突然だが、システム管理者の皆さんに問いたい。

企業を守るうえで重要とされる、セキュリティや資産管理といった要件に対して、皆さんはどれだけ対策を講じられているだろうか?

日本マイクロソフト Windows本部 Windowsコマーシャルグループ シニアプロダクトマネージャーの小黒信介氏

Windows Serverを導入し、Active Directoryでユーザー管理を行っている企業はたくさんあるだろう。しかし、例えば、どの端末にどのようなアプリケーションが導入されているのかや、各端末でいつセキュリティアップデートが実行されたか、といった詳細を把握できている企業はごく一握りのはず。しかも、現在はスマートフォンの普及により、1人が複数台の情報端末を所有するマルチデバイス時代。管理はこれまで以上に難しくなっており、対策費用も相応の額が求められる。IT予算に限りのある多くの企業は、もはやお手上げに近い状態だろう。

そんな管理者に対する救いの手となっているのが、マイクロソフトが提供するSaaS型デバイス管理サービス「Windows Intune」である。初期費用が不要といったメリットがあるのはもちろん、オフィス端末で圧倒的なシェアを誇るWindows PCと親和性の高いサービスに仕上がっており、管理の手間がかからないといった特徴がある。既存のユーザー企業からは、コストと操作性の両面で大きな支持を得ているという。

では、そのWindows Intuneには、具体的にどういった機能が組み込まれているのか。本誌は、日本マイクロソフト Windows本部 Windowsコマーシャルグループ シニア プロダクト マネージャーの小黒信介氏に話を伺ったので、簡単に紹介しよう。

特徴1 : 更新プログラム管理

Windows Intuneの機能を大別すると、次の5つになる。

  • 更新プログラム管理
  • ソフトウェア配布
  • マルウェア対策
  • 資産管理
  • モバイルデバイス管理

Windows Intune の機能として最初に名前が挙がるのは、「更新プログラム管理」である。

ご存知のとおり、業務端末のセキュリティを確保するうえで更新プログラムの適用は必須の要件である。更新プログラムをどれだけ素早く、そして確実に適用できるかによって、企業のセキュリティリスクは大きく変わってくる。

Windows Intuneを導入すると、Windows や Office といった製品の更新プログラムの適用可否を管理者側でコントロールすることができる。それぞれのユーザーに更新プログラムの適用や選択を任せる運用ではないため、インターネットに接続された稼働中の端末に対しては適用漏れをほぼなくすことが可能だ。また、更新プログラムの適用にあたっては、「重要な更新」や「サービスパック」の中の一つ一つの更新プログラム単位で選択できることが、他の管理製品に対する大きな優位点だ。

更新プログラムの管理画面

マイクロソフトのソフトウェアの更新プログラム単位で適用状況を表示できる

「Windows Update の管理を謳った製品は多数あるのですが、実際に更新プログラム単位で適用可否まで管理できる製品はマイクロソフトのWSUS(Windows Server Update Services) と Windows Intune だけです。Windows やOffice を開発している弊社だからこそ実現できる機能と言えます」(小黒氏)

Windows Intuneでは、デバイスのグループ単位で適用するプログラムを変更することも可能となっている。例えば、外部と接する機会の多い、営業部では常に最新版を利用させ、社内で作業することの多いバックオフィス部門には使い慣れたバージョンを使わせるといった運用も簡単に実現できる。なお、このグループについてはActive Directory と連携させることもできるため、2重管理になることもない。

そして適用が必須の更新プログラムについては、「自動承認」の設定が可能だ。例えば「セキュリティ問題の修正プログラム」や「重要な更新」を自動承認設定しておけば、これらのカテゴリの更新プログラムがリリースされ次第、適用を徹底することができるのだ。