企業内 PC の運用を変える Windows Intune

セッション ID: T1-301

マイクロソフト株式会社

デベロッパー＆プラットフォーム統括本部エバンジェリスト高添 修

コマーシャル Windows 本部プロダクト マネージャー輪島 文

3

セッションの目的とゴールSession Objectives and Takeaways

セッションの目的開発中の Windows Intune のポテンシャルをご理解いただくWindows Intune サービスのデモを見ていただく

セッションのゴール (Takeaways)マイクロソフトのクラウド戦略において、　　　　 Windows Intune の位置づけを理解するWindows Intune に含まれる機能を理解するWindows Intune の機能の裏に隠された　マイクロソフトのテクノロジーの進化を理解する

4

ご注意

本セッションでは、現在開発中の製品を取り扱っています。

仕様および機能は変更される可能性があります。

5

Agenda

Windows Intune とは ?Windows Intune 管理サービスの利用Windows Intune 管理サービス解説まとめ

6

Windows Intune とは ?

7

広がるクラウド "We’re all in"

ビジネス アプリコラボレーション データベース プラットフォーム運用管理生産性 コミュニケーション

2009 年 9 月某イベントでデモSystem Center

"Online Desktop Manager "

クラウド型のサービス提供で終わらなかった

8

　　　　　　　　 とは ?

( オプション )

ライセンスもクラウド型　＝ サブスクリプション

クラウド型の管理サービス利用

アンチウイルスアンチマルウェア

稼動監視 / ポリシー

更新管理 / インベントリ

ドライブ暗号化

最新 OS で標準化

高速 / 安定 / セキュア

SA 付き

$11/ 月

$1/ 月

9

" 不要 " の削減

" 運用管理ツール " の運用管理キャパシティ プランニングやサイト設計サーバーやソフトウェアの購入と設定OS 、ソフトウェアのインストールと設定可用性検証、災害対策日々のサーバー (H/W と S/W) 管理

ローミングマシン対策社外に持ち出した PC 用のルール作り

上記にかかる時間も " 不要 "

10

　　管理サービスの利用

11

Windows Intune へサインインhttps://manage.microsoft.com/Windows Live ID でサインイン

Windows Intune 管理画面

フェデレーションが裏で動く可能性も

12

マルチ アカウント コンソール

Windows Live ID でサインイン後の画面

自前サーバー無しでの運用管理サービス !

※ 複数ユーザーの状態を一目で確認

13

資産 ( アセット ) 管理ハードウェア インベントリソフトウェア インベントリライセンス

更新管理マルウェアからの保護稼動監視 - アラート -

ポリシーと　　 構成管理

SaaS 型の コンピューター管理機能管理コンソールーーーーーー

ワークスペース

14

大まかな利用手順

Windows Live ID でログオン

クライアントソフトウェアのインストール

Intune サービス クライアント

コンピューターをグループ化

クライアント ソフトウェア のダウンロード

更新ルールやポリシー設定

運用と監視

コンピューターがサイトに表示される

• Windows Intune• Windows Intune Center• Microsoft Antimalware• Windows Intune Malware Protection• Windows Intune Malware Protection Agent• Windows Intune Monitoring Agent• System Center Operations Manager 2007 R2 Agent• Microsoft Policy Platform• Microsoft Online Management Policy Agent• Windows Firewall Configuration Provider• Microsoft Easy Assist v2

クライアント ソフトウェア展開

DEMO

現時点での追加モジュール一覧( 更新管理機能で自動アップデート )

16

クライアント ソフトウェアの展開

クライアント ソフトウェア (msi)アカウント識別子付きで署名済み

インストール1. オンラインから直接2. ダウンロード後に自動 / 手動

3. グループ ポリシーによる自動化も可能

追加で必要なモジュールは自動インストールWindows Update 経由30 分以内に自動展開、サービスと連携開始

ファイルの漏えいには注意

Msiexec 　 /i 　 Windows_Intune_x86.msi 　 /qn

32 bit モジュールの例

17

インストール後のクライアント側

Windows Intune Malware Protection

Windows Intune センター

18

Windows Intune のライセンス管理

接続クライアント ライセンス利用するコンピューター分契約 ( 購入 )クライアントを接続するとライセンスを消費

仮想化との関係契約数が物理コンピューター数を超えない限り、2 倍までは仮想コンピューターの登録が可能物理マシン 1 台に対し仮想マシン 4 台まで可能

ライセンスに関する詳細は、これから

19

Windows Intune 利用要件

管理対象のコンピューターWindows 7 Professional 、 Enterprise 、 Ultimate

Windows Vista Business 、 Enterprise 、 Ultimate

Windows XP Professional SP3 (推奨 )

SP2 は KB914882 と MSXML 6.0 SP2 をインストール

管理コンソールSilverlight 3.0 をサポートするブラウザー

全てのコンピューターインターネットアクセス環境

Windows XP の場合CPU 500 MHz 、 256 MB の

RAM 、Disk 200 MB 空き

20

コンピューターのグループ化

階層型でグループ化複数グループへの登録可能ポリシー適用に利用

グループ例地理的部門毎ハードウェアの違いテスト環境用

運用管理へ

21

　　管理サービス解説

デモを中心に解説します

22

資産管理ハードウェア インベントリ

コンピューターごとのハードウェア コンポーネントのリスト

ソフトウェア インベントリコンピューターごとに検出されたソフトウェアのリストAsset Inventory Services (AIS) カタログでカテゴライズ

レポーティングソフトウェア レポートライセンスの購入レポートライセンスのインストール レポート

ライセンス管理ライセンス契約情報 (契約名、契約番号 ) のインポートCustomer License Position (CLP) サービスからの情報取得

23

ハードウェア インベントリ

コンピューターのリスト

各マシンのハードウェア情報

24

ソフトウェア インベントリ1. MSI ソフトウェア リポジトリ2. " プログラムの追加と削除 " の情報3. App-V キャッシュ

App-V 環境にも対応

• 7 つのメジャーカテゴリと 40 のマイナーカテゴリ

• その内 1 つは、北米産業分類体系 (NAICS) を利用

情報を収集後、重複を排除して表示

25

ライセンス管理

既存の契約情報を Windows Intune にアップロードが可能

レポート購入したライセンス情報 ＋ 実際に展開されたソフトウェアとコンピューターを確認

エクスポートし、不足分は追記

26

更新管理 ( 更新プログラムの制御 )

Microsoft Update & WSUS フレームワークに基づいた構成

自社に応じた構成が可能製品と分類の選択更新プログラムの承認と拒否自動承認規則の作成

ステータス管理とレポートシステム、グループ、コンピューターごとのステータス管理更新状態レポート

インストールできなかった更新プログラムコンピューターに必要な更新プログラムの数インストール済みのコンピューター数　　など

コンピューター グループにルールを適用

27

システムごと、グループごと、コンピューターごとのステータス管理保護されていないコンピューター警告のあるコンピューター ( スキャンの未実施、期限切れの定義ファイルなど )最近解決されたマルウェア、フォロー アップが必要なマルウェアサード パーティ製マルウェア対策ソフトウェアを実行しているコンピューター

既存のマルウェアソフトウェアを活かしたい

マルウェア ( ウイルス ) からの保護

Forefront Endpoint Protection や Microsoft Security Essentials で使用されているマルウェア保護エンジン

ウィルス、スパイウェア、マルウェア対策 (駆除な

ど )

定義ファイルも自動更新( 更新管理機能に包含 )

Policy Enable Malware Protection Settings = no

28

マルウェア感染時の状態

通常

感染

※ 詳細情報は Malware Protection Center で確認可能

29

稼動監視～アラート～アラート項目　 606 項目 (有効 / 無効 )

Windows Intune Monitoring Agent が監視( 例 ) IIS サービス稼動やディスク性能劣化

通知管理コンソールメールでの通知

エージェントヘルス　未報告期間の閾値インストール仕切れていない24 時間報告していないエージェント7 日以上 オフライン

リモートアシスタンス要求もアラートとして処理

30

console: execute? taskName=Microsoft. Windows.InternetInformationServices. 2008. ServerRole. StartAdministrationService.Task & tasktarget={$TARGET$}

アラートの例 1

IIS サービスのアラートから詳細な情報を表示

31

アラートの例 2

32

ポリシーと構成管理

標準で、 8 ～ 9.5 時間ごとにコンピューターで実行8 ～ 22 時間ごと (推奨値 8 時間 ) にサーバーからダウンロード

重複した場合GPO との重複は GPO 優先グループ階層構造の一番下のレベルに関連したポリシー優先順位がつかない場合「最終更新時刻」が最新のもの優先

SCCM VNext の Desired Configuration Management (DCM) に基づいた構成

自社に応じた構成が可能Windows Intune エージェント設定Windows Intune センター設定Windows ファイアウォール設定

コンピューター グループにルールを適用

次世代ポリシー基盤

33

ポリシー競合時の迂回策

1. OU の分離• Windows Intune ポリシー適用マシン • 階層化されている場合、 GPO 継承ブロック

2. セキュリティ グループ フィルタリング• GPO 適用の権限で制御

3. WMI フィルターの利用

WIT. mofファイル作成

ヘルプにサンプルあり

MOFCOMPコマンドで情報埋め込み

情報を使って GPO をフィルター処理Intune あり →　 SCOPolicyEnable = 1Intune なし →　 SCOPolicyEnable = 0

34

WIT. mof と 関連処理

#pragma autorecover

//Beginning of MOF file. #pragma classflags ( "forceupdate" ) #pragma namespace ( "\\\\. \\Root" ) instance of__Namespace {Name = "WindowsIntune" ;};

#pragma namespace ( "\\\\. \\Root\\WindowsIntune" )[Description ( "This class defines Windows Intune common properties" )] class SCO_ManagedNode {[read, Description ( "This defines whether Windows Intune Policy is enabled" ) : DisableOverride ToSubClass] boolean SCOPolicyEnabled; [read, key, Description ( "This property defines the version. " "Example: 1.0" ) : ToSubClass] string Version;};

instance of SCO_ManagedNode {Version = "1.0" ; SCOPolicyEnabled = 1;};

WIT.mof ファイル

C: /Windows/System32/Wbem/MFOCOMP <MOF ファイルのパス >\wit.mof

コマンド

MOF ファイルをコンパイルし、 WMI リポジトリに情報を追加する

35

GPO WMI フィルター設定

入力の画面

36

共通ポリシー基盤の確立(Active Directory 非依存 )

Exchange

( 大きな話 ) 新しいポリシー基盤

GPO

ポリシー基盤の乱立

SQL

その他・・

SDM SDM v2 SML CML

Dynamic Systems Initiative の共通定義モデルの進化

SCOM の管理パック

SCCM Vnext DCM

New GPO?

NewPolicy

Platform

“Lantern”

37

レポート

3 種類 ( 現時点 )更新ソフトウェアライセンス

38

管理のページ

更新プログラム自動承認アラートと通知機能サービス共同管理者の追加クライアント ソフトウェアダウンロード

※ サービスステータス表示へのリンク

39

サービスステータスの確認

40

リモートアシスタンス

Microsoft Easy Assist双方の承諾による操作画面リモート共有制御の要求と委任レコーディング

管理者がアラート確認利用者がサポート要請

41

(参考 ) クライアントから見た負荷パフォーマンス モニターにて確認

目立つ値を選択しても最大で約 2,697 Bytes

42

まとめ

43

企業内の利用シナリオ

ブランチキャッシュ

AppLocker

BitLocker ドライブ暗号化

BitLocker To Go

ダイレクトアクセス

Active Directory

44

最適な Windows 環境を利用Windows 7 Enterprise と更なる付加価値を提供

効果的に Windows を一つのバージョンに統一 ( 標準化 )

• BitLocker To Go• 操作性と検索性の改良• モバイルでの高い生産性• 処理速度と信頼性の向上• 高いパフォーマンス

Windows 7 Enterprise へのアップグレード

必要なバージョンへのダウングレード権

次期 Windows バージョンへのアップグレード

オプション (仮想化の推進など )

45

Windows Intune 10 のベネフィット

1) どこにいても PC のセキュリティ対策と管理を実現2) 最上位の Windows 環境を利用可能3) 小さな投資で徹底したセキュリティ管理4) マルウェアの脅威から PC を守り、 PC を止めない5) 常に最新の状態の PC 利用環境6) 事前に問題を特定し、ビジネスを止めない 7) 資産管理とライセンス管理を簡単に実現 8) 複数企業のアカウントを１つの画面で管理9) レポートにより管理状況が一目瞭然 10) 信頼できるクラウド サービス

何ができるの？という問いに答えるための情報です。

46

9/3 の夕方にセミナー開催！

「この人にも知らせなきゃ」と頭に　　浮かんだ方に是非紹介してください。

http://www.microsoft.com/japan/powerpro/TF/default.mspx

Tech Fielders セミナー 東京~ Windows 7 に興味がある企業様も必見

~「Windows Intune に見る新しいクラウドの形 ]

18:00 スタート

47

Windows Azure Platform無償 セミナー & ハンズオン トレーニング定期開催決定！

Windows Azure Platform の最新情報から詳しい技術情報をお届けするセミナー、 Visual Studio 2010 など最新の開発環境で Windows Azure Platform 上で稼働するアプリケーション開発を実践できるハンズオン トレーニング を定期開催いたします

開催日程 : 2010 年 10 月頃 開始予定開催場所 : マイクロソフト株式会社 新宿本社 セミナールーム、大手町テクノロジーセンター 他 (予定 )

詳細・お申込みWindows Azure Platform Web サイトhttp://www.microsoft.com/japan/windowsazure/events/

48

まとめ

クラウドの魅力弾力性があり、 (Elastic)無限のスケールを持ち、 (Infinite Scale)すぐに使えて、無駄がない

クライアント管理もクラウドの時代へ !

来週、もう一度そのポテンシャルを感じてください !

Windows Intune ビデオ (英語 )http://www.microsoft.com/windows/windowsintune/windowsintune-experience.aspx

49

Appendix

50

関連セッション

T7-301: インフラ管理者のための Windows XP から　　　　　　　　　　　　　　　　 Windows 7 への移行手法

T2-303: Microsoft VDI の実践　　　　　　　　 ～ 構築方法のポイントと活用ノウハウ～

T2-301: ついに登場 ! RemoteFX で実現する強化された 　　　　　 MS VDI のアーキテクチャ

T2-305: 何ができる ?　　　　　シトリックス & マイクロソフト VDI 徹底解説

T2-304: App-V/MED-V で実現する最新デスクトップ環境の　　　　　構築手法～クライアントサイドの仮想化技術～

51

リファレンスWindows Intune ホーム (英語 )http://www.microsoft.com/windows/windowsintune/default.aspx

TechNet ライブラリ ( 日本語 )http://technet.microsoft.com/ja-jp/library/ff462936.aspx

Windows Intune ヘルプサイト ( 日本語 )http://onlinehelp.microsoft.com/ja-jp/windowsintune/default.aspx

Windows Intune Team Blog (英語 )http://blogs.technet.com/b/windowsintune/

Windows Intune TechNet Techcenter (英語 )http://technet.microsoft.com/ja-jp/windows/ff472080 (en-us) .aspx

Windows Intune TechNet Forum (英語 )http://social.technet.microsoft.com/Forums/en-US/windowsintune

52

クラウドをコミックにしてみました

Windows PowerShell 版もあります→

会議センター 3Fカタログ コーナー横テクノロジ コミック立ち読みコーナーにて配布中

ご清聴ありがとうございました。

T1-301アンケートにご協力ください。

© 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED

OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.