久々にセミナーのレポートを書きます。
2010年9月3日(金)に新宿のマイクロソフト本社5Fセミナールームで行われたセミナーです。
短時間でしたが非常に意義のある、そして衝撃的な内容でした。
Tech Fieldersセミナー
~Windows 7に興味がある企業様も必見~
Windows Intuneに見る新しいクラウドの形
Windows Intuneを簡単に説明すると、
・クライアントPCのインベントリ収集、Windows Update、ウイルス対策などの管理を、インターネット経由でマイクロソフトがオンラインで行うSaaS型のサービス
・ついでにWindows 7 + SAのボリュームライセンスまで付いてくる
・これをPC1台に付き月額11USドルで提供予定
最初はクラウド上に仮想マシンが用意され、それにインターネット経由でリモートデスクトップ接続して利用するサービスかと思ったのだけど、そうではなかった。
あくまでも企業内に今あるパソコンの運用管理を行うサービスです。
クライアントPCのオンラインでの管理を望む声は、ユーザ企業からも結構ありました。
PC台数が多いと非常に手間がかかる上、その管理用サーバの構築や運用にも手間がかかる。
その割には管理者の苦労が報われず、何も新しいことを生み出すことの無い単純作業。
実際に私の会社でも、あるお客さんのクライアントPCのライフサイクルマネジメントの運用を請け負って実施しており、その一部としてPCのインベントリ収集と集計、ソフトウェア資産管理、定期的なレポート提出などを行っています。
これをクラウドのサービスとして提供されれば、管理者の手間が激減することは容易に想像できます。
管理者の手間が減ることは、すなわち人的コストが削減できるわけです。
(写真1)Tech Fieldersセミナー「Windows Intune に見る新しいクラウドの形」のテキスト
前置きが長くなったので、セミナーの内容に戻りましょう。
今回は金曜日夜の18:00から開始し、セミナー本編は1時間程度。
その後はディスカッション形式で1時間程度。
しかもディスカッション中に各自1本くらいの缶ビールも用意される珍しいパターン。
通常はセミナー終了後にHappy Hourだし、今回はライトニングトークもないし、異例な感じ。
セミナーの講師はご存知、エバンジェリストの高添さん。
今回は製品担当として、コマーシャルWindows本部プロダクトマネージャの輪島文(あや)さんも、途中でデモをしてくれました。
■利用手順
ではWindows Intuneの大まかな利用手順
・Windows Intuneの契約
・Windows Live IDで管理サイトにログイン
・クライアントソフトウェアのダウンロード
・クライアントソフトウェアをインストール
・コンピュータをグループ化
・更新ルールやポリシーを設定
・運用の開始
そうなんです。
Windows Intuneはクライアント管理に必要なmsi形式のパッケージをダウンロードし、管理対象のパソコンにそのクライアントソフトをインストールするのです。
今回のセミナーに参加してやっとわかりました。
■Windows 7 + SAのライセンス
Windows 7へのアップグレードライセンスとSAが付いているため、契約期間中は常に最新OSを利用することが可能だし、Windows 7 Enterpriseなど企業向け最上位エディションの利用も可能。
つまりWindows Intuneを契約すれば、既存のOEM版Windows XPやWindows Vista搭載PCでも、Windows 7 Enterpriseを利用可能。
Windows 7 Enterpriseが利用可能となれば、BranchCache、BitLocker、BitLocker to Goなどの機能も利用することができますね。
■Windows Intuneの利用条件
管理コンソール
・Silverlight 3.0がインストールされているWebブラウザ
管理対象のコンピュータ
・Windows 7 Professional、Enterprise、Ultimate
・Windows Vista Professional、Enterprise、Ultimate
・Windows XP Professional SP3 (注1)
そしてすべてのコンピュータに対して必要なこと
・インターネットに接続できること
各PCからマイクロソフトのサーバには、SSLで接続するそうです。
だから社内から外部への通信について、通常は特別な考慮は必要なさそう。
高添さんによるとSSL以外にWCF(Windows Communication Foundation)での通信が行われる「かもしれない」らしいですが、この辺はまだよくわかりません。
(注1)
推奨はされないがWindows XP SP2も利用は可能。
この場合はKB914882とMSXML 6.0 SP2の適用が必要。
■クライアントソフトウェアの展開
マイクロソフトからWindows Intuneのクライアントソフトウェアをダウンロードします。
msi形式のパッケージになっていて、オンラインで直接インストール、ダウンロード後に手動または自動でインストールが可能です。
32ビット版モジュールを、Windowsインストーラで無人インストールするコマンド例です。
msiexec /i Windows_Intune_x86.msi /qn
その他に必要なモジュールがあれば、Windows Updateで自動インストールされます。
インストール後30分以内には自動展開され、管理サービスが開始されるそうです。
■情報収集と管理の方法
各クライアントPCの情報はインターネットを通じてマイクロソフトのデータセンターに送られる。
管理者はインターネット経由で自社の管理画面にアクセスする。
従来であれば企業は自社内にインベントリ情報を収集するためのサーバを設置し、あるいはそれをさらに資産情報管理・台帳管理ソフトにデータを連携させてPCを管理させていた。
またウイルス対策ならそれ専用の適用ポリシー、定義ファイルの配布、適用状況の確認のためのサーバも導入する。
WindowsファイアウォールならActive Directoryのドメインコントローラでポリシーを管理。
これらをそれぞれ別のシステム、別のサーバで管理していたのだが、Windows Intuneでは各クライアントPCに専用のモジュールをインストールすれば、あとは自動で管理される。
■管理対象のグループ化
管理対象のコンピュータをグループ化・階層化することも可能。
例えば地理的な場所、部門別、ハードウェア別、OS別、本番環境やテスト環境などをグループ化し、それぞれのポリシーを作成・適用することによって、管理することも可能。
■ハードウェアインベントリ
・管理対象のコンピュータ一覧情報。
・管理対象コンピュータのハードウェア情報。(コンピュータ名、製造元、モデル、プライマリユーザ、物理メモリ、BIOS名、BIOSバージョン、BIOS製造元、CPU種類、CPUクロック数など)
■ソフトウェアインベントリ
これらを収集して上で、重複を排除して表示。
・MSIソフトウェアインベントリ情報
・プログラムの追加と削除の情報
・App-Vキャッシュ情報
■更新プログラムの制御
Microsoft UpdateとWSUSの技術による更新プログラムの適用管理が可能。
セキュリティ更新、重要な更新、サービスパックなど適用プログラムのカテゴリで分類。
管理対象コンピュータのグループごとに、更新プログラムの適用を指定。
インストールできなかった更新プログラムや、適用が必要な更新プログラム、インストール済みコンピュータ数などの状態レポート。
■稼動監視
Windows Intune Monitorring Agentが稼動状況を監視します。
監視対象のアラート項目は600以上もあるそうです。
例えばIISのサービスが起動しているか、ディスクフラグメントが進行していないか、など。
またインストール仕切れていないソフトウェア、24時間報告していないエージェント、7日間以上オフラインになっているコンピュータなどのヘルスチェックも行われます。
管理者に対しては、Windows Intuneの管理コンソール画面、あるいはメールでの通知が行われます。
対象コンピュータからのリモートアシスタンス要求は、何とアラートとして処理されるそうです。
これって実用に耐えるものなのかどうか、心配だとする意見も多く出ました。
■ポリシーと構成管理
「SCCM VNextのDesired Configuration Management (DCM) に基づいた構成」と言われても何のことだかわかりませんでした。
Windows Intuneエージェント設定、Windows Intuneセンター設定、Windowsファイアウォール設定などにより、自分の会社に応じた構成が可能とのことです。
標準では8時間から9.5時間ごとに新しいポリシーのダウンロードと適用が児童で行われます。
これは8時間から22時間の範囲で変更することも可能です。
Windows Intuneの管理グループやポリシーはActive DirectoryのOUやグループポリシーとは関係なく、独自に設定して管理します。
この良し悪しについてはまた後ほど。
Active DirectoryのグループポリシーとWindows Intuneの設定が競合した場合、原則的にはActive Directoryの方が優先されます。
これは理解できます。
管理グループを階層化している場合、下層のポリシーが優先されます。
これも理解できます。
優先順位の判別が付かない場合、最終的にはポリシーの最終更新時刻が優先される。
これにはちょっと驚きました。
理解できないのではなく、こんな解決法があるんだあ。って感じです。
Windows Intuneの概要はこんな感じ。
■私の感想(ビジネス視点)
で、私たちSIreや販売会社から見るとこれはどうなのか?。
正直言ってものすごい衝撃です。
今までやってきた仕事が全部否定された気さえするほど。
・インベントリ収集
・ソフトウェア資産管理、IT資産管理
・ウイルス対策ソフトの配布サーバ、ポリシー管理、適用情報収集
これらを今までは各製品を組み合わせ、そのためのサーバとセットで管理システムを構築し、それをお客さんに導入していました。
一部では導入するだけではなく、さらにその運用オペレーションを受託したりもしています。
本当に面倒で手間のかかる作業なので、これをオンラインでのサービス提供ができればとてもいい話です。
しかしそれは従来型のビジネスを否定することにもなる。
このWindows Intuneの販売パートナーとなる道もあるでしょう。
ユーザ企業がWindows Intuneを導入すれば、販売店には初年度○%、2年目以降○%の手数料が入ってくる。
しかしそれはコンピュータメーカーやSIerの本来の仕事ではない。
販売するだけなら商社の仕事。
マイクロソフトはものすごい危機感と決断力でオンラインサービス化を急速に進めているけど、コンピュータメーカー各社はまだそこまでシフトしていない。
大手コンピュータメーカーなら各社とも、自グループ内で数万台から数十万台のパソコンの運用管理をしているわけです。
当然だけど今回のWindows Intuneのようなことは何年も前から自社内ではやっています。
Windows Intuneにはない、例えばファイル暗号化の管理もやっています。
Windows Intuneにはない、物理的なパソコン故障の対応、OS再インストール、出荷、在庫管理などの、ライフサイクルマネジメントのサービス提供だってやってます。
Windows Intuneに負けない、もっと魅力的な製品とサービスを出さないとならんなあ。
今まではマイクロソフト製品を山のように販売していたのに、このままではマイクロソフトがライバル企業のようになってしまう。
■私の感想(ユーザ企業視点)
Windows Intuneは、小規模企業では間違いなく大きなメリットでしょう。
小規模企業ではActive Directoryの導入の敷居が高かったり、導入しても十分な運用ができなかったりすることも多いと思います。
Windows IntuneはActive Directoryとは関係なく、クライアントPCの管理を一元的に比較的易しい操作と画面で行えるので、扱いやすいと思います。
その反面Active Directoryでの管理に慣れている企業ユーザの場合、また管理ツールが増えたって感じがしないでもない。
Active Directoryのグループポリシーで管理できればいいんだけど、また別のグループとポリシーを管理するのも大きな混乱と大きな手間です。
ま、その辺はマイクロソフトもわかっているはずなので、いずれは何らかの答えが出るでしょう。
社内と外部でActive Directoryの複製や、あるいは参照するだけでも技術的に困難なようですから。(そのために最近はAD FSの文字を良く見かけるわけで)
■私の感想(これから)
Windows Intuneはとても衝撃的で、面白く、これから大きな可能性を秘めているサービスです。
・せっかくMDOPを毎月1USドルで追加できるんだから、いっそのことOfficeをApp-Vで配信するサービスもやってしまうとか。
・ディスク暗号化をオプションで追加できるとか。Windows 7 Enterpriseの場合、管理者が指定したらBitLockerで自動的にディスク暗号化。
・さらに追加オプションでIRMによるOffice文書ファイルの暗号化も。Active Directoryが必要ですが、中小ユーザ向けにAD DS、AD RMSを何とかオンライン提供する。
・パソコンの紛失や盗難に対し、一定期間オフラインになったり管理者が指定したらログオンできなくするオプションとか。できれば自動データ消去オプションも。
・Windows 7へのアップグレードライセンス無しでSAのみのパターンも欲しい。コンピュータメーカでOEM版Windows搭載パソコンを供給する立場としても、またそれを購入するユーザ企業としても「新規PC購入後90日以内にSAのみ購入」に相当する割引も欲しい。
・インベントリ収集などの結果を画面で見れます、CSV形式にエクスポートできます、では大企業は納得してくれません。ファイル転送ソフトかFTPで自動転送するオプションが欲しいな。メール添付など人手を介すのはだめですよ。
・あるいは自由にカスタマイズ可能でPowerPivot for Excelで分析できる形式で情報提供。
無理難題みたいなのもありますが、いろいろ夢は広がりそうですね。
どうしても問題になるのがActive Directory。
フェデレーションは面倒なので、いっそのことクラウドでのAD DS提供。
企業内にはそのRODCを設置し、クラウド上の自社向けActive Directoryをhttpsで参照して、RODCの情報を更新するなんてのはどうでしょう。
Active Directoryの複製やログオン認証などの通信をカプセル化して、httpかhttpsで流すようなゲートウェイがあればできそうだけど。
などなど、マイクロソフトにとっては夢と希望が広がるお話でした。
私自身、私の会社、私の企業グループで、Windows Intuneとどのように付き合っていくかはまだまだ不明です。
今回は技術的な話よりも、ビジネスのあり方そのものに変革を迫られる話でした。
■参考URL
まずはマイクロソフトの高添さんのTechNetブログをどうぞ。
http://blogs.technet.com/b/osamut/archive/2010/08/08/3348962.aspx・~ここにもクラウド~ Windows Intune の登場で IT の運用は大きく変わり始めるでしょう。 - 高添はここにいます - TechNet Blogs
http://blogs.technet.com/b/osamut/archive/2010/08/09/3349018.aspx・9月3日(金) のTech Fielders セミナーは Windows Intune ~夕方からやります~ - 高添はここにいます - TechNet Blogs
セミナー当日の資料も近日中にどこかに掲載される予定です。
残念ながら倭国語での情報はまだほとんどありませんが、今後もWindows Intuneには注目して行きます。