Поделиться через


Part 6. Windows 10 導入時に考え方・やり方を変えるべきポイント – インフラ編

ここまで Windows 10 導入におけるアプリ互換性検証の話題を扱ってきましたが、一方で、IT インフラに関しても管理方法の見直しが重要になります。現在の日本の大企業では IT インフラ管理に関する「人手での作業」が非常に多く行われていますが、昨今のクラウド化の流れや IT 自動化の流れを踏まえると、こうした「人手での作業」は限界を迎えつつあります。このため、Windows 10 導入に併せて『負の遺産』を清算し、IT インフラの近代化を進めることをぜひ検討してみてください。

見直すべきポイントはいろいろあると思いますが、ここでは特に以下の 3 つのトピックについて取り上げてみたいと思います。 image

[1. セキュリティ]

日本におけるセキュリティ対策の考え方は、どちらかというと「コスト度外視で究極の安全性を追及する」傾向があり、結果的に現場の社員ががんじがらめのやりすぎルールに縛られて苦しんでいるというケースが多いです。ひどいケースになると、セキュリティ関連のルールの抜け道を一生懸命探して仕事を効率化する、なんていうこともありますが、これでは本末転倒です。社員の生産性を高めつつも近代的なセキュリティの脅威に対応していくためには、以下のようなことを考えていく必要があります。

  • 安全性と利便性の両方を取る
    • 安全性を高めようとして制限を増やしすぎると、社員の生産性が低下してしまう
    • 安全性と利便性のバランス(=効用)を考えて、適切な落としどころを考える必要がある
  • 「ルール」を増やさず「技術」を活用する
    • 覚えられない & 守れないルールを作るのではなく、「技術」で安全性を高める

技術的に見た場合には、主に以下の 3 つのカテゴリに分けて考えるとよいと思います。Azure RMS など一部 Windows 10 の新機能ではないものもありますが、既存環境でまだ使われていない場合には、この機会に導入を検討してみてください。 image

なお、これらのセキュリティ機能はすべてを使うということもないでしょうし、また特定端末に対してのみ使う(例えば AD を操作するマシンはセキュアにする必要があるのでそこだけ特に堅牢にする、など)こともあると思います。ただ気を付けておくべき点として、デバイス, OS(アーキテクチャ), ブートシステムなどの選択に影響が出るセキュリティ機能もあります。例えば Windows Hello は生体認証に対応したカメラなどが必要になりますし、Credential Guard や Device Guard であれば、ハードウェアの対応だけでなく UEFI ブートや x64 OS なども必要になります。このように、Windows 10 導入直後には採用しないものの、いずれ採用したいというセキュリティ機能がある場合には、その制約を確認しておくようにしてください。

[2. マスタイメージ管理]

日本の大企業では、Excel による設定パラメータ値の管理と、Word による各種の作業手順書の作成が、今でもかなり行われています。もちろんこれらのやり方は、特に IT スキルのないお客様にぱっと見せて理解してもらう、といった観点で一定の有効性はありますが、その一方で、こうしたシートや手順書の管理が IT 保守コストの増大を招いている側面もあります。できれば以下のような見直しを行って、保守コストの低減を目指した方がよいです。(ちなみにパラメータシートによる管理は日本特有の文化らしいです。まあわかる気がする……;)

  • ① パラメータシートによる設定値の一覧管理
    • 増え続けるパラメータを管理し続けること自体に無理がある
    • 「実態」を実物管理し、そこに機能差分を調べて「追加していく」アプローチを採用する
  • ② 手作業でのクライアント端末マスタイメージの作成・保守作業
    • 端末種類が増えるとイメージ管理作業が膨大になるため、タスクシーケンスを作成する
    • さらに SCCM を使えば、キッティング作業も大幅に簡素化される

image

[3. FU/SU 配信制御]

Windows 10 の導入とは、最新化され続ける IT インフラへの移行であり、そのためには FU/SU をオンラインで配布し続けられる環境を整えることが重要です。しかし、ネットワークを使って OS を更新する、という仕組みはまだまだ日本の大企業では馴染みが薄い(現在は端末入れ替えに併せて OS を更新するのが一般的)ため、FU/SU の配信制御方式について検討しておく必要があります。中でも特に重要なのは以下の 2 点です。

  • ① リング配信制御
    • アプリ非互換の見逃しリスク低減のため、FU/SU の段階展開が必要になる
    • 拠点のような単位ではなく、部門内・拠点内での端末単位の段階展開が必要であることに注意する
  • ② 分散拠点への FU/SU 配信
    • FU は 3~4GB(半年ごと)程度、SU は(累積パッチであるため)最大 1GB 程度(月次)
    • このため、細い WAN 回線を利用している分散拠点については、配信方法の検討が必要

image

①については特に注意が必要なので気をつけてほしいのですが、FU/SU を先行配信するのはアーリアダプタユーザ、すなわち 『特定のユーザ』に対してです。例えば②の図において、各拠点単位に順次 FU/SU を配信していくのではなく、各拠点の中の特定端末から順次配信していく、という形が求められます。また逆に、デバイスドライバの不具合などでアップグレードを抑止しなければならないようなケースでは、特定のハードウェアを使っているユーザに対しては配信を一時的に差し止める、という動きをさせなければなりません。

FU/SU の代表的な配信方法は主に以下の 3 通り(+メディア配布)です。

配信方法 リング制御 分散配布 P2P オプション 備考
SCCM ◎ 柔軟に可能 ◎ 配布ポイント ◎ BranchCache •SCCM のバージョンアップが必要 •SCCM は端末管理やマスタ管理にも活用可能
WSUS △ 可能だが面倒 ◎ 子サーバ ◎ BranchCache◎ DO (RS1 以降) •差分配布(高速インストールファイル)をサポート •O365 ProPlus の配信ができない
WU × 細かい制御は困難 × なし ◎ DO (WUDO)
メディア (手作業での配布) (手作業での配布) (手作業での配布)

※ 略称は以下の通りです。製品などの概要は Web サイトに情報が多々ありますので、検索してみてください。

  • SCCM : System Center Configuration Manager
  • WSUS : Windows Server Update Services
  • DO : Delivery Optimization
  • WU : Windows Update
  • WUDO : Windows Update Delivery Optimization

お客様の環境に応じたケースバイケースの検討が必要なため、一概にどれを選べばよいとは言えないのですが、まずは以下のような指針で考え始めてみるとよいと思います。

  • ① リング配信制御
    • 『特定のユーザ』や『特定の端末』への段階展開が必要だが、この制御は SCCM が最も柔軟にできる
    • SCCM はマスタイメージの作成や端末管理などでも活用できるため、SCCM が導入されている場合には、これが第一選択となる
    • SCCM が導入されておらず、かつ導入予定がなければ、WSUS, WU のどちらかを選ぶ(が、制限があったりリング配信制御が大変だったりするので要注意)
  • ② 分散拠点への FU/SU 配信
    • WAN 帯域が細い場合、分散拠点側に配布ポイントや子サーバを配置する方法が考えられるが、分散拠点側でこうしたサーバマシンを運用できないケースもある
    • このような場合には、P2P オプションを使う
    • WAN 帯域が極端に細い場合には、最後はメディア配布でカバーする

実際のところ、どの配信方式が最適なのかは机上検討だけでは決めきれない部分があります(特に帯域については机上検討だけでは困難)。このため、ある程度は「やってみて考える」という部分が出てくるかと思います。また、回線コストも下がっている傾向はありますので、中長期的には WAN 回線の増強なども視野に入れて検討を進めていただければと思います。

[継続的な情報入手について]

さて、Windows 10 の WaaS では、機能追加は例えばスタートメニューや設定画面、Cortana などの OS そのものに入ってきます。ということは、IT インフラ管理者は、Windows 10 WaaS で提供される新しい機能をどのように活用するのかを積極的に考えていく必要がある、ということになります。この検討に関しては、レガシー業務アプリの互換性検証に利用する変更点一覧情報のような細かいリストを元に考えるよりも、まず「セキュリティ」や「管理機能」などの大きな粒度で確認していった方がやりやすいと思います。この目的のためには、Windows for Business サイトを活用すると便利です。 image

この 2 つのマイクロソフト公式サイトは、「大きな粒度での」機能追加・変更を把握するのに便利です。まずはこちらで概要を把握し、その後、新機能を詳細検討し、グループポリシーやマスタイメージへの組み込みなどを進めていくとよいでしょう。