Microsoft System Center: System Center を使用してモバイル デバイスを管理する
ネットワークにアクセスするモバイル デバイスの数は日々増えています。このようなモバイル デバイスの管理には、Microsoft System Center 管理ツールが役に立ちます。
Brien Posey
モバイル デバイスによって、企業の形態が変化していることは間違いありません。実際、最近では、だれもがスマートフォンを所有しており、タブレットは今年のコンシューマー エレクトロニクス ショーで非常に大きな話題を集めました。モバイル デバイスは完全にメインストリームのデバイスとなりましたが、この現状に対応するには、企業ネットワークで対応しなけれなばらない課題がわずかながらあります。最も重大な課題の 1 つは、ネットワーク上で数と種類が増加するモバイル デバイスを効率的に管理することです。
ActiveSync ポリシーを使用してモバイル デバイスを管理するためだけに、Microsoft Exchange Server を展開した企業もあります。Exchange Server を展開して、この問題に対応することは可能ですが、マイクロソフトでは、エンタープライズ環境におけるモバイル デバイスの管理に特化したソリューションとして System Center Mobile Device Manager (MDM) 2008 を提供しています。
MDM 2008 の主な目標は、デスクトップ コンピューターやラップトップ コンピューターを管理するのと同じなじみがある方法で、モバイル デバイスを管理できるようにすることです。もちろん、モバイル デバイスで、デスクトップ コンピューターやラップトップ コンピューターと同じ機能をすべて使用できるわけではありません。そのため、MDM 2008 では、いくつかの重要な領域に重点を置いています。MDM 2008 は、特に次の処理を実行する際に役立ちます。
- アプリケーション展開
- グループ ポリシーの管理
- デバイスのインベントリ
- 紛失または盗難に遭ったデバイスのリモート ワイプ
MDM のアーキテクチャ
MDM 2008 SP1 には、ゲートウェイ サーバー、登録サーバー、および管理サーバーという 3 つのサーバーの役割が用意されています。これらの役割の概要は次のとおりです。
ゲートウェイ サーバー: モバイル デバイスを社内ネットワークにリンクします。ゲートウェイ サーバーは、DMZ のネットワーク境界に配置され、モバイル デバイスとバックエンド ネットワーク間の "ゲートウェイ" として機能するように設計されています。ゲートウェイ サーバーはインターネットに公開されるため、マイクロソフトは、このサーバーをドメインに追加しないことを推奨しています。このサーバーは、ドメイン メンバーではないので、Windows NT Lan Manager (NTLM)、Kerberos、または Active Directory ドメイン サービスを使用して、モバイル デバイスを認証できません。そのため、認証プロセスは証明書に基づいて実行されるので、エンタープライズ証明機関が必要になります。
管理サーバー: ネットワークで使用されているプロトコルを、Open Mobile Alliance Device Management (OMA DM) という名前のプロトコルに変換します。つまり、管理サーバーでは、基本的に、現在コンピューターを管理しているのと同じような方法で、モバイル デバイスを管理できます。
登録サーバー: エンタープライズ環境でコンピューターを管理するには、コンピューターをドメイン メンバーにする必要があります。モバイル デバイスは、コンピューターと同じように Windows ドメインに参加することはできませんが、ドメインに登録することは可能です。登録サーバーを使用すると、モバイル デバイスをドメインに登録できます。
展開に関する考慮事項
MDM 2008 がリリースされた当初、インストール プロセスは非常に単純で、ドメインを準備したら、後はセットアップ ウィザードを実行するだけでした。SP1 でも、セットアップ ウィザードに従って操作を進めるのは簡単ですが、MDM 2008 から数多くの変更が加えられました。そのため、一部の前提条件に準拠するのが困難な場合があります。
最近の展開では、MDM 2008 のセットアップ ウィザードで、サーバーのさまざまな前提条件が認識されないという問題がいくつか発生しました。このセクションでは、展開に関して発生する可能性があるいくつかの問題と、それらを軽減するための手順を紹介します。
MDM 2008 は Windows Server 2008 と互換性がないので、Windows Server 2003 または Windows Server 2003 R2 のいずれかにインストールする必要があります。x86 アーキテクチャと x64 アーキテクチャをサポートしていますが、x86 アーキテクチャを使用している場合の方が簡単に管理ツールを展開できます。
Windows Server 2003 R2 を物理ハードウェアまたは仮想ハードウェアのどちらにインストールする場合も、インストールの問題が発生する可能性があります。新しいサーバーに Windows Server 2008 R2 をインストールするときには、サーバーの BIOS で、サーバーによる仮想化のサポートと No Execute 機能のサポートを無効にしないと、セットアップ ウィザードでブルー スクリーンが表示されることがあります。また、サーバーの BIOS が、IDE モードで SATA コントローラーを操作するように構成されていない場合、セットアップ ウィザードでブルー スクリーンが表示されることもありました。
仮想サーバーを使用している場合にも、問題が発生する可能性があります。すべてではありませんが、一部の Hyper-V サーバーで、Windows Server 2003 または Windows Server 2003 R2 の任意のエディションを実行しているバーチャル マシン (VM) を再起動すると、レジストリのソフトウェア ハイブが必ず破損する現象が発生します。ただし、この問題は、すべての Hyper-V サーバーで発生するわけではありません。
前提条件によると、SQL Server 2005 SP2 以降のバージョンが必要になります。また、SQL Server の完全なバージョンを使用する必要があります (Express Edition はサポートされていません)。MDM 2008 では、SQL Server 2008 がサポートされていないことにも注意してください。
MDM デバイス管理サーバーの前提条件の 1 つとして、Windows Server Update Services (WSUS) SP1 をインストールする必要があります (WSUS 3.0 SP2 はサポートされていないようです)。WSUS 3.0 SP2 を使用して展開しようとしたところ、セットアップ ウィザードでは WSUS がインストールされていることさえ認識されませんでした。
管理ツールを使用するには、サーバーで Windows PowerShell 1.0 が実行されている必要があります。そのため、MDM 2008 サーバーの自動更新を実行するときには注意してください。Windows Management Framework Core パッケージの一部として、Windows PowerShell 2.0 が自動的にインストールされます。
このパッケージが既にインストールされている場合は、コントロール パネルのプログラムの追加と削除アプレットを使用して削除できます。このとき、パッケージを削除すると、WSUS や IIS などのいくつかのアプリケーションが動作しなくなることを通知するメッセージが表示されます。警告メッセージは表示されますが、このパッケージは安全に削除できるようです。
最後に、グループ ポリシーの設定を使用してモバイル デバイスを制御する場合は、管理ツール コンポーネントのグループ ポリシー拡張を展開する必要があります。これについては、いくらか注意が必要です。グループ ポリシー拡張を展開するには、グループ ポリシー管理コンソール (GPMC) をインストールする必要があります。ただし、残念ながら、このコンソールは 64 ビット版の Windows Server 2003 では実行できません。
GPMC を 64 ビット版のサーバーにインストールする方法はありますが、この方法を使用してインストールしても、MDM 2008 セットアップ ウィザードでは、コンソールがインストールされていることが認識されません。そのため、グループ ポリシーの設定を使用してモバイル デバイスを管理するには、32 ビット版の OS を実行しているコンピューターをセットアップして、コンソールをインストールするしかありません。
MDM 2008 を使用するには、組織でエンタープライズ ルート証明機関を展開している必要があります。この証明機関は、Windows Server 2003 または Windows Server 2008 のいずれでも実行できます。
デバイスを登録する
MDM 2008 を展開して実行したら、モバイル デバイスの登録は比較的簡単に始められます。事前登録のプロセスを開始してデバイスを登録するには、System Center Mobile Device Manager コンソールを開きます。コンソール ツリーで、[Mobile Device Manager]、([<お使いの MDM 2008 インスタンス>])、[デバイスの管理]、[すべての管理対象デバイス] を順に展開します。次に、[事前登録の作成] リンクをクリックします。このリンクをクリックすると、事前登録ウィザードが起動します。
[次へ] をクリックしてウィザードの手順を開始し、ようこそ画面の次のページに進みます。次に、登録するデバイスの名前を入力する画面が表示されます。デバイスを特定できればどのような名前も使用できますが、名前は 15 文字未満にする必要があり、スペースを含めることはできません。この画面では、デバイスを作成する組織単位を変更することもできますが、通常は、既定の組織単位で問題ありません。
[次へ] をクリックすると、デバイスを割り当てる Active Directory ユーザーを選択するページが表示されます。ユーザーを選択したら [次へ] をクリックします。この時点で、事前登録の構成の概要が表示されます。すべての内容が適切だとして、[作成] をクリックします。作成プロセスが完了すると通知が表示されます (図 1 参照)。
図 1 事前登録プロセスを完了するとモバイル デバイスを追加する準備が整います
この画面には、電子メール アドレスと登録パスワードが表示されており、ユーザーは、この資格情報を使用してデバイスを登録する必要があります。そのため、事前登録の概要に表示される電子メール アドレスとパスワードは控えておきます。
デバイスの登録の手順は、Windows Mobile のバージョンによって異なりますが、ここでは、Windows Mobile 6.5 を使用していると仮定します。Windows Phone 7 には、デバイス登録の機能が用意されていないことに注意してください。
Windows Mobile 6.5 デバイスを登録するには、デバイスの [スタート] ボタンを押し、[設定]、[接続] を順にタップします。次に、[ドメインへの登録] をタップします。デバイスには、登録プロセスの概要が表示されます。[登録] をタップすると、事前登録ウィザードで生成された電子メール アドレスとパスワードを入力する画面が表示されます (図 2 参照)。
図 2 Windows Mobile で登録の資格情報を入力するように求められます
これらの資格情報を入力すると、デバイスで登録サーバーが検出されます。デバイスで登録サーバーが検出されない場合は、次のような画面でデバイスの名前を入力するように求められることがあります。処理が完了すると、デバイスが正常に登録されたことを通知するメッセージがデバイスに表示されます (図 3 参照)。
図 3 Windows Mobile でデバイスが正常に登録されたことが確認された状態
デバイスは、System Center Mobile Device Manager コンソールの [すべての管理対象デバイス] にも表示されます (図 4 参照)。ただし、表示内容の更新が必要な場合があります。
図 4 新しく登録されたデバイスは System Center Mobile Device Manager コンソールの [すべての管理対象デバイス] に表示されます
アプリケーションを展開する
System Center Mobile Device Manager のソフトウェア配布コンソール (図 5 参照) では、アプリケーションをモバイル デバイスに配布できます。配布するには、モバイル アプリケーションをパッケージ化する必要があります。パッケージを作成するには、コンソール ツリーで、[ソフトウェア配布]、[MDM]、[パッケージ]、[ソフトウェア パッケージ] を順に展開し、[作成] リンクをクリックします。このリンクをクリックすると、パッケージの作成ウィザードが起動します。
図 5 System Center Mobile Device Manager のソフトウェア配布コンソールを使用すると、モバイル アプリケーションをパッケージ化して展開できます
ウィザードではいくつかの簡単な手順を実行して、アプリケーションをパッケージ化できます。パッケージ化したら、コンソールを使用してパッケージを展開できます。コンソールには、パッケージの展開を追跡するためのメカニズムも用意されています。
グループ ポリシーを管理する
デバイスを Windows ドメインに登録したら、グループ ポリシーを通じて管理できます。グループ ポリシー拡張をインストールすると、グループ ポリシー エディターで、モバイル デバイス固有の多数のグループ ポリシー設定を利用できるようになります。これらの設定を使用して、デバイスにパスワードを設定したり、さまざまなデバイスの機能を有効または無効にしたりすることができます。
このようなユーザー固有のグループ ポリシー設定は、グループ ポリシー エディターで [ユーザーの構成]、[管理用テンプレート] を順に展開したところにある [Windows Mobile の設定] からアクセスできます。また、デバイス固有の設定は、[コンピューターの構成]、[管理用テンプレート] を順に展開したところにある [Windows Mobile の設定] からアクセスできます。
社内ネットワークのドメインに登録されているモバイル デバイスが紛失や盗難に遭った場合は、MDM 2008 でリモート ワイプを実行できます。リモート ワイプを実行するには、System Center Mobile Device Manager コンソールの [すべての管理対象デバイス] にアクセスし、デバイスを右クリックして、[今すぐワイプ] をクリックします。ユーザー自身がモバイル デバイスをワイプできる、セルフサービス型のポータルも用意されています。
モバイル デバイスの数と種類が増加している中、モバイル デバイスの管理は手に負えない作業のように思えるかもしれません。どのようなことについても言えることですが、必要なのは作業に適したツールです。適切なツールがあれば十分に管理できます。
Brien Posey は、MVP であり、数千件の記事と数十冊の書籍を執筆した実績のあるフリーランスのテクニカル ライターです。Posey の Web サイトのアドレスは brienposey.com (英語) です。