マイクロソフトの IT コンシューマライゼーション 全体像 3
前回までの投稿は以下の通りです。
3.2 どこからでも接続 ~ 個人のデバイスから社内に接続する①
個人デバイスとしては、通常のノートPC、そしてタブレット、スマートフォンが挙げられますが、ここではノートPCとタブレットを軸にお話ししたいと思います。
BYOD(Bring Your Own Device)という言葉がはやっているように、個人のデバイスを業務で使用したいという要望が大きいことはご認識の通りです。PC の買い替えのスピードは企業よりも個人のほうが早く、個人のほうが社内支給デバイスよりも高性能のデバイスを使用しています。このことは業務遂行のストレスとなり、生産性の低下を招きかねません。
個人デバイスを業務で使用する場合、もっとも心配なのはセキュリティです。個人デバイスは社内支給のデバイスと異なりセキュリティポリシーが適用しづらい難点があります。そのため、多くの企業では個人デバイスの業務利用を禁止せざるをえない状況だと思われます。また、個人デバイスに保存された情報の流出も心配です。
では、個人デバイスを使用して、安全に業務を遂行させるためのインフラは存在するのでしょうか?
はい、存在します。
以下は個人のデバイスを社外から使用することを想定したイメージですが、これは、社内からであっても基本的な考え方は変わりません。
個人のデバイスを使用させる場合に問題となるのは以下の事項です。
- どうやって社内リソースにアクセスさせるか
- どうやって個人デバイスのセキュリティに依存しない環境を提供するか
- どうやって社内で使用しているアプリケーションと同じアプリケーションを使わせるか
そして、すこし欲張りな要望として以下が挙げられるでしょう。
- どうやって社内の個人環境を復元するか
これまで、多くのIT部門が上記に頭を悩ませ、さまざまなルールを作ってきたはずです。中には破綻してしまったルールも少なくないと思います。
これらのニーズを一気に満たすことができるソリューションが VDI(Virtual Desktop Infrastructure)です。
VDI ソリューションは各社からリリースされており、いずれを選択するかは現在導入されているインフラストラクチャーとの相性によるでしょう。マイクロソフトが提供する VDI のメリットを最大限に生かすのであれば、Active Directory によるユーザーIDおよびコンピューターの集中管理が必須です。
VDI ソリューションを使用すると、以下に示すような運用が実現できます。つまり、社内に用意したクライアントOSに、リモートから入り込んで使用することができます。
すでにご想像通り、リモートから社内に入り込む際に使用するのは、リモートデスクトッププロトコル(RDP)です。リモートデスクトップによる接続を有効にしたクライアント OS を社内に用意しておき、社外の PC から RDP クライアントを使用して入り込みます。Windows Server とは異なり、Windows XP や Windows 7 のようなクライアント OS の場合、同時に接続できる リモートデスクトップセッションは 1 つなので、一度に外部から利用するユーザーの数だけクライアントOSを用意しておく必要があります。
リモートデスクトップを使用するメリットは、「セッションの分離」が実現できることです。ユーザーが使用しているクライアントからリモートデスクトップを使用して社内の PC に接続したとしても、両者には明確なセッション境界が存在し、お互いに影響を及ぼしあうことができません。極端な話、利用者の PC が数百のウィルスに感染していたとしても、境界線を越えてリモートデスクトップセッションに入り込むことはできません(もちろん、そのためにはリダイレクト機能を無効にしたり、ネットワーク的な接続経路を遮断しておく必要があります)。
リモートデスクトップセッション内で使用している社内データは、背後から除かれる心配はあるにせよ、そのデータがセッションを超えて社外に流出したり、PC に感染しているウィルスに影響を及ぼされる心配もありません。
さらに、データ自体は社内にあるので、万が一 PC を紛失してしまってもデータも同時に紛失してしまう...ということもありません。
さて、ここで多くの方が、以下の一文に何か気持ち悪いものを感じているでしょう。
「一度に外部から利用するユーザーの数だけクライアントOSを用意しておく必要があります。 」
安心してください。クライアントOSを用意するとは書きましたが、「PCを用意する」とは書いていません。
以下はマイクロソフトの VDI ソリューションの模式図です。
上の図にあるように、ポイントは5つです。
- クライアント OS の仮想化
- アプリケーションの仮想化
- ユーザーステータスの仮想化
- コネクションブローカー
- 運用管理
■ クライアントOSの仮想化
不特定多数のユーザーが利用するクライアントを物理的に用意する必要はありません。クライアント OS は、Windows Server Hyper-V 上に集約してしまえばよいのです。ユーザーの PC から見て、クライアントOSが仮想化されているかどうかは問題になりません。OS のインストールも通常通り Windows 7 メディアを使用できるので、Hyper-V さえセットアップできれば特に難しいことはありません。
ただし、クライアント OS を仮想化し VDI 環境を提供しようとすると、新たな課題も見えてきます。それらを以下に挙げてみます。
仮想化されたクライアントの UX
• 色の再現は(減色されたりしないか)?
• 解像度は?
• 音声や動画の再生は可能か?
• USB デバイスなどを使用できるか?
• 印刷は可能か?
個人環境の保存や復元は?
クライアントの集約率
• クライアントごとのメモリ確保
• 仮想クライアントを保存するサーバーのディスクスペース
仮想クライアント OS の管理
• 利用者が増減にどう対応できるのか?
• 無駄な電力を使わないか?
• 資産管理やサポートはどうするか?これらの問題を解消するため、以下のようなテクノロジーや製品が提供されています。
- RDP 7.1
最新のリモートデスクトッププロトコル。
仮想デスクトップ上での Aero を使用した高品質な表示やデバイスのリダイレクト機能などにより、よりローカル PC に近い環境を再現できるようになった。- RemoteFX
サーバーに実装されたGPUを使用して3Dグラフィックスのデコードが可能
RDP7.1 標準で対応していない USB デバイスを仮想デスクトップにリダイレクト- Dynamic Memory
Hyper-V 上の仮想OSに割り当てるメモリ量を動的に変更できる。初期設定で1024GBと設定されていても、未使用であれば徐々に使用量が減り、たのアクティブな仮想OSに再割り当てされる。- Pooled Virtual Desktop
例えば100人が仮想 OS を利用するとして、100 の仮想クライアントを準備しても、これらが常に使用されるとは限りません。利用率が30%であれば、30台だけ用意しておき、空いているところに自動的に接続するようにできればハードディスクやメモリ、CPUの使用効率を抑えることができます。Pooled Virtual Desktop はそのような機能を提供します。 また、仮想クライアントを停止しておいても、アクセス要求に応じて起動する...と言った設定も可能なので、"微々たるものではありますが"未使用時の電力量を節約することもできます。- System Cetner シリーズおよび Windows Intune
30 の仮想クライアントを準備するには、Widnows 7 Enterprise のインストールを 30 回繰り返す必要があります。あたりまえです。でも、そんなこと受け入れられますか?受け入れられません。そこで登場するのが System Center Virtual Machine Manager です。事前にクライアントOSのテンプレートを作成しておき、必要に応じて仮想マシンを増やしたり、減らしたりすることができます。なんなら、ユーザーからの要求に応じて即時作成したり...と言ったことも可能です。その他の System Center 製品を使用すると、ホストやゲストのパフォーマンスを監視して、別の Hyper-V サーバーにダイナミックにマイグレーションしたり、といったことも可能です。VDI は「幽体化した PC 教室」 であると言えます。文教担当のSEさんならばご存知の通り、PC 教室のメンテナンスって結構大変です。それが仮想化されて「ブツ」が見えないとなると、いままでの管理の常識が通用しない場面が多くなります。それをカバーするための運用管理製品も、とても重要なのです。
長くなってしまったのでこのへんで。
次回は、3.2 どこからでも接続 ~ 個人のデバイスから社内に接続する② をお送りします