展開とクライアント ステータス
コンプライアンス設定
クライアント設定
インベントリと資産インテリジェンス
役割に基づいた管理
これらを、次の表の構成手順を使用して実装します。
構成手順 |
成果 |
|---|---|
Adam は、Windows 7 がインストールされており、会社の仕様に合わせて構成されたコンピューターから、オペレーティング システム イメージをキャプチャします。 次に、不明なコンピューターのサポートおよび PXE を使用して、このオペレーティング システムを新しいコンピューターに展開します。 また、Configuration Manager クライアントをオペレーティング システム展開の一環としてインストールします。 |
新しいコンピューターは、ヘルプ デスクの対応なしに、短時間で利用できるようになります。 |
Adam は、検出されたすべてのコンピューターに Configuration Manager クライアントをインストールするように、サイト全体の自動クライアント プッシュ インストールを構成します。 これにより、クライアントのイメージが適用されていないコンピューターにも、Configuration Manager によって管理されるように、クライアントが確実にインストールされます。 Adam は、検出されたクライアントの問題を自動的に修復するように、クライアント ステータスを構成します。 また、必要なインベントリ データの収集を有効にするクライアント設定を構成し、資産インテリジェンスを構成します。 |
オペレーティング システムと共にクライアントをインストールするほうが、Configuration Manager がコンピューターを検出してコンピューターにクライアント ソース ファイルのインストールを試みるのを待つよりも、短時間で済み、信頼性も高くなります。 ただし、自動クライアント プッシュ オプションを有効なままにすると、既にオペレーティング システムがインストールされているコンピューターがネットワークに接続したときに、クライアントをインストールすることができるバックアップ手段として役立ちます。 クライアント設定によって、クライアントはサイトに対してインベントリ情報を定期的に送信します。 この定期的な送信とクライアント ステータス テストによって、ヘルプ デスクの操作を最小限に抑えてクライアントを継続的に実行することができます。 たとえば、WMI の破損が検出されて自動的に修復されます。 資産インテリジェンス レポートは、ソフトウェアの使用状況とライセンスを監視するのに役立ちます。 |
Adam は、さらに厳しいポリシー設定を構成する必要があるコンピューターのコレクションを作成し、このコレクションに対して、リモート コントロールの無効化が含まれ、BitLocker PIN の入力を有効にし、ローカル管理者だけがソフトウェアをインストールできるようにする、カスタムのクライアント デバイス設定を作成します。 Adam は、このコンピューターのコレクションがヘルプ デスクのエンジニアに表示されないように役割に基づいた管理権限を構成し、これらのコンピューターが誤って標準のコンピューターとして管理されないようにします。 |
これらのコンピューターは、Configuration Manager によって、新しいサイトは不要な、固有の設定を使用して管理されます。 これらのコンピューターのコレクションはヘルプ デスクのエンジニアには表示されないため、標準のコンピューター用の展開やスクリプトをヘルプ デスクのエンジニアが誤って送信する可能性を低減できます。 |
これらの構成手順と成果により、Trey Research では、デバイスのクライアント管理を簡素化するのに成功しました。
次のステップ
Configuration Manager をインストールする前に、Configuration Manager 固有のいくつかの基本的な概念と用語を理解するようにしてください。
Configuration Manager 2007 に慣れている場合は、基本的な概念と機能に関して以前のバージョンのソフトウェアから重要な変更がいくつか行われているため、「System Center 2012 Configuration Manager の新機能」を参照してください。
サービス パックが適用されていない System Center 2012 Configuration Manager から Configuration Manager SP1 にアップグレードする場合、または、Configuration Manager SP1 から System Center 2012 R2 Configuration Manager にアップグレードする場合、新しいリリースの変更点と更新点については、「System Center 2012 Configuration Manager SP1 の新機能」と「System Center 2012 R2 Configuration Manager の新機能」を参照してください。
System Center 2012 Configuration Manager の技術の概要については「Configuration Manager の基本情報」を参照してください。
基本的な概念を理解している場合は、System Center 2012 Configuration Manager のドキュメントを参照すると、Configuration Manager を適切に展開して使用するのに役立ちます。 提供されているドキュメントの詳細については、「Configuration Manager のドキュメントの新しい項目」を参照してください。