マイクロソフトのitコンシューマライゼーション2 -...
DESCRIPTION
資料をアップデートしましたTRANSCRIPT
1
日本マイクロソフト株式会社エバンジェリスト
安納 順一 ( あんのう じゅんいち )http://blogs.technet.com/junichia/
twitter: @junichia, facebook: junichia
2012.5.18 @大阪
第 2 部Windows XP ではできないことがありますWindows デバイス による柔軟なワークスタイルの全体像~ Flexible Workstyle を支えるテクノロジー
2
1. Business Ready Security と認証基盤2. フレキシブルワークスタイル シナリオ
• シナリオ1:社内のデバイスを社外で使用する• シナリオ2:個人のデバイスから社内に接続する• シナリオ3:スマートフォンを使用する• マイクロソフトの事例
• インフラの管理• System Center• Windows Intune
Agenda
3
1. Business Ready Security
認証基盤が全ての土台です!
4
Business Ready Securityリスク管理と利用環境の向上によりビジネスを拡大する
安全性と相互運用性
Identity全てを保護し , どこからでもアクセス
全社レベルでのセキュリティの統合と浸透
セキュリティとコンプライアンスの管理をシンプルに
情報
サービス
コンピュータ
ネットワーク
5
ユーザー セントリック
Access
情報
ネットワーク ホスト
アプリケーションID
ID を中心としてすべてのリソースが結びついた状態
6
Active Directory の役割
認証• ldap/kerberos/ntlm
/radius/nis/CA/802.1xリポジトリ• ユーザー / 組織 / グループ / ホスト• 証明書構成管理• グループポリシー証明書の発行、失効権限管理• ライツマネジメントサービス役割管理• クレーム管理• セキュリティトークン発行
AD DS
AD RMS
AD FS
AD CS
AD LDS
Identity の証明機関( Identity Provider )
7
Business Ready Security ソリューションの全体像
メッセージ保護 安全なコラボレーション
情報の保護
ID とアクセスの管理
統合セキュリティ
クライアント保護
8
(余談)WINDOWS SERVER 2012 を迎えるにあたり
覚えておきたいこと
クレームベースセキュリティ
9
健保番号/ 免許証番号/ 住民票
入国
日本国政府
現実世界のクレームベースセキュリティ(例)
出国
発行
パスポート• 発行国• 氏名• 有効期限• 旅券番号• 写真• 出国印
米国政府本人• 顔• 指紋
入国申請書• 滞在期間• 滞在先
パスポート・・
空港
信頼
ビザ• 滞在可能期間
信頼
10
入国
日本国政府
現実世界のクレームベースセキュリティ(例)
出国
発行
パスポート• 発行国• 氏名• 有効期限• 旅券番号• 写真• 出国印
米国政府
本人• 顔• 指紋
入国申請書• 滞在期間• 滞在先
パスポート・・
健保番号/ 免許証番号/ 住民票
信頼
ビザ• 滞在期間
IdP/CP RP/SP
空港
信頼
リソー
ス
署名
主体セキュリティトーク
ン/ アサーションクレーム
クレーム
クレーム
クレームクレーム
署名
オーソリティ(各種機関)
オーソリティ(各種機関)
11
クレーム とはアプリケーションに渡すユーザー自身の属性ユーザーの”ロール”を表現しアクセス承認に使用される
ユーザー ID
資格情報(認証結果)
メール アドレス
役職
氏名、姓、名
所属部門
性別
住所
趣味 / 趣向
所属企業
言語
専門分野
会員番号
12
セキュリティ トークン / アサーションパッケージ化されたクレーム発行者(オーソリティ)の署名によって信頼性を担保発行者とは事前に信頼関係を結んでおく
セキュリティトークン /アサーション
クレーム 1
クレーム 2
クレーム n
署名
発行元による署名
13
クレームベースセキュリティ
ApplicationIdP
③ 発行 セキュリティトークン
利用者
④ 提示
① 発行依頼 ⑤ セキュリティトークンの署名をチェック⑥ ユーザーのクレームを取得⑦ ユーザーのロールを決定⑧ アクセスを認可
AD DS AD FS
②クレーム
⑨ サービス
ユーザーのクレームをベースにアクセス権を決定する
14
アイデンティティフェデレーションを使用した 認証から承認までの流れ( Passive Web SSO の場合)
オンプレミス( IdP/CP )クラウド( SP/RP ) 信
頼
1
24
5
6
7
3AD DS AD FS 2.0
WIF
IE7以降
AD DS : Active Directory Domain ServiceAD FS : Active Directory Federation ServiceWIF : Windows Identity Foundation
15
Passive Web SSO の流れ①ブラウザを使用してアプリケーションにアクセス②アプリケーションが信頼している CP にリダイレクト③セキュリティトークン発行のために CP 側 で認証④認証が完了するとクレームが収集され、ルールにのっとっ
てロールを決定後、セキュリティトークンが生成される⑤セキュリティトークンはブラウザーが送られ、ブラウザ
からアプリケーションにリダイレクト⑥セキュリティトークンがアプリケーション内で解析され、
ユーザーのアクセス権が決定⑦アプリケーションの画面がブラウザに送信
16
クレームベースセキュリティの課題
• 情報の正確性• アクセス権に影響するため厳密な管理が必要• 個人に変更を許可するもの、しないものの管理• 複数の情報ストアの整合性
• 情報の更新スピード• 退職、入社、配転、昇格、降格の反映
ID ストアの精密な管理が重要です
17
2.フレキシブル ワークスタイル シナリオ
18
フレキシブルワークスタイル ~ 3 つのシナリオ
社内のデバイスを社外から
自分のデバイスから
スマートフォンから
19
シナリオ1
社内デバイスを社外から
20
シナリオ1:社内のデバイスを社外からデバイスの安全性を維持し、シームレスに社内リソースにアクセス
SkyDrive
Firewall
Lync
Hello
SharePoint Server各種業務サーバーファイル サーバー
Exchange Server
キーワード : DiectAccess 、 Lync 、 Bitlocker
Direct Access
Bitlocker/Bitlocker to go
Office 365
21
Windows 7 Enterprise法人向け上位エディション
■ PC 管理の合理化イメージ展開ネイティブ ブート VHD多言語ユーザー インターフェース (MUI)仮想 OS を 4 インスタンスまで無償で利用可能デュアル ブート用 OS は無償で利用可能
■ セキュリティと コンプライアンスの強化BitLocker ドライブ暗号化BitLocker To Go AppLocker
■ 様々な場所から情報にアクセスDirectAccessBranchCache
21
22
デスクトップの移行と最適化を支援Microsoft Desktop Optimization Pack (MDOP)デスクトップ展開の促進、管理性の向上
デスクトップ障害を修復する強力なツール群
仮想アプリケーションの動的配信ソリューション
仮想デスクトップの管理ソリューション
アセット管理ソリューション
グループ ポリシーの拡張ソリューション
BitLocker の適用・状況把握・障害対応
User ExperienceVirtualization (UE-V)
ユーザー状態を異なるバージョンの OS 間でローミング
23
社外から社内にアクセス ~ Direct Access• 社内ドメインに参加している PC は、社内セキュリティポリシーが満たされると、
社内リソースにアクセスできる• PC のセキュリティはリアルタイムに監視されている
検疫ネットワーク
社内ネットワーク
Firewall Direct Access Server
INTERNET
Hotel
評価Network Access Protection
ドメインコントローラー
業務サーバー
24
PC ハードディスク全体の暗号化( BitLocker )リムーバブル デバイスの暗号化( BitLocker To Go )
盗難対策 ~ BitLocker
MBAM サーバー
Web ポータル
MBAM クライアント
の設定 ・レポート機能 - PC 紛失時の状態確認 - 暗号化状況の可視化・回復キーの参照 - PIN 紛失時の対応 - 参照履歴のレポート・ワンタイムの回復キーを提供
MBAM : Microsoft BitLocker Administration and Monitoring
25
Lync
会議室
出張先
在宅
場所を問わないコミュニケーションIP を使用した情報共有(音声、画像、デスクトップ)
26
Lync
会議室
出張先
在宅
場所を問わないコミュニケーションIP を使用した情報共有(音声、画像、デスクトップ)
27
シナリオ2
自分のデバイスから( BYOD )
28
シナリオ2:自分のデバイスから安全性を維持しつつ、個人の多様なデバイスで業務を遂行
Lync
Hello
Firewall
Office 365
キーワード : VDI 、 Lync 、 Office 365
File Server
VirtualDesktopInfrastructure
AD
Hyper-V & RDS
Gateway
リモート デスクトップ クライアント
リモート デスクトップ クライアント
29
個人デバイス利用( BYOD )の課題• 個人デバイスの安全性が社内環境に及ぼす影響• 個人デバイスを介した社内データの漏えい• 社外から社内リソースへのアクセス方法• 社内で使用している OA アプリケーションやブラウザとの互換性• 社内で使用している個人環境の再現
社内ネットワーク
個人デバイス
メールサーバーファイルサーバー 業務サーバー 等
社内デバイス
Active Directory
Network Policy Service
セキュリティポリシー
個人デバイス
30
要は、以下を実現するインフラが必要
• 個人デバイスの安全性が社内環境に影響を及ぼさない• 個人デバイスを介して社内データが漏えいしない• 社外から社内リソースにアクセスできる• 社内で使用している OA アプリケーションやブラウザと同じものが使える• 社内で使用している個人環境を再現できる
CONFIDENTIAL
31
こんな方法はどうでしょう?
リモート デスクトップを使用して社内 PC を操作
社内 PC
社内ネットワーク
• 個人デバイスからは RDP を使用して社内 PC を操作するだけ• 機密データは 社内 PC から外に出られない※管理者側で、「持ち出せる」ように設定することは可能です
各種業務サーバー
遠隔操作
遠隔操作
遠隔操作
遠隔操作
データは PCを
出られない
デバイスを紛失してもデータには影響がない
セッション境界
RDP
32
RDP遠隔操作
画面転送
Aち
Bこインターネット / 自宅
データは社内 PC の外に出られない
デバイスを紛失してもデータには影響がない
ローカル PC のセキュリティ状態に影響されない
社内ネットワーク
社内 PC 業務
デバイスから業務サーバーに直接接続できない
リモートデスクトップ• 個人デバイスからは RDP を使用して社内 PC を操作するだけ• 機密データは 社内 PC から外に出られない• ローカル PC からの”セッション分離”を実現
33
リモート デスクトップ プロトコル( RDP ) リモートの PC を遠隔操作するためのプロトコル
キー入力 / マウス入力
RDP(Remote Desktop Protocol)
画面
34 世間個人の行動範囲
セッション分離の重要性
企業ネットワーク インターネット
• 社外への流出経路を遮断• 企業内のデータを個人デバイスに複製することなく使用することができる
35
企業ネットワーク
多人数を収容するには?利用する人数分、 PC を立ち上げておく? PC教室のように ...要求が来たら WOL で立ち上げるとか ....悪くはないけど .... うーむ ...
もっとエレガントに実現したい ......
Datacenter
36
OS分離
三者の疎結合により異なるバージョンが混在可能
クライアントを”仮想化” する
Application
User Status
37
Application Virtualization
User Status Virtualization
Infrastructure Management• 仮想クライアントの展開• 仮想アプリケーションの展開• ユーザー管理
クライアントの仮想化に必要な機能
Virtual Desktop Infrastructure• 仮想クライアントの
ホスティング• 環境の世代管理
38
RDP
RDP
RDP
ConnectionBroker
接続先をコントロール
Desktop Pool
Windows Server Hyper-V• 仮想クライアントをホスト
するハイパーバイザー
OWN DEVICE
VDI: Virtual Desktop Infrastructure デスクトップ仮想化ソリューションの1つ クライアントを仮想化してハイパーバイザー上に集約する RDP を使用してどこからでも接続できるようにする
39
クライアント OS 仮想化の課題仮想化されたクライアントの UX
• 色の再現は(減色されたりしないか)?• 解像度は?• 音声や動画の再生は可能か?• USB デバイスなどを使用できるか?• 印刷は可能か?
個人環境の保存や復元は?クライアントの集約率
• クライアントごとのメモリ確保• 仮想クライアントを保存する
サーバーのディスクスペース仮想クライアント OS の管理
• 利用者が増減にどう対応できるのか?• 無駄な電力を使わないか?• 資産管理やサポートはどうするか?
RDP & RemoteFX
Pooled Virtual DesktopDynamic Memory
System Center シリーズWindows Intune
40
RemoteFX
Hyper-V
USB Device
GPU
RemoteFX
※RemoteFX に対応したビデオカードがサーバー側に必須
• 仮想化されたクライアントに、品質の高いデスクトップ環境を提供するテクノロジー• Windows 7 SP1 & Windows Server 2008 R2 SP1 Hyper-V 以上が必須• サーバー側のビデオカードでマルチメディアデータのエンコードが可能• USB ローカルデバイスのリダイレクト
41
RDP 7.1 のリダイレクト機能• ローカルドライブやプリンタ、 USB デバイスなどをリモートデスクトップにリダイレク
トする機能• セッションの分離を維持するには、仮想クライアント側で無効にしておくのがお勧め
この部分は RemoteFX による
42
• 利用者専用の仮想クライアント• 仮想デスクトップ上に行った変更(アプリケーションの
インストール等)は永続化される(差分 VHD )• 利用者は仮想クライアントに対して管理権限を持つ
Personal Virtual Desktop
• 仮想クライアントは共有される• ログオフすると別のユーザーに開放される• 次回も同じクライアントにログオンできるとは限
らない• 移動ユーザープロファイルを使用することで個人
環境の保存が可能
個人環境の永続化について
Pooled Virtual Desktop
for Power User
for Information Worker or Task Worker
43
差分 VHD
差分 VHD
差分 VHD
User Status
VHD
VHD
VHD
環境 1
環境 2
差分 VHD によるユーザーステータスの永続化
• どこからでも常に同じ環境が利用できる• 環境ごとにプロファイルを保存できる
User
環境 3
44
(参考)クライアント PC (デスクトップ)を仮想化 ~ MED-V
集中管理された XP ModeXP 上で動作するアプリケーションが、あたかも Windows 7 上で動作しているように見せる
Windows 7
セットアップ / 集中管理
ドメイン参加等
45
Linux 系SDK 1.3SDK 1.2SDK 1.1
Windows Server Hyper-V
環境の種別 / 世代管理
(例) Hyper-V 上に複数の開発環境を用意る
46
App-V• ストリーミング方式• クライアントで実行
RTSP2010
2011RTP
RTCP
RemoteApp• リモートデスクトップ方式• サーバーの RD セッション
内で実行
RDP
2010
2011
アプリケーションの仮想化
異なるバージョンのアプリケーションを同時に利用可能
47
アプリケーション仮想化手法 その1: App-V アプリケーションの動的配信 アプリケーションはサーバー側で一元管理
管理者によるグループ単位での配信対象の選定 アプリケーションはクライアント側のリソースを使用する
配信されるもの• アプリケーション (設定情報含む )• ランタイム ライブラリ (JRE, VB, .NET など )• データベース アクセス モジュール• ブラウザ各種プラグイン• ブラウザ設定情報
48
アプリケーション仮想化手法 その2: RemoteApp
アプリケーションの画面イメージを転送
仮想アプリケーションに接続
アプリケーションがインストールされた RDS
利用者の PCやスレート PCまたは
リモートデスクトップセッション
ファイルサーバー
リモートデスクトップにアプリケーションを集約 サーバー側で動作するアプリケーションの画面をクライアントへ転送し
あたかもクライアントで動作しているかのように見せる技術 セッションはクライアント PC から分離される アプリケーションはサーバー側のリソースを使用する→ チープなクライアントでも OK
分離セッション
49
ユーザーセントリックなアプリケーション配信
• ログオンした仮想クライアントにアプリケーションが配信される
アプリケーション配信サーバー
クライアント プール
Hyper-Vアプリケーションプール
制御
OR
50
アプリ配信基盤が用意できない場合 ... ブラウザでアプリケーションを利用するOffice 365 + Office WebApps
クラウドベースの電子メール & 予定表
クラウドベースの情報共有 & 共同作業
クラウドベースのチャット & 遠隔会議
ブラウザで使用できるOffice 2010
OfficeWeb Apps
51
Office 365 の認証と ID
Office 365 上の Active Directory で認証
Office 365 の 2 種類の IDMicrosoft Online Services クラウド ID ( クラウド ID)フェデレーション ID
51
OU( 組織単位 )
Office 365 の契約毎に OU が作成
作成された OU 内にユーザー ID を作成
初期ドメイン xxx.onmicrosoft.com のxxx 部分が OU の名称になる
52
社内ネットワーク
contoso\takeuchi [email protected] Directory の ID Office 365 の ID
Office 365 とフェデレーション ID社内の Active Directory の認証情報を利用してOffice 365 にアクセス
Office 365 の ID と Active Directory の ID を連携管理者は社内の ID のみを管理し、ディレクトリ同期ツールで Office 365 に同期シングル サインオン ( シングル ID サインオン ) が可能
連携AD FS 2.0
53
シナリオ 3
スマートフォンから
54
シナリオ3:スマートフォンから
Firewall
Office 365
社内 PC と同様の作業環境を実現し、安全性も確保
キーワード : Windows Phone 7.5 、 EAS 、 IRM
SharePoint ServerExchange ServerActive Directory
業務サーバーLync
Hello
SkyDrive
55
ビジネスがスマートフォンに求める機能
• 社内メールの送受信• 暗号化メール( IRM 保護)の参照
• 社内アドレス帳の検索• 社外から社内リソースへのアクセス( VPN )• ビジネスドキュメントの参照と編集• MDM ( Mobile Device Management )
• セキュリティポリシーの集中管理• 紛失時の迅速な対応• ビジネスアプリの配信や削除• OS の更新
56
Windows Phone の代表的な基本機能
People Hub
Office Hub
• いわゆる「電話帳」機能を提供するソフトウェア• アイデンティティ情報の統合ビューアーであり、統合メッ
セージングツールでもある• Twitter や Facebook 等とも連携
• データ管理機能を提供するソフトウェア• OneNote, Word, Excel, PowerPoint のエディタ• SharePoint workspace mobile• SkyDrive クライアント
57
(参考)「ビジネス要件」と対応する機能~基本機能ビジネス要件 実現するための機能、製品
電話 Windows Phone (au by KDDI)
インターネット ブラウザー Internet Explorer 9
アドレス帳の管理 People Hub
電子メールの送受信 Outlook mobile (EAS/POP/IMAP)
スケジュール / タスク管理 Calendar
ドキュメントの参照と作成 Microsoft Office Mobile 2010 (Word/PowerPoint/Excel/OneNote)
ドキュメントの管理 Office Hub w/ SharePoint Workspace Mobile 2010
デバイスのスクリーン ロック PIN (数字、英語大文字、英語小文字、記号 )
紛失時の対応 リモート ワイプ、リモート ロック
マルウェア対策 Marketplace ( アプリケーションの認可制 ) 、バックグラウンド アプリの制御、 IE mobile のロックダウン、 Windows Phone の Updateマネージド コード、 Isolated Storage 、 IRM
保存されたデータの保護 Isolated Storage ※ IS12T には SD カードは搭載できないデータの暗号化
58
(参考) 「ビジネス要件」と対応する機能~アクセス
ビジネス要件 実現するための機能、製品
Wifi Open, WEP, WPA (PSK, ENT) , WPA2 (PSK, ENT)プロキシ設定 , プロキシ認証
Bluetooth V2.1 (2007 年 3 月公開 ) 、 MS 製ドライバーのみ
ネットワーク IPv4 ( DHCP )WinSockets (UDP, TCP)HTTP/HTTPS (128-bit or 256-bit SSL)
証明書 . cer 、 . p7b 、 . pfx
認証 • Basic 認証 over SSL (Exchange)• 証明書ベース認証 over SSL (Exchange)• PEAP-MSCHAPv2 (Wifi)• UAG (SharePoint Workspace Mobile)• Windows 統合認証
(IE 、 SharePoint Workspace Mobile 、 Outlook mobile)
• AD ドメインへの参加不可• アプリ間での資格情報交換
不可( SSO はできない)
Wifi の準備が必要
59
(参考) 「ビジネス要件」と対応する機能~社内との連携ビジネス要件 実現するための機能、製品
認証およびアクセス管理 • Active Directory Domain Service ( 認証 )• Active Directory Rights Management Service ( 権限管理 )• Active Directory Federation Service ( 認可 )• Active Directory Certification Service ( 証明書 )• Windows Azure AppFabric Access Control Service
セキュリティ ポリシー管理 Exchange ActiveSync (EAS)
デバイスの統合的な構成管理 System Center Configuration Manager 2012 + EAS
ドキュメントの集中管理 SharePoint Server
保護されたメール / ドキュメントの参照
EAS + Information Rights Management (IRM)
OS の更新 / セキュリティ パッチ Zune
アプリケーションの配布 /更新 Marketplace 経由、隠し URL
社外から社内リソースへのアクセス Forefront UAG + Active Directory
オンライン ミーティング Lync Server 2010 + Lync mobile
60
Windows Phone 7.5 で有効な EAS セキュリティポリシーEAS Policy: Exchange 2003
SP2 Exchange 2007
( BPOS ) Exchange 2010( Office 365 )
パスワードを要求する Yes Yes Yes
パスワードの有効期限(日) No Yes Yes
パスワードリサイクルカウント No Yes Yes
簡易パスワードを許可 No Yes Yes
パスワードの最小桁数 No Yes Yes
アイドル状態になってからログオンが要求されるまでの時間 ( 分 )
No Yes Yes
デバイスをワイプする前にサインインに失敗した回数 No Yes Yes
英数字のパスワードが必要 No Yes Yes
パスワードに含めなければならない文字セットの数 No Yes Yes
61
System Center Configuration Manager 2012 によるデバイスの集中管理
• 企業内デバイスの統合的な構成管理• Mobile Device Management 機能 を統合
• デバイス セキュリティ ポリシーの統合管理• リモートワイプ• レポート
Exchange Connector
SCCM 2012 Exchange 2010Exchange Online
Exchange ActiveSync
EAS をサポートしているデバイス
62
参考マイクロソフト社員のワークスタイル
63
マイクロソフト社員のルール
• PC は社内 AD ドメインに参加すること• PC の HDD は暗号化すること
( BitLocker )• PC は BIOS ロックすること• セキュリティ教育を受講しテストにパス• オンライン トレーニン
グ• 毎年期初に実施• 必ず署名
参加しなければ社内リソースにアクセスできない
会社 PC でも 個人 PC でも好きなデバイスを使用してもよい ... ただし!
64
社員が新しい PC を使い始めるには
• Windows Update の強制適用• System Center Endpoint Security が強制インストール• 構成管理ソフトウェアが強制インストール• セキュリティ レベルが満たされると Wifi にアクセス可能• Bitlocker によるハードディスクの暗号化
Step2: 検疫 (Network Access Protection)
Step1: 社内 Active Directory ドメインに参加• 個人のユーザー ID とパスワードを使用 ( 入社時に支給 )
Step3: 必須ソフトウェアのセットアップ• WORD/EXCEL/PowerPoint 2010 (文書作成に必須 )• Outlook 2010 ( メール、スケジュール管理、暗号化メールの送受信 )• Lync 2010 ( 内線、外線、オンライン ミーティングで必須 )
65
ちなみに ... こんな仕組みもあります
• 有線で PC を接続すると、 OS を自動セットアップ• 必須ソフトも自動インストール
接続時にはユーザー ID とパスワード必須
構成管理サーバーSystem Center Configuration
Manager自動インストール
66
ログオンに使用するパスワード複雑なパスワード定期的に変更過去に設定したパスワードは使用できない
一定時間後にスクリーン ロック → スリープ → 休止ログオンを監査
セキュリティ ポリシー
社内アクセスが可能な PC には、どこにいても強制的に適用
Direct Access による
67
必要な環境Windows 7 Ultimate/Enterprise社内ドメインに参加していること
セットアップ ツールが自動的にインストールされる
検疫サービス (NAP) によって正常性が確保されていること社外からのアクセス権限を持っていること ( 上長承認 )Bitlocker によりハードディスク全体を暗号化 (TPM チップ必須 )Direct Access のセットアップ ( 社員証必須 )
持ち出した PC を社外から利用するには
一度は社内に持ち込む必要がある
オンライン
Direct Access を使うため
68
ポリシーが満たされていないとアクセスが制限される
Internet 企業内ネットワーク
DirectAccess
• リアルタイムに判定
NAP
69
とある公共ネットワークでアクセスが制限された例
原因はセキュリティパッチの適用状況
70
3 月 11 日 東日本大震災時の業務スタイル
• 期間 : 3 月 14 日~ 18 日• 社員は強制自宅待機• 9:00 Lync で点呼 ( 部署単位 )
||在宅勤務|オンライン ミーティング|
• 18:30 Lync で点呼 ( 部署単位 )
71
ちなみに ... 在宅勤務に移行すると会社での電力消費量は 0 に
家庭での電気料金例 850円 /月
[想定条件 ]・ Windows 7 ノートブック 1 台 (平均消費電力量 16W)・稼働時間 : 8時間 / 日・東京電力 : 従量電灯 B 30A
使用量 5 kWh での試算
震災前平日平均 在宅期間中平日平均 通常業務後平日平均 休日平均0%
20%
40%
60%
80%
100%
53.4
89.8
47.7
(例)日本マイクロソフト品川本社 東日本大震災前 平日の消費電力を 100 としたときの電力推移
72
企業の 1 か月の消費電力例( PC 5,000 台、 8時間 / 日 を想定)
Windows XP
全台デスクトップ
約 8 万 kWh
全台ノートブック
約 3 万 kWh
Windows 7
全台デスクトップ
約 4 万 kWh
全台ノートブック
約 1 万 kWh
0
20
40
60
80
100
120
102
5236
16
タイプ別 PC 1 台あたりの平均消費電力量
※ XP: 2006 年 , 7: 2010 年の売れ筋モデルで計測
(参考)省電力な Windows 7 ノートブック
XP
XP
7
7
(W)
デスクトップ ノートブック
旧型デスクトップから最新ノートブックへの移行で電力消費量 約 84% 削減
73
システム管理
74
IT 伏魔殿にうずまく欲望
オペレーター
Admin
開発者IT 利用者
Geek
経営者
新しい開発環境が欲しい
運用を自動化したい
リソースの利用状況レポートを見せろ
インシデント対応の進捗報告をしたい
自分のデバイスを使わせろ
セキュリティセキュリティパッチの適用を強制したい
資産管理
ライセンスの利用状況を一元管理したい
アプリのパフォーマンスを監視したい
ファイルサーバーの容量を増やしてほしい
業務にアクセス権が欲しい
IT 企画新しいソフトをテストしたい
あの日の思い出を復元して!
新しい Office が使いたい
パスワードポリシーを強化したい
75
System Center 2012 or Windows Intune
System Center 2012• IT インフラ、プロセス全般の管理、監視、制御• 役割に応じたツールの提供• IT に関わる全般のプロセスを自動化• データセンターを持つ企業向け• データセンターのプライベートクラウド化• 多様な管理ニーズへの対応• http://www.microsoft.com/ja-jp/server-cloud/system-center/default.aspx
Windows Intune• クライアントの管理を目的(最大 20000 台)※Windows 7 Enterprise へのアップグレード権付
• データセンターを持たず、専任の IT 管理者がいない• 毎月払い( PC1 台あたり 最大 1230円)• http://www.microsoft.com/ja-jp/windows/windowsintune/faq/default.aspx
76
System Center 2012 全体像
エンドポイントセキュリティ
IT サービス管理
構成管理更新管理
バックアップと復元
稼働監視ログ収集
プライベートクラウド/パブリッククラウド管理
仮想環境一元管理
7777
System Center 2012 ラインナップシステム管理コンポーネントの統合製品
システム構成管理 . ユーザー要求に基づいたアプリケーション配布やマルウエア対策ツールとの統合など、従来からの Windows クライアント / サーバーの構成管理機能をさらに強化。新たに iPhoneや Android などのデバイス管理機能を本バージョンより搭載
マルウェア対策機能 (旧 Forefront Endpoint Protection) を System Center のコンポーネントとして提供、 Configuration Manager を管理基盤とし、ウイルス検知状態の確認等を実施
システム稼働監視 . サーバーの稼働監視だけではなく、ネットワーク監視やアプリケーションの可用性や性能等の緻密な監視機能 (旧 AVICode) を搭載
仮想環境管理 . Hyper-V, VMware, Xen等の複数仮想化基盤に対応 .物理 /仮想サーバーの管理だけではなく、 ストレージ , ネットワーク , アプリケーションの多岐にわたるリソースを統合管理することで、柔軟なプライベートクラウド環境を実現
データ保護管理 . アプリケーション , 仮想環境 , サーバー , クライアントのデータをディスクやテープに対するバックアップ / リカバリー機能を提供 .BCP/DR といった遠隔地の環境を保護 /復旧するシナリオに対応
IT プロセス管理 . システム運用管理にともなう様々なタスクを Runbook(作業フロー ) としてデザイン、統合管理し、 IT プロセスの自動化を実現 (旧 Opalis)
IT サービス管理 . CMDB を中心とした ITIL ベースのインシデント管理 , 問題管理等の機能を提供 . さらにセルフサービスポータル機能と、他の System Center製品と連携した総合的な IT サービス管理基盤を提供
プライベート&パブリッククラウドサービス管理 . アプリケーション管理者にプライベートクラウドとパブリッククラウド (Windows Azure) との統合的なセルフサービス管理ポータルを提供
その他の System Center 製品群System Center Advisor : クラウドベースのサーバー管理サービス (Windows Server / SQL Server の SA 特典 )System Center 2012 Unified Installer : System Center 製品の統合インストーラー
78
System Center Configuration Manager 2012" デバイスの構成管理 " から、 " エンドユーザーサービスの管理 "へユーザーが使用する " デバイス " を構成管理・配布するのではなく、" ユーザー向けサービス " を構成管理するツールに進化
ユーザープロファイルに応じたアプリケーションの配布コントロール
ユーザーの使用状況に応じたアプリケーション実行環境の自動選択通常のアプリケーション , 仮想アプリケーション (App-V), リモートアプリケーション (Remote App)
シンプルなサーバー構成と管理タスクの実現ロールベース設定による管理者権限構成をシンプル化
サーバーロールの整理・統合による柔軟なサーバー配置とサーバー数の低減
更新プログラム配布タスクの自動化
構成チェック (DCM) と、問題の自動修復機能の提供
" ユーザー中心の管理 "ユーザーのデバイス利用形態に応じた、柔軟なアプリケーション配布管理を提供。
従来の " このデバイスにこのアプリケーションを配布する " 、 " このデバイスをこういう構成にする " という考え方からの脱却
自身の所有するクライアントマシン通常インストールアプリケーション
2012
レンタルマシンリモート App による同一アプリケーションの提供
モバイル端末専用アプリケーションをサービスパッケージとして管理提供
別部署の借りたクライアントマシンApp-V でのテンポラリインストールで利用
79
System Center Operations Manager 2012システム監視のための全体俯瞰機能の提供
より高度なネットワーク機器監視機能
ネットワーク機器同士の依存関係の自動認識と Vicinity Dashboard によるネットワーク一元監視
インフラ基盤管理のための TCO 削減ファームによるシンプルかつ容易な冗長構成のサポート( RMS と MS の統合)
IT 管理者/ユーザーへの価値強化ガジェットベースの容易なカスタムビューの作成
SharePoint サイトにアラートビューの組み込みが可能
セットアップウィザードの UI 改良と、 SCOM 2007 からのアップグレードをサポート
アプリケーション監視の強化.NET, J2EE アプリケーションの稼働監視をサポートする管理パックの提供
アラートによる通知
監査・監視・パフォーマンスデータ収集とレポーティング
管理パック カスタム業務アプリケーションの稼働監視
ネットワーク監視
.NET,WebSpehre, WebLogic, JBOSS, Tomcat...
Vicinity Dashboard やカスタムビューによる全体監視
80
System Center Virtual Machine Manager 2012物理サーバー、ネットワーク、ストレージを統合的に管理
クラウドコンピューティングに必要な構成要素を ”ファブリック” として統合的に管理
Hyper-V, VMware ESX, XenServer の管理をサポート
Dynamic Optimization により、仮想マシンを動的に再配置してサーバーリソースを最適化
エンドユーザーによるプライベートクラウド環境を利用するための機能を提供利用者に対してプライベートクラウドの環境の管理権限を適切に委任
個人や部門毎にプライベートクラウドとして使用できるリソースを制限
プライベートクラウド環境のメンテナンスに必要な各種サービスを提供Server App-V 機能:プライベートクラウド環境に対して、 App-V テクノロジーによって仮想化されたサーバーアプリケーションを動的に展開
WSUS 連携:更新プログラム適用、電源管理 などの提供
一般利用者
作成されたプライベートクラウド環境プライベートクラウドを構成する物理環境
(ファブリック)
更新プログラム適用
アプリケーション展開
電源管理 一般利用者に割り当て
81
System Center Data Protection Manager 2012コンソールによる集中管理
SCOM をコンソールとした DPM の集中管理
ロールベースの管理者権限
インフラストラクチャ機能の向上証明書ベースの認証
メディアコロケーション機能の向上。よりバックアップメディアの本数を少なく
オペレーションの短縮SharePoint のアイテムレベルのリカバリが高速に
仮想サーバー上の DPM サーバーで Hyper-V のアイテムレベルのリカバリが可能に
バックアップ機能の向上アプリケーションに寄らないバックアップ機能のフルサポート(高速完全、差分による複製、整合性チェック)
オリジナルロケーションへのリカバリ
ネットワークロケーションへのリストア
コンソールによる集中管理
DPM 2012
DPM 2012
一次オペレータ
ヘルプデスク
エスカレーション担当
テープ管理者
ジョブとアラート監視
Y Y Y Y
レポートの管理
N N N N
バックアップの再実行
N Y Y Y
復旧 N N N Y
SCOM による DPM の集中監視とコンソール切り替え
ロールベースの管理者権限
82
System Center Orchestrator 2012IT タスクの自動化・標準化を行うスケジューリング・タスク管理製品単純作業と手動作業の削減による管理コスト削減
運用管理サービスの信頼性、パフォーマンス、可用性の向上
自動化フローのデザインとテスト環境を提供個別処理コンポーネントをドラッグ&ドロップし、接続するだけでフローのデザインが可能
プログラミングツールライクの、強力なデバッグ&テスト環境を提供
他システム連携のための様々なコネクター群を提供 (以下は抜粋。プラン中のものも含む )
IT 管理タスクの自動化 ( 例 ) パスワードリセット
• Microsoft‣ Active Directory‣ Configuration Manager‣ Service Manager‣ Virtual Machine Manager‣ Data Protection Manager‣ Operations Manager
Runbook デザイナー ファイルサーバー
Hyper-V
他社管理ツール
ディレクトリサービス
構成管理
* 管理 UI は英語版
初期障害対応の自動化 ( 例 ) 障害発生ホストへの Ping テスト
様々な管理タスクの自動化
• HP‣ HP Service Manager‣ HP OVO – Windows‣ HP iLO and OA‣ HP Network Node Manager‣ HP Asset Manager‣ HP OVO Unix – HPUX‣ HP OVO Unix - Solaris
• CA‣ CA Service Desk‣ CA Unicenter NSM‣ CA Spectrum‣ CA eHealth‣ CA AutoSys
• BMC‣ BMC Atrium CMDB‣ BMC Event Manager
83
System Center Services Manager 2012ITIL/MOF を元にした IT サービス管理タスクを支援容易なスキーマ拡張が可能な CMDB (構成管理データベース)を提供
セルフサービス ポータル機能を提供専用のセルフサービス ポータル画面、レポート&ダッシュボード
Excel ファイル、電子メール、その他のクライアントへのレポーティング
柔軟なカスタマイズが可能な、ワークフロー基盤の提供
他製品との接続が簡単に行えるコネクタ群を提供
インシデント &問題管理変更管理
構成管理オペレーション管理ナレッジ
サービスポータル
CMDB
運用ワークフロー
コネクタによる接続
その他の外部システム
リクエスト管理
84
System Center App Controller 2012アプリケーションオーナー向けのシームレスな管理環境の提供
プライベート クラウド環境と Windows Azure パブリッククラウドの統合管理環境を提供
アプリケーションオーナーが、業務要求に応じて、プライベート クラウドやパブリック クラウド構成を透過的に設定・管理可能
IT 管理者が整備したサービス・仮想マシンテンプレートや、デベロッパーが作成したアプリケーションファブリックをアプリケーションオーナーがアプリケーションを構成オーナーはアプリケーション構成作業に集中することが可能
ブラウザーベースの容易な管理コンソールの提供
パブリック クラウド
プライベート クラウド
プライベート クラウド・パブリック クラウドのシームレスな管理
IT インフラシステム開発と運用管理業務要求
アプリケーションオーナー
セルフサービスポータル
App Controller
IT 管理者
デベロッパー
85
WINDOWS INTUNE ARCHITECTURE
• 更新プログラムの管理 • マルウェアからの PC の保護 • プロアクティブな PC の監視 • リモート アシスタンス • ハードウェアおよびソフトウェア インベントリの追跡 • セキュリティ ポリシーの設定
86
USER CENTRIC MANAGEMENT -LOGICAL ARCHITECTURE
Azure Active Directory
On-Prem Microsoft Cloud
Sync user data to Windows
Intune
Sync AD user data into the cloud
Active Directory
Manage User device affinity
Publish software & policies to users
Directory Synchroniz
ation
Users
Users
87
まとめ
88
フレキシブル ワークスタイルを実現するインフラの全体像
リモート デスクトップ クライアント
• Active Directory• Direct Access• Hyper-V+リモートデスクトップ
Client
89
• フレキシブルワークスタイルのシナリオは 3 つ• 「柔軟性」と「安全性」は両立できます• 「してはいけない」ではなく「したくてもできない」インフラを• 手順は簡素に、制約は最小に• ワーク ライフ バランスへの取り組みも重要です
まとめ
90
無償トレーニングのご案内
ハンズオントレーニング※実機使用
オンライントレーニング
ハンズオンツアー(東京、大阪)http://technet.microsoft.com/ja-jp/cloud/hh780969
Microsoft Virtual Academyhttps://www.microsoftvirtualacademy.com/
スタンプ 10 個で TechNet Subscription
世界ランクに挑戦!
キャンペーン実施中
91
© 2011 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to
be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.