企業における "持ち込み" PC の管理 (WOA を視野に入れて)

Building Windows 8

Windows エンジニアリング チームによるブログ

企業における "持ち込み" PC の管理 (WOA を視野に入れて)

  • Comments 1

ユーザーが自分のハードウェアを職場に持参するケースが一般的になるにつれ、IT プロフェッショナルにとっても、クライアントの "持ち込み" (BYO: Bring Your Own) PC を不安なくサポートすることは、重要な関心事となってきています。デバイスの "持ち込み" が一般化しても、IT プロフェッショナルにとって、ネットワーク資産の管理、セキュリティ保護、アカウンタビリティ確保などが重要である点は変わりません。また、書面でポリシーを掲げても限界があることは皆さんもご承知のとおりです。

今回の記事では、このような "IT のコンシューマー化" を念頭に設計されたデバイスである WOA PC の管理を主に扱います。x86/64 アーキテクチャの PC では、フォーム ファクターを問わず、さまざまな管理ツールをフルに活用することができます。特に、システム上で実行されるサード パーティのコードを活用できる点が重要です。これに対して WOA PC では、Windows ストアや WinRT ベースのアプリケーションをとおしてでなければサードパーティのコードを使用できません。このため私たちは、"持ち込み" や社内配備による WOA PC に対応した、業界をリードする管理機能の開発を目指しました。この記事は、Management Systems (管理システム) チームのプログラム マネージャー リードである Jeffrey Sutherland が執筆しました。

--Steven


IT 業界における近年の大きなトレンドの 1 つとして、"IT のコンシューマー化" が挙げられます。これは、携帯電話から PC までさまざまな分野のコンシューマー向け技術が、あらゆる形態や方法でビジネス組織へと流入しているようすを指す言葉です。また組織のデバイスではなく、従業員が所有し、管理するデバイスが仕事場で使用されるケースが増えてきています。この傾向はスマートフォン デバイスのカテゴリで最も顕著ですが、最近では、タブレットやその他の PC フォーム ファクターのデバイスも、職場に持ち込まれることが多くなってきています。組織の側でもコンシューマー化の受け入れが進んでくるにつれ、IT 担当者は、ユーザーの個人所有デバイスをどの程度管理下に置くことができるか、そしてどの程度管理すれば "十分" と言えるのかといったことを検討する必要に迫られています。こういった点は、私たちが Windows 8 を開発するうえでも重視していた点であり、ARM プロセッサ アーキテクチャ向けの Windows 開発においては特に重要な考慮事項でした。焦点となったのは、個人デバイスにおけるユーザーのプライバシーを犠牲にすることなく、IT 担当者がデバイスの安全性を保証するために十分なだけの管理性を確保しながら、デバイスを問わないデータへのアクセスやアプリケーション使用など、ユーザーが求める機能を備えた PC やソフトウェアを、いかにして実現するかという点でした。

Windows on ARM (WOA) について紹介した以前の記事で Steven が触れたとおり、Windows のエクスペリエンスの大部分は ARM でも x86/64 でも同様であり、両製品の間では相当な量のコードが共有されています。よって、この記事では主に WOA についてお話しするものの、紹介する機能の多くは、x86/64 アーキテクチャでも同様です。また、この記事で紹介するのは、IT 担当者が使用する総合的な管理用インフラストラクチャや管理ツールではなく、PC そのものに備わっている機能です。さらに、ネットワークの基本部分からドライブの暗号化に至るまで、Windows に組み込まれたさまざまなセキュリティ機能は、WOA デバイスでも変わらずご利用いただけます。

基幹業務アプリケーションと WOA 管理クライアント

電子メール アプリから、独立ソフトウェア ベンダーのライセンス ソフトウェアや、IT 部門が開発した自社アプリまで、さまざまなビジネス アプリにアクセスすることは、企業で "コンシューマー向け" デバイスを使用する際の主要な使用ケースの 1 つです。今後のアプリ開発では、WOA を含め、あらゆる Windows 8 システムで動作するエレガントなアプリを簡単かつ便利に作成できる、Metro スタイル アプリが大いに活躍することでしょう。基幹業務 (LOB: Line of Business) アプリの開発も例外ではありません。しかし、社内で使用する LOB アプリについては、インストール用のバイナリ配布を含め、アプリへのアクセスを直接管理したいと考える組織も多いことでしょう。こういった場合、その企業にとっては、LOB アプリを Windows ストアで一般向けに公開しても意味がありません。社員以外のユーザーにそれらのアプリを宣伝する必要もなく、アプリケーションの配布を Windows ストアのプロセスをとおして管理することにもメリットがないためです。また、これらのリソースへのアクセスやデータの公開を行う場合、利用するシステムがセキュリティやデータ保護の観点で規定のラインをクリアしていることを、IT 部門に対して保証しなければなりません。

企業は、x86/64 マシン上のアプリについては、System Center Configuration Manager や Windows Intune などの管理製品をはじめ、さまざまなツールや手法を使って長年管理してきた経験を持っています。x86/64 における Metro スタイルの LOB アプリ管理では、こういった既存のツールや手法を活用することができ、Windows ストア以外のソースから入手したアプリを信頼するようクライアントを構成するだけで対応が可能です。x86/64 における Metro スタイル アプリの追加と削除に関する基本的な機能について、詳しくは、「アプリの追加と削除」(機械翻訳版) をご覧ください。その一方で私たちは、WOA の開発という機会を活かし、PC の使用期間をとおして一貫性があり信頼できるエンド ツー エンドのエクスペリエンスを確保しつつ、IT 部門のニーズに合った方法で LOB アプリをユーザーに配布する方法を検討しました。

WOA では、クラウド上の管理インフラストラクチャと通信を行って LOB アプリをユーザーに提供することができる、新しい管理クライアントが統合されています。この管理インフラストラクチャの詳細については、System Center ブログ (英語) で後日ご紹介する予定ですので、この記事では WOA の管理クライアントそのものが備えるメリットや機能に絞ってお話ししたいと思います。

WOA 管理クライアントは 2 つの部分から成ります。"エージェント" と呼ばれる組み込みのシステム コンポーネントと、"セルフ サービス ポータル (SSP)" と呼ばれる、提供された LOB アプリの閲覧とインストールにユーザーが使用する Metro スタイル アプリです。どちらも、ユーザー エクスペリエンス、電源管理/バッテリ寿命、従量制ネットワークでの接続効率、全体的な機能性において優れた設計を持つ Windows 8 アプリです。

クライアント上で作業の多くを実際に請け負うのは、"エージェント" 部分です。エージェントは、組織の管理インフラストラクチャと通信できるようクライアントを構成し、管理インフラストラクチャと定期的に同期して、更新された LOB アプリがないか確認したり、IT 部門がデバイスに対して構成した最新の設定ポリシーを適用したりするほか、ユーザーがインストールを希望した LOB アプリの実際のダウンロードとインストールを行います。また、ユーザーまたは管理者がデバイスを管理インフラストラクチャから削除した場合は、エージェント自身の構成をクリアすると共に、ユーザーが SSP からインストールしたすべての LOB アプリを無効化します。

管理インフラストラクチャへの接続

いくつかの要素について詳しく見ていきましょう。まずは、クライアントと管理インフラストラクチャとの接続です。実際にはこのステップは、サービスに対してデバイスを接続する権限を持つ、Active Directory ドメイン ユーザーのグループを、IT 管理者が指定するところから始まります。管理者はこのとき、1 人のユーザーが接続できるデバイス数の上限も指定することができます。許可されたユーザーが実際にデバイスを接続する手順は簡単です。ユーザーは WOA デバイスを使用し、コントロール パネルに追加されたアプレットから、会社の電子メール アドレスとパスワードを入力します。Exchange の電子メール アカウントをセットアップする場合と同様です。入力された電子メール アドレスに基づき、エージェントがサービスのルックアップを行い、組織の管理インフラストラクチャを検出します。


コントロール パネルのシステム ウィンドウの上に、会社のアプリやリソースにアクセスするための資格情報を入力するダイアログがオーバーレイ表示されているようす
会社の電子メール アドレスとパスワードを入力するだけで管理インフラストラクチャに接続できる

アドレスが見つかると、エージェントは SSL サーバー認証によって管理インフラストラクチャとのセキュアな接続を確立し、ユーザーの認証を行います。ユーザーの認証が成功し、管理者がデバイスの接続を許可すると、接続を開始したユーザーに対して、サービスによってユーザー証明書が発行されます。この証明書と共に組織のルート証明書とエージェント向けの指示が返送され、受け取ったエージェントは、指示に従って管理インフラストラクチャと進行中の通信を構成します。これらの処理はすべて数秒のうちに行われ、通常はユーザーがそれ以上介入する必要はありません。処理が完了すると、エージェントが背景で接続を完了させている間、ユーザーは SSP のインストールへ誘導されます。

コントロール パネルのシステム ウィンドウの上に、接続ダイアログがオーバーレイ表示されているようす

コントロール パネルのシステム ウィンドウの上に、ユーザーが会社のネットワークに接続されていることを示すダイアログがオーバーレイ表示されているようす

接続の実施

次にエージェントは、ユーザー証明書を認証に使用して、自動的に管理インフラストラクチャとのセッションを開始します。このセッションでも、その後のセッションでも、SSL 相互認証によって接続のセキュリティが確保されます。この初期セッションでは、製造元やモデル、OS のバージョン、デバイスの性能、その他のハードウェア情報など、デバイスの基本的な情報がサービスに送られ、デバイスの登録が行われます。これによって、ユーザーが組織に接続しているデバイスの種類を IT 管理者がモニタリングすることができるため、ユーザーに提供するアプリやサービスを調整していくことができます。

初期セッションに続いて、次の 2 種類の状況では、エージェントが管理インフラストラクチャとの通信を開始します。

  • 1) ユーザーがクライアントから指定したタイミングで毎日実施される、メンテナンス タスクとして。こういったメンテナンス セッションで行われるのは、ハードウェア情報更新の管理インフラストラクチャへの報告、デバイスの設定ポリシー変更の適用、管理インフラストラクチャへのポリシー準拠状況の報告、LOB アプリへの更新プログラム適用、SSP から開始された LOB アプリのインストールで失敗しているものがある場合はその再試行などです。
  • 2) ユーザーが SSP からアプリのインストールを開始した場合。ユーザーが開始するこのタイプのセッションでは、アプリのインストールだけが行われ、1) にあるような、メンテナンスや管理のための処理は行われません。

スケジュール設定されたメンテナンス タスクとして開始されたセッションの場合も、ユーザーが手動で開始したセッションの場合も、WOA 管理クライアントはデバイスのバッテリの状態やネットワーク接続の状態に応じて、適切な動作を保ちます。

設定ポリシーの管理

既に触れたように、LOB アプリへのアクセスでは、通常、システムが基本的なセキュリティ/データ保護ポリシーに準拠している必要があります。管理インフラストラクチャをとおして、IT 管理者はポリシーのセットを構成することができます。これらのポリシーは、ユーザーがデバイスを使用する際のエクスペリエンスに深刻な影響を与えることなく、IT 部門が必要とする管理性を確保するために、最も重要と思われる点をカバーしたものです。これには次のようなものが含まれます。

  • "Allow Convenience Logon" (簡易ログオンの許可)
  • "Maximum Failed Password Attempts" (パスワード入力失敗回数の上限)
  • "Maximum Inactivity Time Lock" (非アクティブ時の自動ロック適用までの制限時間)
  • "Minimum Device Password Complex Characters" (デバイスのパスワードに含まれる複雑な文字の数の最小値)
  • "Minimum Password Length" (パスワードの長さの最小値)
  • "Password Enabled" (パスワード有効)
  • "Password Expiration" (パスワードの有効期限)
  • "Password History" (パスワード履歴)

新しい WOA 管理クライアントで、同時に接続できる管理インフラストラクチャは 1 つだけですが、Windows 8 リリースまでに、他にもポリシー ソースを追加する可能性もあるため、ポリシー システムはこれに対応した設計となっています。1 つの Windows 8 デバイスに対して複数のポリシーが存在する場合は、ポリシーはマージされ、各ポリシーについて最も厳しい構成が選択されます。このポリシーが、その Windows 8 デバイスのすべての管理ユーザーと、Exchange アカウントが構成されているすべての標準ユーザーに適用されます。Exchange アカウントを持たない標準ユーザーはこのポリシーによる制約を受けませんが、Windows 8 では、こういったユーザーはもともと他のユーザーのプロファイルのデータや特権的な場所のデータにアクセスできないため、企業のデータは自動的に保護されます。

上記の構成可能なポリシーに加え、ユーザーに操作を求めることなく WOA デバイスを企業のネットワークに簡単に接続できるよう、エージェントに VPN プロファイルを自動構成させることができます。このほか、エージェントは、次の点について WOA デバイスをモニタリングし、準拠状況を報告することができます。

  • ドライブ暗号化の状態
  • 自動更新の状態
  • ウイルス対策の状態
  • スパイウェア対策の状態

準拠状況についてのこれらの情報を活用することで、IT 管理者は、デバイスにリスクが発生していると認識された場合に、会社のリソースへのアクセスを効果的にコントロールすることができます。この場合も、デバイスでの基本的なユーザー エクスペリエンスは維持され、個人的なプライバシーも確保されます。

先に進む前に、上で挙げたポリシーのいくつかについて、実際の使用時に Windows 8 のシステムに対してどのような影響があるか考えてみましょう。まず、"Allow Convenience Logon" (簡易ログオンの許可) について見てみましょう。Windows 8 では、生体認証ログインやピクチャ パスワード機能などの簡易ログオンが可能です。これらの機能は、Windows 8 デバイスで高度なセキュリティを実現すると共に、ユーザーにとっても IT 担当者にとっても最も頭の痛い、パスワード忘れという問題を解決します。しかし、組織によっては、こういった代替的なログオン手法の受け入れには時間がかかる可能性があります。このため、"Allow Convenience Logon" (簡易ログオンの許可) オプションによって、IT 担当者がこれらの機能をいつ有効にするかを管理できるようになっています。

次に、ドライブの暗号化と "Maximum Failed Password Attempts" (パスワード入力失敗回数の上限) の連携について見てみましょう。スマートフォンを子供にいじらせていたら、間違ったパスワードを何度も入力されてしまい、デバイスのデータが消去されてしまったというケースを耳にすることがあります。Windows 8 デバイスの場合、さいわいなことに、そこまでの事態に至ることはありません。Windows 8 では、購入直後の段階でも、強力なデータ保護機能が提供されます。このため、パスワード入力回数が上限を超えると、データを消去するのではなく、暗号化技術によって暗号化ボリュームをすべてロックし、デバイスを Windows 8 回復コンソールへと再起動します。デバイスを紛失したか、または盗まれた場合、これによってデータの読み取りを効果的に阻止することができます。一方、ロックされたデバイスで Angry Birds を起動しようとしたお子様による犯行の場合は、回復は簡単です。ご利用の SkyDrive アカウントに Windows 8 が自動的に格納する回復キーを使って、簡単にデバイスを回復することができます。これによって、アプリの再インストールやデータのコピーに時間を費やすことなく、デバイスの使用をすばやく再開することができます。

LOB アプリの管理

ここまで見てきた機能は、主に管理クライアントと管理インフラストラクチャのメカニズムや、IT 管理者のニーズに関連するものでしたが、ソリューション全体の最終的な目的は、LOB アプリへのアクセスを可能にすることでエンド ユーザーにメリットを提供することです。このメリットがなければ、手間をかけて企業向けの管理インフラストラクチャを利用する意味はありません。それではいよいよ、WOA プラットフォームでの LOB アプリ提供について詳しく見ていきましょう。

WOA についての以前のブログ記事では、ユーザーによるソフトウェアの入手は Windows ストアと Microsoft Update または Windows Update 経由で行われるとご説明しました。今回の WOA 管理クライアント導入により、WOA プラットフォームには、信頼できるソフトウェア入手元として、第 4 の選択肢が追加されることになります。既に触れたとおり、企業ユーザーが管理インフラストラクチャにアクセスするための日常的インターフェイスとして、Metro スタイルのセルフ サービス ポータル (SSP) アプリが提供されます。このアプリでブラウジングを行うことで、ユーザーは IT 管理者が用意した LOB アプリの中から目的に合ったアプリを見つけることができます。IT 部門が SSP でユーザーに対して公開できるアプリには、具体的には以下の 4 種類があります。

  • Windows ストアでは公開されない、社内開発の Metro スタイル アプリ
  • 独立ソフトウェア ベンダーが開発し、社内配布用に組織にライセンスされているアプリ
  • Web サイトや Web ベースのアプリをブラウザー内で直接起動する Web リンク
  • Windows ストア上のアプリの内容ページへのリンク (IT 担当者からユーザーに、一般公開されている便利なビジネス アプリについて知らせることができます)

ユーザーは管理インフラストラクチャとの初期接続時に会社での資格情報を入力しているため、IT 管理者は各ユーザーに提供するアプリを、AD ドメイン ユーザー アカウント単位で個別に、または AD ユーザー グループのメンバーとして、指定することができます。このため、SSP でユーザーに対して表示されるのは、そのユーザーが提供対象となっているアプリのみです。

Woodgrove Center の SSP アプリ。カテゴリと名前によるドロップダウン フィルターと、[Apps]、[My Devices]、[IT Center] というボタンがあり、Woodgrove Supplier、Woodgrove Asset Request、Woodgrove Expenses などのアプリがダウンロードできるようになっている

Woodgrove という架空の企業のセルフ サービス ポータル (SSP) で、LOB アプリのブラウジングを行っているようす
注: このスクリーンショットは SSP の初期プロトタイプを示したものであるため、最終的な製品とは異なる場合があります

実際に管理インフラストラクチャをとおして LOB アプリの配布を行う前に、クライアントで次の 2 つの処理が完了している必要があります。まず、エージェントによるアプリのインストールを許可するため、管理インフラストラクチャから発行されたアクティベーション キーが WOA デバイスに適用される必要があります。次に、LOB アプリの署名に使用する証明書は、すべてデバイスの証明書ストアに追加する必要があります。ほとんどの場合、アクティベーション キーもルート証明書も、管理インフラストラクチャとの接続を確立した後の最初のセッションで、自動的に適用されます。そうでない場合、IT 管理者が管理インフラストラクチャで機能を有効にした後に開始されたセッションで、自動的に配備されます。

ユーザーが SSP でアプリのインストールを開始すると、管理インフラストラクチャにリクエストが送信され、ダウンロード用のリンクがエージェントに提供されます。エージェントはアプリをダウンロードしてコンテンツの有効性を検証し、署名を確認して、インストールを行います。これらの処理は通常数秒で行われ、基本的にはユーザーに意識されることもありません。この処理の途中でエラーが発生した場合 (たとえばコンテンツが利用できない場所にあるなど)、エージェントはアプリをキューに追加し、次の定期メンテナンス セッションで再試行します。いずれの場合も、エージェントはインストールの状態を管理インフラストラクチャに報告します。

Woodgrove Expenses アプリの詳細ページ。発行元、カテゴリ、説明が記載され、インストール用のボタンがある
ユーザーがインストールを開始できる、SSP 上のアプリの詳細ページ
注: このスクリーンショットは SSP の初期プロトタイプを示したものであるため、最終的な製品とは異なる場合があります

エージェントは、定期的なメンテナンス セッションの一環として、現在インストールされている LOB アプリの一覧を作成し、IT 管理者が LOB アプリを効果的に管理できるよう、管理インフラストラクチャに報告を戻します。報告されるのは SSP 経由でインストールされた Metro スタイル アプリのみで、管理クライアントもこれに含まれます。Windows ストアからインストールされたアプリが報告に含まれることはありません。

WOA デバイスにインストールされたアプリに対して IT 管理者が更新プログラムを公開すると、エージェントは次の定期メンテナンス セッションの際に、更新プログラムのダウンロードとインストールを自動的に行います。

管理インフラストラクチャとの接続の終了

最後に、デバイスと管理インフラストラクチャとの接続を終了する方法について見てみましょう。接続の終了は、ユーザーがローカルで開始することも、IT 管理者がリモートで開始することもできます。ユーザーが接続を終了する場合、流れは接続開始とほぼ同様で、コントロール パネルの同じ場所から操作を行います。ユーザーが接続を終了する理由としてはさまざまなものが考えられます。たとえば会社を辞める場合や、新しいデバイスを入手したため元のデバイスでは LOB アプリが必要なくなった場合などです。管理者が接続終了を行った場合、エージェントが次の定期メンテナンス セッションで終了処理を行います。管理者がユーザーのデバイスとの接続を終了する理由としては、ユーザーが会社を辞めた場合や、組織のセキュリティ設定ポリシーにユーザーが繰り返し違反した場合などが考えられます。

接続終了の際、エージェントは次の処理を行います。

  • エージェントに LOB アプリのインストールを許可していたアクティベーション キーを削除します。キーを削除すると、SSP と管理クライアント経由でインストールされた Metro スタイル アプリはすべて使用できなくなります。アプリがデバイスから自動的に削除されるわけではない点に注意してください。ただし、アプリを起動することはできず、また、ユーザーが LOB アプリを新たにインストールすることもできなくなります。
  • エージェントがプロビジョニングを行った証明書をすべて削除します。
  • 管理インフラストラクチャによって割り当てられた設定ポリシーの適用を停止します。
  • プロセスを管理者が開始した場合は、非アクティブ化が成功したことを管理インフラストラクチャに報告します。
  • メンテナンス タスクのスケジュール設定を含め、エージェントの構成情報を削除します。この処理が完了すると、ユーザーが管理インフラストラクチャに再度接続するまで、エージェントは休眠状態となります。

まとめ

IT の "コンシューマー化" トレンドと Windows 8 での WOA の登場を機に、私たちはシステム管理のあり方を再検討し、IT 管理者のニーズと日々デバイスを利用するコンシューマーのニーズという、時として相反することもある 2 つの要素の調和を目指しました。WOA の新しい管理クライアントでクラウド上の管理インフラストラクチャに接続するしくみによって、この目標を実現することができたのではないかと考えています。機能の全貌をご覧になった際に、皆さんにも同じように感じていただければ、私たちとしても嬉しい限りです。

-- Jeffrey Sutherland

  • Loading...
Leave a Comment
  • Please add 5 and 7 and type the answer here:
  • Post