MN-211 Rapid Release 時代、クライアントを最新環境にするためのテクニック – The Microsoft Conference 2014

第2日目(2014年10月24日)の 中島 史晶さんのセッション「Rapid Release 時代、クライアントを最新環境にするためのテクニック」のメモを共有します。

 

キーワードは「Windows Intune」と「System Center 2012 R2 Configuration Manager」をつかって、エンタープライズの管理を。そして Windows 10 から追加される「Provisioning」ですね。

 

企業環境の変化・課題

  • 高度になるサーバー攻撃、ワークスタイルの変化、多様性
  • これらの対応が遅れると  脅威、生産性の低下
  • クライアントインフラ担当

 

セキュリティ更新プログラムの適用・管理

最新クライアント環境への移行

Windows 10 の展開と更新 – 少し変わる部分

エンタープライズPC管理基盤 クライアントの更新プログラム管理

 

クライアントOSの変化

  • Windows 7 2009/10
  • Windows 8 2012/10
  • Windows 8.1 2013/11
  • Windows 8.1 Update 2014/4
  • リリースサイクルが短くなっている  “Rapid Release”
    • サイバー攻撃が高度になっている ウィルスサーチのエンジンだけではカバーできない
    • OSでセキュリティを高める
  • タブレット ワークスタイルの変化 デスクトップのキーボード・マウスから外出先でも操作しやすい機能向上
  • Windows 10 でも同様の変化を考えているが、展開と更新のやり方を向上

 

Windows 10 展開と更新 機能向上

  • アプリケーションとデバイスの互換性
  • 新しい展開方法の選択
  • 更新プログラムの適用方法

 

アプリケーションとデバイスの互換性

  • デバイスの互換性 - ハードウェア要件は変更なし windows 7 と同じ。
  • アプリケーションの互換性
    • デスクトップ
    • モダンアプリ(Windows Store apps)
  • IE
    • コンシューマ向けであり企業向けであるブラウザ
    • エンタープライズユーザーに向けた互換性を意識した投資を進めている
    • 新しいIEに移行してもらいたい

 

展開方法

  • クリーンインストール
    • Wipe-and-Load
    • 従来の方法
  • インプレース
    • In-Place
    • 一つ前のバージョンの OS からインプレースアップグレードできる
    • setup.exe を起動すると、ユーザーデータやアプリを引き継いでそのまま
    • Windows 10 では 7,8,8.1 からインプレースできるように
    • 8.1 から 10 は、更新プログラムをあてるようなイメージでアップデートできるように・・・計画中。
  • プロビジョニング
    • Provisioning
    • コンシューマ様向けの Windows でこれまで実施していた感じ
    • Anytime Upgrade と同じように、Pro から Enterprise へのアップデートできるように・・・計画中。
    • キーを入れるだけ簡単に切り替えられるように - IEの設定やアプリの設定をしなくていいように。
    • メーカーから納入 箱を開けて キーを入れると 企業向けにキッティングされた状態になる

 

更新プログラムの配信

  • コンシューマデバイス 向け
    • Windows アップデート 毎月の即時アップデート、セキュリティ、バグフィックス、機能向上
    • 新しい Windows の使い方 コンシューマへのイノベーション
    • コンシューマにはすぐに適用してもらいたい
  • ビジネスユーザー 向け
    • 定期的な機能アップデートの提供
    • 新機能適用までの猶予期間 検証期間を設けられるように
    • WSUPによるパッチとアップデート配信
  • ミッションクリティカルシステム 向け
    • 長期サービシングブランチによる安定性
    • 2,3年ごとの新しいブランチ提供

 

コンシューマデバイス向けの更新

  • 時間経過で 線形で Quality & Value がアップする

 

ビジネスユーザー向けの更新

  • 最大120日間検証期間
  • 時間経過で DEFERRED BRANCH – 階段で Quality & Value がアップする

 

ミッションクリティカルシステム向けの更新

  • ある一定までは更新をあててもらう必要がある MSから案内
  • 時間経過で LONG-TERM SERVICING UPDATE- 必要に応じて段階的にアップする

3つのオプションを選択可能

 

更新プログラム管理の現状 こんな状態になっていませんか?

  • 基本的に更新プログラムをあてない
  • エンドユーザーが個々に対応
  • スケジュールに合わせて出来ない 全部一度に適用するしかない
  • 結果レポートを手作業で作るのが大変

リスク、管理工数が増大

 

更新プログラム管理体制の整備 強化が必要

  • 更新プログラムが遅れると リスクの増加、OS状態の均一化が図れない
  • 今後のサービシングモデルへの対応 タイミングの管理の重要性

 

更新プログラム管理の強化

  • 配布対象のグループ化 グループごとにスケジュールされた配布
  • 組織内への配布状況の把握 結果の確認・適用率の把握
  • 結果レポート 関係部署へのレポートによる報告
  • 管理工数の低減 管理の強化と作業負荷のバランス

 

更新プログラムの管理

  • Windows Update コンシューマ向け
  • Windows Server Update Services(WSUS) オンプレミスで管理
  • Windows Intune  クラウドから提供されるPC管理サービス
  • System Center 2012 R2 Configuration Manager オンプレミス型のPC管理ソリューション

 

DEMO

  • 端末を検索するクエリを指定して 対象のグループ化 -これは該当する端末が追加されたら自動的に追加される
  • あてる更新プログラムを選んで 更新のグループ化
  • 更新を 展開 として 対象を選んで いつまでに などをえらべば、自動適用 何%適用されたか?が表示される
  • 結果をリッチテキスト表形式で出力させられる

 

更新プログラムの流れ

  • Microsoft Update – WSUS – SCCMサイトサーバー – 配布ポイント
    • -> SCCM クライアント
  • グループの作成方法
    • 手動で設定
    • ADの情報から
    • インベントリ情報から自動
  • 配布スケジュールと強制適用
    • 開始事故の設定
    • 強制適用までの猶予期間
  • コンプライアンス対応率とアラート
  • 豊富なレポート
    • SQL Server Reporting Services を使用したカスタマイズ
    • ビューの定義 他のシステムとの連携も可能

 

GUI で操作できるので、管理強化して管理工数を低減できる

更新プログラムの情報 ナレッジーベース への参照も見える

高いセキュリティと業務利用のバランス

高度な管理と、管理負荷のバランス

Windows Update では配布結果の確認やレポートができない、WSUS や SCCM を使うべき

 

SHIN-ICHI の感想

昔、Windows Update の画面をキャプチャしてレポート作った事・・・あります。もう、SCCMを見積もり・契約に入れないでサーバーを組むのは、もう無理だ 入れた方が絶対安いと思いました。自分がPMやれるなら、絶対提案に入れておこう。