ハイブリッド環境でのモバイル デバイスおよびコンピューターの管理の簡素化

適用対象: Azure, Microsoft Intune, System Center 2012 R2 Configuration Manager

このガイドの対象読者: オンプレミスやリモートのモバイル デバイスと PC を使用して会社のリソースにアクセスする必要がある従業員をサポートするために、既存の Configuration Manager インフラストラクチャを利用してデバイスを管理する必要がある会社。

このガイドの利用方法このガイドでは、以下の方法を説明する規範的なテスト済みの設計を示します。

  • 既存のオンプレミスの Configuration Manager インフラストラクチャをアップグレードしてクラウドに拡張し、ユーザーが自分で選択したデバイスからリモートで作業できるようにする。

  • PC とモバイル デバイスの管理を単一のインフラストラクチャに統合する。

  • すべてのデバイスの企業コンプライアンスを維持する。

  • 企業のデータを保護する。

このソリューションの内容:

  • シナリオ、問題の説明、目標

    • シナリオ

    • 問題の説明

    • 組織の目標

  • このソリューションの推奨される設計

    • System Center 2012 R2 Configuration Manager のインストールとオブジェクトの移行

    • Windows Intune をサブスクライブする

    • Microsoft Azure AD とディレクトリ同期で ID およびアクセスを管理する

    • パスワード同期でユーザーに安全で簡単なアクセスを提供する

    • 段階的なプラットフォーム アップグレードを計画する

  • 実装手順

次の図に、このソリューション ガイドで取り扱う問題を示します。

問題の高レベルの概要

 

図 1: 問題の概要。

シナリオ、問題の説明、目標

このセクションでは、例として取り上げた組織のシナリオ、問題、および目標について説明します。

シナリオ

このソリューションで例として使用する会社は、従業員が 5,000 人を超え、その従業員が個人的に所有する Windows Phone 8、Windows RT、iOS、Android などのデバイスを業務に使用します。 現在、これらのデバイスから会社のリソースにアクセスする方法はありません。

この会社は Microsoft System Center Configuration Manager 2007 SP2 を使用して、オンプレミスのユーザーおよび VPN で会社のネットワークにリモート接続するユーザーの PC を管理しています。 モバイル デバイスは管理できません。

この会社の環境のインフラストラクチャには次のものが含まれます。

  • Windows Server 2008 R2

  • Windows Server 2008 R2 Active Directory

  • Configuration Manager 2007 SP2

  • ドメインに参加し、Configuration Manager によって管理されている PC

次の図では、この会社の現在の環境を示します。

会社の環境の概要

図 2: 現在の環境の概要

問題の説明

現在のデバイス管理インフラストラクチャは、この事例の会社の高まるニーズに対応していません。

  • 現在の環境内にある PC は管理できますが、モバイル デバイスは管理できません。

  • 一部の従業員には、企業所有のモバイル デバイスを提供しています。 他の従業員は、個人所有のデバイスを業務で使用することを望んでいます。

この会社は、これらのデバイスをすべて管理するために必要なリソースについても懸念しています。 多くの PC、デバイス、アプリケーションをサポートするには費用がかかり、IT 部門はデバイス管理だけで手いっぱいになってしまう可能性があります。

この会社は、リスクを管理し、会社所有と個人所有の両方のデバイスがすべてセキュリティ ガイドラインに準拠していることを確認する必要があります。

  • デバイス管理は、会社の資産と情報にとってセキュリティ リスクです。 IT 部門が管理していない (または把握さえしていない) デバイスを従業員が使い始めた途端に、会社の機密情報を管理し続けることが非常に困難になります。

  • デバイスが売られたり、紛失したり、盗まれたりすると、IT 部門ではどうしようもありません。

組織の目標

この事例の会社は、以下のことが可能なソリューションを探しています。

  • 既存の Configuration Manager インフラストラクチャを使用する。 IT 部門は多くのリソースを現在のインフラストラクチャに投資しており、それを無駄にしたくはありません。

  • 従業員が個人のデバイスや会社のデバイスを使用して、会社のアプリケーションとデータにアクセスできる。 これには PC とモバイル デバイスが含まれます。

  • PC と個人のデバイスを単一の管理コンソールから管理する。デバイスの管理には、セキュリティとコンプライアンスの設定、ソフトウェアおよびハードウェアのインベントリの収集、ソフトウェアの展開などが含まれます。

  • デバイスの種類、およびデバイスが個人所有か会社所有かに基づいて、アプリケーションまたは Web リンクを展開する。

  • モバイル デバイスが紛失したり、盗まれたり、使用されなくなる場合は、そのモバイル デバイスに格納されている会社のデータをワイプすることによって会社を保護する。

このソリューションの推奨される設計

この会社のビジネスの問題を解決し、組織の目標を達成するには、以下のことを行う必要があります。

  • 本社に新しい System Center 2012 R2 Configuration Manager スタンドアロン プライマリ サイトをインストールし、リモートの場所に配布ポイントをインストールします。

  • オブジェクトと配布ポイントを、既存の Configuration Manager 2007 SP2 インフラストラクチャから System Center 2012 R2 Configuration Manager に移行します。

  • Windows Intune をサブスクライブし、Configuration Manager で Windows Intune コネクタを構成して Windows Intune と統合します。

  • Windows Intune はクラウド サービスなので、ドメイン ユーザー アカウントを Microsoft Azure と同期します。 これにより、モバイル デバイスから会社のリソースにアクセスできるユーザーを管理できます。

  • パスワード同期を使用して、ユーザーがオンプレミスのドメイン ユーザー名とパスワードをクラウド サービスに使用できるようにします。

次の図は、このソリューションの要素間の相互通信を示したものです。

会社のソリューションの概要

図 3: ソリューションの概要

 

ソリューションの設計要素 このソリューションに含まれる理由

System Center 2012 R2 Configuration Manager

サーバー、デスクトップ、ラップトップ、モバイル デバイス (Windows Intune が統合されている場合) の、安全で拡張性のあるソフトウェア展開、コンプライアンス設定の管理、包括的な資産管理を提供します。

Windows Intune

インターネットを介してモバイル デバイスを管理します。 System Center 2012 R2 Configuration Manager と統合すると、Configuration Manager コンソールから PC とモバイル デバイスの両方を管理できます。

Microsoft Azure Active Directory (AD)

オンプレミスおよびクラウドのアプリケーションに ID およびアクセス機能を提供するサービス。

Microsoft Azure ディレクトリ同期 (DirSync)

オンプレミスの AD ユーザーと Microsoft Azure AD を同期します。

パスワード同期

ユーザーがオンプレミスとクラウド サービスに同じユーザー名およびパスワードを使用できるようにします。

System Center 2012 R2 Configuration Manager のインストールとオブジェクトの移行

System Center 2012 R2 Configuration Manager は、Windows Intune を統合することによって、会社の PC 管理機能をオンプレミスからクラウドに拡張できます また、Configuration Manager と Windows Intune を使用することで、この会社はオンプレミスの PC とモバイル デバイスの両方を 1 つのコンソールから管理できます。 この会社は IT 部門のオーバーヘッドを減らすことも望んでいます。

したがって、System Center 2012 R2 Configuration Manager スタンドアロン プライマリ サイトを本社にインストールし、配布ポイントをリモートの場所にインストールします。

その後、オブジェクトを Configuration Manager 2007 SP2 環境から System Center 2012 R2 Configuration Manager に移行します。

会社が移行を選択したのは次のような理由によります。

  • 統合ソリューション: この会社は、1 つのコンソールから PC とモバイル デバイスの両方を管理できる統合ソリューションを望んでいます。System Center 2012 R2 Configuration Manager と Windows Intune は、この統合ソリューションを提供します。

  • 単純な階層: System Center 2012 R2 Configuration Manager の場合、この会社は、次の図に示すようにリモートの各場所にセカンダリ サイトはもう必要ないと判断しました。

     

    既存の階層、Configuration Manager 2007  

    図 3: Configuration Manager 2007 での既存の階層

     

     

    新しい階層、System Center 2012 R2 ConfigMgr  

    図 4: System Center 2012 R2 Configuration Manager での新しい階層

     

     

    単純な階層の重要な要素:

    • 役割に基づいた管理: System Center 2012 R2 Configuration Manager では、役割に基づく管理により、この会社は以下のいずれかまたはすべてを使用して、System Center 2012 R2 Configuration Manager 階層の管理セキュリティを設計および実装できます。

      • セキュリティ ロール

      • コレクション

      • セキュリティ スコープ

      これらの設定を組み合わせて、管理ユーザーの管理スコープを定義します。 管理スコープでは、Configuration Manager コンソールで管理ユーザーが表示できるオブジェクト、およびそれらのオブジェクトに対してそのユーザーが持っているアクセス許可を制御します。 「役割に基づいた管理の計画」を参照してください。

    • コンテンツ管理: System Center 2012 R2 Configuration Manager では、この会社はコンテンツを配布ポイントに転送するために使用するネットワーク帯域幅、およびリモートの場所の配布ポイント上の事前設定コンテンツを構成できます。 「配布ポイントのネットワーク帯域幅に関する考慮事項」を参照してください。

  • 移行されたオブジェクト: この会社は移行ツールを使用して、Configuration Manager 2007 SP2 から System Center 2012 R2 Configuration Manager 階層にオブジェクトを移行できます。 会社の IT 部門は、コレクション、タスク シーケンス、構成項目などの Configuration Manager オブジェクトを作成するために、ばく大な時間を投資しています。 移行を使用するとことで、この投資による利益が引き続き得られます。

  • 最新機能: この会社は、このソリューションには直接関係のない System Center 2012 R2 Configuration Manager の新機能にも関心があります。 「System Center 2012 R2 Configuration Manager の新機能」を参照してください。

Windows Intune をサブスクライブする

Windows Intune サービスは、モバイル デバイスのクラウド ベースの管理を提供します。 この会社は、Windows Intune をサブスクライブした後、Windows Intune と System Center 2012 R2 Configuration Manager を統合して、Configuration Manager コンソールから PC とモバイル デバイスの両方を管理します。

Windows Intune のサブスクリプションは、PC とモバイル デバイスの両方を管理するための統合ソリューションという会社の目標をサポートします。

この会社は、サードパーティのモバイル デバイス管理ソリューションを検討しました。 どのソリューションも会社が望むような統合エクスペリエンスを備えていません。 また、会社は製品の切り替えや、トレーニングおよび実装のコスト負担も望んでいません。

もう 1 つの利点として、数か月後に Microsoft Office 365 をサブスクライブすると、Windows Intune のサブスクリプションからユーザー アカウントを使用できるようになります。

ヒント

会社が Microsoft Office 365 などのサービスで Microsoft Online Services を既に使用している場合は、Windows Intune をサブスクライブするときに同じユーザー アカウントを使用してください。 そうすることにより、組織の Microsoft Azure AD テナントのすべてのサービスで同じユーザー グループを使用できます。 既存のユーザーを使用してサインインするオプションを選択しない場合は、新しい Microsoft Azure AD テナントが自動的に作成されます。 その後、新しいテナントにユーザーを追加する必要があります。

Microsoft Azure AD とディレクトリ同期で ID およびアクセスを管理する

Windows Intune は Microsoft Azure AD を使用してユーザー アカウントを保存します。 Windows Intune や Office 365 などの Microsoft クラウド サービスは、Microsoft Azure AD によって提供される ID 管理機能に依存します。

この会社は、Microsoft Azure ディレクトリ同期 (DirSync) を使用して、オンプレミスの Windows Server AD ユーザーと Microsoft Azure AD を同期します。 ディレクトリ同期は、オンプレミス AD とクラウド ベースの Microsoft Azure AD の間の継続的な関係を目的としています。 会社は、次の目的で DirSync を選択しました。

  • 管理コストの削減: DirSync を使用しない場合、この会社は、ユーザーとグループのアカウントを Microsoft Azure AD に手動で追加する必要がありました。 DirSync は、オンプレミスの Windows Server AD から Microsoft Azure AD にユーザー アカウントを同期します。 ディレクトリ同期をアクティブ化した後、オンプレミス環境で同期化されたオブジェクトを編集することができ、これらの編集は Windows Intune のサブスクリプションに同期されるので、管理コストが削減されます。

  • 生産性の向上: ユーザーとグループのアカウントの同期処理を自動化すると、クラウド ベースのサービスに従業員がアクセスできるようにするためにかかる時間を大幅に短縮できます。

ディレクトリ同期の計画と設計に関する考慮事項

ディレクトリ同期を計画する際に、この会社ではハードウェア要件、管理者権限、パフォーマンスの考慮事項などを検討しました。 これらの要件については、「ディレクトリ同期を準備する」を参照してください。

パスワード同期でユーザーに安全で簡単なアクセスを提供する

ユーザー認証を構成する必要があります。構成しないと、従業員はクラウド サービスにアクセスするときとオンプレミス サービスにアクセスするときで、異なるユーザー名とパスワードを使用する必要があります。 会社は、初期および継続的なパスワードの変更を管理するために管理オーバーヘッドが増えるのを防ぎ、よりよいユーザー エクスペリエンスを提供するため、ユーザー認証が必要であると判断しました。 ユーザー認証にはパスワード同期を使用することに決定しました。

従業員が同じ資格情報でクラウド リソースとオンプレミス リソースにアクセスするための認証方法として、会社は以下の方法を検討しました。

  • パスワード同期は軽量のオプションであり、シングル サインオンと似たエクスペリエンスをユーザーに提供し、展開が非常に簡単です。 パスワード同期は DirSync で選択できるオプションであり、DirSync がパスワードのハッシュを Microsoft Azure AD 内に保存できるようにします。 ディレクトリ同期コンピューターでパスワード同期を有効にすると、ユーザーはオンプレミス ネットワークにログインするときに使用するものと同じパスワードを使用して、Office 365、Dynamics CRM、Windows Intune などの Microsoft クラウド サービスにサインインできます。 ユーザーが会社のネットワークでパスワードを変更すると、その変更はクラウドに同期されます。

    ただし、AD FS の使用時に得られるシングル サインオン (SSO) ソリューションは、パスワード同期では提供されません。 ユーザーは、クラウド サービスにアクセスするたびに資格情報を再入力する必要があります。 以下を参照してください。

  • Active Directory フェデレーション サービス (AD FS) は、Active Directory 認証プロトコルと連携して真のシングル サインオン (SSO) エクスペリエンスを提供します。 オンプレミスの Active Directory と AD FS は Microsoft Azure AD の ID プラットフォームとやり取りして、1 つ以上の Microsoft クラウド サービスへのアクセスを提供します。 SSO を構成すると、ドメインと Microsoft Azure AD 認証システムの間にフェデレーションによる信頼が作成されます。 ユーザーは、同じユーザー名とパスワードを使用して、クラウド サービスとオンプレミス サービスの両方の認証を行うことができます。 認証を受けた後のユーザーは、クラウド サービスにアクセスするときに再度資格情報を要求されることはありません。

会社は、いくつかの理由でユーザー認証にパスワード同期を使用することにしました。 パスワード同期は DirSync での構成がとても簡単で、会社は DirSync をオンプレミス ユーザー アカウントの同期に使用することを既に計画していました。 また、この会社は今後 6 か月間にドメイン コントローラーを Windows Server 2012 R2 にアップグレードする計画です。 AD FS は Windows Server 2012 R2 でのサイトの役割であり、多くの新機能があります。 会社はドメイン コントローラーをアップグレードするときに AD FS を実装する予定です。 Windows Server 2012 R2 での AD FS の実装の詳細については、以下を参照してください。

この会社は、ユーザー認証にはパスワード同期を使用することに決定しました。 ただし、環境によっては SSO 用に AD FS を実装することも考えられます。 以下を参照してください。

段階的なプラットフォーム アップグレードを計画する

この会社は、このソリューションの一部としてはオンプレミス AD をアップグレードしないことに決定しましたが、今後 6 か月以内にアップグレードする予定です。

会社の IT 部門は、ソリューションの一部としてオンプレミス AD をアップグレードすることを提案しました。 Windows Server 2012 R2 では、AD の次の機能が拡張されています。

  • デバイス登録。 IT 管理者はデバイスの登録を許可でき、それによってデバイスと会社の Active Directory が関連付けられます。 この関連付けは、シームレスな第 2 要素認証として使用できます。

  • 会社の Active Directory に関連付けられているデバイスからのシングル サインオン (SSO)。

  • Web アプリケーション プロキシ。ユーザーはどこからでもアプリケーションやサービスに接続できます。

  • 多要素アクセス制御と多要素認証 (MFA)。任意の場所で作業し、デバイスから保護されたデータにアクセスするユーザーのリスクを管理します。

  • 作業フォルダー。PC およびデバイス上の作業ファイルを格納してアクセスするための場所をユーザーに提供します。

Active Directory サービス」を参照してください。

会社の管理チームは新機能が有益であることに同意しましたが、このソリューションの一部として AD をアップグレードするためのリソースは承認できませんでした。 管理チームは今後 6 か月の間にオンプレミス AD をアップグレードすることを望んでいます。

オンプレミス AD のアップグレートと AD FS の実装の準備ができたら、「任意の場所の任意のデバイスからの企業リソースへのセキュリティで保護されたアクセス」を参照してください。

実装手順

このセクションでは、会社がソリューションを実装する際に使用した手順について説明します。 この手順に従う場合は、各手順の展開が正しいことを確認してから、次の手順に進んでください。

  1. Windows Intune をサブスクライブします。

    Windows Intune Web サイトで、Windows Intune のサブスクリプションを作成します。

    • Office 365 などの別のクラウド サービスのユーザー アカウントが既にある場合は、[サインイン] をクリックしてそのアカウントの資格情報を入力することができます。 これにより、組織の Microsoft Azure AD テナントのすべてのサービスで同じユーザーのグループを共有できます。

    **検証手順:**サインアップ プロセスが完了した後、指定した電子メール アドレスに電子メールが送信されます。 その電子メールに含まれるリンクをクリックするか、Windows Intune のアカウント ポータル (https://account.manage.microsoft.com) に移動して、サインインできることを確認します。

  2. パブリック ドメインを構成します。

    1. パブリック ドメインを取得します。 Windows Intune サービスを使用するには、ドメイン名登録サービスで検証可能なパブリック組織ドメイン名も必要です。 Windows Intune アカウント ポータル (https://account.manage.microsoft.com) の [ドメイン] ノードで、パブリック ドメインを追加および検証します。

    2. パブリック ドメインがオンプレミスの Active Directory の代替 UPN サフィックスとして追加されたことを確認します。 モバイル デバイスを登録するには、ユーザーがクラウドとオンプレミスの Active Directory に同じパブリック ドメイン ユーザー プリンシパル名 (UPN) を持っている必要があります。 ディレクトリ同期を構成する前に、ユーザーがパブリック ドメイン UPN を持っていることを確認する必要があります。 この手順をスキップすると、ユーザーのクラウド UPN の後に "onmicrosoft.com" が追加されて、オンプレミス Active Directory のユーザー名と一致しなくなる可能性があります。 「ユーザー プリンシパル名サフィックスを追加する」を参照してください。

    3. manage.microsoft.com に、enterpriseenrollment.<publicdomain> を指す DNS の CNAME レコードを追加します。 CNAME レコードは、後で登録プロセスの一部として使用します。 「エイリアス (CNAME) リソース レコードをゾーンに追加する」を参照してください。

    検証手順:

    • Windows Intune アカウント ポータルの [ドメイン] ページを調べて、パブリック ドメインがリストされており、検証済みであることを確認します。

    • オンプレミス Active Directory でユーザー アカウントのプロパティを調べて、UPN がパブリック ドメイン名と共にリストされることを確認します。

  3. DirSync とパスワード同期を使用して、ユーザーにセキュリティで保護された簡単なアクセスを提供します。

    Windows Intune アカウント ポータル (https://account.manage.microsoft.com) からパスワード同期を構成できます。 ポータルの [ユーザー] ノードで、[Active Directory の同期: セットアップ] をクリックし、[Active Directory 同期のセットアップと管理] で概説される手順に従います。 [パスワード同期を有効にする] を選択して、ディレクトリ同期ツール構成ウィザードを実行するときにパスワード同期を有効にします。

    以下を参照してください。

    検証手順: Windows Intune アカウント ポータル (https://account.manage.microsoft.com) でユーザー アカウントを確認します。

  4. System Center 2012 R2 Configuration Manager サイトまたは階層をインストールします。

    System Center 2012 R2 Configuration Manager 階層を計画した後、この会社は、スタンドアロン プライマリ サイトを本社にインストールし、配布ポイントをリモートの場所にインストールすることを決定しました。 階層で別の構成が必要になるようにしてもかまいません。 System Center 2012 R2 Configuration Manager サイトまたは階層をインストールするには、次の手順を使用します。

    1. Configuration Manager プライマリ サイトをホストするためのソフトウェアとハードウェアの前提条件を両方とも満たしているサーバーを特定します。 「Configuration Manager のハードウェア構成の計画」を参照してください。

    2. Configuration Manager サイトのホストに必要なソフトウェアおよびサポートされるオペレーティング システムを確認します。 「サイト システムの要件」を参照してください。

    3. System Center 2012 R2 Configuration Manager をサポートするように Windows 環境を構成します。 「Configuration Manager の Windows 環境の準備」を参照してください。

    4. System Center 2012 R2 Configuration Manager サイトをインストールします。 「Configuration Manager のサイトのインストールと階層の作成」を参照してください。 このソリューションでは、スタンドアロン プライマリ サイトをインストールし、中央管理サイトまたはセカンダリ サイトのインストールはスキップします。 トピックを進みながら、環境に適したサイトを選択します。

    5. リモートの場所に配布ポイントをインストールします。 この事例の会社は、各場所でセカンダリ サイトを使用するのではなく、各リモートの場所で配布ポイントを使用できるものと判断しました。 配布ポイントのインストールと構成の詳細については、「Configuration Manager のコンテンツ管理の構成」を参照してください。

    検証手順

    プライマリ サイト サーバー コンピューターで、セットアップ ウィザードの進行状況を監視します。 Configuration Manager セットアップ ウィザードには、各サイトのインストール タスクの結果が表示されます。 すべてのインストール タスクが完了したら、ウィザードを閉じてもかまいません。 ただし、サイトのインストールが完了した後も、セットアップ ウィザードには引き続き進行中のサイトの構成に関する情報が表示されるため、ウィザードを閉じないでおけば監視することができます。 セットアップ ウィザードを閉じても進行中の構成には影響はなく、ウィザードを閉じた後もバックグラウンドで実行し続けます。 サイトが正常にインストールされたことを確認するには、ConfigMgrSetup.log を調べます。

  5. 管理フィーチャーと機能を構成します。

    サイトまたは階層をインストールした後、使用する System Center 2012 R2 Configuration Manager の管理フィーチャと機能をサポートするようにサイトを構成します。 手順 8. で Windows Intune サブスクリプションを構成するか、Windows Intune コネクタ サイト システムの役割をインストールする前に、Active Directory ユーザーの探索を構成する必要があります。以下を参照してください。

    1. Configuration Manager のサイトと階層の構成

    2. Active Directory のコンピューター、ユーザー、またはグループの探索の構成

  6. System Center 2012 R2 Configuration Manager に移行します。

    Configuration Manager 2007 リソース階層からオブジェクトを移行するときは、ソース インフラストラクチャで識別したサイト データベースのデータにアクセスし、そのデータを System Center 2012 R2 Configuration Manager 階層にコピーします。 移行を行ってもソース階層のデータは変わりません。 移行ではデータが探索されて、移行先階層のデータベースにコピーが格納されます。 「Configuration Manager 2007 から System Center 2012 Configuration Manager への移行」を参照してください。

    Configuration Manager 2007 のデータを System Center 2012 R2 Configuration Manager に移行するには:

    1. 移行のソース階層として Configuration Manager 2007 SP2 の階層を指定します。 既定では、その階層の最上位サイトがソース階層のソース サイトとなります。 初期ソース サイトからデータが収集された後で、移行用に追加のソース サイトを構成できます。

      ソース階層を指定すると、Configuration Manager はすぐにソース サイトからのデータの収集を開始し、ソース階層内の追加ソース サイトごとに資格情報を構成するか、ソース サイトの配布ポイントを共有します。 既定では、データ収集プロセスは 4 時間間隔で繰り返されるため、Configuration Manager は、移行対象であるソース階層内のデータの変更を特定できます。 データ収集は、ソース階層から移行先階層への配布ポイントを共有するためにも必要です。 「System Center 2012 Configuration Manager に移行するためのソース階層とソース サイトの構成」を参照してください。

    2. ソース階層と移行先階層の間でデータを移行する移行ジョブを作成します。 移行ジョブを使用して、System Center 2012 R2 Configuration Manager 環境に移行する特定のデータを構成します。 移行ジョブによって移行を計画しているオブジェクトが識別されます。移行ジョブは階層の最上位サイトで実行されます。 「System Center 2012 Configuration Manager の移行ジョブの作成と編集」を参照してください。

    3. 移行ジョブを監視します。 System Center 2012 R2 Configuration Manager コンソールで移行ジョブの進行状況を監視します。 「[移行] ワークスペースでの移行アクティビティの監視」を参照してください。

    4. 共有配布ポイントをアップグレードします。 Configuration Manager 2007 ソース サイトから共有されているサポート対象の配布ポイントをアップグレードして、移行先階層内の配布ポイントにすることができます。 「System Center 2012 Configuration Manager での共有配布ポイントのアップグレードまたは再割り当て」を参照してください。

    5. Configuration Manager 2007 クライアントを System Center 2012 R2 Configuration Manager に移行します。 階層間でクライアントのデータを移行した後、移行を完了する前に、クライアントを移行先階層に移行する計画を立てます。 階層間でクライアントを移行するには、移行先階層から Configuration Manager クライアント ソフトウェアをインストールします。 Configuration Manager クライアントがアンインストールされ、System Center 2012 R2 Configuration Manager クライアントがインストールされてプライマリ サイトに割り当てられます。 「System Center 2012 Configuration Manager のクライアント移行戦略の計画」を参照してください。

    6. 移行プロセスを完了します。 Configuration Manager 2007 階層に移行先階層へ移行するデータがなくなったら、移行プロセスを完了できます。そのためには、次の操作を実行します。

      1. 移行先階層に必要なすべてのリソースがソース階層から正常に移行されたことを確認します。 これには、データとクライアントが含まれる場合があります。

      2. Configuration Manager 2007 階層の各ソース サイトからのデータの収集を停止します。 そのためには、最下層のソース サイトで [データ収集の停止] アクションを実行してから、親サイトごとにそのプロセスを繰り返します。 ソース階層の最上位サイトは、データ収集を停止する最後のサイトにする必要があります。 **親サイトでこのアクションを実行する前に、各子サイトでデータ収集を停止する必要があります。**データの収集を停止した後は、ソース階層と移行先階層の間で配布ポイントを共有できなくなります。

      3. 移行データをクリーンアップします。 そのためには、[移行データのクリーン アップ] アクションを使用します。 この省略可能なアクションにより、移行先階層のデータベースから現在のソース階層に関するデータが削除されます。 移行データをクリーンアップするまで、実行済み、または実行予定の各移行ジョブは Configuration Manager コンソール内でアクセス可能な状態のままになります。 移行データをクリーンアップすると、移行に関するほとんどのデータが移行先階層のデータベースから削除されます。 「System Center 2012 Configuration Manager での移行の完了」を参照してください。

      **検証手順:**移行はいくつかの異なるアクションまたはフェーズで構成され、移行プロセスが完了することをユーザーが決定するまで続きます。 したがって、移行が完了したことを確認できる単一の検証手順やプロセスはありません。 代わりに、各フェーズのアクションが実行されたか、完了したときに System Center 2012 R2 Configuration Manager コンソールに表示される結果を確認できます。

    7. Configuration Manager 2007 階層の使用を停止します。 ソース階層からの移行を完了し、そのソース階層に管理対象のリソースがなくなったら、ソース階層内のサイトの使用を停止し、環境から関連するインフラストラクチャを削除できます。 「サイトと階層を使用停止にするための Configuration Manager タスク」を参照してください。

  7. モバイル デバイス用の証明書またはキーを取得します。

    会社では、モバイル デバイスを登録する前に、証明書またはサイドローディング キーが必要になります。 環境内にあるモバイル デバイスの種類によって、証明書またはサイドローディング キーのどちらが必要かが決まります。 「プラットフォームごとの前提条件を満たす証明書またはキーを取得する」を参照してください。

  8. Windows Intune サブスクリプションを構成し、Windows Intune コネクタ サイト システムの役割を最上位サイトにインストールします。

    この会社は、Configuration Manager を使用してモバイル デバイスを管理する前に、Windows Intune サブスクリプションを構成し、Windows Intune コネクタ サイト システムの役割を最上位サイト サーバーにインストールする必要があります。 この例では、スタンドアロン プライマリ サイトを構成します。 さらに複雑な階層の場合は、中央管理サイトを構成します。

    1. Windows Intune サブスクリプションを構成します。 「Windows Intune のサブスクリプションの構成」を参照してください。

    2. Windows Intune コネクタをインストールします。 「Windows Intune コネクタ サイト システムの役割」を参照してください。

    検証手順:

    • プライマリ サイト サーバー コンピューターで sitecomp.log を調べて、Windows Intune コネクタ サイト システムの役割が正常にインストールされたことを確認します。

    • Windows Intune コネクタをインストールするコンピューターで cloudusersync.log を調べて、ドメインのユーザーが Windows Intune に正常に同期されたことを確認します。

    • プライマリ サイト サーバー コンピューターで CertMgr.log を調べて、Windows Intune コネクタをインストールしたコンピューターがコネクタ証明書を共有していることを確認します。 証明書は、Windows Intune コネクタ サイト システムの役割のインストールが完了した後で共有されます。

    • Windows Intune コネクタをインストールするコンピューターで dmpuploader.log を調べて、コネクタ サイト システムの役割がポリシーおよび構成の変更を Windows Intune サービスにアップロードできることを確認します。

    • Windows Intune コネクタをインストールするコンピューターで dmpdownloader.log を調べて、Windows Intune コネクタが Windows Intune からメッセージをダウンロードできることを確認します。 このログでは、ダウンロード プロセスの最初の ping だけが示されている場合があり、ダウンロードに関するエントリが記録されるまでしばらくかかることがあります。

  9. モバイル デバイスを登録します。

    登録によって、ユーザー、モバイル デバイス、Windows Intune サービスの間に関係が確立されます。 ユーザーは自分のモバイル デバイスを登録します。 Android デバイスは登録されませんが、Exchange Server コネクタを使用して管理できます。 「モバイル デバイスの登録」を参照してください。

  10. System Center 2012 R2 Configuration Manager コンソールをインストールします。

    既定では、プライマリ サイトをインストールすると、Configuration Manager コンソールもプライマリ サイト サーバー コンピューターにインストールされます。 サイトのインストールの後、別の System Center 2012 R2 Configuration Manager コンソールをコンピューターにインストールしてサイトを管理できます。 「Configuration Manager コンソールのインストール」を参照してください。

  11. PC およびモバイル デバイスを管理します。

    サイトをインストールして基本的な構成を行った後、PC およびモバイル デバイスの管理の構成を始めることができます。 構成できる一般的なフィーチャーまたは機能を以下に示します。

    機能 詳細

    ハードウェア インベントリ

    組織内のクライアント デバイスのハードウェア構成に関する情報を収集する場合は、ハードウェア インベントリを使用します。

    ソフトウェア インベントリ

    組織内のクライアント デバイスに含まれるファイルに関する情報を収集する場合は、ソフトウェア インベントリを使用します。 また、ソフトウェア インベントリはクライアント デバイスからファイルを収集し、サイト サーバーに格納することができます。

    資産インテリジェンス

    企業全体のソフトウェア ライセンス使用状況のインベントリを作成して管理し、ハードウェアおよびソフトウェアに関して収集される情報の幅を広げる場合は、資産インテリジェンスを使用します。

    コンプライアンス設定

    組織内のサーバー、ラップトップ、デスクトップ コンピューター、モバイル デバイスの構成とコンプライアンスを管理する場合は、コンプライアンス設定を使用します。

    会社のリソースへのアクセス

    以下を構成して、組織内のユーザーがリモートの場所からデータおよびアプリケーションにアクセスできるようにする場合は、会社のリソースへのアクセスを使用します。

    • 証明書プロファイル

    • VPN プロファイル

    • Wi-Fi プロファイル

    リモート接続プロファイル

    ユーザーがドメインに接続されていないか、ユーザーの個人所有コンピューターがインターネット経由で接続されている場合に、ユーザーがリモートで作業用コンピューターに接続できるようにする場合は、リモート接続プロファイルを使用します。

    アプリケーション管理

    Configuration Manager 管理ユーザーとクライアント デバイス ユーザーの両方が企業内のアプリケーションを管理する場合は、アプリケーション管理を使用します。

    ソフトウェア更新プログラム

    コンプライアンスを監視し、ソフトウェア更新プログラムを企業内のコンピューターに展開する場合は、ソフトウェア更新プログラムを使用します。

    モバイル デバイスの管理

    Windows Intune サービスを使用してインターネット経由で Windows Phone 8、Windows RT、iOS、Android デバイスを管理できるようにする場合は、このチュートリアルの手順を使用します。

    モバイル デバイスからの会社のコンテンツのワイプ

    Windows Phone 8、iOS、Android デバイスで完全なワイプを行って、デバイスを工場出荷時の設定に戻すことができます。 または、会社のコンテンツだけを削除する選択的なワイプを行うこともできます。

関連項目

コンテンツ タイプ 参照先

製品評価/はじめに

参照先

関連ソリューション

コミュニティ リソース