Windows 11移行準備
[ 運用管理編 ]

デバイスのセキュアな管理・運用に向けて、モダンマネジメントのツールであるMicrosoft Intuneなどを活用してWindows 11端末の運用管理が可能です。

1：デバイスのステータス確認

モダンマネジメントを行うためには、デバイスがどういう状態なのかリアルタイムで判断できることが重要です。Microsoft Endpoint Managerでは以下のように、デバイスのステータスを様々な観点からチェックできます。

例えば、トラブルシューティングの一環で対象PCの情報を確認したい場合、今までは資産管理システムを使用していましたが、Microsoft Endpoint Managerを活用すれば利用者のインストール済みアプリや現在のハードウェア情報まで一括して確認できます。

さらに、Microsoft Defender for EndpointとMicrosoft Endpoint Managerの連携により、ウイルスに感染している可能性が高いリスクあるPCの検出やウイルス定義ファイルの最新更新時間等、セキュリティ対策観点からPCのステータスを確認することができます。

セキュリティシステムと資産管理システムをそれぞれ別々な会社の製品を導入している場合は、管理画面は統一されていません。その場合、情報システム管理者は必要に応じて異なる管理画面に接続が必要となり、作業としては非効率になります。

しかし、Microsoft Endpoint Managerであれば、管理画面一つでセキュリティ含めた最新のPC状態を確認することができるため、情報システム管理者の運用負荷削減とトラブルシューティング発生時の迅速な対応が行えます。

また、社内外を問わないハイブリッドワーク環境下においてもセキュリティ対策製品を最新の状態に維持する運用が実現できるため、日々進化しているウイルスなどの脅威から端末を保護することができます。

2：リモート操作

Microsoft Intuneなら、Windows 11の端末に対してリモートで以下のような命令を実行できます。代表的な機能を紹介します。

①リタイア(セレクティブワイプ)

Microsoft Intune管理下から解除します。解除後、デバイスがインターネットに接続されている状態であれば、Microsoft Intuneから配信したアプリ データ、デバイス設定などが削除されます。リタイアは主にデバイスの紛失時やトラブルシュートの他、端末を別の利用者に譲渡する際に行うことがあります。

②ワイプ

デバイスを工場出荷状態にします。
ワイプはリタイア(セレクティブワイプ)とは異なり、フルワイプとなります。
したがって、利用者がデバイスを紛失しMicrosoft Intune管理外のローカル領域に機密情報などがあった際に、端末内のすべてのデータを削除することを目的に活用できます。

③削除

Microsoft Intune管理下からデバイス情報を削除します。削除後はリタイア同様にMicrosoft Intuneから配信したデータは削除されますが、削除タイミングは次回チェックイン時に適用されます。
不要となったデバイスを削除（管理対象外）することも可能ですが、基本的にはリタイアまたはワイプ等のリモート操作を行うことが一般的です。

④リモートロック(iPhone/Android)

ロック画面に強制的に遷移させ、第三者の利用を防止します。
本機能は、iPhone/Androidのみの機能となります。利用者がデバイスを紛失してしまった時に対応するリモート操作の一種です。リモートロックを使用するとロック画面に強制的に画面を遷移するため、第三者による利用を防止します。これは会社データの削除(リタイア/ワイプ)判断までの処置となるため、すでにデバイスが警察署などで見つかっている場合に行う操作です。
※ただし、企業によっては紛失した時点でリタイアまたはワイプする運用も考えられるため、あくまで一例となります。

⑤同期

Microsoft Intuneとデバイスを同期します。ポリシー設定後に最新状態を適用したい場合に実施します。ただし、同期は8時間に一度の間隔で行われるため、クラウド側で設定した内容がすぐに反映されない点には注意が必要です。

⑥その他

その他OSへの依存や特定条件を満たした場合に実施できる機能があります。例えば、iOS/iPad OSの監視モード機能を利用することで、デバイス検索や再起動などのオプション機能が利用可能です。

3：アップデート管理

Microsoft Intune管理下にあるWindows 11端末は、Windows Update for Business機能を利用して更新プログラムのインストールを管理できます。

具体的にMicrosoft Intuneからパッチ適用を制御する方法としては、現時点（2022年6月）では更新リングと、各更新プログラム(機能/品質)の組み合わせによって展開タイミングを管理することができます。

更新リングについて

更新リングとは、更新プログラムのポリシーを適用する展開グループの概念であり、先行グループで品質更新プログラム（セキュリティ系）を適用して検証したり、特定のグループには機能アップデートの適用を遅らせたりできます。
Microsoft Intuneには、これまでWSUSやMicrosoft Endpoint Configuration Manager (MECM) 旧名称SCCMなどで行ってきたグループ単位の配信機能だけではなく、リモート操作による「一時停止」「アンインストール」「延長」の機能も用意されています。
更新プログラムを受信しないような構成を、レジストリやGPO（グループポリシー）などでポリシー展開することも可能です。
また、配信後のトラブル時もユーザーによるアンインストール操作は必要ありません。Microsoft Intuneの管理画面からコントロールすることができます。

•一時停止：更新リング単位で更新プログラムの受信を最大35日停止する機能
•延長：一時停止期間中に実行することで停止期間を再度35日にリセットできる機能
•アンインストール：最新の更新プログラムをアンインストールできる機能
※機能更新プログラムの場合、インストールからポリシーで指定した2～60日までの更新プログラムのみアンインストールできます。指定した経過日数を超えるものはアンインストールできません。

各ポリシーはユーザーグループまたはデバイスに対して適用できるため、あくまで一例ですが、以下のように計画的な展開が行えます。

なお、機能/品質更新プログラムはそれぞれリリース以降に延長期間を指定でき、品質は30日間、機能は180日間延長して適用を遅らせることが可能です。

4：セキュリティ強化

Windows Autopilotでは、信頼されたハードウェアベンダーから調達した機器を利用者が受け取り、電源を入れて簡単なセットアップを行うだけで、企業が設定したポリシーの適用、およびアプリケーションのインストールを実現します。マイクロソフト社のセキュリティ機能でもあるMicrosoft Defender for Endpointや生体認証などのセキュリティ対策も初期セットアップで完了するため、デバイスセキュリティが担保されます。
モダンマネジメントでは単に生産性を高めるだけでなく、セキュリティ強化にもつながります。

Microsoft Intuneは、モバイルデバイス管理（MDM）とモバイルアプリケーション管理（MAM）に重心を置いたクラウドベースのサービスです。現在では、モバイルデバイスだけにとどまらず、WindowsやMacOSなどPCを含めたマルチデバイスに対応しており、モバイルデバイス管理に劣らないほどの優れた機能が搭載されています。

1：モバイルデバイス管理

Mobile Device Management（MDM）は、社内外問わず社員が持ち運びのできる携帯型のデバイスをシステムで統一管理するサービスです。セキュリティポリシーの適用や、アプリのインストール有無などの機能制限を行うことができます。
例えば、モバイルデバイスでいうと以下のようなポリシーが一例として挙げられます。

・業務に必要のないアプリをダウンロードできないように、App Storeを非表示にする
・モバイルデバイスのパスコードロックを必須にすると同時にパスワードの文字制限を行う等

またPC（Windows）であれば、以下は重要なポリシーになります。
・暗号化（BitLocker）の必須化、自動暗号化
・Microsoft Defender ウイルス対策のポリシー（スキャン/更新タイミング）の適用
・Microsoft Defender for Endpointの自動オンボード
・その他Windowsの標準設定（電源設定やコントロールパネル）を行えるようなポリシー等

Microsoft Intuneはマルチデバイスに対応しており、iPhoneやAndroidだけではなく、Windows OSやMac OSにも対応しています。

2：モバイルアプリケーション管理

MDMがデバイス本体の制御を行うことに対して、Mobile Application Management（MAM）はアプリケーションに対する機能制御/データ保護管理を行うサービスです。
MAMはデータ自体の保護を行っているわけではありません。あくまでアプリケーション動作を制御して、データ保護を実現している機能です。
利用シナリオとしては、業務データが個人領域に保存されることを防止したい場合によく利用します。これによりMicrosoft Intune管理下にあるアプリの業務データをMicrosoft Intune管理外または、ローカルストレージへ保存することを禁止することで情報漏洩対策につながります。

3：コンプライアンス ポリシー管理

コンプライアンスポリシーは、企業のデータを保護するために利用者やデバイスが遵守すべきルール、および設定を定義するものです。あらかじめ設定したルールに対し、違反している端末を非準拠端末としてマークします。
例えば、パスワードの文字数やOSバージョン、Microsoft Defender ウイルス対策のバージョンなど情報システム管理者が定めた設定値に準拠していない場合は、リスクのある端末として非準拠端末になります。
非準拠端末に対してメールを通知したり、Azure Active Directory(Azure AD)の条件付きアクセスと連携したりしてアクセス制限を行います。

4：更新プログラム管理

Microsoft Intune管理下にあるWindows 11端末では、Windows Update for Business機能を利用した更新プログラムのインストール管理ができます。
更新プログラムを管理する理由について、よくある例としては以下があります。

●段階的な配信
グループを分けて段階的に配信を行う。情報システム管理者がパイロットを兼ねて更新プログラム適用後の影響確認を事前に行い、問題ないことを確認次第、利用者への配信を行います。

●ネットワーク負荷の考慮
一度に全利用者が更新プログラムを適用し通信を行うと企業内のネットワーク帯域に負荷がかかってしまい業務に支障をきたします。これを防ぐために帯域制御を行い、更新プログラムの配信を行ったとしても最小限の負荷に抑えます。

ハイブリッドワークによる更新管理の考え方

現在、ハイブリッドワークによる働き方が登場したことで必ずしも多数の利用者が企業内ネットワークに接続している環境ではなくなってきました。テレワーク等によって企業外のネットワークに接続して業務を行っている利用者も多くなり、これまで企業内ネットワークの負荷を考慮して設定していた帯域制御が不要になる企業も発生するかもしれません。
ただし、このことは企業外にあるPCであってもこれまで通り、適切に管理する必要があるという意味でもあります。したがって、企業外のPCでも柔軟に対応できる管理システムや方法を選択することも視野に入れる必要があると考えられます。

更新プログラム管理のツール

●Windows Update for Business
Windows Updateの適用タイミングを制御できる標準搭載機能です。本機能はWindows 10及びWindows 11Pro、Enterprise、Pro for Workstation、Education（官公庁向け）エディションであれば、無料で使用可能です。

●Windows Server Update Services(WSUS)
WSUSはWindows Serverに標準搭載されている機能です。OSライセンスとCALを購入していれば、追加のアプリケーションを購入することなく、構成を行うことができるため、コストを抑えることができます。必要最低限の機能で更新プログラムを管理するため、シンプルで特別な知識がいらずとも、運用することが可能です。
ただし、更新プログラムを管理する機能に徹しているため、アプリ等を配布することはできません。

●Microsoft Endpoint Configuration Manager(MECM)
旧名称System Center Configuration Manager (SCCM)
MECM / SCCMはデバイスと利用者を一括管理する統合管理アプリケーションです。別途製品とCALの購入が必要となるため、コストは上がってしまいますが豊富な機能が備わっています。先ほど紹介したWSUSの更新プログラム管理の他、Windows OSの展開やイベント管理、さらにはアプリの展開などが行えます。よく他社製品の資産管理システムと比較されることが多いです。

• Windows Update/Windows Update for Business

  • インターネット経由で更新を行う
  • エディション要件を満たせばfor Businessが利用でき、適用制御が可能
  • クラウドまたはMicrosoft Intune利用時に向いている

• Windows Server Update Services(WSUS)

  • Windows Server標準機能
  • 社内NW経由で更新を行う
  • 中堅企業オンプレミス環境に向いている

• Microsoft Endpoint Configuration Manager(MECM)

  • デバイス管理に特化したアプリケーション
  • 基本的に社内NW経由で更新を行う
  • 大企業オンプレミス環境に向いている
  • WSUSよりも多くの機能を備えている
  • Microsoft Intuneとの共同管理機能が利用可能
  • クラウド管理ゲートウェイ(CMG) を活用することで社外デバイスも制御可能

5：Azure Active Directory（Azure AD）と統合されている

Microsoft IntuneとAzure ADは密接な関係にあり、ユーザーアカウントやデバイス情報は常に連携されています（※一部の機能は事前設定の必要あり）。
統合されているメリットとしては、ID管理システムであるAzure ADと連携していることで利用者やグループ情報を二重管理することがないことに加え、Microsoft Endpoint Managerからポリシーを適用したい場合に、Azure ADで作成した利用者とグループをそのまま利用できるため、情報システム管理者による運用効率が向上します。

Azure ADはクラウドベースのID、およびアクセス管理サービスです。クラウド及びオンプレミスアプリケーションで単一のIDシステムを提供します。

オンプレミスで利用しているActive Directoryのクラウド版と認識される場合がありますが、Active DirectoryとAzure Active Directoryは全くの別物であることを認識する必要があります。

Azure ADには、主に以下のような機能があります（上位プラン機能含む）。
・企業（組織）のユーザー・グループおよびデバイスの管理
・外部ユーザーIDの管理
・SaaSアプリケーションとのシングルサインオン（SSO）及びIDプロビジョニング（SCIM）の提供
・次世代の認証方式の提供（多要素認証、パスワードレス）
・豊富な機能を踏襲したアクセス制御
・ID侵害の検出及び対応

Microsoft Endpoint Managerは物理・仮想を問わず、すべてのエンドポイントを管理するための統合エンドポイント管理プラットフォームです。
従来、オンプレミスのPC管理を行う際には、多くの利用者がマイクロソフト社の提供するMicrosoft Endpoint Configuration Manager（MECM）を利用していました。
しかし、Microsoft Endpoint Managerによって、IT管理者はMECMとクラウドベースでデバイスを管理するMicrosoft Intuneを統合管理できるようになりました。

Microsoft Defender for Endpointは強力な脅威インテリジェンスにより、調査や高度な脅威への対応を支援するために開発されたエンドポイントセキュリティプラットフォームです。サーバセキュリティはいたちごっこの世界であり、どれだけ最新のセキュリティ対策を行うかが重要と考えられます。
Microsoft Defender for Endpointは日々機能が進化しており、EDR（エンドポイント検出と対応）以外にも様々な機能が搭載されています。
・脅威と脆弱性の管理
・攻撃面の減少
・次世代の保護
・エンドポイントでの検出と対応
・調査と修復の自動化
・セキュリティスコア化
・Microsoft脅威エキスパート※
※セキュリティについて、専門家レベルの監視と分析を提供するサービス

富士通エフサスは、法人のお客様がお使いのPCをWindows 11搭載 PCに 移行するサポートをします。現在、お使いのPCのOSアップグレード、Windows 11搭載PCへの買替えなどへのご相談も承ります。