中小企業から大規模環境までをカバーできるクラウド型PC管理システム「Windows Intune」


 Windows Intune(インチューン:以下、Intune)は、PC管理をクラウドベースで行うシステムだ。SaaS型のため、初期投資をかけずに手軽に利用できる特徴を持ちながら、Windowsを提供する日本マイクロソフトが用意しただけあって、きちんとした管理機能を備えている。

 今回は、Intuneを実際に試すとともに、ポイントを日本マイクロソフトの担当者に取材した。

 

更新管理や資産管理、マルウェア対策などの機能をADなしで利用可能

 Intuneは、更新管理、資産管理、マルウェア対策、稼働監視、リモートアシスタント、ポリシーベースの構成管理などの管理機能が提供されている。クライアントPCにIntuneのクライアントソフトをインストールすることで、クライアントPCがインターネットに接続されれば、どこにあろうと、ソフトウェアの更新やマルウェア対策の更新などが自動的に行われる。

 日本マイクロソフトの企業向け製品・サービスの場合、こうした機能は管理のためにActive Directory(AD)サーバーが必要になることが多い。しかしIntuneでは、Active Directoryは必要なく、スタンドアロンのPCをIntuneにより簡単に管理することが可能になる。


Intuneの位置づけ。クラウドでPC管理機能を提供しているIntuneは、更新プログラム管理、マルウェア保護、アラート、リモートアシスタンス、ハードやソフトの資産管理などの機能がそろっている

 SOHOや中小企業などでは、ADサーバーが導入されていないケースも多いだろう。こういった環境であっても、Intuneを利用すれば、クラウドベースでPC管理が行えるのだ。こうしたことから、ベータ版が公開された当初は、専任のIT管理者がいないSOHOや中小企業向きのクラウドシステムと考えられていた。

 しかし、ベータ版のフィードバックから、より大規模な企業でIntuneを利用したいというリクエストが多く、最終的に製品版のIntuneでは管理できるPC数が2万台にまで引き上げられた(日本でのベータ版に関する説明では、管理PC数は25~500台向け、上限は1万台とされていた)。

日本マイクロソフト コンシューマーWindows本部 シニアプロダクトマネージャーの輪島文氏

 「大企業などでは、ADサーバーを導入していることが多いと思います。しかし、ADの管理から外れたPCというのも結構あるんです。例えば、外に持ち出すノートPCなどは、きちんとアップデートが行われていなかったりするため、セキュリティとしては問題点があります」と説明してくれたのは、日本マイクロソフト コンシューマーWindows本部 シニアプロダクトマネージャーの輪島文氏だ。

 東日本大震災の影響もあって、在宅勤務が注目を集めるようにもなっているが、自宅などで仕事を行う場合、そのPCにきちんとセキュリティソフトが導入されたり、OSのアップデートが行われたりしているかどうかは、企業の管理者は把握できない。最悪、ウイルスに感染している可能性もある。

 「しかしこうした場合でも、Intuneを使えば、これまで管理外だったPCもきちんと管理ができるようになります。また、Intuneは、ADに登録されているクライアントPCも管理することが可能です。このため、常にADの配下にないノートパソコンなどの管理には、ぴったりです。Intuneのベータ版を公開してから、大企業から数多くの問い合わせを頂きました。企業で一括して導入したいので、Intuneで管理できるPC数を引き上げてほしいというリクエストが世界中の企業から来たんです」と、輪島氏は対象を引き上げた理由を説明した。


Intuneの利用イメージオンプレミスのSystem CenterとクラウドのIntuneとの違い

 

Intuneの機能を見る

 さて、それでは各機能を細かく見ていこう。

 更新管理は、Windows Serverが提供しているWindows Server Update Service(WSUS)と同じ機能がクラウドで提供されている。このため、インターネットに接続したIntuneで管理しているクライアントPCは、自動的にWindows Updateが行われて、OS自体が最新の状態にアップデートされる。

 ここで注目したいのは、WSUSと同じ機能が提供されているため、スタンドアロンでWindows Updateを利用する場合のように、すべてのアップデートが更新されるわけではない、という点だ。

 公開されたパッチを企業内でテストして、必要なアップデートだけを選択し、更新することが可能だ。また、クライアントPCをグループ化して、グループごとに承認した更新プログラムだけを、アップデートすることもできる。

 また、重要な更新プログラムが未適用のクライアントPCは、Intuneのコンソールにアラートが表示される。これにより、セキュリティに問題のあるクライアントPCをIT管理者は簡単にチェックできる。


Intuneの管理コンソールで、更新プログラムを承認する。すると、Intuneクライアントソフトを経由してアップデートされる更新プログラムを承認すると、クライアントPC側では、新しい更新プログラムを発見して、アップデートできる

 Intuneの資産管理は、各クライアントPCのハードとソフトのインベントリが取得できる。ハードウェア・インベントリでは、BIOS、CPU、メモリ、ディスク、ネットワーク、ビデオコントローラ、モニタのサイズ/解像度などの情報が分かる。

 さらに、ソフトウェア・インベントリでは、クライアントPCにインストールされているアプリケーションをチェックできる(コントロールパネルのプログラムと機能に表示されているアプリケーション)。この機能を利用すれば、違法なファイル共有ソフトがインストールされているPCを発見することができる。

 ただし、あらかじめ違法ソフトとしてファイル共有ソフトを登録して、インストールされたPCが見つかったらアラートを出すことはできない。また、違法ソフトを見つけたら、PCをロックするという機能も、現状では提供されていない。このあたりは、今後の強化に期待したいところだ。


Intuneのハードウェア・インベントリ。ここで、クライアントPCのBIOS、CPUなどハードウェアの情報が一目で分かるIntuneのソフトウェア・インベントリでは、クライアントPCにインストールされているアプリケーションが一覧表示される
Forefront Endpoint ProtectionやMicrosoft Security Essentialsと同じマルウェア保護エンジンが、Intuneのクライアントソフトに入っている

 マルウェア対策としては、Intuneのクライアントソフトの中に、日本マイクロソフトの企業向けセキュリティソフトである「Forefront Endpoint Protection」と同じ機能が入っている。このため、Windowsファイアウォール、Windows DefenderなどのOS標準機能と共存も可能だ。

 便利なのは、最新の定義ファイルやForefront Endpoint Protectionのアップデートが、更新プログラムのアップデートと同時に行われること。クライアントPCはインターネットに接続するだけで、常に最新の状態にアップデートされる。

 もし、クライアントPCがウイルスに感染してしまった場合は、検疫時にどういった動作をするかを、クラウドのコンソールから選択することができる。例えば、感染したらウイルスを自動的に無効化して、管理者と本人に通知したり、Windowsファイアフォールが無効化されていたら、自動的に有効化したりすることも可能だ。

 もちろん、Forefront Endpoint Protectionの動作する時刻もIntuneのコンソールから指定することもできる。

 稼働監視機能では、各クライアントPCに問題が生じると自動的にアラートをコンソールに通知する。例えば、ディスクの空き容量が少なくなったらアラートを出すことができる。もちろん、アラートの種類もコンソール側で設定することも可能だ。

 リモートアシスタント機能を利用すれば、もしクライアントPCにトラブルが起こった時に、IT管理者がインターネットを経由して、クライアントPCを操作できる。リモートデスクトップ機能が利用できるため、IT管理者がクライアントPCのデスクトップ画面を自分のコンピュータ上に表示して、操作できる。出張などに出ている時にトラブルが起きても、インターネットに接続されていれば、ヘルプデスクのサービスを受けられるのだ。

 ポリシーベースの構成管理では、クライアントPCをポリシーで管理できる。ポリシーを使えば、クライアントPCのForefront Endpoint Protectionが有効になっていなければ、自動的に有効にすることが可能だ。

 ポリシーの設定は、非常に複雑だが、Intuneではテンプレートが用意されている。このため、IT管理者はIntuneのコンソールでテンプレートを使って、設定を行えばいい。簡単に設定ができるのも、Intuneのメリットだ。


Intuneのポリシーと構成管理。テンプレートで簡単にポリシー作成が行えるIntuneの稼働監視(アラート)機能は、606項目も用意されている新しいポリシーを作成することで、クライアントPCにポリシーを適用することが可能
ポリシーは、テンプレートが用意されているため、ウィザードで簡単に作成できるIntuneで作成できるポリシーは、ADのポリシーほど種類は多くないが、PC管理に必要なものが用意されている作成したポリシーをすぐに展開することで、クライアントPCに展開される。
ポリシーは、グループ別に適用することができる。このため、営業部と経理部で別のポリシーが設定できるインストールされた更新プログラムなどがレポートでWebブラウザに表示される。ここで、印刷したり、テキストに保存することも可能

 

Intuneの対応環境は?

Intuneが対象としているクライアントPCは、Windows 7/Vista/XPになる

 Intuneに登録できるクライアントPCのOSは、Windows XP SP3(Professional)、Windows Vista(Business、Enterprise、Ultimate)、Windows 7(Professional、Enterprise、Ultimate)の32ビット/64ビット版。

 Intuneのクライアントソフトをインストールするには、Windows Vista、Windows 7に関しては、追加要件はない。Windows XPに関しては、CPUクロックが500MHz以上、メモリが256MB以上となる。

 また、Intuneコンソールにアクセスするためには、IE7以上のWebブラウザとSilverlight 3.0が必要になる。

 

実際に試してみよう!

Intuneを利用するには、Windows Live IDを取得した上で、サブスクリプションを購入する。Intune上で初期設定を行った後、クライアントソフトをインストールすればOK

 Intuneは、30日間の無償トライアルが提供されているため、このトライアルを元にアカウントの作成から、クライアントPCへのクライアントソフトのインストール、Intuneの各機能を紹介していこう。

 ちなみに、試用版で管理できるPC数としては、25台までになっている。

 まず、Intuneを利用するには、Windows Live IDが必要になる。もし、Windows Live IDを持っていなければ、取得する必要がある。

 Windows Live IDを入力すると、Microsoft Online Serviceのカスタマーポータルにアクセスする。ここで、サブスクリプション識別子を入力して、「同意します」のボタンを押す。サブスクリプション識別子は、任意の文字列を入力すればいい。

 その後、Windows Live IDのメールアドレスに、Intuneのサブスクリプションをセットアップして使い始めるための手順が記載されたメールが送信される。後は、このメールに書かれている手順にセットアップすればいい。

Intuneでは、30日間の無料トライアルが用意されている。最大25台のPCが管理できる。無料トライアルを使って、よければそのまま有料サービスに移行できるのは便利だIntuneを利用するには、Windows Live IDが必要。
サブスクリプション識別子は、ユニークな文字列を入力する登録後、確認メールが送信される。そのメールにIntuneのセットアップの仕方が書かれている

 送信されたメールに書かれているIntuneコンソールにアクセスする。もし、Silverlightがインストールされていなければ、ここでインストールされる。

 Intuneのコンソールにアクセスしたら、まずはIntuneのクライアントソフトをダウンロードし、Intuneで管理するPCにクライアントソフトをインストールする。クライアントソフトは、ZIPファイルで圧縮されている。このクライアントソフトは、XP、Vista、Windows 7の32ビット/64ビットなど、IntuneがサポートしているすべてのOSにインストールできる。ZIPファイルのサイズは、14MBほどなので、一度ダウンロードしたら、USBメモリなどで、Intuneで管理するPCにインストールしていけばOKだ。

 Intuneのクライアントソフトをインストールすれば、自動的にクラウドのIntuneコンソールに登録される。PC名は、クライアントPCに登録されているPC名がそのまま使われている。


Intuneの初期画面Intuneのクライアントソフトをダウンロードして、PCにインストールする
IntuneのクライアントソフトをPCにインストールするIntuneのクライアントソフトをインストールすると、Intuneの管理コンソールに新しいPCが表示される

 更新プログラムは、IntuneのコンソールでIT管理者が承認しないと、クライアントPCに配布されない。もちろん、グループごとに配布する更新プログラムを選択することもできる。

 IT管理者もいちいち更新プログラムを1つ1つチェックして、承認するのは面倒だ。このため、更新プログラムの自動承認機能が用意されている。

 ここでは、セキュリティ問題の修正プログラム、重要な更新など、自動承認する更新プログラムを選択することも可能だ。これなら、セキュリティ上必要な更新プログラムだけを自動承認にして、ほかの更新プログラムはIT管理者が手動で承認すればよい。

 少し気になるのは、すべての更新プログラムがリストアップされているため、数が多すぎて判断が難しいこと。できれば、OSごとに更新プログラムをリストアップしてくれるようになると、承認作業もやりやすくなる。


更新プログラムを自動承認することも可能だIntuneの更新プログラムには、すべてのOSの更新プログラムがリストアップされるため、数か多くなる。できれば、OSごとに表示すると便利だと思う

 また、クライアントPCにインストールされたForefront Endpoint Protectionを起動する時刻も、Intuneの管理コンソールから設定することが可能だ。


Intuneのクライアントソフトには、マルウェア保護のIntune Endpoint Protectionが同時にインストールされるIntuneのクライアントソフトのIntune Centerでは、更新プログラムやIntune Endpoint Protection、Easy Assistなどのツールが起動できる

 

IntuneはPC管理を楽にする

 短期間だが、Intuneを使ってみて分かったのは、確かにPCの管理がやりやすくなるということだ。

 ただ、セキュリティソフトとしてForefront Endpoint Protectionが内蔵されているため、Forefront Endpoint Protection以外のサードパーティのセキュリティソフトを利用している企業にとっては、少し問題がある。

 Intuneでは、サードパーティのウイルス対策ソフトやファイアウォールなどを利用できるように、Forefront Endpoint Protectionの機能をオフにすることもできる。しかしそうしたサードバーティのセキュリティソフト自体はIntuneからコントロールができないため、一元管理という面では、少し弱くなってしまうからだ

 やはり、Intuneは、まったくセキュリティソフトなどがインストールされていないPCなどを新たに管理するか、あるいは、セキュリティソフトもForefront Endpoint Protectionへ統一してしまうのがベストではないか。

 Intuneのコストは、管理対象PC1台あたり、月額料金で1230円となっている。セキュリティソフトやOSの更新プログラムの管理だけだと、少し高い気がするだろう。

Intuneの機能は、クラウドでPCセキュリティ管理機能を提供している。Intuneのサブスクリプションには、Windows SAが含まれている

 しかし、Intuneのサブスクリプションには、Windows SA(ソフトウェアアシュアランス=保守契約に相当)が含まれているため、最新ビジネス向けOSの最上位(現在は、Windows 7 Enterprise)へのアップグレードが可能になる(Windows SAをすでに持っている企業には、Intuneの価格を約50%割引する)。

 Windows 7 Enterpriseを利用すれば、HDDやUSBメモリの暗号化(Bitlocker)、DirectAccessなどが利用できる。Intuneのサブスクリプションを購入すれば、Windows XPのPCを買い換えなくてもWindows 7の上位エディションが利用できる。新しいPCを購入したり、Windows 7を新たに購入したりすることを考えれば、Intuneのサブスクリプション料金1230円は安い。また、Windows SAにはVDIライセンスも含まれているので、VDI環境を検討する場合はコスト面で優位かもしれない。

 「Intuneのメリットは、クラウドベースの管理ソリューションにより、管理サーバーやソフトウェアなどの初期投資無しに、手軽にPC管理が行えることでしょう。もう1つ大きいのは、Intuneのサブスクリプションの中に、SAが入っていることでしょう。SAの権利を利用すれば、いつでも最新のOSにアップデートできます。Windows 7のBitlockerやDirectAccessなどは、大企業だけでなく、中小企業でも使いたい機能といえます」(輪島氏)。


Windows SAは、最新のOSへのアップグレードする権利を有している。Windows 7 Enterpriseは、企業での利用を考えて、便利な機能が用意されている。
DirectAccessを使えば、VPNを使うことなく安全に企業ネットワークにアクセスできる。Bitlocker To Goでは、HDDだけでなく、リムーバブルメディア(HDD、USBメモリ)などの暗号化が行える。

 なおIntuneは、利用するユーザー数によっても、割引率が異なる。このため、多数のPCを管理すればするほど、安くでIntuneが利用可能だ。

 Intuneもクラウドベースのサービスとなっているため、今後さまざまなタイミングで機能を増やしていくだろう。IntuneのベースとなっているSystem Centerも2012にバージョンアップするため、将来的にはSystem Center 2012の機能を取り込んで、携帯電話、タブレットなどの管理もできるようになるかもしれない。

 PCの管理に悩んでいるIT管理者は、一度試用版でもいいから使ってみてほしい。

関連情報