第2日目(2014年10月24日)の 中島 史晶さんのセッション「Rapid Release 時代、クライアントを最新環境にするためのテクニック」のメモを共有します。
キーワードは「Windows Intune」と「System Center 2012 R2 Configuration Manager」をつかって、エンタープライズの管理を。そして Windows 10 から追加される「Provisioning」ですね。
目次
企業環境の変化・課題
- 高度になるサーバー攻撃、ワークスタイルの変化、多様性
- これらの対応が遅れると 脅威、生産性の低下
- クライアントインフラ担当
セキュリティ更新プログラムの適用・管理
最新クライアント環境への移行
Windows 10 の展開と更新 – 少し変わる部分
エンタープライズPC管理基盤 クライアントの更新プログラム管理
クライアントOSの変化
- Windows 7 2009/10
- Windows 8 2012/10
- Windows 8.1 2013/11
- Windows 8.1 Update 2014/4
- リリースサイクルが短くなっている “Rapid Release”
- サイバー攻撃が高度になっている ウィルスサーチのエンジンだけではカバーできない
- OSでセキュリティを高める
- タブレット ワークスタイルの変化 デスクトップのキーボード・マウスから外出先でも操作しやすい機能向上
- Windows 10 でも同様の変化を考えているが、展開と更新のやり方を向上
Windows 10 展開と更新 機能向上
- アプリケーションとデバイスの互換性
- 新しい展開方法の選択
- 更新プログラムの適用方法
アプリケーションとデバイスの互換性
- デバイスの互換性 - ハードウェア要件は変更なし windows 7 と同じ。
- アプリケーションの互換性
- デスクトップ
- モダンアプリ(Windows Store apps)
- IE
- コンシューマ向けであり企業向けであるブラウザ
- エンタープライズユーザーに向けた互換性を意識した投資を進めている
- 新しいIEに移行してもらいたい
展開方法
- クリーンインストール
- Wipe-and-Load
- 従来の方法
- インプレース
- In-Place
- 一つ前のバージョンの OS からインプレースアップグレードできる
- setup.exe を起動すると、ユーザーデータやアプリを引き継いでそのまま
- Windows 10 では 7,8,8.1 からインプレースできるように
- 8.1 から 10 は、更新プログラムをあてるようなイメージでアップデートできるように・・・計画中。
- プロビジョニング
- Provisioning
- コンシューマ様向けの Windows でこれまで実施していた感じ
- Anytime Upgrade と同じように、Pro から Enterprise へのアップデートできるように・・・計画中。
- キーを入れるだけ簡単に切り替えられるように - IEの設定やアプリの設定をしなくていいように。
- メーカーから納入 箱を開けて キーを入れると 企業向けにキッティングされた状態になる
更新プログラムの配信
- コンシューマデバイス 向け
- Windows アップデート 毎月の即時アップデート、セキュリティ、バグフィックス、機能向上
- 新しい Windows の使い方 コンシューマへのイノベーション
- コンシューマにはすぐに適用してもらいたい
- ビジネスユーザー 向け
- 定期的な機能アップデートの提供
- 新機能適用までの猶予期間 検証期間を設けられるように
- WSUPによるパッチとアップデート配信
- ミッションクリティカルシステム 向け
- 長期サービシングブランチによる安定性
- 2,3年ごとの新しいブランチ提供
コンシューマデバイス向けの更新
- 時間経過で 線形で Quality & Value がアップする
ビジネスユーザー向けの更新
- 最大120日間検証期間
- 時間経過で DEFERRED BRANCH – 階段で Quality & Value がアップする
ミッションクリティカルシステム向けの更新
- ある一定までは更新をあててもらう必要がある MSから案内
- 時間経過で LONG-TERM SERVICING UPDATE- 必要に応じて段階的にアップする
3つのオプションを選択可能
更新プログラム管理の現状 こんな状態になっていませんか?
- 基本的に更新プログラムをあてない
- エンドユーザーが個々に対応
- スケジュールに合わせて出来ない 全部一度に適用するしかない
- 結果レポートを手作業で作るのが大変
リスク、管理工数が増大
更新プログラム管理体制の整備 強化が必要
- 更新プログラムが遅れると リスクの増加、OS状態の均一化が図れない
- 今後のサービシングモデルへの対応 タイミングの管理の重要性
更新プログラム管理の強化
- 配布対象のグループ化 グループごとにスケジュールされた配布
- 組織内への配布状況の把握 結果の確認・適用率の把握
- 結果レポート 関係部署へのレポートによる報告
- 管理工数の低減 管理の強化と作業負荷のバランス
更新プログラムの管理
- Windows Update コンシューマ向け
- Windows Server Update Services(WSUS) オンプレミスで管理
- Windows Intune クラウドから提供されるPC管理サービス
- System Center 2012 R2 Configuration Manager オンプレミス型のPC管理ソリューション
DEMO
- 端末を検索するクエリを指定して 対象のグループ化 -これは該当する端末が追加されたら自動的に追加される
- あてる更新プログラムを選んで 更新のグループ化
- 更新を 展開 として 対象を選んで いつまでに などをえらべば、自動適用 何%適用されたか?が表示される
- 結果をリッチテキスト表形式で出力させられる
更新プログラムの流れ
- Microsoft Update – WSUS – SCCMサイトサーバー – 配布ポイント
- -> SCCM クライアント
- グループの作成方法
- 手動で設定
- ADの情報から
- インベントリ情報から自動
- 配布スケジュールと強制適用
- 開始事故の設定
- 強制適用までの猶予期間
- コンプライアンス対応率とアラート
- 豊富なレポート
- SQL Server Reporting Services を使用したカスタマイズ
- ビューの定義 他のシステムとの連携も可能
GUI で操作できるので、管理強化して管理工数を低減できる
更新プログラムの情報 ナレッジーベース への参照も見える
高いセキュリティと業務利用のバランス
高度な管理と、管理負荷のバランス
Windows Update では配布結果の確認やレポートができない、WSUS や SCCM を使うべき
SHIN-ICHI の感想
昔、Windows Update の画面をキャプチャしてレポート作った事・・・あります。もう、SCCMを見積もり・契約に入れないでサーバーを組むのは、もう無理だ 入れた方が絶対安いと思いました。自分がPMやれるなら、絶対提案に入れておこう。