Windows Intune で複数の PC を管理してみましょう

3月にリリースされたMicrosoftのWindows Intuneは、インターネット経由でPCをリモートから保護、監視、管理、サポートすることを可能にします。クラウドベースのPC管理システムとしては先駆的な存在であり、Microsoftの長年に渡るSystems Management Server（SMS）の簡素化された低価格版と言えるでしょう。

Intuneは、PC管理ツールをまだ導入していない小規模組織にとって非常に価値のあるツールです。また、大規模組織では、モバイルワーカーのラップトップ管理に活用できます。ITプロバイダーは、企業クライアントの管理に活用できます。

[Intune の仕組みについては、スライドショーをご覧ください]

この記事では、Windows Intune の主な機能と、サービスの利用開始方法について説明します。Intune の管理コンソールは Web ベースで Microsoft がホストしているため、サーバーをセットアップする必要はありません。オンラインコンソールを使用してクライアントコンピューターを一元管理し、このコンソールからコンピューターの統計情報を確認したり、設定を変更したり、ソフトウェアを展開したり、インターネット経由で世界中のどこからでもリモートアシスタンスを提供したりできます。

Intune には何が含まれていますか?

マイクロソフトはクラウドベースのサービスを1台あたり月額11ドルで提供しており、この料金には各PCのWindows 7 Enterprise（および将来のバージョン）への無料アップグレードが含まれています。マイクロソフトは、最大25台のクライアントPCを対象に30日間の無料トライアルを提供しています。トライアル終了後は、最小台数制限なしで最大20,000台のPCまでライセンスを購入できます。

Windows Intune は、9 つの主な機能と対象領域を提供します。

マルウェア対策： Intune Endpoint Protectionは、ウイルス、スパイウェア、その他のマルウェアからクライアントコンピューターを保護するために構築されています。MicrosoftのForefront Endpoint Protection (FEP)や、コンシューマー向けの無料サービスであるMicrosoft Security Essentialsに類似しています。ポリシーを介してクライアントにウイルス対策設定をプッシュしたり、リモートでスキャンを開始したり、ウイルス定義を更新したりできます。

Windows ファイアウォールのカスタマイズ:ポリシーを作成して、Windows ファイアウォールの主な設定をクライアントにプッシュすることもできます。

Intune では、コンピューターワークスペースにクライアントのハードウェアの詳細が表示されます。

リモートアシスタンス：この機能により、ユーザーはクライアントソフトウェア（Windows Intune Center）を介して管理者にリモートアシスタンスを依頼できます。アシスタンスを承認して開始すると、Microsoft Easy Assist がリモート接続を処理します。テキストチャット、ファイル転送、デスクトップとソフトウェアの共有をサポートします。

アラートと通知：管理コンソールにログインすると、クライアントに関連する問題に関するアラートを確認できます。また、アラートの種類ごとに、カスタマイズ可能な受信者にメール通知を送信することもできます。アラートは、クライアントの更新状況やセキュリティ状況に関するものだけではありません。クラッシュ、メモリ障害、ディスク破損、ブラウジングエラーといった、健全性やセキュリティに関する問題に関するアラートも表示されます。これらのアラートを利用することで、PCを監視し、問題が深刻化する前に認識することができます。

ソフトウェア配布： Microsoft やその他のサードパーティ製ソフトウェアプログラムを EXE、MSI、または MSP ファイル形式でクライアントにプッシュ配信できます。ただし、これらのプログラムは、ユーザーによる操作を必要とせずにサイレントインストールをサポートしている必要があります。インストールファイルは、無料で提供される Windows Azure オンラインストレージスペースにアップロードします。Intune は、クライアントへの展開時にそこからファイルをダウンロードします。サポート対象の OS や更新プログラムなど、クライアントの前提条件を指定することもできます。

Windows Update管理：この機能を使用すると、クライアントPCにインストールされているWindows、サービスパック、アプリケーションの更新プログラムを確認できます。また、更新プログラムのインストールを制限することもできます。

**エンドポイント保護ワークスペースには、マルウェアの統計情報が表示され、追加情報へのリンクが提供されます。**

インストールされているソフトウェア:インストールされているソフトウェアを表示するオプションでは、各クライアント上のソフトウェアのプログラム情報 (バージョン番号やベンダー名など) が表示されます。これは、ソフトウェアのインベントリを作成したり、ソフトウェアの問題をトラブルシューティングしたりするときに非常に便利です。

ハードウェア情報:システム、プロセッサ、BIOS、ディスク、ネットワークアダプター、ビデオコントローラー、モニター、プリンターの情報など、Intune で管理する各 PC のハードウェアの詳細を表示できます。

ソフトウェアライセンスの追跡:この機能を使用すると、Microsoft ボリュームライセンス、Microsoft リテールライセンス、Microsoft ソフトウェアの OEM (Original Equipment Manufacturer) ライセンス、およびサードパーティソフトウェアライセンスのソフトウェアタイトルの使用済みシートと使用可能シートを追跡できます。

Intune にクライアントが求めるもの

Intune を使用してリモートで管理するコンピューターまたはクライアントでは、Windows の次のいずれかのエディション (32 ビットまたは 64 ビット) が実行されている必要があります: Windows XP Professional、Service Pack 2 または SP 3、Windows Vista Enterprise、Ultimate、または Business エディション、または Windows 7 Enterprise、Ultimate、または Professional エディション。

ご登録いただいた各PCは、Windows 7 Enterprise（および将来のWindowsバージョン）への無料アップグレードの対象となりますが、そのPCでは既にWindowsのBusiness、Professional、Ultimate、またはEnterpriseエディションを実行している必要があります。必須ではありませんが、Enterpriseエディションは最高のエクスペリエンスを提供し、BitLocker暗号化などの追加のWindows機能もご利用いただけます。

クライアントコンピューターに既にウイルス対策ソフトウェアがインストールされている場合は、Intuneクライアントソフトウェアをインストールする前にアンインストールすることをお勧めします。既定では、Intuneはコンピューター上で別のウイルス対策プログラムが検出された場合、ウイルス対策としてIntune Endpoint Protectionをアクティブ化しません。ただし、Windows Intuneでポリシーを作成することで、Intune Endpoint Protectionの使用を強制できます。

クライアントソフトウェアの検出

エンドユーザーがデスクトップからIntuneセンターを開くと、Windows IntuneサービスとWindows Intune Endpoint Protectionの両方の状態が表示されます。ユーザーはテクニカルサポートのリモートアシスタンスをリクエストできます。リクエストすると、管理コンソールにアラートが表示され、（適切に設定されている場合は）選択した管理者にメール通知が送信されます。さらに、テクニカルサポートの連絡先情報も表示されます。

Windows Intune Endpoint Protection がインストールされている場合、エンドユーザーは PC のシステムトレイでそれが実行されていることを確認できます。

Windows Intune の構成

Windows Intune をセットアップするには、まず管理コンソールにログインします。ログインしたら、以下の主要な設定を構成します。

ユーザーグループの作成：特定のクライアントグループ（例えば、会社の部門別やセキュリティニーズ別にグループを編成するなど）に対して、異なるアップデート、ウイルス対策、またはファイアウォール設定を適用したい場合、ユーザーグループを作成すると便利です。グループを作成するには、「コンピューター」ワークスペースを開き、左側の「タスク」リストで「コンピューターグループの作成」をクリックします。エンドユーザーのマシンにクライアントソフトウェアがインストールされ、システムが管理コンソールに表示されたら、それらを適切なグループに追加できます。

ポリシーの作成：ポリシーを使用して、ウイルス対策ツール、Windows Intune センター、Windows ファイアウォールの設定を定義できます。展開対象として特定のユーザーグループを選択することもできます。ポリシーを作成するには、「ポリシー」ワークスペースを開き、左側のタスクリストで「新しいポリシーの作成」をクリックします。

更新設定の構成：クライアントで利用可能なすべての更新プログラムを手動で承認する必要がないように、Intune の更新設定を構成して、カテゴリ（ソフトウェアタイトルなど）または分類（重要、セキュリティ、サービスパックなど）に基づいて更新プログラムを自動的に承認することができます。更新設定を構成するには、「管理」ワークスペースを開き、「更新プログラム」ページを選択します。

アラートと通知の設定：アクティブにしておくアラートを選択したり、通知先のメールアドレスを入力したり、各アラートタイプを受信するメールアドレスを指定したりできます。これらの設定を行うには、「管理」ワークスペースを開き、「アラートと通知」を選択します。

各クライアントにインストールされる Windows Intune センター。

管理者の追加： Windows Intune の管理を支援する IT スタッフが複数いる場合は、Windows Live ID を入力して管理者権限を付与できます。これを行うには、「管理」ワークスペースを開き、「管理者管理」ページを選択して、該当する管理者の種類を選択します。

クライアントの追加

クライアントをオンラインにする準備ができたら、「管理」ワークスペースを開きます。「クライアントソフトウェアのダウンロード」をクリックし、「クライアントソフトウェアのダウンロード」リンクをクリックします。ソフトウェアは手動で配布・インストールできますが、クライアントコンピューターがActive DirectoryまたはSystem Center Configuration Managerに参加している場合は、プロセスを自動化することもできます。手動で設定する必要がある場合でも、アカウントの詳細や設定を入力する必要はなく、インストールは簡単です。エンドユーザーでも問題なく実行できるでしょう。

Intune がクライアントソフトウェアをインストールした後、ソフトウェアがその他の必要なプログラムやエージェントをダウンロードしてインストールし、管理コンソールにレポートを開始するまでに最大 30 分かかることがあります。

異なるユーザーグループを定義した場合は、管理コンソールにクライアントが表示されたら、クライアントを適切なグループに割り当てる必要があります。

管理コンソールのツアー

システム概要ワークスペースでは、クライアントのステータスとアラートを簡単に確認できます。

Windows Intune の管理コンソールに初めてログインすると、「システムの概要」ワークスペースが表示されます。このワークスペースには、クライアント PC の正常性と状態が表示されます。このワークスペースでは、最近のマルウェア感染や承認が必要な Windows Update に関する通知が表示される場合があります。

Intunes の「コンピューター」ワークスペースでは、まず同様の正常性とステータス情報が表示されます。しかし、ここでは特定のクライアント PC のステータス、インストール済みソフトウェア、更新プログラムの詳細を確認できるほか、検出されたマルウェアやハードウェアの詳細も確認できます。また、リストされている PC を右クリックすると、ウイルススキャンの実行、ウイルス定義の更新、PC の再起動などのリモートタスクを実行できます。

更新ワークスペースでは、利用可能な Windows 更新プログラムを閲覧し、その説明と詳細を表示し、クライアントのインストールを承認または拒否することができます。

マルウェア対策に関するアラートは、「エンドポイント保護」ワークスペースに表示されます。「アラート」ワークスペースでは、アラートをカテゴリ別に閲覧したり、詳細を確認したり、対処後に閉じたりすることができます。

ソフトウェアワークスペースでは、クライアントPCにインストールされているすべてのプログラムを確認できます。また、リモートインストールやサイレントインストールするプログラムをアップロードして管理することもできます。ライセンスワークスペースでは、Microsoftおよびサードパーティのタイトルのライセンス情報をアップロードできます。また、インストール数や購入したタイトルのライセンス数などの統計情報も表示されます。

クライアントの承認が必要な新しい更新を表示します。

ポリシーワークスペースは、クライアントPCのウイルス対策、ファイアウォール、その他の設定を管理するためのポリシーを作成できる、Intuneの強力なコンポーネントです。ウイルス対策とファイアウォールの設定値を指定したり、エンドユーザーに設定を選択させたり、その他の方法で設定させたりすることができます。

レポートワークスペースでは、選択した条件に基づいて、更新プログラム、ソフトウェア、ハードウェア、ライセンス情報に関するレポートを生成できます。

管理ワークスペースでは、Windows Intune でライセンス認証した PC の数と、残りの利用可能なシート数を確認できます。また、更新とアラートおよび通知の設定を構成したり、追加の Windows Intune 管理者を管理したりすることもできます。

継続的なメンテナンスを実行する

Windows Intune を構成してクライアントを追加したら、管理コンソールに定期的にログインして各クライアントの状態を確認し、アラートに対処する必要があります。一部のアラートは、根本的な問題を解決すると（たとえば更新プログラムの承認やインストールなど）、自動的に消えますが、手動で削除する必要があるアラートもあります。ほとんどのアラートは、アラートを開いて「このアラートを閉じる」をクリックすることで削除できます。または、「アラート」ワークスペースでアラートを選択し、「アラートを閉じる」をクリックすることもできます。

Windows Intune サービスからクライアントを削除する場合は、「コンピューター」ワークスペースでクライアントに移動し、左側のタスクリストで「削除」をクリックします。この操作により、管理コンソールからクライアントが削除され、アカウントに別のクライアント用のスペースが確保されます。ただし、クライアントソフトウェアは削除されず、基本的にそのまま残ります。削除されたクライアントは、それぞれの Windows Update 設定に従って、アクティブなエンドポイント保護と Windows 更新プログラムを引き続き受け取ります。エンドユーザーはクライアントソフトウェアを手動で削除することも、Windows Intune のドキュメントに記載されているスクリプトを使用してプロセスを自動化することもできます。

Eric Geierはフリーランスの技術ライターです。Twitterで彼の記事をフォローして、最新情報を入手してください。また、企業のWi-Fiネットワークをエンタープライズ（802.1X）セキュリティで保護するNoWiresSecurityの創設者でもあります。