企業内 pc の運用を変える windows intune セッション id: t1-301...
Post on 19-Dec-2015
229 views
TRANSCRIPT
企業内 PC の運用を変える Windows Intune
セッション ID: T1-301
マイクロソフト株式会社
デベロッパー&プラットフォーム統括本部エバンジェリスト高添 修
コマーシャル Windows 本部プロダクト マネージャー輪島 文
3
セッションの目的とゴールSession Objectives and Takeaways
セッションの目的開発中の Windows Intune のポテンシャルをご理解いただくWindows Intune サービスのデモを見ていただく
セッションのゴール (Takeaways)マイクロソフトのクラウド戦略において、 Windows Intune の位置づけを理解するWindows Intune に含まれる機能を理解するWindows Intune の機能の裏に隠された マイクロソフトのテクノロジーの進化を理解する
4
ご注意
本セッションでは、現在開発中の製品を取り扱っています。
仕様および機能は変更される可能性があります。
5
Agenda
Windows Intune とは ?Windows Intune 管理サービスの利用Windows Intune 管理サービス解説まとめ
6
Windows Intune とは ?
7
広がるクラウド "We’re all in"
ビジネス アプリコラボレーション データベース プラットフォーム運用管理生産性 コミュニケーション
2009 年 9 月某イベントでデモSystem Center
"Online Desktop Manager "
クラウド型のサービス提供で終わらなかった
8
とは ?
( オプション )
ライセンスもクラウド型 = サブスクリプション
クラウド型の管理サービス利用
アンチウイルスアンチマルウェア
稼動監視 / ポリシー
更新管理 / インベントリ
ドライブ暗号化
最新 OS で標準化
高速 / 安定 / セキュア
SA 付き
$11/ 月
$1/ 月
9
" 不要 " の削減
" 運用管理ツール " の運用管理キャパシティ プランニングやサイト設計サーバーやソフトウェアの購入と設定OS 、ソフトウェアのインストールと設定可用性検証、災害対策日々のサーバー (H/W と S/W) 管理
ローミングマシン対策社外に持ち出した PC 用のルール作り
上記にかかる時間も " 不要 "
10
管理サービスの利用
11
Windows Intune へサインインhttps://manage.microsoft.com/Windows Live ID でサインイン
Windows Intune 管理画面
フェデレーションが裏で動く可能性も
12
マルチ アカウント コンソール
Windows Live ID でサインイン後の画面
自前サーバー無しでの運用管理サービス !
※ 複数ユーザーの状態を一目で確認
13
資産 ( アセット ) 管理ハードウェア インベントリソフトウェア インベントリライセンス
更新管理マルウェアからの保護稼動監視 - アラート -
ポリシーと 構成管理
SaaS 型の コンピューター管理機能管理コンソールーーーーーー
ワークスペース
14
大まかな利用手順
Windows Live ID でログオン
クライアントソフトウェアのインストール
Intune サービス クライアント
コンピューターをグループ化
クライアント ソフトウェア のダウンロード
更新ルールやポリシー設定
運用と監視
コンピューターがサイトに表示される
• Windows Intune• Windows Intune Center• Microsoft Antimalware• Windows Intune Malware Protection• Windows Intune Malware Protection Agent• Windows Intune Monitoring Agent• System Center Operations Manager 2007 R2 Agent• Microsoft Policy Platform• Microsoft Online Management Policy Agent• Windows Firewall Configuration Provider• Microsoft Easy Assist v2
クライアント ソフトウェア展開
DEMO
現時点での追加モジュール一覧( 更新管理機能で自動アップデート )
16
クライアント ソフトウェアの展開
クライアント ソフトウェア (msi)アカウント識別子付きで署名済み
インストール1. オンラインから直接2. ダウンロード後に自動 / 手動
3. グループ ポリシーによる自動化も可能
追加で必要なモジュールは自動インストールWindows Update 経由30 分以内に自動展開、サービスと連携開始
ファイルの漏えいには注意
Msiexec /i Windows_Intune_x86.msi /qn
32 bit モジュールの例
17
インストール後のクライアント側
Windows Intune Malware Protection
Windows Intune センター
18
Windows Intune のライセンス管理
接続クライアント ライセンス利用するコンピューター分契約 ( 購入 )クライアントを接続するとライセンスを消費
仮想化との関係契約数が物理コンピューター数を超えない限り、2 倍までは仮想コンピューターの登録が可能物理マシン 1 台に対し仮想マシン 4 台まで可能
ライセンスに関する詳細は、これから
19
Windows Intune 利用要件
管理対象のコンピューターWindows 7 Professional 、 Enterprise 、 Ultimate
Windows Vista Business 、 Enterprise 、 Ultimate
Windows XP Professional SP3 (推奨 )
SP2 は KB914882 と MSXML 6.0 SP2 をインストール
管理コンソールSilverlight 3.0 をサポートするブラウザー
全てのコンピューターインターネットアクセス環境
Windows XP の場合CPU 500 MHz 、 256 MB の
RAM 、Disk 200 MB 空き
20
コンピューターのグループ化
階層型でグループ化複数グループへの登録可能ポリシー適用に利用
グループ例地理的部門毎ハードウェアの違いテスト環境用
運用管理へ
21
管理サービス解説
デモを中心に解説します
22
資産管理ハードウェア インベントリ
コンピューターごとのハードウェア コンポーネントのリスト
ソフトウェア インベントリコンピューターごとに検出されたソフトウェアのリストAsset Inventory Services (AIS) カタログでカテゴライズ
レポーティングソフトウェア レポートライセンスの購入レポートライセンスのインストール レポート
ライセンス管理ライセンス契約情報 (契約名、契約番号 ) のインポートCustomer License Position (CLP) サービスからの情報取得
23
ハードウェア インベントリ
コンピューターのリスト
各マシンのハードウェア情報
24
ソフトウェア インベントリ1. MSI ソフトウェア リポジトリ2. " プログラムの追加と削除 " の情報3. App-V キャッシュ
App-V 環境にも対応
• 7 つのメジャーカテゴリと 40 のマイナーカテゴリ
• その内 1 つは、北米産業分類体系 (NAICS) を利用
情報を収集後、重複を排除して表示
25
ライセンス管理
既存の契約情報を Windows Intune にアップロードが可能
レポート購入したライセンス情報 + 実際に展開されたソフトウェアとコンピューターを確認
エクスポートし、不足分は追記
26
更新管理 ( 更新プログラムの制御 )
Microsoft Update & WSUS フレームワークに基づいた構成
自社に応じた構成が可能製品と分類の選択更新プログラムの承認と拒否自動承認規則の作成
ステータス管理とレポートシステム、グループ、コンピューターごとのステータス管理更新状態レポート
インストールできなかった更新プログラムコンピューターに必要な更新プログラムの数インストール済みのコンピューター数 など
コンピューター グループにルールを適用
27
システムごと、グループごと、コンピューターごとのステータス管理保護されていないコンピューター警告のあるコンピューター ( スキャンの未実施、期限切れの定義ファイルなど )最近解決されたマルウェア、フォロー アップが必要なマルウェアサード パーティ製マルウェア対策ソフトウェアを実行しているコンピューター
既存のマルウェアソフトウェアを活かしたい
マルウェア ( ウイルス ) からの保護
Forefront Endpoint Protection や Microsoft Security Essentials で使用されているマルウェア保護エンジン
ウィルス、スパイウェア、マルウェア対策 (駆除な
ど )
定義ファイルも自動更新( 更新管理機能に包含 )
Policy Enable Malware Protection Settings = no
28
マルウェア感染時の状態
通常
感染
※ 詳細情報は Malware Protection Center で確認可能
29
稼動監視~アラート~アラート項目 606 項目 (有効 / 無効 )
Windows Intune Monitoring Agent が監視( 例 ) IIS サービス稼動やディスク性能劣化
通知管理コンソールメールでの通知
エージェントヘルス 未報告期間の閾値インストール仕切れていない24 時間報告していないエージェント7 日以上 オフライン
リモートアシスタンス要求もアラートとして処理
30
console: execute? taskName=Microsoft. Windows.InternetInformationServices. 2008. ServerRole. StartAdministrationService.Task & tasktarget={$TARGET$}
アラートの例 1
IIS サービスのアラートから詳細な情報を表示
31
アラートの例 2
32
ポリシーと構成管理
標準で、 8 ~ 9.5 時間ごとにコンピューターで実行8 ~ 22 時間ごと (推奨値 8 時間 ) にサーバーからダウンロード
重複した場合GPO との重複は GPO 優先グループ階層構造の一番下のレベルに関連したポリシー優先順位がつかない場合「最終更新時刻」が最新のもの優先
SCCM VNext の Desired Configuration Management (DCM) に基づいた構成
自社に応じた構成が可能Windows Intune エージェント設定Windows Intune センター設定Windows ファイアウォール設定
コンピューター グループにルールを適用
次世代ポリシー基盤
33
ポリシー競合時の迂回策
1. OU の分離• Windows Intune ポリシー適用マシン • 階層化されている場合、 GPO 継承ブロック
2. セキュリティ グループ フィルタリング• GPO 適用の権限で制御
3. WMI フィルターの利用
WIT. mofファイル作成
ヘルプにサンプルあり
MOFCOMPコマンドで情報埋め込み
情報を使って GPO をフィルター処理Intune あり → SCOPolicyEnable = 1Intune なし → SCOPolicyEnable = 0
34
WIT. mof と 関連処理
#pragma autorecover
//Beginning of MOF file. #pragma classflags ( "forceupdate" ) #pragma namespace ( "\\\\. \\Root" ) instance of__Namespace {Name = "WindowsIntune" ;};
#pragma namespace ( "\\\\. \\Root\\WindowsIntune" )[Description ( "This class defines Windows Intune common properties" )] class SCO_ManagedNode {[read, Description ( "This defines whether Windows Intune Policy is enabled" ) : DisableOverride ToSubClass] boolean SCOPolicyEnabled; [read, key, Description ( "This property defines the version. " "Example: 1.0" ) : ToSubClass] string Version;};
instance of SCO_ManagedNode {Version = "1.0" ; SCOPolicyEnabled = 1;};
WIT.mof ファイル
C: /Windows/System32/Wbem/MFOCOMP <MOF ファイルのパス >\wit.mof
コマンド
MOF ファイルをコンパイルし、 WMI リポジトリに情報を追加する
35
GPO WMI フィルター設定
入力の画面
36
共通ポリシー基盤の確立(Active Directory 非依存 )
Exchange
( 大きな話 ) 新しいポリシー基盤
GPO
ポリシー基盤の乱立
SQL
その他・・
SDM SDM v2 SML CML
Dynamic Systems Initiative の共通定義モデルの進化
SCOM の管理パック
SCCM Vnext DCM
New GPO?
NewPolicy
Platform
“Lantern”
37
レポート
3 種類 ( 現時点 )更新ソフトウェアライセンス
38
管理のページ
更新プログラム自動承認アラートと通知機能サービス共同管理者の追加クライアント ソフトウェアダウンロード
※ サービスステータス表示へのリンク
39
サービスステータスの確認
40
リモートアシスタンス
Microsoft Easy Assist双方の承諾による操作画面リモート共有制御の要求と委任レコーディング
管理者がアラート確認利用者がサポート要請
41
(参考 ) クライアントから見た負荷パフォーマンス モニターにて確認
目立つ値を選択しても最大で約 2,697 Bytes
42
まとめ
43
企業内の利用シナリオ
ブランチキャッシュ
AppLocker
BitLocker ドライブ暗号化
BitLocker To Go
ダイレクトアクセス
Active Directory
44
最適な Windows 環境を利用Windows 7 Enterprise と更なる付加価値を提供
効果的に Windows を一つのバージョンに統一 ( 標準化 )
• BitLocker To Go• 操作性と検索性の改良• モバイルでの高い生産性• 処理速度と信頼性の向上• 高いパフォーマンス
Windows 7 Enterprise へのアップグレード
必要なバージョンへのダウングレード権
次期 Windows バージョンへのアップグレード
オプション (仮想化の推進など )
45
Windows Intune 10 のベネフィット
1) どこにいても PC のセキュリティ対策と管理を実現2) 最上位の Windows 環境を利用可能3) 小さな投資で徹底したセキュリティ管理4) マルウェアの脅威から PC を守り、 PC を止めない5) 常に最新の状態の PC 利用環境6) 事前に問題を特定し、ビジネスを止めない 7) 資産管理とライセンス管理を簡単に実現 8) 複数企業のアカウントを1つの画面で管理9) レポートにより管理状況が一目瞭然 10) 信頼できるクラウド サービス
何ができるの?という問いに答えるための情報です。
46
9/3 の夕方にセミナー開催!
「この人にも知らせなきゃ」と頭に 浮かんだ方に是非紹介してください。
http://www.microsoft.com/japan/powerpro/TF/default.mspx
Tech Fielders セミナー 東京~ Windows 7 に興味がある企業様も必見
~「Windows Intune に見る新しいクラウドの形 ]
18:00 スタート
47
Windows Azure Platform無償 セミナー & ハンズオン トレーニング定期開催決定!
Windows Azure Platform の最新情報から詳しい技術情報をお届けするセミナー、 Visual Studio 2010 など最新の開発環境で Windows Azure Platform 上で稼働するアプリケーション開発を実践できるハンズオン トレーニング を定期開催いたします
開催日程 : 2010 年 10 月頃 開始予定開催場所 : マイクロソフト株式会社 新宿本社 セミナールーム、大手町テクノロジーセンター 他 (予定 )
詳細・お申込みWindows Azure Platform Web サイトhttp://www.microsoft.com/japan/windowsazure/events/
48
まとめ
クラウドの魅力弾力性があり、 (Elastic)無限のスケールを持ち、 (Infinite Scale)すぐに使えて、無駄がない
クライアント管理もクラウドの時代へ !
来週、もう一度そのポテンシャルを感じてください !
Windows Intune ビデオ (英語 )http://www.microsoft.com/windows/windowsintune/windowsintune-experience.aspx
49
Appendix
50
関連セッション
T7-301: インフラ管理者のための Windows XP から Windows 7 への移行手法
T2-303: Microsoft VDI の実践 ~ 構築方法のポイントと活用ノウハウ~
T2-301: ついに登場 ! RemoteFX で実現する強化された MS VDI のアーキテクチャ
T2-305: 何ができる ? シトリックス & マイクロソフト VDI 徹底解説
T2-304: App-V/MED-V で実現する最新デスクトップ環境の 構築手法~クライアントサイドの仮想化技術~
51
リファレンスWindows Intune ホーム (英語 )http://www.microsoft.com/windows/windowsintune/default.aspx
TechNet ライブラリ ( 日本語 )http://technet.microsoft.com/ja-jp/library/ff462936.aspx
Windows Intune ヘルプサイト ( 日本語 )http://onlinehelp.microsoft.com/ja-jp/windowsintune/default.aspx
Windows Intune Team Blog (英語 )http://blogs.technet.com/b/windowsintune/
Windows Intune TechNet Techcenter (英語 )http://technet.microsoft.com/ja-jp/windows/ff472080 (en-us) .aspx
Windows Intune TechNet Forum (英語 )http://social.technet.microsoft.com/Forums/en-US/windowsintune
52
クラウドをコミックにしてみました
Windows PowerShell 版もあります→
会議センター 3Fカタログ コーナー横テクノロジ コミック立ち読みコーナーにて配布中
ご清聴ありがとうございました。
T1-301アンケートにご協力ください。
© 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED
OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.