何でも屋: Windows InTune - 社外サービスを使用したコンピューターの管理
監視と管理には、クラウド ベースのサービスを利用することが有効な場合があります。
Greg Shields
クラウドがすべてのユーザーに適していると断言するには時期尚早かもしれませんが、クラウドでホストされているサービスが便利であることは間違いありません。違いはないと主張する前に、既に利用しているクラウドでホストされているサービスについて考えてみてください。ウイルス対策プログラムの署名と毎月配信される Windows の更新プログラムは、社外から提供されています。スパム対策フィルターは、間違いなく IT 管理者の制御範囲外から取得されるものです。電子メールでさえ、最終的には、社内のサーバーから外部プロバイダーに送られた後に、受信者の手元に届きます。
IT 業界では、社外でホストするサービスを、この漠然とした "クラウド" という用語を使って呼ぶことで自分たちにひどい仕打ちをし、長年にわたって使用および信頼してきたインターネットにおけるソリューションの発現の分類を試みました。
私たちの多くは、ベンダーが "クラウドでホストされている" サービスについて言及すると、未知であいまいなものへの非合理的な恐怖を覚えます。実際には、多くの場合、クラウド サービスは、長年信頼してきたソリューションと少し違っていて、このようなソリューションよりも便利なことがあります。Windows InTune は、そのことを示す申し分のない例となるでしょう。
これは、重要な警鐘です。Windows コンピューターの管理には、社外でホストされているサービスが最適な場合があることを認識する必要があります。このようなオフサイトのサービスは "クラウドでホストされている" ため、コンピューター資産をロックダウンできない IT 管理者には理想的です。持ち運んで使用しているノート PC がある場合、Windows InTune のようなクラウド ベースの管理ツールは、ノート PC がどこに持ち運ばれるかに関係なく制御を維持するのに最適なソリューションです。
コンピューターをオフィスから持ち出すことがなくても、Windows InTune のようなクラウド ベースのソリューションを使用すると、サーバーを追加することなく管理機能を強化できます。サーバーを 1 台減らすと、サーバー 1 台分の管理作業が不要になり、他の作業により多くの時間を使うことができます。大企業のみが享受している管理の自動化をご所望であれば、Windows InTune がもたらすメリットを実感できるでしょう。
コンピューターの動作を監視する
Windows InTune は、増え続けているマイクロソフトが提供するサブスクリプション ベースのオンライン サービスに新たに追加されたものです。Windows InTune では、インベントリ、更新プログラムの適用、エンドポイントの保護、アラート通知、およびリモート制御機能が、単一の Web ベースのコンソールに集約されています。このコンソール自体は、マイクロソフトによってホストされています。システムを管理するには、まず、Windows InTune にアクセスします。各コンピューターにインストールされたエージェントによって、マイクロソフトに情報が送信されるので、このような処理を行うためのサーバーを用意してメンテナンスする必要がなくなります。
このしくみにより、システムに関する一連のメタデータが外部サービスによって収集されます。マイクロソフトでは、Windows InTune を使って機密データを保存することについてはあまり考慮されていません。Windows InTune では、一般的に比較的リスクが低いデータ カテゴリと考えるコンピューターの構成に関するデータが収集されます。
コンピューターの動作を理解することは、多大な利益をもたらします。あらゆる IT 企業では、その利益を必要としていますが、実際に手にしている企業はごくわずかです。Windows InTune の Web ベースのコンソール (図 1 参照) には、管理対象のコンピューターについて警告を表示することが可能なアクティビティと動作がまとめて表示されます。これらの機能では、ディスクの破損やメモリ エラーなど、見つけることが困難な問題を監視します。Windows InTune に用意されている 380 種類のアラートでは、上位製品である Microsoft System Center Operations Manager (SCOM) のアラートと同様に、コンピューターの正常性に関する詳細な予測データが提供されます。
.jpg)
図 1 Windows InTune に用意されているさまざまなアラート
シンプルであることは、Windows InTune の価値提供における最重要事項の 1 つです。このシンプルさは、非常に高い柔軟性を備えた SCOM のアラート インフラストラクチャとはきわめて対照的です。SCOM では、監視、管理パック、およびオーバーライドの調整において相互関係が考慮されますが、多くの場合、SCOM のインフラストラクチャは、基本的な監視のニーズに対応するものとしては、あまりに複雑です。Windows InTune では、自動的にアラートが構成および調整されます。ただし、提供されるのは、アラートを有効/無効にするオプションと、その設定を適切な受信者に電子メールで送信するためのオプションに限定されます。
クライアントを保護する
Windows InTune の最大の役割は、クライアントの保護です。Windows InTune では、Microsoft Forefront Endpoint Protection クライアントのカスタマイズされたバージョンによるエンドポイント保護がサポートされています。また、一元管理された Windows Update クライアントを通じて、マイクロソフトが提供する更新プログラムを展開することもできます。これらの設定を Windows InTune で管理すると、クライアントはローカルの管理対象から外れ、同時にポリシーが適用されることが保証されます。
マルウェア対策と更新プログラムのサポートはどちらも必ず必要なものです (図 2 参照)。これは、特に賢明だと思われるマイクロソフトが下した設計上の決定の 1 つです。Windows InTune では、管理対象クライアントのドメイン メンバーシップは考慮されません。IT 管理者は、一元管理された単一のサービスを通じて、ドメイン メンバーシップに関係なくクライアントを管理できます。クライアントは、LAN とインターネットのどちらに接続していてもかまいません。また、組織で所有しているものでも所有していないものでもかまいません。Windows InTune で管理すると、社員が自宅で使用しているコンピューターに関するリスクが突如軽減します。
.jpg)
図 2 Windows InTune で提供されるマルウェアに関する無数のレポート
Windows ドメインから Windows InTune を分離するというマイクロソフトの勇断によって、社内資産の保護を強化する方法が実現しました。また、社員が自宅で使用しているコンピューターは、IT 管理者が準備したノート PC と同じ方法で保護されるようになりました。オフィスに持ち帰ることがないノート PC も、更新プログラムとマルウェア対策プログラムの署名については管理下に置くことができます。つまり、マルウェアを制御して、ネットワークに侵入させないようにすることができます。これは、とても強力です。
Windows InTune では、少数の構成可能なポリシーを使用して、これを実現できます。現時点では、エージェントの動作とファイアウォール設定を制御するポリシーが 2 つあります。3 つ目のポリシーでは、サポートが必要なユーザーの連絡先情報を独自に設定できます。これらのポリシーは、Windows のグループ ポリシーに取って代わるものではありませんが、将来的には、ネットワークに接続しているクライアントに有効だと考えられるポリシーがさらに追加される可能性があります。
将来の管理フレームワーク
Windows InTune では、ハードウェア、ソフトウェア、およびライセンスのインベントリ機能が組み込まれているので、コンピューターを管理するのに十分な詳細情報が提供されます。とは言え、今日の Windows InTune では、まだ比較的基本的なサービスしか提供されないという事実をごまかすことはできません。管理を全面的に自動化するには、ソフトウェアの展開、サードパーティ製ソフトウェアの更新プログラムの適用、スクリプトの実行など、他にも機能が必要です。しかし、Windows InTune は、良いスタートを切りました。オンライン サービスとして、マイクロソフトにとって適切な方向への第一歩であり、いずれ全面的な自動化を実現するのに必要な管理機能を追加するフレームワークでもあります。
マイクロソフトは、オンライン サービスを提供することで、製品のリリース サイクルから解放されます。エージェントのデータとデータを管理するツールが、マイクロソフトがホストするインフラストラクチャに集約されるため、簡単に新しい機能を追加することができます。Windows InTune は、すばらしいスタートを切ったサービスですが、IT 業界が社外でホストされているコンピューター管理サービスを信用するようになるかどうかは、現時点では不明です。
.jpg)
Greg Shields (MVP) は、Concentrated Technology の共同経営者です。何でも屋である IT プロフェッショナル向けのヒントとテクニックについては、ConcentratedTech.com (英語) を参照してください。