Configuration Manager 2007 のモバイル デバイス管理ユーザーで System Center 2012 R2 Configuration Manager への移行を計画している場合

 

このガイドの目的このガイドでは、既存の Configuration Manager 2007 階層があって System Center 2012 R2 Configuration Manager への移行を計画している場合に、iOS、Android、Windows Phone 8、Windows RT、Windows 8.1 デバイスのモバイル デバイス管理を有効にするために推奨される設計と実装の手順を理解するために使用できるテスト済みの規範となる設計を提供します。

System Center 2012 R2 Configuration Manager への移行を計画するときは、組織内のデバイスを管理できるソリューションが必要です。このソリューション ガイドでは、System Center 2012 R2 Configuration Manager スタンドアロン プライマリ サイト サーバーと Configuration Manager 2007 環境を併用してモバイル デバイスの管理を可能にする方法を説明します。

次の図に、このソリューション ガイドで取り扱う問題とシナリオを示します。

Configuration Manager とモバイル デバイスの管理

Configuration Manager 2007 によるデバイス管理

このソリューション ガイドの内容:

  • シナリオ、問題の説明、および目標

  • このソリューションの推奨される設計

  • このソリューションを実装する手順の概要

シナリオ、問題の説明、および目標

このセクションでは、シナリオ、現在の問題、目標について説明します。

通信の種類

会社の従業員からの、個人デバイスで会社のデータにアクセスできるようにしてほしいという要求が増えています。会社は、この要求に対応するため、従業員が所有するデバイスを使用してどこからでもインターネット経由で業務を遂行できる柔軟性を提供しようと考えています。

組織はユーザーが 5,000 人以上の大きなもので、ユーザーは個人が所有するデバイスを職場に持ち込みます。インフラストラクチャは、オンプレミスのユーザーのコンピューターおよび VPN を使用して会社のネットワークにリモート接続するユーザーのコンピューターの管理をサポートしています。現在は、Configuration Manager 2007 を使用してこれらのコンピューターを管理しており、System Center 2012 R2 Configuration Manager を完全に展開できる状態ではありません。

現在組織で使用されているテクノロジをまとめると次のようになります。

  • ドメインとディレクトリ サービス、特に Active Directory。

  • PC 管理ソフトウェア、特に System Center Configuration Manager 2007。

  • ドメインに参加し、Configuration Manager 2007 によって管理されている PC。

  • 従業員が所有する個人用モバイル デバイスおよびドメインに参加していないパーソナル PC。

問題の説明

現在、組織では Configuration Manager 2007 を使用してデバイスを管理していますが、このソリューションでは iOS、Android、Windows Phone 8、Windows RT、および個人所有の Windows 8.1 デバイスを管理しません。ただし、最新バージョンの Configuration Manager と Windows Intune はこれらのデバイスをサポートできます。System Center 2012 R2 Configuration Manager への移行を計画しているため、それをモバイル デバイス管理ソリューションとして使用し、サードパーティのソリューションを統合するコストと労力を避けようと考えています。あなたは管理ソリューションとして System Center 2012 R2 Configuration Manager を実装することを希望していますが、このバージョンを完全に展開したり、Configuration Manager 2007 からインフラストラクチャを完全に移行したりできる状態にはなっていません。

組織の目標

  • 現在のモバイル デバイス (Windows Phone 8、Windows RT、iOS、Android、個人所有の Windows 8.1 デバイス) を管理できること。デバイスの管理とは、セキュリティおよびコンプライアンスの設定、ソフトウェアおよびハードウェアのインベントリの収集、モバイル アプリの展開などを意味します。

  • インターネット経由でモバイル デバイスから会社のデータをワイプする機能により、会社のデータを保護できること。

  • 100,000 台のモバイル デバイスまで管理を拡張できること。

  • 使い慣れたソリューションであり、最小限の習得期間で使用できること。

  • 現在の環境と互換性があり、将来も利用できるソリューションを実装できること。

このソリューションの推奨される設計

Configuration Manager 2007 を使用してオンプレミス デバイスを管理している環境で、モバイル デバイスも管理できるようにしたいと考えています。最大の制約は、最新バージョンの Configuration Manager のモバイル デバイス管理機能を使用したいのに、それに移行する準備ができていないことです。最新バージョンの Configuration Manager への移行を計画しているので、移行の後でモバイル デバイス管理が関係する中間ソリューションが必要です。

System Center 2012 R2 Configuration Manager は Windows Intune と連携してモバイル デバイスを管理します。Configuration Manager コンソールを使用すると、他のデバイスを管理するのと同じようにモバイル デバイスを管理できます。モバイル デバイスとドメイン内のコンピューターの最大の違いは、モバイル デバイスはインターネット経由で管理することです。Configuration Manager コンソールは Windows Intune サービスと通信し、Windows Intune サービスがインターネット経由でのモバイル デバイスの管理を実際に行います。System Center 2012 R2 Configuration Manager と Windows Intune を使用してモバイル デバイスを管理すると、次のことが可能になります。

  • セキュリティ設定と、使用されなくなったデバイスから会社のデータをワイプする機能によって、会社のデータを保護します。コンプライアンス設定を使用して、モバイル デバイス ユーザーにセキュリティ ポリシーを適用できます。これらの設定には、パスワード、カメラ、システム、セキュリティ設定などの属性を含めることができます。また、レポートを実行してルート指定された Android デバイスや変更された iOS デバイスを識別することもできます。

  • コンプライアンスの設定を使用してデバイスを管理します。コンプライアンスの設定には、ローミング、ストア、またはデバイスの設定から任意の情報を含めることができます。詳細な設定については、「Windows Intune と Configuration Manager で登録したデバイスの構成項目を作成する方法」を参照してください。

  • ハードウェアとソフトウェアのインベントリを収集します。ハードウェア インベントリのレポートでは登録されているデバイスの種類を確認でき、ソフトウェア インベントリのレポートではデバイスにインストールされているアプリを確認できます。

  • アプリをモバイル デバイスにサイドローディングすることによって、または Windows ストア、Windows Phone ストア、アプリ ストア、Google Play などのデバイス ストアで入手できるアプリへのリンクを展開することによって、アプリを管理します。

  • 会社のポータルを使用した会社のデータへのアクセスに対して、一貫性のあるエクスペリエンスを作成します。会社のポータルは、ユーザーが会社のデータを見たりアプリをインストールしたりできるインターフェイスです。

このソリューションでは、モバイル デバイスの管理は System Center 2012 R2 Configuration Manager スタンドアロン プライマリ サイトと Windows Intune コネクタによって可能になります。Windows Intune はクラウド サービスなので、ユーザーがデバイスを登録するには、ドメイン ユーザー アカウントを Windows Azure に同期する必要があります。これにより、モバイル デバイスで会社のリソースにアクセスできるユーザーを管理できます。ユーザーがモバイル デバイスからインターネット経由で会社のリソースにアクセスできるようになった後は、Active Directory フェデレーション サービス (AD FS) を使用してシングル サインオン エクスペリエンスを有効にできます。

次の図では、System Center 2012 R2 Configuration Manager スタンドアロン プライマリ サイト サーバーのコンポーネントと Configuration Manager 2007 環境が通信するようすを示します。図の AD FS の部分はオプションです。

System Center 2012 R2 Configuration Manager スタンドアロン プライマリ サーバーと Configuration Manager 2007 環境の実行。

Configuration Manager によるモバイル デバイス管理

次の表では、このソリューション設計の一部である要素の一覧を示し、設計で選択されている理由を説明します。

ソリューションの設計要素

このソリューションに含める理由

System Center 2012 R2 Configuration Manager

Windows Intune サービスを使用してモバイル デバイスを管理します。

Windows Intune

インターネットを介してモバイル デバイスを管理します。

Windows Azure Active Directory

クラウドでユーザーをプロビジョニングします。

ディレクトリ同期

オンプレミス Active Directory ユーザーと Windows Azure Active Directory を同期します。

Active Directory フェデレーション サービス (AD FS)

シングル サインオン エクスペリエンスを実現します。

System Center 2012 R2 Configuration Manager と Windows Intune コネクタ

System Center 2012 R2 Configuration Manager と Configuration Manager 2007 を実行します。Configuration Manager 環境全体を System Center 2012 に移行するまでは、System Center 2012 R2 Configuration Manager サイトはモバイル デバイスの管理にのみ使用されます。System Center 2012 R2 Configuration Manager コンソールと Configuration Manager 2007 コンソールは同じコンピューターにインストールできるので、1 台のコンピューターからデバイスを管理できます。

両方の製品を同時に実行するときは、Configuration Manager 2007 によって管理される必要があるデバイスが System Center 2012 R2 Configuration Manager の展開を検出しないようにする必要があります。たとえば、2 つの製品によって構成されるサイト割り当ての境界に同じネットワークの場所が含まれないようにする必要があります。これはオーバーラップしている境界と呼ばれます。幸い、オーバーラップしている境界は既定では構成されず、Windows Intune を使用してモバイル デバイスの管理を有効にするために System Center 2012 R2 Configuration Manager の境界を構成する必要はないので、オーバーラップしている境界は簡単に避けることができます。

Windows Intune コネクタ サイト システムの役割を System Center 2012 R2 Configuration Manager サイトにインストールすると、ユーザーが Windows Intune サービスに接続されます。

Windows Azure Active Directory とディレクトリ同期 (DirSync)

Windows Intune は Windows Azure Active Directory を使用してユーザー アカウントを保存します。Active Directory のユーザーを Windows Azure Active Directory に同期する必要があります。ディレクトリ同期は、オンプレミス環境とクラウドの間の継続的な関係のために使用されます。ディレクトリ同期をアクティブ化した後は、オンプレミス環境で同期化されたオブジェクトに対して行った編集は Windows Intune のサブスクリプションに同期されます。

ユーザー認証のオプション

Windows Azure AD にユーザー アカウントを設定した後は、ユーザーの認証方法に関していくつかのオプションがあります。オプションは、AD FS、パスワード同期、それ以外です。

AD FS は Active Directory 認証プロトコルと連携して真のシングル サインオン エクスペリエンスを提供します。AD FS は、クラウド サービス、Windows Azure AD とパスワードの情報を共有しないので、安全性の高いソリューションです。オンプレミスの Active Directory と AD FS は Windows Azure AD の ID プラットフォームとやり取りして、Microsoft クラウド サービスへのアクセスを提供します。シングル サインオンをセットアップすると、ドメインと Windows Azure AD 認証システムの間にフェデレーションによる信頼が確立されます。これによって、ユーザーは別の資格情報でサインインしなくても Microsoft クラウド サービスにシームレスにアクセスできます。

AD FS では、少なくとも 1 つのフェデレーション サーバーまたはサーバー ファームと、フェデレーション プロキシ サーバーが必要です。フェデレーション サーバーはクライアントを認証し、フェデレーション サーバー プロキシはセキュリティ階層を提供して、会社のネットワークの外からのクライアント認証要求をフェデレーション サーバーにリダイレクトします。Windows Intune のお客様は、モバイル デバイス ユーザーがインターネットから認証できるようにするには、フェデレーション サーバー プロキシを既存の AD FS インフラストラクチャに展開する必要があります。

パスワード同期は軽量のオプションであり、シングル サインオンと似たエクスペリエンスをユーザーに提供し、展開が非常に簡単です。真のシングル サインオン機能ではありませんが、パスワード同期は DirSync で選択可能なオプションであり、DirSync がパスワードのハッシュを Windows Azure AD に保存できるようにします。ユーザーは、同じユーザー名とパスワードを使用して、クラウド サービスとオンプレミス サービスの両方の認証を行うことができます。

AD FS またはパスワード同期を実装しない場合は、ユーザーは、クラウド サービスまたはオンプレミス サービスのどちらにアクセスするかにより、手動でパスワードを更新して同期を維持するか、または複数のパスワードを憶えておく必要があります。この方法は、初期および継続的なパスワードの変更を管理するために余計な管理オーバーヘッドが必要であり、ユーザー エクスペリエンスの使いやすさが低下するので、使用することはお勧めできません。

ポータル サイト

会社のポータルは、ユーザーが 1 か所から会社のすべてのアプリにアクセスできる簡単な方法です。会社のポータルには、社内の基幹業務アプリケーションや、パブリック アプリケーション ストア (Microsoft Windows ストア、Windows Phone ストア、Apple App Store、Google Play) で入手可能なアプリへのリンクを設定できます。会社のポータルから、ユーザーはデバイスを管理し、紛失または交換したデバイスのワイプなど、さまざまなアクションを実行できます。

ユーザーは、会社のポータルからモバイル デバイスを登録します。登録の間、モバイル デバイスはユーザーを登録のために認証するフェデレーション プロキシと通信します。

移行

Configuration Manager 2007 インフラストラクチャを System Center 2012 R2 Configuration Manager に移行する準備ができたら、既存のスタンドアロン プライマリ サイトを起点として使用できます。System Center 2012 R2 Configuration Manager は、Configuration Manager 2007 インフラストラクチャから System Center 2012 R2 Configuration Manager へのデータとクライアントの移行をサポートします。データとクライアントを移行した後、Configuration Manager 2007 のサイトとインフラストラクチャの使用を停止できます。

1 つの System Center 2012 R2 Configuration Manager スタンドアロン プライマリ サイトで管理できる数より多くのデバイスが Configuration Manager 2007 インフラストラクチャに含まれる場合は、中央管理サイトと追加のプライマリ サイトを含む大きな階層にスタンドアロン プライマリ サイトを拡張するオプションを使用できます。このオプションを使用すると、現在のプライマリ サイトを維持してモバイル デバイスを管理しながら、階層にさらにプライマリ サイトを追加し、階層がサポートできるデバイスの総数を増やすことができます。

このソリューションを実装する手順の概要

このセクションに示した手順を使用して、ソリューションを実装します。各手順の内容が正常に完了したことを確認してから、次の手順に進んでください。

  1. Windows Intune サブスクリプションを取得します。

    Windows Intune コネクタをインストールする前に、Windows Intune サブスクリプションを作成する必要があります。Windows Intune でアカウントにサインアップできます。

  2. パブリック ドメインを構成します。

    1. Windows Intune サービスを使用するには、GoDaddy のようなサービスで検証可能なパブリック組織ドメイン名も必要です。Windows Intune アカウント ポータル (https://account.manage.microsoft.com) の [ドメイン] ノードで、パブリック ドメインを追加および検証します。

    2. パブリック ドメインがオンプレミスの Active Directory の代替 UPN サフィックスとして追加されたことを確認します。モバイル デバイスを登録するには、ユーザーがクラウドとオンプレミスの Active Directory に同じパブリック ドメイン ユーザー プリンシパル名 (UPN) を持っている必要があります。ディレクトリ同期および AD FS を構成する前に、ユーザーがパブリック ドメイン UPN を持っていることを確認する必要があります。このステップを省略すると、ユーザーのクラウド UPN の後に "onmicrosoft.com" が自動的に追加されて、オンプレミス Active Directory のユーザー名と一致しなくなる可能性があります。UPN を変更する方法については、Active Directory ドキュメント ライブラリの「ユーザー プリンシパル名サフィックスを追加する」を参照してください。

    3. enterpriseenrollment.<パブリック ドメイン> を指し示す DNS の CNAME レコードを、manage.microsoft.com に追加します。CNAME レコードは、後で登録プロセスの一部として使用します。

    検証手順:

    • Windows Intune アカウント ポータルの [ドメイン] ページを調べて、パブリック ドメインがリストに含まれ検証済みであることを確認します。

    • オンプレミス Active Directory でユーザー アカウントのプロパティを調べて、UPN がパブリック ドメイン名と共に表示されることを確認します。

    • enterpriseenrollment.<パブリック ドメイン> に対して ping を行い、manage.microsoft.com の IP アドレスに解決されることを確認します。CNAME レコードは、登録プロセスの一環で使用されます。

  3. ユーザーの認証を構成します。

    AD FS は Windows Intune アカウント ポータル (https://account.manage.microsoft.com) から構成できます。ポータルの [ユーザー] ノードで、[シングル サインオン: セットアップ] をクリックし、[シングル サインオンのセットアップと管理] の手順に従います。詳細については、Active Directory ドキュメント ライブラリの「チェックリスト: AD FS によるシングル サインオンを実装して管理する」を参照してください。この記事では、必要な要件、計画と展開のプロセス、AD FS が正常に展開および構成されたことを確認する方法が詳細に説明されています。

    または、セキュリティに関する考慮事項によっては、パスワード同期の実装を検討することができます。パスワード同期は Windows Azure Active Directory 同期ツールの機能であり、オンプレミスの Active Directory のユーザー パスワードを Windows Azure Active Directory に同期します。ディレクトリ同期の構成の一部として、パスワード同期を実装できます。セキュリティに関する考慮事項および組織にとって正しい決定かどうかを理解するには、「パスワード同期の実装」を参照してください。

  4. ディレクトリ同期を構成することによってユーザーをプロビジョニングします。

    Windows Intune アカウント ポータル (https://account.manage.microsoft.com) の [ユーザー] ノードで、[Active Directory 同期: セットアップ] をクリックし、[Active Directory 同期のセットアップと管理] の手順に従います。詳細については、Active Directory ドキュメント ライブラリの「ディレクトリ同期を構成する」を参照してください。ドメイン コントローラー以外の任意のコンピューターに DirSync をインストールできます。

    検証手順:Windows Intune アカウント ポータル (https://account.manage.microsoft.com) でユーザー アカウントを確認します。

  5. スタンドアロン プライマリ サイト サーバーを計画します。

    Configuration Manager プライマリ サイトをホストするためのソフトウェアとハードウェアの前提条件を両方とも満たしているサーバーを見つけます。既定では、Configuration Manager のプライマリ サイトをインストールすると、管理ポイントおよび配布ポイントのサイト システムの役割もインストールされます。このシナリオではモバイル デバイスのみを管理するので、管理ポイントおよび配布ポイントは使用しません。ただし、これらが存在してもサイトのパフォーマンスには影響ありません。したがって、これらのサイト システムの役割はインストールしたままにすることをお勧めします。

    プライマリ サイトのハードウェア サイズ決定の情報については、「Configuration Manager のハードウェア構成の計画」を参照してください。スタンドアロン プライマリ サイトに対して指定する詳細によって、Windows Intune コネクタおよび最大 100,000 のモバイル デバイスをサポートできるプライマリ サイトの実行に対する基礎が決まります。

    Configuration Manager サイトをホストするために必要なソフトウェアおよびサポートされるオペレーティング システムについては、「サイト システムの要件」を参照してください。具体的には、スタンドアロン プライマリ サイトのホスティングに使用するオペレーティング システムに適用される前提条件の該当するセクションを参照します。既定でインストールされるサイト システムの役割は、サイト サーバー、データベース サーバー、SMS プロバイダー サーバー、管理ポイント、配布ポイントです。

  6. スタンドアロン プライマリ サイト サーバーを展開します。

    モバイル デバイスの管理を可能にする System Center 2012 R2 Configuration Manager スタンドアロン プライマリ サイトをインストールして構成します。詳細については、「プライマリ サイト サーバーのインストール」を参照してください。

    サイトのインストールが完了した後、Configuration Manager プライマリ サイトの以下の一般的な構成を確認または設定します。

    • サイトの境界は構成しません。既定では、新しいサイトにはサイトの境界は作成されません。サイトの境界は、参加するサイトを識別し、展開するコンテンツを特定するために、新しい Configuration Manager クライアントによって使用されます。このシナリオでは、どちらのアクティビティも該当しません。

    • ドメインに Active Directory ユーザーの探索を構成して実行し、将来の登録のためにユーザーを探索します。

    • クライアント プッシュ インストールが有効になっていないことを確認します。この機能は、Windows デバイスに Configuration Manager クライアントをインストールできる状態のときにのみ使用し、モバイル デバイスの管理には使用しません。

  7. Windows Intune サブスクリプションを構成し、Windows Intune コネクタ サイト システムの役割をスタンドアロン プライマリ サイト サーバーにインストールします。

    Configuration Manager を使用してモバイル デバイスを管理するには、その前に、Windows Intune サブスクリプションを構成し、Windows Intune コネクタ サイト システムの役割をスタンドアロン プライマリ サイト サーバーにインストールする必要があります。詳細については、「Configuration Manager と Windows Intune を使用してモバイル デバイスを管理する方法」を参照してください。

    検証手順:

    • プライマリ サイト サーバー コンピューターで Sitecomp.log を調べて、Windows Intune コネクタ サイト システムの役割が正常にインストールされたことを確認します。

    • Windows Intune コネクタをインストールするコンピューターで Cloudusersync.log を調べて、ドメインからのユーザーが Windows Intune に正常に同期されたことを確認します。このログ ファイルでは、UPN 名が Windows Azure AD とオンプレミス AD で一致していることを確認できます。ユーザーが同期していない場合、最も可能性が高いのは UPN の不一致です。

    • プライマリ サイト サーバー コンピューターで Certmgr.log を調べて、Windows Intune コネクタをインストールしたコンピューターがコネクタ証明書を共有していることを確認します。証明書は、Windows Intune コネクタ サイト システムの役割のインストールが完了した後で共有されます。

    • Windows Intune コネクタをインストールするコンピューターで Dmpuploader.log を調べて、コネクタ サイト システムの役割がポリシーおよび構成の変更を Windows Intune サービスにアップロードできることを確認します。

    • Windows Intune コネクタをインストールするコンピューターで Dmpdownloader.log を調べて、Windows Intune コネクタが Windows Intune からメッセージをダウンロードできることを確認します。このログでは、ダウンロード プロセスの最初の ping だけが示されている場合があり、ダウンロードに関するエントリが記録されるまでしばらくかかることがあります。

  8. System Center 2012 R2 Configuration Manager コンソールをインストールします。

    既定では、プライマリ サイトをインストールすると、Configuration Manager コンソールもプライマリ サイト サーバー コンピューターにインストールされます。サイトのインストールの後、別の System Center 2012 R2 Configuration Manager コンソールを別のコンピューターにインストールしてサイトを管理できます。同じコンピューター上の Configuration Manager 2007 と System Center 2012 R2 Configuration Manager からのコンソールのインストールがサポートされています。この同時インストールを使用すると、単一のコンピューターで、既存の Configuration Manager 2007 インフラストラクチャと、System Center 2012 R2 Configuration Manager で Windows Intune を使用して管理するモバイル デバイスの両方を管理できます。ただし、System Center 2012 R2 Configuration Manager の管理コンソールを使用して Configuration Manager 2007 サイトを管理すること、またはその逆はできません。詳細については、「Configuration Manager コンソールのインストール」を参照してください。

  9. モバイル デバイスを登録します。

    モバイル デバイスを登録する方法については、「モバイル デバイスの登録」を参照してください。

  10. モバイル デバイスを管理します。

    スタンドアロン プライマリ サイトのインストールと基本的な構成を行った後、モバイル デバイスの管理の構成を開始することができます。構成される可能性がある一般的な操作を以下に示します。

  11. System Center 2012 R2 Configuration Manager に移行します。

    System Center 2012 R2 Configuration Manager に移行する方法については、「Configuration Manager 2007 から System Center 2012 Configuration Manager への移行」を参照してください。

    100,000 以上のデバイスを管理している場合は、スタンドアロン プライマリ サイトを階層に拡張する必要があります。詳細については、「Configuration Manager のサイトと階層の計画」を参照してください。