46.4K Views
October 05, 23
スライド概要
IT エンジニア向けの Microsoft 365 関連の勉強用資料です。
今回は 「Microsoft Configuration Manager」 を簡単をまとめました。
参考にしていただければ幸いです。
ナガシヨミ Microsoft 365 Microsoft Configuration Manager 概要 2023 年 10 月 タクヤ オータ
IT 勉強向けの資料として公開しています Microsoft の正式見解であったり、内容をコミットするものではございません。 仕様が変わったり、サポートされる情報が変化することもあることをご了承ください。 内容を一部だけ変更して使うなどを控えていただければ、シェアは自由にしていただいて構いません。 ビジネス目的での使用はお控えください。m(_ _)m 2023 年 10 月 タクヤ オータ
ナガシヨミ Microsoft 365 Microsoft Configuration Manager 概要 1. 2. 3. 4. 5. 6. 7. 8. 概要と基本構成 Configuration Manager の主要な機能 ネットワーク負荷分散機能 Windows / Office の更新プログラム管理 インターネット経由のクライアント管理 共同管理 (Co-Management) Configuration Manager と Intune の比較 まとめ
Microsoft Configuration Manager オンプレミス型 – Windows クライアント PC の詳細管理 クライアントの管理 ハードウェアの構成やソフトウェアの情報などを収集 クライアントに対してのポリシーや設定を実施 アプリケーション / 更新プログラムの配布 アプリケーション、ソフトウェア更新プログラムを 効率よく負荷を分散して配布をすることが可能 オペレーティング システムの安全でスケーラブルな展開 豊富なオプション機能 各種レポートの確認、コンプライアンス設定、 Microsoft Defender ウイルス対策の管理、 リモート ツールやクライアントへのアクションなど、 クライアント管理に必要な機能を利用可能 © 2023 タクヤ オータ 4
Configuration Manager の歴史 1994 年 ~ Microsoft Systems Management Server (SMS) © 2023 タクヤ オータ 2007 年 11 月 ~ 2019 年 11 月 ~ 2022 年 11 月 ~ System Center ファミリー Microsoft Endpoint Manager ファミリー Microsoft Intune ファミリー Microsoft Endpoint Configuration Manager (MECM / ConfigMgr) Microsoft Configuration Manager (ConfigMgr) System Center Configuration Manager (SCCM / ConfigMgr) 5
Microsoft Intune ファミリー Microsoft Configuration Manager オンプレミス (サーバー構築) クラウド サービス Windows の管理 マルチ プラットフォーム、BYOD 従来型の境界型防御 ゼロトラスト セキュリティ モデル 管理者によるきめ細かい制御 © 2023 タクヤ オータ Microsoft Intune 自動化を中心としたクラウドデータの活用 6
Configuration Manager の前提条件 システム要件 サイトシステム サーバー • Windows Server 2022 • Windows Server 2019 • Windows Server 2016 • Windows Storage Server 2016 管理対象クライアント • 上記の Windows Server • Windows 10 / 11 ライセンス その他 購入形態 (下記のいずれか) クラウド • Intune スタンドアロン • スイート (EMS, M365) オンプレ • クライアント ML • スイート (Core CAL, Enterprise CAL) オンプレミス Active Directory • すべての Configuration Manager サ イト システムは、Active Directory ドメ インへの参加が必須 • クライアント コンピューターは Configuration Manager ドメイン メン バーまたはワークグループ メンバーにする ことが可能 ライセンスの考え方 • 管理されるクライアントごとに必要 SQL Server • サイト データベースとして SQL Server の完全インストールが必要。 ※ 管理サーバー自体のライセンスは不要 サポートされているサイト システム サーバー Configuration Manager | Microsoft Learn ライセンスとブランチ - Configuration Manager | Microsoft Learn Active Directory ドメインのサポート Configuration Manager | Microsoft Learn サポートされているクライアントとデバイス Configuration Manager | Microsoft Learn System Center - マイクロソフト ボリューム ライセン ス (microsoft.com) サポートされているSQL Serverバージョン Configuration Manager | Microsoft Learn © 2023 タクヤ オータ 7
Configuration Manager のブランチ 実質的に こちらの選択のみ Current Branch ◼ ◼ ◼ ◼ ◼ 全ての Windows を管理 (SAC, LTSC 両方を含む) 年に 2 回 (春と秋) のアップデート プログラム 各ビルドのサポート期間は 18 ヶ月 利用するには SA 契約が必要 Windows の新機能、サービシングモデルなどに対応 どのブランチを使用する必要がありますか? Configuration Manager | Microsoft Learn © 2023 タクヤ オータ Long-Term Servicing Branch ◼ ◼ ◼ ◼ Windows 10 LTSB 2016 のみ管理が可能 10 年間のサポート (メインストリーム 5 年 + 延長サポート 5 年) Current Branch に比べ、一部の機能を制限 リリース時点で最新の Windows 10 LTSC に含まれている機能 をサポート。それ以降の新機能はサポートされない。 LTSB の概要 - Configuration Manager | Microsoft Learn 8
Configuration Manager の基本動作概要 管理ポイント 管理者による設定 収集情報の確認 ポリシーの配信 配布ポイント ソフトウェア更新 ポイント 更新プログラム カタログの同期命令 サイトの役割 © 2023 タクヤ オータ ポリシーの取得 状態のレポート ファイルのダウンロード ファイルのコピー サイト サーバー CM クライアント エージェントを インストール 更新プログラム カタログの取得 クライアント ◼ 上記は役割例でこれ以外にも 20 以上存在 (分散) ◼ 役割は 1 つのサーバーに複数設定も可能 (集約) ◼ 1 つの役割を複数のサーバー設定することも可能 (分散・冗長) 9
Configuration Manager のサイトと階層 中央管理サイト 全てのプライマリ サイトを集中管理 情報の同期 情報の同期 支店の管理者が 管理・制御を実施 サーバー 役割 ◼ データベース 情報の同期 プライマリ サイト サーバー 1 プライマリ サイト サーバー2 役割 ◼ サイト サーバー ◼ 管理ポイント ◼ 配布ポイント 役割 ◼ サイト サーバー ◼ データベース 役割 ◼ 管理ポイント ◼ 配布ポイント © 2023 タクヤ オータ プライマリ サイト サーバー 3 管理ポイントや 配布ポイントは 複数設置可能 役割 ◼ 管理ポイント ◼ 配布ポイント ネットワーク帯域が 十分でない場合など 役割 ◼ サイト サーバー ◼ データベース セカンダリ サイト 10
Configuration Manager サーバー構築イメージ 複数台の物理サーバーを用意する必要あり Active Directory 主な役割 ◼ サイトサーバー ◼ データベース 主な役割 ◼ ソフトウェア 更新ポイント 主な役割 ◼ 配布ポイント ◼ 管理ポイント 主な役割 ◼ 配布ポイント CPU : 16 Core RAM : 96 GB CPU : 8 Core RAM : 16 GB CPU : 4 Core RAM : 8 GB CPU : 2 Core RAM : 8 GB CM サイトサーバー クライアント管理 ファイル配布用サーバー1 更新プログラム管理用サーバー 拠点用クライアント管理 ファイル配布用サーバー2 2,000 台のクライアントが利用 2,000 台のクライアントが利用 Configuration Manager の要件や推奨構成について サポートされる構成 - Configuration Manager | Microsoft Learn ◼ ◼ ◼ © 2023 タクヤ オータ サイジング サイトシステムの前提条件 サポートされるサーバー OS ◼ ◼ ◼ 推奨ハードウェア サポートされるクライアント OS 機能やネットワークのサポート要件 11
Configuration Manager よくある Q&A Q. Active Directory は必須ですか? WORKGROUP の管理は出来ますか? A. Active Directory は必須です。Configuration Manager のサーバーの構成に必要です。 管理するクライアントについては WORKGROUP も可能です。(一部機能は制限されます) Q. インターネット上のクライアントを管理可能ですか? A. 可能です。ただし一部機能は制限されます。 「インターネット ベースのクライアント管理」機能 (DMZ 上にサーバーの配置が必要)、もしくは 「クライアント管理ゲートウェイ」機能 (Azure に展開し Azure サブスクリプションが必要) があります。 また、クラウド PC 管理サービスの Intune と連携が可能なため、可能であれば Intune をお勧めします。 Q. 現在 SCCM を使用していますがアップグレードは出来ますか? A. System Center 2012 Configuration Manager SP1 以降であれば可能です。 Q. ライセンスは別途必要ですか? A. 管理するクライアントごとにライセンスが必要となります。 © 2023 タクヤ オータ 12
ナガシヨミ Microsoft 365 Microsoft Configuration Manager 概要 1. 2. 3. 4. 5. 6. 7. 8. 概要と基本構成 Configuration Manager の主要な機能 ネットワーク負荷分散機能 Windows / Office の更新プログラム管理 インターネット経由のクライアント管理 共同管理 (Co-Management) Configuration Manager と Intune の比較 まとめ
Configuration Manager の主要な機能 デバイスとユーザーを管理するのに役立つ機能を提供し IT スタッフやユーザーの生産性と効率を向上 © 2023 タクヤ オータ インベントリ管理 HW/SW 構成情報の収集 アプリケーション管理 アプリ自動配布 / セルフサービス OS の展開 OS 展開の自動化 更新プログラム管理 Windows / M365 Apps の管理 Endpoint Protection セキュリティ / Defender の管理 コンプライアンス設定 システム構成の監査 リモート コントロール リモートによるユーザーの支援 リアルタイム管理 クエリでの検索やスクリプト実行 14
インベントリ管理 (1/2) ハードウェア / ソフトウェア資産の情報の収集と特定 こんな課題を解決 ◼ 社内のシステム構成情報を把握したい ◼ インストールされているソフトウエアや利用状況を把握したい Configuration Manager の特徴 ◼ 標準で 30 種 200 属性の詳細なハード / ソフトウエア情報 ◼ CM クライアントが定期的に自動収集 ◼ 収集した情報はツールやレポートで確認 自動収集される情報一例 各デバイスで収集したハードウェア / ソフトウェアの確認が可能 ◼ ◼ ◼ ◼ ハードウェア OS バージョン ネットワーク設定 アプリケーション一覧 ◼ ◼ ◼ ◼ ディスク上のファイル 更新プログラム クライアントのステータス BitLocker のステータス ※ OS 上のツールやコマンドで見れる情報のほとんどは収集が可能 © 2023 タクヤ オータ 15
インベントリ管理 (2/2) 収集した情報のレポートや情報を基にグループ分けなどのアクションに利用 Excel や PDF などの形式で 出力することも可能 一般的な利用例 ◼ コンソールからインベントリ情報の確認 ◼ 標準レポート機能を使用してレポート出力 ◼ SQL Reporting Service による高度なレポートやカスタ ム レポートの作成 それ以外での利用例 ◼ ライセンスやアプリケーションの利用状況の確認 ◼ 特定の条件に合致するクライアントの特定 ◼ グループ分け (コレクション) に活用 収集情報を基にグループ分けも インベントリ情報を利用してグループ分けすることが可能 またメンバーは自動的に更新することができ様々な面で活用可能 標準レポート機能により 社内システムの情報が確認できる © 2023 タクヤ オータ コレクションを使用する例 ◼ あるメーカーの機種の PC にのみ更新プログラムを配信 ◼ 特定の部署のユーザーに対してのみアプリケーションを配信 ◼ 特定のアプリが入っている PC のみレジストリ設定を配信する 16
アプリケーションの管理 アプリケーションの自動配布やユーザーによるセルフサービスをサポート ポータル機能により、ユーザーからのセルフ サービスでアプリケーションの配布も可能 こんな課題を解決 ◼ ソフトウェアの配信を人海戦術で行っている ◼ 拠点間の WAN に負荷をかけず、帯域制御をしながらソフト ウェアの配信をしたい Configuration Manager の特徴 ◼ ユーザーに対してローカル管理者権限を与えることなく ソフトウエアのインストールが可能 ◼ 定められたスケジュールでの強制インストールや条件、 ユーザーの選択によるインストールが可能 ◼ ディスクの空き容量や OS バージョンなど、 インストールの前提条件チェックによるトラブルを未然に防止 配信可能なアプリケーション等の一例 自動インストールも可能。 期限を付けてのインストールも可能 © 2023 タクヤ オータ ◼ ◼ ◼ Windows アプリ (exe, msi) ストア アプリ (UWP) App-V 仮想アプリケーション ◼ ◼ ◼ コマンドの実行 バッチファイル (bat) スクリプト (PowerShell) ※ コマンド プロンプトで実行が出来るものは対応できるとお考え下さい 17
OS の展開 (1/2) Windows のイメージング / キッティングの自動化 こんな課題を解決 ◼ OS のマスターイメージが多くメンテナンスが大変 ◼ 新規導入や故障時の OS 入れ替え時に手作業が多く時間がかかる Configuration Manager の特徴 ◼ イメージ作成ツールによる容易な OS イメージの作成 ◼ 「タスク シーケンス」機能による OS 展開プロセスの自動化 ◼ ネットワークや DVD、USB メディアからの OS 展開方法に対応 「タスク シーケンス」による設定可能な項目例 ◼ ◼ 「タスク シーケンス」機能により、手作業で やっていた内容を自動化することが可能 © 2023 タクヤ オータ ◼ ◼ ユーザープロファイルの移行 • データの保存、復元 ハード ディスクの制御 • パーティションの作成 • フォーマット OS イメージの適用 デバイス ドライバーの管理 ◼ ◼ ◼ ◼ ◼ Windows システム設定 • ドメイン / ワークグループ設定 • ネットワーク構成情報 更新プログラムの適用 アプリケーションのインストール コマンド ラインの実行 ディスク暗号化 (BitLocker 設定) ※ クリーン インストールから一連の設定作業の自動化が可能 18
OS の展開 (2/2) 様々なトリガーによる OS の展開方法にも対応 Configuration Manager エージェント ネットワーク ブートによる展開 サーバー クライアント PC の 電源投入後 F12 キーを押下 サーバー クライアント ② タスク シーケンス ① ネットワークブート (PXE) 最新パッケージを クライアントに ユーザーが好きな時に 実行も可能 ② タスク シーケンス © 2023 タクヤ オータ ① ネットワーク通信 (HTTP) 最新パッケージを クライアントに メディア クライアント ① インストール サーバー PC の 電源投入後 メディアで起動 ① ネットワーク通信 (HTTP) メディアでのオフライン展開 DVD/USB ブートによる展開 クライアント ② タスク シーケンス 最新パッケージを クライアントに PC の 電源投入後 メディアで起動 必要パッケージを 全て入れておく 19
更新プログラム管理 (1/2) 更新プログラムの適用のタイミングを完全に制御 こんな課題を解決 ◼ PC の更新プログラムの適用状況を正確に把握したい ◼ 更新プログラムの配信タイミングを厳密にコントロールしたい ◼ Windows や Microsoft 365 Apps を管理したい Configuration Manager の特徴 ◼ Microsoft Update カタログ と同様の仕組みの精度の高い検出 ◼ 配信機能を利用した柔軟な配布コントロール ◼ すぐに使えるレポート機能 ◼ 毎月の配信をパターン可し自動承認・配布制御も可能 Windows Server の機能 (WSUS) のカタログを使用 更新プログラムの適用状況も 簡単に把握することが可能 © 2023 タクヤ オータ Configuration Manager 様々な Windows Server の機能をコントロールします。 更新プログラムに関しては、Windows Server Update Services (WSUS) のカタログ を情報を利用しソフトウェア更新ポイント (SUP) という役割となります。 ただし、実際の更新プログラムの配信に関してはアプリケーション管理の機能を使うため、 制度が高いスケジュール設定が可能です。 20
更新プログラム管理 (2/2) エンド ユーザーのオペレーションに任せた更新プログラムの適用も エンドユーザーに高度な知識やオペレーションが不要 ◼ バルーン メッセージにより更新の有無をお知らせ ◼ 「ソフトウェア センター」により、ユーザー自身で容易に更新のインストールが可能 ユーザーへの通知が可能 (日本語も対応してます) 簡単操作にて 適用が可能 © 2023 タクヤ オータ 21
Endpoint Protection Windows のセキュリティ機能の背亭や管理を一元化 こんな課題を解決 ◼ セキュリティ管理と運用管理がばらばらになっている ◼ 問題発生時の切り分けが大きな負担になっている 管理コンソールから ポリシー設定が可能 OS の組み込み機能を そのまま利用可能 Configuration Manager の特徴 ◼ Windows Defender ウイルス対策を管理・レポート ◼ 単一ツールでクライアント管理およびセキュリティ対策を実現 ◼ サポートの一元化によりインシデント対応の時間 (工数) を短縮 設定・管理可能なセキュリティ機能例 ◼ ◼ ◼ ◼ 管理コンソールから 状況の確認が可能 © 2023 タクヤ オータ マルウェア感染や修復履歴などが レポートで可視化可能 Defender ウイルス対策 Defender ファイアウォール Defender アプリケーション制御 BitLocker 管理 ◼ ◼ ◼ Defender for Endpoint Defender Exploit Guard Defender Application Guard ※ グループ ポリシーなどによる設定が必要なく、ウィザード形式で設定可能 22
コンプライアンス設定 Windows の構成の継続的な検査と修復 様々なベースラインを 設定することが可能 こんな課題を解決 ◼ ユーザーが利用している PC が適切な設定か分からない ◼ 適切でない場合には設定を修復したい Configuration Manager の特徴 ◼ 望ましい状態と現状のギャップをレポートやアラートで可視化 ◼ 特定の PC のレジストリ値やファイルの有無をベースラインとして利用し意図しない 設定の場合に自動修復も可能 あるべき設定への 修復スクリプトを設定 サーバー ベースライン 構成項目の設定 © 2023 タクヤ オータ ベースライン ◼ ファイル ◼ レジストリ ◼ スクリプト ◼ WMI ◼ XMML ◼ AD 情報 クライアント 自動修復 または アラート生成 ベースラインの チェック 23
リモート コントロール ヘルプデスク サポートの効率化 こんな課題を解決 ◼ ユーザーの PC などの構成情報を確認しつつ対応を行いたい ◼ ユーザーと画面を共有しながら作業を効率化したい Configuration Manager の特徴 ◼ 専用のリモートツールによる機能 ◼ インベントリ情報を確認しながらのサポート、 ◼ ヘルプデスクユーザーにはリモートコントロールのみなど、細かな セキュリティコントロールが可能 リモートツールの機能一例 ◼ ◼ ◼ ◼ ◼ © 2023 タクヤ オータ UAC の対応 キーボード、マウスのロック マルチ モニター対応 ファイル転送機能の強化 ヘルプデスク担当者の表示 ◼ ◼ ◼ ◼ ◼ コレクション単位での設定 ロールベース セキュリティ ファイアーウォールの自動設定 低帯域での機能改善 ポート要件の変更 24
リアルタイム管理 オンライン デバイスに対してクエリの実行や PowerShell スクリプトを実行 こんな課題を解決 ◼ リアルタイムの情報で調査を進めたい ◼ すぐにスクリプトを実行したい Configuration Manager の特徴 ◼ CMPivot というツールを利用して、オンラインのデバイスに対し てその場でクエリの実行が可能 ◼ PowerShell スクリプトを実行する統合機能があり、ターゲッ トに対して実行と監視が可能 「クライアント通知」 機能による即時アクションも ◼ ◼ ◼ ◼ ◼ ◼ © 2023 タクヤ オータ コンピューター ポリシーのダウンロード ユーザー ポリシーのダウンロード 探索データの収集 ソフトウェア インベントリの収集 ハードウェア インベントリの収集 アプリケーション展開の評価 ◼ ◼ ◼ ◼ ◼ ◼ ソフトウェア更新展開の評価 ソフトウェア更新ポイントの切り替え デバイス正常性構成証明の評価 コンプライアンスの確認 ウェイクアップ 再起動 25
Configuration Manager の主要な機能 デバイスとユーザーを管理するのに役立つ機能を提供し IT スタッフやユーザーの生産性と効率を向上 © 2023 タクヤ オータ インベントリ管理 HW/SW 構成情報の収集 アプリケーション管理 アプリ自動配布 / セルフサービス OS の展開 OS 展開の自動化 更新プログラム管理 Windows / M365 Apps の管理 Endpoint Protection セキュリティ / Defender の管理 コンプライアンス設定 システム構成の監査 リモート コントロール リモートによるユーザーの支援 リアルタイム管理 クエリでの検索やスクリプト実行 26
ナガシヨミ Microsoft 365 Microsoft Configuration Manager 概要 1. 2. 3. 4. 5. 6. 7. 8. 概要と基本構成 Configuration Manager の主要な機能 ネットワーク負荷分散機能 Windows / Office の更新プログラム管理 インターネット経由のクライアント管理 共同管理 (Co-Management) Configuration Manager と Intune の比較 まとめ
負荷分散やネットワーク帯域制御による展開にも対応 サイト サーバーから配布ポイント (ファイル サーバー) 間の制御 ◼ 使用する帯域の制御や転送を行う時間帯のスケジューリング ◼ オフラインでの転送も可能。DMZ やクラウドにも対応 ◼ 配布ポイントは自由に増設が可能。クライアント OS も対応 配布ポイント (ファイル サーバー) からクライアント間の制御 ◼ 使用する帯域の制御や転送を行う時間帯のスケジューリング ◼ ピアツーピア技術によるクライアント同士でのキャッシュ共有機能 データ センター プライマリサイトサーバー DMZ の 配布ポイント DMZ に 配布ポイントを配置 BITS による帯域制御 (帯域幅、スケジュール) Azure 上に 配布ポイントを配置 クラウド上の 配布ポイント クライアント OS を 配布ポイントに設定 メディアによる オフライン転送 配布ポイント 配布ポイント ピアツーピアによる キャッシュの共有 配布ポイント BITS による 帯域制御 BITS による 帯域制御 拠点 A © 2023 タクヤ オータ 拠点 B 拠点 C 拠点 D 外出先 28
ネットワーク負荷分散・軽減機能 オンプレミス クラウド Microsoft Configuration Manager Windows Server Update Services 配信グループ (リング) YES YES ピア ツー ピア (P2P) YES ネットワーク帯域制限 YES © 2023 タクヤ オータ コレクション BranchCache ピア キャッシュ BITS 配信の最適化 YES YES グループ分け 配信の最適化 BranchCache BITS 配信の最適化 Windows Update NO YES YES 配信の最適化 BITS 配信の最適化 Windows Update for Business YES グループ分け YES 配信の最適化 YES BITS 配信の最適化 29
ピア ツー ピアー (P2P) Windows Server Update Services ◼ BranchCache ◼ 配信の最適化 オンプレミス環境であれば BranchCache の使用が一般的 © 2023 タクヤ オータ Microsoft Configuration Manager ◼ BranchCache ◼ 配信の最適化 ◼ クライアントのピアキャッシュ クライアントのピアキャッシュにて、柔 軟な構成や条件の設定が可能 組み合わせて利用可能 Windows Update Windows Update for Business ◼ 配信の最適化 Windows 10 以降では「配信の 最適化」 を利用するのが一般的 30
参考 : ピア ツー ピア 機能の比較 機能 サブネット間でサポートされる 帯域幅調整 部分的なコンテンツのサポート 配信最適化 ピア キャッシュ BranchCache YES YES NO YES (ネイティブ) YES (BITS 経由) YES (BITS 経由) YES Microsoft 365 Appsと Express 更新の場合のみ YES ConfigMgr を使用する: - 高速更新プログラム - すべての Windows 更新プログラム サポートされているコンテンツ タイプ Microsoft クラウド経由: - Windows とセキュリティの更新プログラム - ドライバー - Windows ストア アプリ - Windows ストア for Business アプリ Windows PE でダウンロードされたイメージを含むす イメージを除くすべての ConfigMgr コンテンツ タイプ べての ConfigMgr コンテンツ タイプ ディスク コントロールのキャッシュ サイズ YES YES YES ピア ソースの検出 自動 手動 (クライアント エージェントの設定) 自動 配信最適化クラウド サービス経由 (インターネット アクセスが必要) 管理ポイント経由 (クライアント境界グループに基づく) マルチキャスト ピア検出 Reporting Widows Update for Business レポート ConfigMgr クライアント データ ソース ダッシュボード ConfigMgr クライアント データ ソース ダッシュボード WAN の使用制御 グループ ポリシー設定を使用して制御 境界グループ サブネットのサポートのみ ConfigMgr による管理 一部 (クライアント エージェントの設定) YES (クライアント エージェントの設定) YES (クライアント エージェントの設定) © 2023 タクヤ オータ 31
ネットワーク帯域制限 Windows Server Update Services ◼ BITS ◼ 配信の最適化 オンプレミス環境であれば BITS による帯域制限が一般的 © 2023 タクヤ オータ Microsoft Configuration Manager ◼ BITS ◼ 配信の最適化 ◼ サーバー側帯域制限など Configuration Manager にて、 より柔軟な構成や条件の設定が可能 Windows Update Windows Update for Business ◼ 配信の最適化 Windows 10 以降では「配信の 最適化」 を利用するのが一般的 32
参考 : 実際の設定イメージ BITS の転送設定 © 2023 タクヤ オータ クライアント キャッシュの設定 33
「配信の最適化」 によるネットワーク制限とキャッシュ共有 © 2023 タクヤ オータ 34
参考: Configuration Manager の接続キャッシュ サーバーを使った構成 Windows Enterprise 1. 2. 3. 4. 5. 6. クライアントは更新プログラムをチェックし、 コンテンツ配信ネットワークからアドレスを取得 Configuration Manager は、キャッシュ サーバー名を 含むクライアントの配信の最適化設定を構成 クライアントがキャッシュ サーバーにコンテンツを要求 キャッシュにコンテンツが見つからなかった場合、 キャッシュ サーバーは、CDN からコンテンツを取得 キャッシュ サーバーが応答に失敗した場合、 クライアントはコンテンツを CDN サーバーからダウンロード クライアントは配信の最適化設定を使用して、 ピアからコンテンツの一部を取得 Microsoft 接続キャッシュ - Configuration Manager | Microsoft Docs © 2023 タクヤ オータ 35
ナガシヨミ Microsoft 365 Microsoft Configuration Manager 概要 1. 2. 3. 4. 5. 6. 7. 8. 概要と基本構成 Configuration Manager の主要な機能 ネットワーク負荷分散機能 Windows / Office の更新プログラム管理 インターネット経由のクライアント管理 共同管理 (Co-Management) Configuration Manager と Intune の比較 まとめ
Windows の更新とサポート期間 年に 2 回から 変更されました! 年に 1 回の機能更新 月に 1 回の品質更新 年に 1 回の機能更新 月に 1 回の品質更新 サポート期間 サポート期間 Enterprise / Education : 30 ヵ月(秋) Enterprise / Education : 36 ヵ月 Pro / Home : 18 ヵ月 Pro / Home : 24 ヵ月 ライフサイクルに関する FAQ - Windows | Microsoft Docs https://docs.microsoft.com/ja-jp/lifecycle/faq/windows ※ 問題や緊急性により、複数回リリースされる場合もあります © 2023 タクヤ オータ 37
Windows の更新プログラムの展開例 時期と対象デバイスを適切に管理し徐々に導入規模を拡大していく 総務/経理 一般業務 IT 部門 Engineering builds Broad Microsoft internal validation Time Microsoft Insider Preview Branch 本格導入 先行導入 サポート ヘルプデスク 開発/検証 Pilot Ring IT Pilot Ring QA 一般業務 Pilot Ring Early Adopters Broad Deployment Ring I Broad Deployment Ring II 基幹業務 Broad Deployment Ring III Broad Deployment Ring IV このイラストはコンセプトを表したもので、 具体的なリリース情報とは関連ありません。 © 2023 タクヤ オータ 38
Windows 更新プログラム管理 更新プログラムの適用のタイミングを完全に制御 こんな課題を解決 ◼ PC の更新プログラムの適用状況を正確に把握したい ◼ 更新プログラムの配信タイミングを厳密にコントロールしたい ◼ Windows や Microsoft 365 Apps を管理したい Configuration Manager の特徴 ◼ Microsoft Update カタログ と同様の仕組みの精度の高い検出 ◼ 配信機能を利用した柔軟な配布コントロール ◼ すぐに使えるレポート機能 ◼ 毎月の配信をパターン可し自動承認・配布制御も可能 Windows Server の機能 (WSUS) のカタログを使用 更新プログラムの適用状況も 簡単に把握することが可能 © 2023 タクヤ オータ Configuration Manager 様々な Windows Server の機能をコントロールします。 更新プログラムに関しては、Windows Server Update Services (WSUS) のカタログ を情報を利用しソフトウェア更新ポイント (SUP) という役割となります。 ただし、実際の更新プログラムの配信に関してはアプリケーション管理の機能を使うため、 制度が高いスケジュール設定が可能です。 39
Windows 機能更新プログラム Windows Service ダッシュボードによる管理 組織内のバージョン別使用状 況の確認が可能 こんな課題を解決 ◼ クライアントの Windows のバージョンを管理したい ◼ Windows のバージョンアップをグループ分けなどを行い計画的に 実施したい ◼ ユーザーの業務中には再起動させたくない Configuration Manager の機能 ◼ 「Windows Servicing 」による組織内のクライアント バージョン 状況の可視化 ◼ 「サービス プラン」を作成してコンピュータごとに展開する時期を 計画的に設定することが可能 各バージョンのサポート期間の 確認が可能 Windows Servicing ダッシュボードの項目 ◼ ◼ ◼ ◼ © 2023 タクヤ オータ Windows の使用状況のタイル Windows のリングのタイル サービス プランの作成のタイル 有効期限切れのタイル ◼ ◼ ◼ ◼ もうすぐ有効期限のタイル アラート タイル サービス プランの監視のタイル Windows ビルドのタイル 40
Windows 品質更新プログラム 毎月の自動展開による運用負荷の軽減やネットワーク負荷の削減 こんな課題を解決 ◼ 毎月の更新プログラムを自動的に展開したい ◼ 更新プログラムのダウンロード容量を削減したい ◼ 更新プログラムを効率良く配りたい Configuration Manager の機能 ◼ 「自動展開規則」 による配信の自動化 ◼ 「高速インストール ファイル」使用によるダウンロード容量削減 ◼ 「BranchCache」や「クライアントのピアキャッシュ」を使用したキャッシュ共有 によるファイル転送の効率化 毎月自動的に 展開・適用 高速インストールファイ ルを使用 自動展開規則の 設定を実施 ◼ A 部署に ◼ 重要な更新 ◼ 毎月 2 週目 BranchCache / ピアキャッシュ 高速インストール ファイル 自動展開規則 更新の差分のみ ダウンロード キャッシュ共有の 設定を実施 クライアント同士で キャッシュ共有 クライアント 最大 90% 削減 サーバー 更新プログラム クライアント サーバー クライアント 更新プログラム サーバー クライアント 更新プログラム クライアント © 2023 タクヤ オータ 41
Microsoft 365 Apps 展開に利用するツール クラウドから展開することも、ローカル ソースから展開することも可能 Office 365 ポータル Microsoft Intune Office Deployment Tool (ODT) Microsoft Configuration Manager 特徴 ユーザーがポータルにアクセスし、 各自の PC にインストール 展開に必要な管理作業を最小化 Intune 管理対象の Windows 10 デバイスにインストール 詳細な展開のカスタマイズが可能 バッチ ファイル、スクリプト、 ソフトウェア展開ツールで実行可能 ODT がサポートする全機能および展開を 管理する組み込みの機能を提供 インストールソース クラウド クラウド クラウド/ローカルソース クラウド/ローカルソース インストールの カスタマイズ × 最新ビルドをインストール 〇 ビルドの指定、除外するアプリの指定 ◎ ◎ アプリケーション設定の カスタマイズ グループ ポリシーなどを使用 構成サービス プロバイダー (CSP)や グループ ポリシーなどを使用 Office Deployment Tool や グループ ポリシーなどを使用 Office 365 クライアント インストール ウィ ザードやグループ ポリシーなどを使用 更新の設定/制御 クラウドから自動更新 機能更新の受信頻度を選択(テナ ント全体で1つ) クラウドから自動更新 機能更新の受信頻度を選択(ユー ザー/グループ単位で指定可能) クラウドまたはローカルソースから更新 自動更新の無効化が可能 更新バージョンの指定が可能など 自動展開規則 (ADR)により更新プログ ラムの自動展開が可能 考慮事項 ユーザーにクライアント デバイスの ローカル管理者権限が必要 Microsoft Intune の契約が必要 Windows 10 1703 以降が必要 Microsoft 365 Apps の更新プログラムは、Windows Update、Windows Server Update Services (WSUS) で配布することは出来ません。 © 2023 タクヤ オータ CM のソフトウェア ライセンスが必要 42
Microsoft 365 Apps の更新チャネル • 更新チャネルにより機能更新を受け取る頻度を制御することが可能 • 機能更新を評価し、特定のグループで試験運用してから組織全体に更新プログラムを展開可能 更新 チャネル 主な目的、特徴、対象者 機能更新 サポート期間 月次エンタープライズ チャネル 新機能を 月1 回 組織に展開 月次 2 か月間 Office のテストが必要なアプリ、アドイン、マクロが 少ない組織のユーザー 予測可能なリリース スケジュール(第 2 火曜) セキュリティ更新およびセキュリティ以外の修正プ ログラムをリリース(第 2 火曜) Monthly Enterprise Channel 半期エンタープライズ チャネル (プレビュー) Semi-Annual Enterprise Channel (Preview) 半期エンタープライズ チャネル Semi-Annual Enterprise Channel 次の半期チャネルを検証 次回の半期エンタープライズチャネルに実装されるも のと同じ機能更新を事前に提供 先行導入ユーザーや互換性テスト担当者 数か月間の検証期間を経て、 新機能を組織に展開 Office のテストが必要なアプリ、アドイン、マクロが 多い組織のユーザー 年 2 回(3 月、 9 月) 年 2 回(7 月、1 月) 6か月間 セキュリティ更新およびセキュリティ以外の修正プ ログラムをリリース(第 2 火曜) 14 か月間 セキュリティ更新およびセキュリティ以外の修正プ ログラムをリリース(第 2 火曜) 主な更新チャネルは上記の3つです。そのほかに、ベータ チャネル、最新チャネル (プレビュー)、最新チャネルというチャネルもあります。 2020 年 6 月 9 日以降、最新チャネルが、Microsoft 365 Apps for enterprise の既定値になります。 Microsoft 365 Apps の更新チャネルの変更:https://blogs.windows.com/japan/2020/05/14/a-new-wave-of-innovation-to-help-it-modernize-servicing-of/ © 2023 タクヤ オータ 43
Office 365 / Microsoft 365 クライアントの管理 専用のダッシュボードによる Office 365 クライアントのバージョン / アップデートの管理 こんな課題を解決 ◼ Office 365 のクライアントを把握したい ◼ Office 365 の展開を計画的に行いたい ◼ クライアントのバージョンを管理したい Configuration Manager の特徴 ダッシュボードから以下の確認が可能 ◼ Office 365 クライアントの数 ◼ Office 365 クライアントのバージョン ◼ Office 365 クライアントの言語 ◼ Office 365 クライアントのチャネル Office 365 クライアントの管理 Office 365 は WSUS を通じての展開および更新プログラムの管理は 出来ません。クライアントの管理機能や展開・更新プログラム配信は CM のみの機能となります。 © 2023 タクヤ オータ 44
Microsoft 365 Apps のインストール 専用のメニューを利用した Microsoft 365 Apps のインストールのカスタマイズをサポート こんな課題を解決 ◼ Office 365 の展開を便利に行いたい ◼ Office 365 の設定をグループ分けしたい Configuration Manager の特徴 Office 365 クライアント インストール ウィザードから選択が可能 ◼ Office 365 クライアント製品の選択が可能 ◼ Office 365 クライアントのチャネルやバージョンの選択が可能 ◼ 共有コンピューター認証などのオプション設定にも対応 ◼ コレクションごとに設定を変えて展開が可能 Office 365 クライアント インストール ウィザード Configuration Manager (CB) 1702 以降にて Office 365 / Microsoft 365 のクライ アント管理機能が大幅に改善しており、より簡易的に展開が出来るようになっています。 © 2023 タクヤ オータ 45
Microsoft 365 Apps の更新プログラム管理 Microsoft 365 Apps の毎月の更新プログラムもコントロール こんな課題を解決 ◼ Microsoft 365 Apps の更新をコントロールしたい ◼ Microsoft 365 Apps の更新を自動化したい ◼ ネットワーク負荷などを考慮して配信したい Configuration Manager の特徴 ◼ Windows の更新プログラムと同様な感覚で、Microsoft 365 Apps の更新プログラムの管理が可能 ◼ 自動展開規則による、更新プログラム配信作業の自動化 ◼ 「高速インストール ファイル」やピアツーピアによるキャッシュ共有 機能の利用も可能 © 2023 タクヤ オータ 46
ナガシヨミ Microsoft 365 Microsoft Configuration Manager 概要 1. 2. 3. 4. 5. 6. 7. 8. 概要と基本構成 Configuration Manager の主要な機能 ネットワーク負荷分散機能 Windows / Office の更新プログラム管理 インターネット経由のクライアント管理 共同管理 (Co-Management) Configuration Manager と Intune の比較 まとめ
社外のデバイスはそのままでは管理できない こんな課題を解決 ◼ クラウド環境、Intune などが利用できない ◼ 社外に存在するクライアントを管理したい ◼ 社外の端末にポリシーやアプリケーションを配布したい Configuration Manager の機能 ◼ 「インターネット ベースの管理」による DMZ 上に配置したサイトシステム によるクライアントの管理 ◼ 「クライアント管理ゲートウェイ」オンプレミス サーバーへの追加コスト不要 の管理 社内 LAN 環境 インターネット DMZ AD / CS 管理ポイント サイトサーバー 配布ポイント ソフトウェア更新 ポイント Firewall © 2023 タクヤ オータ Firewall 社外の端末はポリシーや アプリを受け取れない 48
オプション 1 : インターネットベースのクライアント管理 (IBCM) 必要な構成 ◼ 必要なサイト システムの DMZ 上への配置・ドメイン参加 ◼ サイト システムのインターネット用 DNS 名 ◼ PKI 証明書 ◼ 信頼されたルート証明書 ◼ インターネット通信と必要なポートの解放 制限される機能例 ◼ クライアントのプッシュ インストール ◼ サイトの自動割り当て ◼ Wake On LAN ◼ オペレーティング システムの展開 ◼ リモート コントロール 社内 LAN 環境 インターネット DMZ 社内 LAN 環境 AD / CS AD / CS DMZ にサーバーを 配置する必要あり 管理ポイント 管理ポイント サイトサーバー 配布ポイント 配布ポイント ソフトウェア更新 ポイント ソフトウェア更新 ポイント Firewall © 2023 タクヤ オータ Firewall デバイスが社外に移動しても 管理が可能 49
オプション 2 : クラウド管理ゲートウェイ (CMG) 必要な構成 ◼ クラウド管理ゲートウェイ接続ポイント ◼ クライアント証明書の構成 ◼ Azure への VM 展開、Azure サブスクリプション ◼ Azure での Configuration Manager の認証に使用される Azure 管 理証明書 制限される機能例 ◼ クライアントのプッシュ ◼ サイトの自動割り当て ◼ アプリケーションカタログ ◼ OS 展開・タスク シーケンス ◼ マネージメント コンソール ◼ リモート コントロール 社内 LAN 環境 ◼ ◼ ◼ ◼ ◼ Web サイトのレポート Wake On LAN リモート コントロール Azure Resource Manager ピア キャッシュ インターネット DMZ DMZ にサーバーを 配置する必要なし 管理ポイント クラウド管理 サイトサーバー ゲートウェイ Port 443 配布ポイント ソフトウェア更新 ポイント クラウド管理 ゲートウェイ 接続ポイント Firewall © 2023 タクヤ オータ Firewall デバイスが社外に移動しても 管理が可能 50
ナガシヨミ Microsoft 365 Microsoft Configuration Manager 概要 1. 2. 3. 4. 5. 6. 7. 8. 概要と基本構成 Configuration Manager の主要な機能 ネットワーク負荷分散機能 Windows / Office の更新プログラム管理 インターネット経由のクライアント管理 共同管理 (Co-Management) Configuration Manager と Intune の比較 まとめ
共同管理 (Co-management) とは? 共同管理登場の背景 スマートホン、タブレットだけでなく Windows の管理も クラウドベースにすることで、オンプレミ スのサーバの H/W, S/W, 保守, 運用コストを削減し、シンプルな管理を実現できます。 ただ、従来の管理からクラウドベースへの移行は困難な場合があります。 共同管理 とは Co-management を導入することで、ConfigMgr と Intune の両方を使用して Windows デバイスを同時に管理することができます。 これは、従来の管理からクラウドベースの管理への橋渡しとなるソリューションであり、段階的な アプローチを使って徐々に クラウドベースの管理に移行することを可能にします。 © 2023 タクヤ オータ 52
共同管理 - オンプレミスからクラウドへのスムーズなシフト Microsoft Configuration Manager オンプレミス (サーバー構築) © 2023 タクヤ オータ Microsoft Intune クラウド サービス Windows の管理 マルチ プラットフォーム、BYOD 従来型の境界型防御 ゼロトラスト セキュリティ モデル 管理者によるきめ細かい制御 自動化を中心としたクラウドデータの活用 53
Microsoft Intune クラウド型 –統合エンドポイント管理サービス モバイル デバイス管理 (MDM) Windows 10/11 や iOS, Android を一元管理 管理下のデバイスに対する、ポリシーの一括設定や ワイプや端末の探索などのアクションが可能 アプリの管理 (MAM) 端末やユーザーに応じたアプリの配布・設定が可能 またアプリ保護ポリシー対応アプリであれば、 さらに厳密にセキュリティ設定を行うことがが可能 ゼロトラスト セキュリティ (アクセス制御等) Azure AD の条件付きアクセスと連携し、 管理されたデバイスやポリシーに準拠したデバイスのみ アクセス可能といったような制御が可能 © 2023 タクヤ オータ 54
共同管理 – Microsoft Intune との連携 こんな課題を解決 ◼ PC とモバイル デバイス管理を一元化したい ◼ クラウド環境への移行をスムーズに行いたい Configuration Manager の特徴 ◼ 管理コンソールですべてのデバイスを一元管理 ◼ モバイルデバイス、PC のポリシーをデバイスの種類や用 途に応じて設定し配布 ◼ 「ワイプ」など Intune に登録されているデバイスで使用 できる機能の管理が可能 共同管理により活用できる Microsoft Intune の機能 ■ デバイスのコンプライアンスを使用した条件付きアクセス ■ Intune ベースのリモート操作 (例: 再起動、リモート コントロール、リセット) ■ デバイスの正常性の一元表示 ■ ユーザー、デバイス、アプリの Microsoft Entra ID (Azure AD) とのリンク付け ■ Windows Autopilot を使用した最新のプロビジョニング © 2023 タクヤ オータ 55
共同管理の設定画面 Configuration Manager の管理コンソールより有効化が可能 Configuration Manager で管理されている デバイスに対して、共同管理を自動設定 © 2023 タクヤ オータ ワークロードの切り替え パイロットグループの指定 56
デバイス管理の課題と共同管理 / クラウド化による解決 デバイス管理の課題 ◼ デバイスの導入、展開時の負荷、コスト • OS のマスターイメージ管理 • 新規導入や故障時の OS 入れ替え ◼ アプリ配信、OS アップデート の適用と状況の可視化 • リモートワークの環境で従来型の OS アップデートが困難 • アプリ配信、アップデート配信での社内ネットワークへの影響 ◼ セキュリティ ポリシー適用状況の可視化 • グループポリシー(GPO)による制御が継続的・適切に強制され ているか確認が困難 ◼ デバイス紛失時の対応 ◼ Windows の継続的なセキュリティ リスク の評価とアクセス制御 • 古いバージョンやポリシー非準拠デバイスのアクセス制御ができてい ない © 2023 タクヤ オータ 共同管理 / クラウド化による解決 時間とコスト 更新管理 デバイス管理 セキュリティ ◼ クラウドベースの デバイスセットアップ(Windows Autopilot + Microsoft Intune) ◼ OS イメージの作成と「タスク シーケンス」による OS 展開プロセスの自動化 (Configuration Manager) ◼ インターネット上や小規模拠点のデバイス更新、アプリ配信(Microsoft Intune / ク ラウド管理ゲートウェイ) ◼ ハイブリッド、クラウド更新ソースの利用(Configuration Manager +CMG、 Windows Update for Business +配信の最適化) ◼ クラウドベースで場所に縛られず常時監視(Microsoft Intune、クラウド管理ゲート ウェイ) ◼ リモートワイプ(Microsoft Intune、Configuration Manager 共同管理) ◼ 従来の信頼モデル(証明書、ネットワーク)によるアクセス制御からデバイスポリシー 準拠への信頼モデルの変更(Azure AD 条件付きアクセス + Microsoft Intune) ◼ Microsoft 365 製品との連携によるデバイス リスクレベルに応じた リソースへのアクセス制御、対処(Microsoft Defender for Endpoint) 57
ナガシヨミ Microsoft 365 Microsoft Configuration Manager 概要 1. 2. 3. 4. 5. 6. 7. 8. 概要と基本構成 Configuration Manager の主要な機能 ネットワーク負荷分散機能 Windows / Office の更新プログラム管理 インターネット経由のクライアント管理 共同管理 (Co-Management) Configuration Manager と Intune の比較 まとめ
Windows PC 管理における ConfigMgr と Intune の比較 項目 情報収集 デバイス設定 アプリ配布 ウイルス対策 デバイス アクション OS 展開 インターネット © 2023 タクヤ オータ ConfigMgr Intune 備考 インベントリ収集 (ハードウェア) ◎ ○ CM は詳細な情報取得とカスタマイズが可能。Intune は基本的な項目のみ インベントリ収集 (ソフトウェア) ◎ ○ CM は詳細な情報取得とカスタマイズが可能。Intune は基本的な項目のみ インベントリ レポート ◎ ○ CM 詳細なレポートとカスタマイズが可能。Intune は標準的なレポートで Power BI で若干のカスタマイズが可能 デバイス ポリシー設定 ◎ ◎ グループポリシーベースと、構成プロファイルベースで異なるが、現在はほとんど差異が無くなっている プロファイルの配布 (Wi-Fi/VPN/証明書) × 〇 CM は非推奨機能の移行。Intune を利用 アプリリケーション配布 ◎ 〇 CM は配信タイミングや権限などの詳細な設定が可能。 更新プログラム - 配布・適用 ◎ 〇 CM は配信サーバーの設定が可能。Intune は基本 Windows Update を利用して制御 更新プログラム – レポート ◎ 〇 CM は詳細なレポートやカスタマイズが可能 ウィルス対策 - 定義ファイル適用 ◎ 〇 CM は配信サーバーの設定が可能。Intune は基本 Windows Update を利用して制御 ウィルス対策 – ステータス レポート 〇 〇 定義ファイルのバージョンや最終スキャンなどの確認が可能 ウィルス対策 – アラート ◎ × CM はアラートの即時通知が可能。Intune はリアルタイムではなくクラウドの場合は MDE を利用 ウイルススキャンの実施 〇 〇 リモートワイプ × ◎ CM では PowerShell などでの工夫が必要。Intune は選択ワイプとフルワイプの利用が可能 リモートコントロール ◎ ○ CM は様々なリモートコントロール方法を提供。Intune は追加のライセンスが必要 OS 展開 - カスタムイメージの展開 ◎ × CM は OS 展開という機能を利用して、マスターイメージ取得から自動展開までが可能 OS 展開 - クラウド経由での自動セットアップ × ◎ Intune は Windows Autopilot という機能を利用して展開が可能 インターネット越しの管理 ○ ◎ CM は別途構成が必要。Intune は既定でインターネット管理 デバイスのポリシー準拠状況によるクラウド アクセス制御 △ ◎ CM 標準機能では不可で、別途 Azure AD や Intune との連携が必要 デバイスのウイルス感染によるクラウド アクセス制御 × ◎ Intune では MDE との連携によりクラウドへのアクセス制御が可能 59
管理コンソール Configuration Manager MMC ベースのアプリケーション © 2023 タクヤ オータ Microsoft Intune Web ブラウザーベース 60
インベントリ収集 – ハードウェア © 2023 タクヤ オータ Configuration Manager Microsoft Intune かなり詳細なハードウェア情報 一般的なハードウェア情報 61
インベントリ収集 – ソフトウェア Configuration Manager かなり詳細なソフトウェア情報 © 2023 タクヤ オータ Microsoft Intune 一般的なソフトウェア情報 62
© 2023 タクヤ オータ Microsoft Intune – 検出されたアプリ 63
アプリケーション配布 Configuration Manager 権限やログオン状態、時間指定など詳細に指定可能 © 2023 タクヤ オータ Microsoft Intune 配布設定のみで一定の周期でインストール 64
ウイルス対策 - マルウェア検出時のレポート Configuration Manager アラートは即時反映。検出時にメールなどで通知も可能 © 2023 タクヤ オータ Microsoft Intune 24 時間ごとのレポート。メール通知などの機能は無い 65
© 2023 タクヤ オータ Configuration Manager – レポート 66
© 2023 タクヤ オータ Microsoft Intune – レポート 67
ナガシヨミ Microsoft 365 Microsoft Configuration Manager 概要 1. 2. 3. 4. 5. 6. 7. 8. 概要と基本構成 Configuration Manager の主要な機能 ネットワーク負荷分散機能 Windows / Office の更新プログラム管理 インターネット経由のクライアント管理 共同管理 (Co-Management) Configuration Manager と Intune の比較 まとめ
Microsoft Configuration Manager オンプレミス型 – Windows クライアント PC の詳細管理 クライアントの管理 ハードウェアの構成やソフトウェアの情報などを収集 クライアントに対してのポリシーや設定を実施 アプリケーション / 更新プログラムの配布 アプリケーション、ソフトウェア更新プログラムを 効率よく負荷を分散して配布をすることが可能 オペレーティング システムの安全でスケーラブルな展開 豊富なオプション機能 各種レポートの確認、コンプライアンス設定、 Microsoft Defender ウイルス対策の管理、 リモート ツールやクライアントへのアクションなど、 クライアント管理に必要な機能を利用可能 © 2023 タクヤ オータ 69
Configuration Manager の主要な機能 デバイスとユーザーを管理するのに役立つ機能を提供し IT スタッフやユーザーの生産性と効率を向上 © 2023 タクヤ オータ インベントリ管理 HW/SW 構成情報の収集 アプリケーション管理 アプリ自動配布 / セルフサービス OS の展開 OS 展開の自動化 更新プログラム管理 Windows / M365 Apps の管理 Endpoint Protection セキュリティ / Defender の管理 コンプライアンス設定 システム構成の監査 リモート コントロール リモートによるユーザーの支援 リアルタイム管理 クエリでの検索やスクリプト実行 70
Configuration Manager の前提条件 システム要件 サイトシステム サーバー • Windows Server 2022 • Windows Server 2019 • Windows Server 2016 • Windows Storage Server 2016 管理対象クライアント • 上記の Windows Server • Windows 10 / 11 ライセンス その他 購入形態 (下記のいずれか) クラウド • Intune スタンドアロン • スイート (EMS, M365) オンプレ • クライアント ML • スイート (Core CAL, Enterprise CAL) オンプレミス Active Directory • すべての Configuration Manager サ イト システムは、Active Directory ドメ インへの参加が必須 • クライアント コンピューターは Configuration Manager ドメイン メン バーまたはワークグループ メンバーにする ことが可能 ライセンスの考え方 • 管理されるクライアントごとに必要 SQL Server • サイト データベースとして SQL Server の完全インストールが必要。 ※ 管理サーバー自体のライセンスは不要 サポートされているサイト システム サーバー Configuration Manager | Microsoft Learn ライセンスとブランチ - Configuration Manager | Microsoft Learn Active Directory ドメインのサポート Configuration Manager | Microsoft Learn サポートされているクライアントとデバイス Configuration Manager | Microsoft Learn System Center - マイクロソフト ボリューム ライセン ス (microsoft.com) サポートされているSQL Serverバージョン Configuration Manager | Microsoft Learn © 2023 タクヤ オータ 71
Microsoft Intune ファミリー Microsoft Configuration Manager オンプレミス (サーバー構築) クラウド サービス Windows の管理 マルチ プラットフォーム、BYOD 従来型の境界型防御 ゼロトラスト セキュリティ モデル 管理者によるきめ細かい制御 © 2023 タクヤ オータ Microsoft Intune 自動化を中心としたクラウドデータの活用 72
ナガシヨミ Microsoft 365 Microsoft Configuration Manager 概要 END 2023 年 10 月 タクヤ オータ