Windows 11の最新機能ご紹介
クラウド管理の強化
クラウド管理に関わる新機能
Windows 11はMicrosoft Intuneなどのクラウド管理ツールと連携して、ハイブリットワーク環境でのデバイス管理をサポートします。今回の「Windows 11 2022 Update」により、「組織のメッセージ」と「リモートヘルプ」の機能が追加されたことで、IT管理者にとって、より効率的なデバイス管理と利用者サポートが期待できます。
利用者への確実な告知でセキュアな運用管理を徹底できる
「組織のメッセージ」
Microsoft Intuneの「組織のメッセージ」の機能を利用することで、対象となるWindows 11デバイスの利用者や部署を指定して、アップデートの案内やシステムメンテナンスの告知を出すなど、あらかじめ配信日時を設定し、適切なタイミングで対象者に伝えることができます。
メールやチャットで組織内の利用者に告知することは可能ですが、メールやチャットメッセージでは見落としや、利用者の設定によっては通知OFFの設定をしているケースもあります。そのような場合、計画とおりにアプリケーションのアップデートや入れ替えが進まないことも想定されます。結果として、組織でのシステム脆弱性への対応が遅れてしまい、セキュリティのリスクが増加してしまいます。
本機能では、下図のように通知領域に直接メッセージの表示が可能なので、利用者が気づかないというリスクを低減することができます。また、既読確認も設定できますので伝達状況を把握することも可能です。たとえば、部署ごとに異なったe-ラーニングの案内、締め切り通知、組織全体へのサーバー停止案内などでの利用が考えられます。
なお、本機能は2023年2月時点ではパブリックプレビューとなっており、Windows 11 22H2のバージョンが対象となります。
このような利用シーンで活用できます
-
配信スケジュール設定が可能
たとえば、特定のアプリケーションを使用する部署だけにアップデートの案内やシステムメンテナンスの告知を出すなど、テレワーク環境が普及した現在でも適切なタイミングでスケジュール配信することができます。 -
オンボーディングのサポートに最適
「開始アプリ」メッセージを作成することで、セットアップ時に利用者に読んでもらいたいマニュアルやルールが記載されたページへのリンクを追加できます。オンボーディング時に利用者のサポートをすることで、IT管理者への問合せ対応を減らすことができます。 -
送信対象の利用者やグループを選択
部署ごとに異なったe-ラーニングの案内、締め切り通知、各部で利用している業務アプリケーションのアップデート案内などができます。また、組織全体へのサーバー停止案内なども可能です。
組織のメッセージの作成方法
メッセージの作成画面ではメッセージ型とテーマを選択します。メッセージの型は「タスクバー(下図左)」、「通知領域(下図中央)」、「開始アプリ(下図右)」が用意されており、利用シーンに応じて選択することができます。
メッセージで表示するロゴマークと「More details」を押したときのリンク先も設定することができます。
表示されるメッセージに組織のロゴを入れることで、通知内容の信頼性を向上させることができます。
最後に、スケジュールを設定します。メッセージは配信開始日の24時間前に設定することが必要です。設定してすぐに配信することはできないため注意が必要です。
Microsoft IntuneとMicrosoft Endpoint Managerの
リモートヘルプ
リモートヘルプは、IT管理者またはサポートスタッフが利用者のデバイスにリモート接続することができる機能です。アプリケーションのアップデートや入れ替えやOSのバージョンアップなど、IT管理者から複数ステップの作業を利用者に依頼することがあります。このようなケースにおいて、IT管理者は利用者側で発生したトラブルでヘルプを求められるケースがあるのではないでしょうか。IT管理者が利用者の画面を見ながら遠隔操作を行うことで迅速な解決ができるのがリモートヘルプの機能になります。
リモートヘルプでは、Microsoft Intuneを導入している組織のWindows 10またはWindows 11のデバイスにおいて、IT管理者、またはサポートスタッフが、利用者のデバイスにリモート接続でき、従来から提供されているクイックアシストと比較してセキュリティが強化されました。トークン情報に加えて、Azure Active Directory (Azure AD)と連携して権限設定を行うことができるため、よりセキュアな状態を確立してリモート接続が可能です。
リモートヘルプは、専用のアプリケーションをお互いがインストールしている状態から以下の手順を踏むことでリモート制御が開始されます。なお、リモートヘルプの利用には、Microsoft Intuneのプレミアムアドオン機能のライセンスが必要です。
IT管理者は、Microsoft Endpoint Managerからセキュリティコード(トークン)を設定して、サポートするユーザーに共有することができます。
クイックアシスト機能との比較
リモート操作機能については、Windows標準のクイックアシスト機能がすでに提供されており、同様にトークン(コード)を共有することで開始が可能になります。ただし、トークン情報だけではセキュリティ対策としては不十分であり、総当たり攻撃やコードの漏えいによって第3者がリモート操作に介入するリスクが考えられます。
一方で、リモートヘルプのアプリケーションでは組織アカウントへのサインインが必要となっており、あらかじめ設定した管理者、およびリモート対象デバイスでのみ利用できる権限設定も行うことが可能です。Azure ADのRBAC(ロールベースアクセス制御)機能を使って、あらかじめ設定した管理者およびリモート対象デバイスでのみ利用させないような権限の設定ができます。つまり、Azure ADを介してこのやり取りは行われているため、セキュアな状態を確立してリモート操作業務が可能となります。
このような利用シーンで活用できます
-
アプリケーションのアップデートや入れ替え、OSのバージョンアップなど
IT管理者から利用者に複数な更新作業を依頼する際に役立ちます。トラブル発生時の状態や、エラー画面を実際に見て対応した方が早期解決できるケースに効果的です。電話では口頭での支援になってしまい、認識齟齬が生まれやすく、解決に時間がかかってしまい、また現地訪問であれば、移動時間と交通費のロスが発生してしまいます。 -
パスワードの失念や利用者の誤操作によるトラブル
遠隔地にいる利用者が、パスワードの失念や誤った操作などで、何らかのトラブルで業務に影響が出るような事象に陥った場合、実際の事象の確認や情報収集、あるいは、端末上での操作によって問題を解決することが必要なケースがあります。このような時、IT管理者またはサポートスタッフは、問題が発生している利用者の端末にリモート接続する必要があります。トラブルの原因が設定上の問題なのか、物理的な障害なのかを早期に見極めることで、タイムロスはもちろんセキュリティリスクを軽減させることができます。
富士通の最新デバイスに対応する
「クラウド管理におけるセキュリティ強化方法」
Windows 11の新機能ではありませんが、富士通の最新法人PCに対応することとなった「クラウド管理におけるセキュリティ強化方法」をご紹介します。
Windows Autopilot とIntuneを活用して
エンドユーザーによるBIOS設定を制限する
DFCI
(Device Firmware Configuration Interface)
エンドユーザーによるBIOS設定を制限する
DFCIとは、Device Firmware Configuration Interface(デバイスファームウェア構成インターフェイス)の略称です。この機能を使用すると、IT管理者はWindows Autopilotで展開された特定のデバイスに対して、Microsoft Intuneの管理コマンドをUEFI(BIOS)経由で設定することができ、利用者によるBIOS設定の変更を制限することができます。
例えば、ネットワークブートの設定変更をすることで、利用者がネットワーク経由で別のOS(同じセキュリティレベルを持たないOS等)を起動できないようにすることができます。さらに、IT管理者は特定のハードウェア コンポーネントをリモートで無効にし、利用者がアクセスできないようにすることができます。セキュリティの高い機密情報を保護する必要がある場合は、カメラやマイクの無効化やWLAN/Bluetooth経由でのアクセスを無効にさせたり、ネットワークからの起動を無効にさせたりすることもできます。
これらの管理機能が、最新の富士通法人向けPCにも対応しました。対応可能な機種と対応方法については、以下のページをご覧ください。
-
UEFI(BIOS)の設定の一括管理
企業のネットワーク内にあるデスクトップやノートPCを管理する場合、DFCIを使用すれば複数台のPCのBIOSやUEFI設定を一括で管理することができます。 -
ハードウェアの制御
機密性が高いセキュリティエリアにおいて情報を保護する必要がある場合に、たとえば、カメラやマイク、無線ネットワークデバイス(WLAN、Bluetooth)をハードウェアコンポーネントから完全に無効にすることができます。 -
Autopilotで展開が可能
Microsoft IntuneのAutopilotで展開が可能なため、利用者はPCを受け取って起動した時点からDFCIを使用して管理されている状態となります。
【参考文献】
・マイクロソフト社『Intuneと Microsoft Endpoint Manager でリモートヘルプを使用する』
・マイクロソフト社『組織のメッセージの前提条件』
・マイクロソフト社『Microsoft Intune の新機能』
・マイクロソフト社『デバイス ファームウェア構成インターフェイス (DFCI) 管理』