Tech Fieldersセミナー「Windows Intune に見る新しいクラウドの形」に行ってきました

久々にセミナーのレポートを書きます。
2010年9月3日(金)に新宿のマイクロソフト本社5Fセミナールームで行われたセミナーです。
短時間でしたが非常に意義のある、そして衝撃的な内容でした。

Tech Fieldersセミナー
~Windows 7に興味がある企業様も必見~
Windows Intuneに見る新しいクラウドの形

Windows Intuneを簡単に説明すると、
・クライアントPCのインベントリ収集、Windows Update、ウイルス対策などの管理を、インターネット経由でマイクロソフトがオンラインで行うSaaS型のサービス
・ついでにWindows 7 + SAのボリュームライセンスまで付いてくる
・これをPC1台に付き月額11USドルで提供予定

最初はクラウド上に仮想マシンが用意され、それにインターネット経由でリモートデスクトップ接続して利用するサービスかと思ったのだけど、そうではなかった。
あくまでも企業内に今あるパソコンの運用管理を行うサービスです。

クライアントPCのオンラインでの管理を望む声は、ユーザ企業からも結構ありました。
PC台数が多いと非常に手間がかかる上、その管理用サーバの構築や運用にも手間がかかる。
その割には管理者の苦労が報われず、何も新しいことを生み出すことの無い単純作業。

実際に私の会社でも、あるお客さんのクライアントPCのライフサイクルマネジメントの運用を請け負って実施しており、その一部としてPCのインベントリ収集と集計、ソフトウェア資産管理、定期的なレポート提出などを行っています。

これをクラウドのサービスとして提供されれば、管理者の手間が激減することは容易に想像できます。
管理者の手間が減ることは、すなわち人的コストが削減できるわけです。

(写真1)Tech Fieldersセミナー「Windows Intune に見る新しいクラウドの形」のテキスト
Tech Fieldersセミナー「Windows Intune に見る新しいクラウドの形」のテキスト

前置きが長くなったので、セミナーの内容に戻りましょう。

今回は金曜日夜の18:00から開始し、セミナー本編は1時間程度。
その後はディスカッション形式で1時間程度。
しかもディスカッション中に各自1本くらいの缶ビールも用意される珍しいパターン。
通常はセミナー終了後にHappy Hourだし、今回はライトニングトークもないし、異例な感じ。

セミナーの講師はご存知、エバンジェリストの高添さん。
今回は製品担当として、コマーシャルWindows本部プロダクトマネージャの輪島文(あや)さんも、途中でデモをしてくれました。


■利用手順
ではWindows Intuneの大まかな利用手順
・Windows Intuneの契約
・Windows Live IDで管理サイトにログイン
・クライアントソフトウェアのダウンロード
・クライアントソフトウェアをインストール
・コンピュータをグループ化
・更新ルールやポリシーを設定
・運用の開始


そうなんです。
Windows Intuneはクライアント管理に必要なmsi形式のパッケージをダウンロードし、管理対象のパソコンにそのクライアントソフトをインストールするのです。
今回のセミナーに参加してやっとわかりました。


■Windows 7 + SAのライセンス
Windows 7へのアップグレードライセンスとSAが付いているため、契約期間中は常に最新OSを利用することが可能だし、Windows 7 Enterpriseなど企業向け最上位エディションの利用も可能。
つまりWindows Intuneを契約すれば、既存のOEM版Windows XPやWindows Vista搭載PCでも、Windows 7 Enterpriseを利用可能。

Windows 7 Enterpriseが利用可能となれば、BranchCache、BitLocker、BitLocker to Goなどの機能も利用することができますね。


■Windows Intuneの利用条件
管理コンソール
・Silverlight 3.0がインストールされているWebブラウザ
管理対象のコンピュータ
・Windows 7 Professional、Enterprise、Ultimate
・Windows Vista Professional、Enterprise、Ultimate
・Windows XP Professional SP3 (注1)
そしてすべてのコンピュータに対して必要なこと
・インターネットに接続できること

各PCからマイクロソフトのサーバには、SSLで接続するそうです。
だから社内から外部への通信について、通常は特別な考慮は必要なさそう。
高添さんによるとSSL以外にWCF(Windows Communication Foundation)での通信が行われる「かもしれない」らしいですが、この辺はまだよくわかりません。

(注1)
推奨はされないがWindows XP SP2も利用は可能。
この場合はKB914882とMSXML 6.0 SP2の適用が必要。


■クライアントソフトウェアの展開
マイクロソフトからWindows Intuneのクライアントソフトウェアをダウンロードします。
msi形式のパッケージになっていて、オンラインで直接インストール、ダウンロード後に手動または自動でインストールが可能です。

32ビット版モジュールを、Windowsインストーラで無人インストールするコマンド例です。
msiexec /i Windows_Intune_x86.msi /qn

その他に必要なモジュールがあれば、Windows Updateで自動インストールされます。
インストール後30分以内には自動展開され、管理サービスが開始されるそうです。


■情報収集と管理の方法
各クライアントPCの情報はインターネットを通じてマイクロソフトのデータセンターに送られる。
管理者はインターネット経由で自社の管理画面にアクセスする。

従来であれば企業は自社内にインベントリ情報を収集するためのサーバを設置し、あるいはそれをさらに資産情報管理・台帳管理ソフトにデータを連携させてPCを管理させていた。
またウイルス対策ならそれ専用の適用ポリシー、定義ファイルの配布、適用状況の確認のためのサーバも導入する。
WindowsファイアウォールならActive Directoryのドメインコントローラでポリシーを管理。

これらをそれぞれ別のシステム、別のサーバで管理していたのだが、Windows Intuneでは各クライアントPCに専用のモジュールをインストールすれば、あとは自動で管理される。


■管理対象のグループ化
管理対象のコンピュータをグループ化・階層化することも可能。
例えば地理的な場所、部門別、ハードウェア別、OS別、本番環境やテスト環境などをグループ化し、それぞれのポリシーを作成・適用することによって、管理することも可能。


■ハードウェアインベントリ
・管理対象のコンピュータ一覧情報。
・管理対象コンピュータのハードウェア情報。(コンピュータ名、製造元、モデル、プライマリユーザ、物理メモリ、BIOS名、BIOSバージョン、BIOS製造元、CPU種類、CPUクロック数など)

■ソフトウェアインベントリ
これらを収集して上で、重複を排除して表示。
・MSIソフトウェアインベントリ情報
・プログラムの追加と削除の情報
・App-Vキャッシュ情報


■更新プログラムの制御
Microsoft UpdateとWSUSの技術による更新プログラムの適用管理が可能。
セキュリティ更新、重要な更新、サービスパックなど適用プログラムのカテゴリで分類。
管理対象コンピュータのグループごとに、更新プログラムの適用を指定。
インストールできなかった更新プログラムや、適用が必要な更新プログラム、インストール済みコンピュータ数などの状態レポート。


■稼動監視
Windows Intune Monitorring Agentが稼動状況を監視します。
監視対象のアラート項目は600以上もあるそうです。
例えばIISのサービスが起動しているか、ディスクフラグメントが進行していないか、など。
またインストール仕切れていないソフトウェア、24時間報告していないエージェント、7日間以上オフラインになっているコンピュータなどのヘルスチェックも行われます。

管理者に対しては、Windows Intuneの管理コンソール画面、あるいはメールでの通知が行われます。

対象コンピュータからのリモートアシスタンス要求は、何とアラートとして処理されるそうです。
これって実用に耐えるものなのかどうか、心配だとする意見も多く出ました。


■ポリシーと構成管理
「SCCM VNextのDesired Configuration Management (DCM) に基づいた構成」と言われても何のことだかわかりませんでした。
Windows Intuneエージェント設定、Windows Intuneセンター設定、Windowsファイアウォール設定などにより、自分の会社に応じた構成が可能とのことです。

標準では8時間から9.5時間ごとに新しいポリシーのダウンロードと適用が児童で行われます。
これは8時間から22時間の範囲で変更することも可能です。


Windows Intuneの管理グループやポリシーはActive DirectoryのOUやグループポリシーとは関係なく、独自に設定して管理します。
この良し悪しについてはまた後ほど。

Active DirectoryのグループポリシーとWindows Intuneの設定が競合した場合、原則的にはActive Directoryの方が優先されます。
これは理解できます。

管理グループを階層化している場合、下層のポリシーが優先されます。
これも理解できます。

優先順位の判別が付かない場合、最終的にはポリシーの最終更新時刻が優先される。
これにはちょっと驚きました。
理解できないのではなく、こんな解決法があるんだあ。って感じです。


Windows Intuneの概要はこんな感じ。


■私の感想(ビジネス視点)
で、私たちSIreや販売会社から見るとこれはどうなのか?。
正直言ってものすごい衝撃です。
今までやってきた仕事が全部否定された気さえするほど。

・インベントリ収集
・ソフトウェア資産管理、IT資産管理
・ウイルス対策ソフトの配布サーバ、ポリシー管理、適用情報収集

これらを今までは各製品を組み合わせ、そのためのサーバとセットで管理システムを構築し、それをお客さんに導入していました。
一部では導入するだけではなく、さらにその運用オペレーションを受託したりもしています。

本当に面倒で手間のかかる作業なので、これをオンラインでのサービス提供ができればとてもいい話です。
しかしそれは従来型のビジネスを否定することにもなる。

このWindows Intuneの販売パートナーとなる道もあるでしょう。
ユーザ企業がWindows Intuneを導入すれば、販売店には初年度○%、2年目以降○%の手数料が入ってくる。
しかしそれはコンピュータメーカーやSIerの本来の仕事ではない。
販売するだけなら商社の仕事。


マイクロソフトはものすごい危機感と決断力でオンラインサービス化を急速に進めているけど、コンピュータメーカー各社はまだそこまでシフトしていない。
大手コンピュータメーカーなら各社とも、自グループ内で数万台から数十万台のパソコンの運用管理をしているわけです。
当然だけど今回のWindows Intuneのようなことは何年も前から自社内ではやっています。
Windows Intuneにはない、例えばファイル暗号化の管理もやっています。
Windows Intuneにはない、物理的なパソコン故障の対応、OS再インストール、出荷、在庫管理などの、ライフサイクルマネジメントのサービス提供だってやってます。

Windows Intuneに負けない、もっと魅力的な製品とサービスを出さないとならんなあ。
今まではマイクロソフト製品を山のように販売していたのに、このままではマイクロソフトがライバル企業のようになってしまう。


■私の感想(ユーザ企業視点)
Windows Intuneは、小規模企業では間違いなく大きなメリットでしょう。
小規模企業ではActive Directoryの導入の敷居が高かったり、導入しても十分な運用ができなかったりすることも多いと思います。
Windows IntuneはActive Directoryとは関係なく、クライアントPCの管理を一元的に比較的易しい操作と画面で行えるので、扱いやすいと思います。

その反面Active Directoryでの管理に慣れている企業ユーザの場合、また管理ツールが増えたって感じがしないでもない。
Active Directoryのグループポリシーで管理できればいいんだけど、また別のグループとポリシーを管理するのも大きな混乱と大きな手間です。

ま、その辺はマイクロソフトもわかっているはずなので、いずれは何らかの答えが出るでしょう。
社内と外部でActive Directoryの複製や、あるいは参照するだけでも技術的に困難なようですから。(そのために最近はAD FSの文字を良く見かけるわけで)


■私の感想(これから)
Windows Intuneはとても衝撃的で、面白く、これから大きな可能性を秘めているサービスです。

・せっかくMDOPを毎月1USドルで追加できるんだから、いっそのことOfficeをApp-Vで配信するサービスもやってしまうとか。
・ディスク暗号化をオプションで追加できるとか。Windows 7 Enterpriseの場合、管理者が指定したらBitLockerで自動的にディスク暗号化。
・さらに追加オプションでIRMによるOffice文書ファイルの暗号化も。Active Directoryが必要ですが、中小ユーザ向けにAD DS、AD RMSを何とかオンライン提供する。
・パソコンの紛失や盗難に対し、一定期間オフラインになったり管理者が指定したらログオンできなくするオプションとか。できれば自動データ消去オプションも。
・Windows 7へのアップグレードライセンス無しでSAのみのパターンも欲しい。コンピュータメーカでOEM版Windows搭載パソコンを供給する立場としても、またそれを購入するユーザ企業としても「新規PC購入後90日以内にSAのみ購入」に相当する割引も欲しい。
・インベントリ収集などの結果を画面で見れます、CSV形式にエクスポートできます、では大企業は納得してくれません。ファイル転送ソフトかFTPで自動転送するオプションが欲しいな。メール添付など人手を介すのはだめですよ。
・あるいは自由にカスタマイズ可能でPowerPivot for Excelで分析できる形式で情報提供。

無理難題みたいなのもありますが、いろいろ夢は広がりそうですね。


どうしても問題になるのがActive Directory。
フェデレーションは面倒なので、いっそのことクラウドでのAD DS提供。
企業内にはそのRODCを設置し、クラウド上の自社向けActive Directoryをhttpsで参照して、RODCの情報を更新するなんてのはどうでしょう。
Active Directoryの複製やログオン認証などの通信をカプセル化して、httpかhttpsで流すようなゲートウェイがあればできそうだけど。


などなど、マイクロソフトにとっては夢と希望が広がるお話でした。
私自身、私の会社、私の企業グループで、Windows Intuneとどのように付き合っていくかはまだまだ不明です。
今回は技術的な話よりも、ビジネスのあり方そのものに変革を迫られる話でした。


■参考URL
まずはマイクロソフトの高添さんのTechNetブログをどうぞ。
http://blogs.technet.com/b/osamut/archive/2010/08/08/3348962.aspx
・~ここにもクラウド~ Windows Intune の登場で IT の運用は大きく変わり始めるでしょう。 - 高添はここにいます - TechNet Blogs
http://blogs.technet.com/b/osamut/archive/2010/08/09/3349018.aspx
・9月3日(金) のTech Fielders セミナーは Windows Intune ~夕方からやります~ - 高添はここにいます - TechNet Blogs


セミナー当日の資料も近日中にどこかに掲載される予定です。
残念ながら日本語での情報はまだほとんどありませんが、今後もWindows Intuneには注目して行きます。
関連記事

コメントの投稿

非公開コメント

ごめんなさい、いろいろあって書き込みに気付きませんでした。

お察しのとおり、Windows Intuneに含まれるWindows 7のライセンスは、以前のWindowsからのバージョンアップライセンスです。
通常のボリュームライセンスそのものですから。
アップグレード元になるバージョンには当然指定があるのですが、少なくともWindows 98/NT4.0/2000/XP/Vistaは含まれるため、通常は問題になることは無いと思います。

これはWindows Intuneに限らず、WindowsデスクトップOSのボリュームライセンス全般に共通することです。
通常は企業内でOSレスのパソコンを利用することが無いためです。
ごく小規模な会社では自作パソコンや、パソコンショップオリジナルパソコンでOS無しを利用する場合もあるかもしれません。
この場合はDSP版OSに対し、ボリュームライセンスを追加することになります。
Windows Intuneではボリュームライセンスに加えてSAまであるので、将来次期版Windowsがリリースされたときにそれを利用する権利があります。

付属のライセンスは…

また聞きでもうしわけないのですが、付属のライセンス、Windows7ですが、基本XPか何かのクライアントライセンスを所有していないといけないライセンスですよね?
何もない状態での利用は不可能だったと思うのですが。
結構重要なんですが、他の人のブログにもとりあげられてないんで気になりました。

テスト中

全ての記事を表示する

ブロとも申請フォーム

ブログ検索
プロフィール

norimaki2000

norimaki2000のブログにようこそ
・2013/01/05テンプレートをsantaからhouseに変更
・2012/10/29テンプレートをsweet_donutsからsantaに変更
Follow norimaki2000 on Twitter気軽に話しかけてね

ニューヨーク・マンハッタン(タイムズスクェア)180×135

千葉県在住で東京都内に勤務。SE歴20年超えました。

昔々はオフコンで販売管理などのアプリケーション開発してた。
ファミリーレストランの無線オーダリングやPOS、キッチンプリンタの全国展開なんかもやっていました。
数年前まではWindows上のアプリケーション展開が多かったかな。
ここ数年はWindowsサーバーを中心としたサーバーインフラの提案・構築・保守を中心にやってます。
主な取り扱い製品は、
・Windows 2000 Server以降 (もちろんNT3.5やNT4.0も知っていますが)
・Active Directory (今で言うAD DS)
・Symantec Backup Exec
・Symantec System Recovery
・CA ARCserve Backup for Windows
・CA ARCserve Replication
・CA ARCserve D2D
・EMC RepliStor
・VMware vSphere
・某メーカーのクラスタソフトウェア

どれもこれも中途半端な知識と技術力ですが、なんとかやっています。
私自身は技術や製品を担当する立場ではなく、特定業種のお客さん(ユーザ企業)の対応窓口となるSEの役割りですから、必要であれば詳しい知識や経験豊富な別のSEを探してきてプロジェクトメンバに加えます。

もちろん小さな物件では自分で提案、インストール、お客さんへの導入、アフターサポートまでやります。
大きな物件では提案はやりますが、構築部分は専門部隊に依頼します。
その場合でもアフターサポート窓口は私がやりますので、お客さんに対しては一貫して窓口SEとなります。

サーバの世界の大きなトレンドは統合・仮想化。
2007年はVirtual Server 2005 R2によるサーバ仮想化も、2つのお客さんで本稼動させた。
2008年はVMware ESX 3.5を2セット構築。単純なローカル起動と、SANブート/VMotion/DRS/HA/VCBのフル装備もやった。
2009年はぜひHyper-Vの仮想環境を構築したいな。と思っていたが、なかなか機会に恵まれなかった。
2010年はVMware ESX 4.0でHA/VMotion/VCBバックアップを進行中。

そのほかにも、ドメインコントローラやファイルサーバの全国展開とデータ移行、特定のアプリケーションの実行基盤となるサーバ群のOS・バックアップ・DBクラスタなどインフラ部分の構築などをやっています。


2011年のポイントも引き続き、【ご利用は計画的に】。
今まで長年に渡って仕事も私生活も行き当たりばったりなので、少しでも物事を計画的に進められるようにしたい。
いつも計画性の無さが災いして多くの人に迷惑をかけています。
自分自身も計画的な仕事ができないため、いつもいろいろ苦労しています。
今年はさらに計画的に仕事をするようにしなきゃ。

それと若手を上手に使うようにならなきゃならん。
若手の育成はもちろんだけど、僕自身も仕事を上手に他の人に振ることができるようになりたい。
仕事の種類のせいなのか性格なのか、どうしても一人で抱え込んでしまうから。

【Twitter】2010年の元旦から始めました。平均して1日あたり10ツィート程度です。
仕事関連の呟きが少し、くだらない呟きがほとんどかな。
Follow norimaki2000 on Twitter
・norimaki2000 on Twitter

Follow norimaki2000 on Twitter
・norimaki2000 on Twilog


オンライン上ではあるけれど、今まで知らなかった人たちと交流する機会を得ることになり、非常に刺激を受けます。
仕事でも私生活でも、いろんな人のつぶやきは息抜きにもなり、また助けられたり、あるいは「もっとがんばんなきゃ」と励みになったりします。
Twitterを考え出した人の発想、システムとして作り上げた努力と情熱はすごい!!


【好きな音楽】ベテランの皆さんなら浜田省吾、尾崎豊、エコーズ、若手なら鬼束ちひろ、平原綾香、現在注目の若手はいきものがかり

【好きなアイドル】千葉県柏市を中心に活動する地元アイドルの「コズミック☆倶楽部」を激推し中です。

【好きな飲み物】シャンパンはご存知モエ・エ・シャンドン ブリュット アンペリアル、ビールはキリン ブラウマイスター、水ならビッテル、お茶ならキリン生茶

【好きなTVドラマ】Xファイル、24、ミレニアム、ER、CSI:科学捜査班シリーズ、NCIS:ネイビー犯罪捜査班、ザ・プラクティス、ボストン・リーガル



パソコン困り事相談もよろしく


最近の記事
最近のコメント
カレンダー
07 | 2017/08 | 09
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -
カテゴリー
FC2カウンター
キーワード

Windows_Server VMware_ESX VMware vCenter_Server VMware_Player PowerShell PowerCLI vSphere_Client VirtualCenter Active_Directory vStorage_API Converter 文音 Windows Hyper-V コズミック☆倶楽部 Microsoft_Security_Essentials Windows_8 vSphere VMware_Converter Backup_Exec sora なるみん あいひょん カラオケ Windows_Server_2012 System_Center VCB Red_Hat_Enterprise_Linux SQL_Server Tech_Fielders メモリダンプ System_Recovery ARCserve_Backup RHEL Internet_Explorer ESX VMware_vSphere Oracle Directory Exec Symantec VMware_HA Server vSphere_CLI ジン子 マークス Active vMotion Firefox Backup Recovery NTFS System 麗美 XenServer schtasks Vista remi コズミック倶楽部 DRS SE キリン vCenter_Converter Twitter Office Oracle_Database Windows_Update Visual_Studio wevtutil 氷結 Sysinternals DMC-FZ1000 若手 スリムス ラガー 一番搾り食物繊維 ついにステップワゴンを契約してしまった ロッキー 糖質 サッポロ 日本赤十字社 洗車 洗濯 写真 バルボア のどごし生 フィット 東京国際フォーラム カーナビ おとなのおつまみ ベビースター おやつカンパニー えびしお 献血 白石美帆 セキュリティ スパリゾートハワイアンズ カルディ サクセス けんけつちゃん はばたき福祉事業団 スタローン セルシオ スパークリングウォーター corega 経済産業省 雨どい 人口甘味料 伊藤園 ポケモン・スタンプラリー シャンプー台のむこうに サーバ デュポン  お茶のチューハイ ジョシュ・ハートネット 神戸 北野 ウォーター ハワイ エイドリアン ブラックホーク・ダウン コロン ワイヤーアクション ムエタイ カーポート 高原 バーベキュー 映画 グレープフルーツ グランダム 掃除 鬼押し出し園 草津 関西空港 羽田 夏休み 万座温泉 マッハ キャンプ 東京タワー SAP バックアップ ARCserve_D2D ARCserve_Replication Virtual_Infrastructure vStorag_API Apache グループポリシー SkyDrive VMFS OpenOffice.org ULPC XP Word OEM DSP ジャンプフェスタ ITIL OpenOffice Tween HUAWEI OneDrive 浜田省吾 GR5 れみ Windows_Serverバックアップ Paper.li Linux VMware_ESXi Windows_Azure iStorage バッチ robocopy AWS IP38X/N500 NVR500 Uptime.exe USB2.0 CG CDRW-AB24JL CD CR-V CoolMax Gathers DVD CAB Brio 修復 破損 2008 圧縮 コマンドライン ATAPI 0x0000007B Hyperion IDE SUPPLEX STOPエラー wbadmin SweetGrass Thunderbird USB Tools Resource Replication NR-7900A Kit IZZE NetBackup OREZZA PCI PC-Success オレッツァ 

月別アーカイブ
リンク
RSSフィード