2. 企業内 PC の運用を変える Windows Intune
セッション ID: T1-301
企業内 PC の運用を変える Windows Intune
マイクロソフト株式会社
デベロッパー＆プラットフォーム 統括本部
エバンジェリスト
高添 修
コマーシャル Windows 本部
プロダクト マネージャー
輪島 文

3. セッションの目的とゴール Session Objectives and Takeaways
開発中の Windows Intune のポテンシャルを ご理解いただく
Windows Intune サービスのデモを見ていただく
セッションのゴール (Takeaways)
マイクロソフトのクラウド戦略において、 　　　　Windows Intune の位置づけを理解する
Windows Intune に含まれる機能を理解する
Windows Intune の機能の裏に隠された 　マイクロソフトのテクノロジーの進化を理解する

4. 本セッションでは、 現在開発中の製品を取り扱っています。 仕様および機能は変更される可能性があります。
ご注意
本セッションでは、 現在開発中の製品を取り扱っています。 仕様および機能は変更される可能性があります。

5. Agenda Windows Intune とは? Windows Intune 管理サービスの利用
まとめ

6. Windows Intune とは ?

7. 広がるクラウド "We’re all in"
2009 年 9 月某イベントでデモ System Center "Online Desktop Manager "
生産性
コミュニケーション
コラボレーション
ビジネス アプリ
運用管理
データベース
プラットフォーム
クラウド型のサービス提供で終わらなかった

8. ライセンスもクラウド型 ＝ サブスクリプション
　　　　　　　　 とは?
クラウド型の
管理サービス利用
ドライブ暗号化
最新 OS で標準化
高速/安定/セキュア
SA 付き
更新管理/インベントリ
稼動監視/ポリシー
アンチウイルス
アンチマルウェア
$1/月
(オプション)
ライセンスもクラウド型　＝ サブスクリプション
$11/月

9. "不要" の削減 "運用管理ツール" の運用管理 ローミングマシン対策 キャパシティ プランニングやサイト設計
サーバーやソフトウェアの購入と設定
OS、ソフトウェアのインストールと設定
可用性検証、災害対策
日々のサーバー (H/W と S/W) 管理
ローミングマシン対策
社外に持ち出した PC 用のルール作り
上記にかかる時間も "不要 "

10. 　　管理サービスの利用

11. https://manage.microsoft.com/
Windows Intune へサインイン
Windows Live ID でサインイン
フェデレーションが
裏で動く可能性も
Windows Intune 管理画面

12. マルチ アカウント コンソール Windows Live ID でサインイン後の画面 ※ 複数ユーザーの状態を一目で確認
自前サーバー無しでの運用管理サービス !
※ 複数ユーザーの状態を一目で確認

13. SaaS 型の コンピューター管理機能 資産 (アセット) 管理 更新管理 マルウェアからの保護 稼動監視-アラート- ポリシーと 構成管理
管理コンソール
ーーーーーー
ワークスペース
資産 (アセット) 管理
ハードウェア インベントリ
ソフトウェア インベントリ
ライセンス
更新管理
マルウェアからの保護
稼動監視-アラート-
ポリシーと 　　 構成管理

14. 大まかな利用手順 Intune サービス クライアント Windows Live ID でログオン クライアント ソフトウェア の
ダウンロード
クライアント
ソフトウェアの インストール
コンピューターをグループ化
コンピューターがサイトに表示される
更新ルールやポリシー設定
運用と監視

15. 現時点での追加モジュール一覧 (更新管理機能で自動アップデート)
DEMO
クライアント ソフトウェア展開
現時点での追加モジュール一覧 (更新管理機能で自動アップデート)
Windows Intune
Windows Intune Center
Microsoft Antimalware
Windows Intune Malware Protection
Windows Intune Malware Protection Agent
Windows Intune Monitoring Agent
System Center Operations Manager 2007 R2 Agent
Microsoft Policy Platform
Microsoft Online Management Policy Agent
Windows Firewall Configuration Provider
Microsoft Easy Assist v2

16. Msiexec /i Windows_Intune_x86.msi /qn
クライアント ソフトウェアの展開
クライアント ソフトウェア (msi)
アカウント識別子付きで署名済み
インストール
オンラインから直接
ダウンロード後に自動/手動
グループ ポリシーによる自動化も可能
追加で必要なモジュールは自動インストール
Windows Update 経由
30 分以内に自動展開、サービスと連携開始
ファイルの漏えいには注意
32 bit モジュールの例
Msiexec　/i　Windows_Intune_x86.msi　/qn

17. Windows Intune Malware Protection
インストール後のクライアント側
Windows Intune センター
Windows Intune Malware Protection

18. Windows Intune のライセンス管理
接続クライアント ライセンス
利用するコンピューター分契約 (購入)
クライアントを接続するとライセンスを消費
仮想化との関係
契約数が物理コンピューター数を超えない限り、 2 倍までは仮想コンピューターの登録が可能
物理マシン 1 台に対し仮想マシン 4 台まで可能
ライセンスに関する詳細は、これから

19. Windows Intune 利用要件 管理コンソール 管理対象のコンピューター 全てのコンピューター
Silverlight 3.0 をサポートするブラウザー
管理対象のコンピューター
Windows 7 Professional、Enterprise、Ultimate
Windows Vista Business、Enterprise、Ultimate
Windows XP Professional SP3 (推奨)
SP2 は KB と MSXML 6.0 SP2 をインストール
Windows XP の場合
CPU 500 MHz、256 MB の RAM、
Disk 200 MB 空き
全てのコンピューター
インターネットアクセス環境

20. コンピューターのグループ化 階層型でグループ化 グループ例 複数グループへの登録可能 ポリシー適用に利用 地理的 部門毎 ハードウェアの違い
テスト環境用
運用管理へ

21. 　　管理サービス解説
デモを中心に解説します

22. 資産管理 ハードウェア インベントリ ソフトウェア インベントリ ライセンス管理 レポーティング
コンピューターごとのハードウェア コンポーネントのリスト
ソフトウェア インベントリ
コンピューターごとに検出されたソフトウェアのリスト
Asset Inventory Services (AIS) カタログでカテゴライズ
ライセンス管理
ライセンス契約情報 (契約名、契約番号) のインポート
Customer License Position (CLP) サービスからの情報取得
レポーティング
ソフトウェア レポート
ライセンスの購入レポート
ライセンスのインストール レポート

23. ハードウェア インベントリ
コンピューターのリスト
各マシンのハードウェア情報

24. ソフトウェア インベントリ MSI ソフトウェア リポジトリ "プログラムの追加と削除"の情報 App-V キャッシュ
情報を収集後、 重複を排除して表示
App-V 環境 にも対応
7 つのメジャーカテゴリと 40 のマイナーカテゴリ
その内 1 つは、北米産業分類体系 (NAICS) を利用

25. ライセンス管理 既存の契約情報を Windows Intune に アップロードが可能 レポート エクスポートし、不足分は追記
購入したライセンス情報 ＋ 実際に展開された ソフトウェアとコンピューターを確認
エクスポートし、不足分は追記

26. Microsoft Update & WSUS フレームワーク に基づいた構成
更新管理 (更新プログラムの制御)
Microsoft Update & WSUS フレームワーク に基づいた構成
自社に応じた構成が可能
製品と分類の選択
更新プログラムの承認と拒否
自動承認規則の作成
コンピューター グループにルールを適用
ステータス管理とレポート
システム、グループ、コンピューターごとのステータス管理
更新状態レポート
インストールできなかった更新プログラム
コンピューターに必要な更新プログラムの数
インストール済みのコンピューター数　　など

27. Policy Enable Malware Protection Settings = no
マルウェア (ウイルス) からの保護
ウィルス、スパイウェア、
マルウェア対策 (駆除など)
定義ファイルも自動更新
(更新管理機能に包含)
Forefront Endpoint Protection や Microsoft Security Essentials で 使用されているマルウェア保護エンジン
システムごと、グループごと、コンピューターごとのステータス管理
保護されていないコンピューター
警告のあるコンピューター (スキャンの未実施、期限切れの定義ファイルなど)
最近解決されたマルウェア、フォロー アップが必要なマルウェア
サード パーティ製マルウェア対策ソフトウェアを実行しているコンピューター
既存のマルウェアソフトウェアを活かしたい
Policy Enable Malware Protection Settings = no

28. マルウェア感染時の状態 感染 通常
※ 詳細情報は Malware Protection Center で確認可能

29. リモートアシスタンス要求も アラートとして処理
稼動監視～アラート～
アラート項目　606 項目 (有効/無効)
Windows Intune Monitoring Agent が監視
(例) IIS サービス稼動やディスク性能劣化 通知
管理コンソール
メールでの通知
エージェントヘルス　未報告期間の閾値
インストール仕切れていない
24 時間報告していないエージェント
7 日以上 オフライン
リモートアシスタンス要求も アラートとして処理

30. IIS サービスのアラートから詳細な情報を表示
アラートの例 1
IIS サービスのアラートから詳細な情報を表示
console: execute? taskName=Microsoft. Windows.InternetInformationServices ServerRole. StartAdministrationService.Task & tasktarget={$TARGET$}

31. アラートの例 2

32. SCCM VNext の Desired Configuration Management (DCM) に基づいた構成
ポリシーと構成管理
次世代ポリシー基盤
SCCM VNext の Desired Configuration Management (DCM) に基づいた構成
自社に応じた構成が可能
Windows Intune エージェント設定
Windows Intune センター設定
Windows ファイアウォール設定
コンピューター グループにルールを適用
標準で、8 ～ 9.5 時間ごとにコンピューターで実行
8 ～ 22 時間ごと (推奨値 8 時間) にサーバーからダウンロード
重複した場合
GPO との重複は GPO 優先
グループ階層構造の一番下のレベルに関連したポリシー優先
順位がつかない場合「最終更新時刻」が最新のもの優先

33. ポリシー競合時の迂回策 OU の分離 セキュリティ グループ フィルタリング WMI フィルターの利用
Windows Intune ポリシー適用マシン
階層化されている場合、GPO 継承ブロック
セキュリティ グループ フィルタリング
GPO 適用の権限で制御
WMI フィルターの利用
ヘルプに サンプルあり
MOFCOMP コマンドで
情報埋め込み
情報を使って GPO をフィルター処理
Intune あり →　SCOPolicyEnable = 1
Intune なし →　SCOPolicyEnable = 0
WIT. mof
ファイル作成

34. WIT. mof と 関連処理 WIT.mof ファイル コマンド MOF ファイルをコンパイルし、WMI リポジトリに情報を追加する
#pragma autorecover
//Beginning of MOF file. #pragma classflags ( "forceupdate" ) #pragma namespace ( "\\\\. \\Root" ) instance of__Namespace {Name = "WindowsIntune" ;};
#pragma namespace ( "\\\\. \\Root\\WindowsIntune" )[Description ( "This class defines Windows Intune common properties" )] class SCO_ManagedNode {[read, Description ( "This defines whether Windows Intune Policy is enabled" ) : DisableOverride ToSubClass] boolean SCOPolicyEnabled; [read, key, Description ( "This property defines the version. " "Example: 1.0" ) : ToSubClass] string Version;};
instance of SCO_ManagedNode {Version = "1.0" ; SCOPolicyEnabled = 1;};
コマンド
C: /Windows/System32/Wbem/MFOCOMP <MOF ファイルのパス>\wit.mof
MOF ファイルをコンパイルし、WMI リポジトリに情報を追加する

35. GPO WMI フィルター設定
入力の画面

36. (Active Directory 非依存)
(大きな話) 新しいポリシー基盤
“Lantern”
ポリシー基盤 の乱立
共通ポリシー基盤の確立
(Active Directory 非依存)
SCCM Vnext DCM
GPO
SQL
New
Policy
Platform
Exchange
その他・・
New GPO?
SDM
SDM v2
SML
CML
Dynamic Systems Initiative の共通定義モデルの進化
SCOM の 管理パック

37. レポート
3 種類(現時点) 更新
ソフトウェア
ライセンス

38. 管理のページ ※ サービスステータス表示へのリンク 更新プログラム自動承認 アラートと通知機能 サービス共同管理者の追加
クライアント ソフトウェア ダウンロード
※ サービスステータス表示へのリンク

39. サービスステータスの確認

40. リモートアシスタンス Microsoft Easy Assist 双方の承諾による操作 画面リモート共有 制御の要求と委任 レコーディング
管理者がアラート確認
利用者がサポート要請
Microsoft Easy Assist
双方の承諾による操作
画面リモート共有
制御の要求と委任
レコーディング

41. (参考) クライアントから見た負荷
パフォーマンス モニターにて確認
目立つ値を選択しても 最大で約 2,697 Bytes

42. まとめ

43. 企業内の利用シナリオ Active Directory ダイレクト アクセス ブランチキャッシュ AppLocker
BitLocker ドライブ暗号化
BitLocker To Go

44. 最適な Windows 環境を利用 Windows 7 Enterprise と更なる付加価値を提供
BitLocker To Go
操作性と検索性の改良
モバイルでの高い生産性
処理速度と信頼性の向上
高いパフォーマンス
必要なバージョンへのダウングレード権
次期 Windows バージョンへの アップグレード
オプション (仮想化の推進など)

45. Windows Intune 10 のベネフィット
何ができるの？という問いに答えるための情報です。
どこにいても PC のセキュリティ対策と管理を実現
最上位の Windows 環境を利用可能
小さな投資で徹底したセキュリティ管理
マルウェアの脅威から PC を守り、PC を止めない
常に最新の状態の PC 利用環境
事前に問題を特定し、ビジネスを止めない
資産管理とライセンス管理を簡単に実現
複数企業のアカウントを１つの画面で管理
レポートにより管理状況が一目瞭然
信頼できるクラウド サービス

46. 9/3 の夕方にセミナー開催！ 「この人にも知らせなきゃ」と頭に 浮かんだ方に是非紹介してください。
18:00スタート
Tech Fielders セミナー 東京 ~ Windows 7 に興味がある企業様も必見 ~「Windows Intune に見る新しいクラウドの形]
「この人にも知らせなきゃ」と頭に 　　浮かんだ方に是非紹介してください。

47. Windows Azure Platform 無償 セミナー & ハンズオン トレーニング 定期開催決定！
Windows Azure Platform の最新情報から詳しい技術情報をお届けするセミナー、Visual Studio 2010 など最新の開発環境で Windows Azure Platform 上で稼働するアプリケーション開発を実践できるハンズオン トレーニング を定期開催いたします
開催日程 : 2010 年 10 月頃 開始予定
開催場所 : マイクロソフト株式会社 新宿本社 セミナールーム、大手町テクノロジーセンター 他 (予定)
詳細・お申込み
Windows Azure Platform Web サイト

48. 来週、もう一度そのポテンシャルを感じてください!
まとめ
クラウドの魅力
弾力性があり、 (Elastic)
無限のスケールを持ち、 (Infinite Scale)
すぐに使えて、無駄がない
クライアント管理もクラウドの時代へ!
Windows Intune ビデオ (英語)
来週、もう一度そのポテンシャルを感じてください!

49. Appendix

50. 関連セッション T7-301: インフラ管理者のための Windows XP から Windows 7 への移行手法
T2-304: App-V/MED-V で実現する最新デスクトップ環境の 　　　　　構築手法～クライアントサイドの仮想化技術～
T2-303: Microsoft VDI の実践 　　　　　　　　 ～ 構築方法のポイントと活用ノウハウ～
T2-301: ついに登場! RemoteFX で実現する強化された 　　　　　MS VDI のアーキテクチャ
T2-305: 何ができる? 　　　　　シトリックス & マイクロソフト VDI 徹底解説

51. リファレンス
Windows Intune ホーム (英語)
TechNet ライブラリ (日本語)
Windows Intune ヘルプサイト (日本語)
Windows Intune Team Blog (英語)
Windows Intune TechNet Techcenter (英語)
(en-us) .aspx
Windows Intune TechNet Forum (英語)

52. クラウドをコミックにしてみました テクノロジ コミック 立ち読みコーナー Windows PowerShell 版 もあります→
会議センター3F
カタログ コーナー横
テクノロジ コミック
立ち読みコーナー
にて配布中
Windows PowerShell 版
もあります→

53. ご清聴ありがとうございました。
T1-301
アンケートにご協力ください。

54. © 2010 Microsoft Corporation. All rights reserved
© 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.