クラウド型PC管理サービスの次期版「Windows Intune 2011」β版試用レポート
先日、日本で正式リリースされたばかりのWindows Intune(以下Intune)だが、7月上旬に米国ロサンゼルスで開催されたMicrosoft Worldwide Partner Conference 2011(以下、WPC)で、Intuneのバージョンアップ版(以下、Intune 2011)が発表され、即日β版の公開が開始された。今回は、このベータ版を実際にテストしながら、機能を紹介していこう。
 |
| Intune 2011の管理画面。基本的には、これまでのIntuneとあまり変わらない |
■ソフトウェア配布機能が追加
Intune 2011においての最大の機能追加が、ソフトウェア配布機能だ。このソフトウェア配布機能では、クラウドにアップロードされたソフトウェアを、Intuneで管理しているPCに配布し、インストールすることができる。
これを使えば、企業で利用しているソフトウェアの配布なども、一元的にIntuneで管理可能になるし、すでに配布されているソフトウェアのアップデートなども、このソフトウェア配布の仕組みを使って行えるようになるため、既存ユーザーからのニーズが高かった機能なのだという。
Intune 2011では、IntuneにログインするWindows Live IDのSkyDriveを、ソフトウェア配布のクラウドストレージとして利用している。現在のβ版では、2GBがソフトウェア配布のストレージ容量として用意されているが、本格運用する場合、2GBのクラウドストレージでは容量不足になってしまう。そこで、Intune 2011がサービスインする時には、デフォルトで少なくとも2GB(容量は今後決定される)のクラウドストレージが割り当てられ、必要に応じて追加購入もできるようになるという。
また、ソフトウェアがアップロードされる際は、ファイルがそのままでアップロードされるのではなく、ファイルの圧縮と暗号化が行われている。これは、ソフトウェアに対するセキュリティを確保するためだ。
配布できるソフトウェアは、.EXE、.MSI、.MSP形式のファイルとなっている。ソフトウェアでは、インストール時にSetup.exeを起動し、同一フォルダやサブフォルダにあるファイルをインストールしていくことが多い。Intune 2011のソフトウェア配布では、フォルダごとアップロードする機能が用意されているため、インストール時に起動するSetup.exeを指定し、ほかのファイルをまとめてアップロードすればOKだ。現在は対応していないが、CD/DVDイメージのISOファイルをアップロードできると、さらに便利になったと思う。
配布にあたっては、Intuneで管理しているPCのグループ別に、配布するソフトウェアを変更することができる。これを使えば、営業部はAのソフトウェアを、技術部にはBのソフトウェアを、といったように、部門ごとに配布するソフトウェアを変更することも可能だ。
加えて、インストールするOS(Windows XP/Vista/7)やソフトウェアのプラットフォーム(32ビット/64ビット)などに応じた、細かなコントロールができるほか、ソフトウェアのアップデートを行う時などは、すでにインストールされているプログラムフォルダをチェックしたり、レジストリをチェックしたりして、一定のバージョン以上をインストールするように、集中管理することも可能だ。これについては、できれば、ソフトウェアのバージョン情報を取得して、自動的に新しいバージョンをインストールできるようになると、さらに便利だと感じた。
ちなみに、Intune 2011のソフトウェア配布では、Windows Updateと同じように、ソフトウェアをダウンロードする時は、バックグラウンドでダウンロードを行っている。また、ユーザーが利用しているほかのソフトウェアがネットワークを使用している場合は、ソフトウェアのダウンロードに使用する帯域を小さくして、ほかのソフトウェアの動作の障害にならないようにしている。
さらに、ソフトウェアをブロックごとにダウンロードすることで、途中でPCがシャットダウンしたり、ネットワークから切り離されたりしても、PCが再起動したり、ネットワークが再接続したりされれば、ダウンロードを続きから行う仕組みが用意されており、ソフトウェアのダウンロードを効率よく行っている。
■ソフトウェア配布機能を試す
実際にソフトウェア配布をテストしてみたが、うまく使えば便利なことがよくわかる。ただ、本格的に利用していこうとすると、2GBのクラウドストレージはやはり容量不足だ。できれば、デフォルトで、もう少し大きなクラウドストレージを用意してほしいし、クラウドからソフトウェアをインストールするため、ネットワークの回線スピードにインストールが終了する時間も左右されてくる。こういったことを考えると、大きな容量のソフトウェアをクラウドでインストールするのは、難しいのかもしれない。
また、日本マイクロソフトのソフトウェアでは問題なくインストールできた(テストでは、Visio2010を使用)が、他社のソフトウェアの中には、うまく配布ができなかったソフトウェアもあった。このあたりは、何が問題なのかがはっきりわからなかったので、Intune 2011の正式リリース版では、さまざまなソフトウェアが配布できるようになってほしいし、もし、Intune 2011での配布に対応できないソフトウェアが多いようなら、事前にチェックする仕組みを用意してほしい。
 |  |  |
| ソフトウェア配布機能を利用するには、「ソフトウェア」のタスクにある「ソフトウェアのアップロード」を選択する。これによって、ウィザードが起動し、容易にアップロードを行える | 配布するソフトウェアをクラウドストレージにアップロードするために指定する。「Include Additional~」のチェックボックスをチェックすれば、.EXEや.MSIファイル以外のファイルをアップロードできる。今回は、Office2010の.EXEファイルをアップロードした | ソフトウェアの作成者、名前、詳細などを入力する。ちなみに、β版では英語だが、正式提供までには日本語化される予定 |
 |  |  |
| インストールするOSやアーキテクチャを選択する | インストールする場合のルールを選択する。今回はデフォルトで行った | インストール時にコマンドを利用するかどうかの設定 |
 |  |  |
| インストールの中断時のリターンコードを使用するかどうかの設定 | ソフトウェアをクラウドストレージにアップロード中 | 実際にソフトウェアを配布するには、「ソフトウェア」でソフトウェアを指定して、展開設定を指定する |
 |  |  |
| コンピュータグループ別にソフトウェアを配布するかどうかが設定できる。ソフトウェアのインストールをいつ行うのかも指定可能 | ソフトウェアがきちんとインストールされているか確認できる。もし、インストールできなかったり、保留されていたりするなら、この項目で簡単にわかる | 更新プログラムのアップロードでは、日本マイクロソフト製品以外のソフトウェアのアップデートを登録できる。基本的に、ソフトウェア配布機能を利用している |
■アンチウイルスを起動する「リモートタスク」
Intuneで管理するPCには、Intuneのクライアントソフトをインストールすると、アンチウイルスのForefront Endpoint Protectionと同等の機能を持ったWindows Intune Endpoint Protectionがクラウドからインストールされる。
Intune 2011では、新しく「リモートタスク」という機能が用意されている。この機能は、クラウドのIntune 2011の管理コンソールから、指定したPCに対して、マルウェアのスキャン(フルスキャン、クイックスキャン)、マルウェア定義の更新を直ちに行わせる機能だ。このほか、PCの再起動もリモートタスクから実行できる。
リモートタスクを使えば、Windows Intune Endpoint Protectionによるスキャンを定期的に行っていないPCに対して、強制的にウイルスチェックを行わせることが可能になる。もちろん、Intuneでは、定期的に(例えば、週に1回、毎日など)Windows Intune Endpoint Protectionを動作させるように設定できる。
しかし、その時間にPCが動作していなかったりすると、ウイルスチェックが行われないことがある。こういった場合には、リモートタスクにコマンドを登録しておけば(キューに登録)、次回PCがインターネットに接続した時に、自動的にコマンドが発行され、バックグラウンドでウイルスチェックが行われるようになるのだ。
現状のリモートタスクでは、ウイルスチェック関連のコマンドしかで利用できないが、将来的には別のソフトウェアを自動起動する機能などが追加されるかもしれない。
なおIntune 2011のβ版では、1台のPCにコマンドを発行することしかリモートタスクでは行えない。今後、グループなどにまとめてコマンドを発行することができるようになれば、さらに便利に使えるようになるだろう。
 |  |
| リモートタスクで、マルウェアのフルスキャンを指定 | 対象とするPCがオンラインなら、直ちにタスクが実行される。もし、オフラインの時は、キューに入って、PCがオンラインになった時に実行される |
■ほかの機能追加
読み取り専用権限の管理者アカウント
Intuneでは、すでに、サービス管理者を複数追加することができる。ただし、現在のIntuneでは、追加した管理者は、フルアクセス権限を持った管理者しか設定することができない。
Intune 2011ではここを改善し、読み取り専用権限の管理者アカウントを作成できるようになった。この読み取り専用の管理者アカウントを使えば、Intuneで管理しているPCのレポートを見ることが可能になるので、例えば総務部門に状況だけを確認させたい、といった場合に利用できるという。
できれば、PCのグループごとにアクセス権を持った管理者アカウントができると便利だろう。
 |
| 読み取り専用の管理者アカウントを作成可能。部門のPC管理者がレポートを見たりすることができる |
ライセンス管理機能の強化
Intuneでは、マイクロソフトボリュームライセンスしか管理できなかった。Intune 2011では、マイクロソフトリテールライセンス(パッケージ版のライセンス)、OEMライセンス(プリインストール版などのライセンス)といった、マイクロソフトのほかのソフトウェアライセンスの管理を行えるようにした。また、サードパーティのソフトウェアのライセンスも管理できるようになっている。
このほか、レポート機能も強化されていたり、アラートのカスタマイズを行えたりするようになっている。
 |  |
| アラートでは、さまざまな項目を監視することが可能になった | ライセンス管理では、日本マイクロソフトのパッケージ版、OEMなども管理できる。他社のソフトウェアのライセンスも管理可能。だたし、このライセンス管理機能で、ソフトウェアのインストール数などをコントロールしているわけではない |
 |  |
| レポートを使えば、詳細なデータを表示可能。ここでは、インストールされている更新プログラムのリストを表示 | OSの更新プログラムのインストールでは、Intuneと同じくすべての項目が表示される。できれば、OS別に表示するなどしてくれるとわかりやすいのだが |
操作性の改善
操作性ということでは、Intune 2011のWeb管理画面で右クリックをサポートした。もともとIntuneの管理画面はSilverlightで構築されていたが、右クリックはサポートされていなかった。今回のIntune 2011では、右クリックによってコンテキストメニューが表示されるようになった。
さらに、PCグループでPCをグループ間で移動する場合、ドラッグ&ドロップで簡単に移動できるようになった。また、列フィルタの機能が用意されているため、リスト表示の時に列を右クリックすれば、フィルタ項目が表示される。ここで、表示する項目を選択すればいい。
 |
| Intune 2011では、列フィルタが右クリックで表示できる。これを使って、表示する情報をフィルタリングする |
インストールの改善
Intune 2011では、クライアントPCにインストールするプログラムが1つのパッケージになっている。このため、このプログラムを各PCにインストールするだけでIntuneが利用できる。
現在のIntuneでは、初期プログラムだけをPCにインストールするため、プログラムサイズは小さいが、後でネットから複数のモジュールをダウンロードする必要があった。このため、実際にIntuneを利用するには、時間がかかった。クライアントプログラムが1パッケージ化されていることで、オフラインのPCにもインストールが可能になった。
ここまで見てきたように、Intune 2011では、基本的なUIなどは、今までのIntuneとは変わらないが、いくつかの機能が追加された、マイナーバージョンアップ版ということができるだろう。
リリース時期に関しては未定だが、秋から年末までにはバージョンアップするだろうと予測されている。現在、Intuneを利用しているユーザーは、自動的にIntune 2011にバージョンアップされる。これに伴い、利用料金がアップしたり、オプション料金が発生したりすることはない(前述したように、ソフトウェア配布機能で追加のクラウドストレージを利用する場合は別)。
このため、Intune 2011がRTMすれば、Intuneのユーザーは順次Intune 2011に変更されることになる。