Windows Virtual Desktop (WVD) の Spring Update のポイント アンド クリック デプロイメント ツール、Azure の新しい Microsoft Endpoint Manager 管理センターでオンプレミスのデバイスをクラウドから管理しやすくする Config Manager 2004 のテクニカル プレビュー、そして Endpoint Manager と Azure AD がデバイスとアクセスの両方を管理するために同じコントロール プレーンを使用するようになった方法など、これらのリモート対応機能は、しばらく前から開発されていますが、確かにタイムリーです。
Microsoftは自社の開発者向けに2日間で3万2000台のデスクトップをWVDに導入し、多くのWVD顧客はさらに大規模な導入を進めています。WVDパートナー企業1社(独自のWVD管理サービスを持つNerdio)だけでも、3月以降、15万台から100万台に及ぶ30万社以上の企業に仮想デスクトップを導入しています。
在宅勤務者が増えたことで、物理デバイスに慣れ、仮想デスクトップの管理やセキュリティ保護の経験が必ずしもない組織にとって、VDIとDaaS(Desktop as a Service)が突如として注目を集めるようになりました。そのため、管理の簡素化が求められています。WVDが初めてリリースされた当時は、設定にAzureリソースの理解とAzure ADテナントへの手動接続が必要でした。WVDテナントの監視と管理は、PowerShell経由か、独自のAzure WebAppsをホストすることでしか行えませんでした。また、ユーザー数の増加に合わせてスケールアウトするには、同じデプロイメントを再度実行する必要がありました。
「専門知識を持つお客様は、1万台のVMを非常に迅速に立ち上げ、大きなメリットを得ることができました」と、Microsoft 365のプロダクトマーケティングディレクター、メリッサ・グラント氏はTechRepublicに語った。「しかし、エンドポイント管理者であってもAzureの経験がなく、以前は必要としなかったが今は必要としている方のために、よりシンプルなシナリオを用意できます。なぜなら、会社支給のノートPCを持っていなかったり、帰宅時に持ち運べなかったりする従業員にとって、仮想マシンは最適なソリューションとなるからです。従業員が個人用マシンで作業できるようにする必要があるため、新しいマシンを入手し、リモートでプロビジョニングして展開しようとしています。」
WVD は Azure Resource Manager (ARM) サービスになったため、シンプルな新しいインターフェイスを使用して Azure ポータルからデプロイ、管理、拡張できるようになりました。
ARM サービスである WVD は、既にご利用中の他の Azure サービスへの接続も容易です。ARM を使用すると、RemoteApp やデスクトップを個々のユーザーだけでなく Azure AD グループにも公開できます。また、Azure RBAC を使用してすべての WVD ARM オブジェクトの権限を制御できるため、WVD 自体の 4 つの管理者ロールよりもはるかにきめ細かな制御委任が可能になります。
また、PowerShell でログを調べるのではなく、Log Analytics を通じて WVD を監視することもできます。これにより、データに対して Kusto クエリや Power BI レポートを実行できます。(WVD の管理にまだ PowerShell を使用している場合は、RDS モジュールが AzWvd に置き換えられています。新しいコマンドを追加するには、Install-Module Az.DesktopVirtualization を実行してください。)
参照:在宅勤務とリモートワーカーの管理に関する250以上のヒント(TechRepublic Premium)
Microsoft Defender ATP を使えば、他のデバイスと同様に WVD デスクトップを監視し、その情報を Windows イベント ログや Azure Sentinel の WVD 診断ログと組み合わせることで、仮想デスクトップ、VM、その他のリソース全体にわたる包括的な脅威ハンティングが可能になります。新しい Azure Resource Manager オブジェクトを使用して WVD を管理する場合、既存のツールを使用するよりも設定プロセスがはるかに簡単になります。
今すぐ使い始めることができますが、Spring Update はまだプレビュー段階であり、新しいツールで既存の WVD デスクトップを管理することはできません。Microsoft は、2020 年後半の一般提供開始前に、それらを ARM に移行するための変換ツールを提供する予定です。
また、今年後半には、WVDテナントのメタデータと構成情報の保存場所を選択できるオプションも追加されます。これは、運用中のWVDデータとは別に保存されます。現時点では米国のみで、選択できるリージョンは米国のみですが、まもなくヨーロッパ、そして将来的にはグローバルのロケーションも選択できるようになります。
クラウドとConfig Managerを接続する
VPNでより多くのスタッフを接続することは、必ずしも容易ではありません。そのため、一部の組織では、VPNの容量を確保するために、スタッフにコアタイム中の業務制限を指示したり、セキュリティパッチの適用速度を落としたり、災害復旧オプションを削減したりすることを検討したりしています。Office 365とConfig Managerのトラフィックにスプリットトンネリングを設定し、クラウドからのデバイス管理を強化することで、セキュリティリスクを増大させることなくVPNの使用量を削減できます。Microsoftの試算によると、Azure Cloud Management Gatewayを使用してConfig ManagerからWindowsのパッチ火曜日の更新プログラムを取得する場合、PC1台あたり8セントのコストで、VPNに負荷をかけずに済みます。
次のステップは、Endpoint Manage での新しいテナントのアタッチです。これは、オンプレミスでの Config Manager の使用と Intune との完全な共同管理の中間的なものであり、Grant 氏はこれが「参入障壁を下げる」ことになると述べています。
「これにより、従来管理されていたデバイスでもクラウドサービスのメリットを享受できるようになります」とグラント氏は述べた。「ITプロフェッショナルは、Config Managerで管理されているかIntuneで管理されているかにかかわらず、所有するすべてのデバイスを統合的に把握できます。すべてのデバイスを一元的に把握し、Microsoft Endpoint Manager管理センターから直接、すべてのデバイスに適用されるアクションを実行できます。すべてのデバイスでクラウドサービスとクラウド管理を利用するために、別々のポータルにアクセスしたり、個別に操作したりする必要はありません。」
マイクロソフトは、エンドポイントマネージャーとオートパイロットを通じて10万台の新しいノートパソコンをプロビジョニングし、従業員の自宅に直接配送できるようにした企業と提携しました。「今では、これらすべてを単一の統合コンソールで管理し、セキュリティを確保し、データ漏洩を防ぎ、IDも確実に保護するための対策を講じることができます」とグラント氏は述べています。
参照:クロストレーニング ツールキット(TechRepublic Premium)
必要な数のクラウド アプリ (MongoDB データベース、Cisco Meraki IT ダッシュボード、Salesforce など) で MFA とシングル サインオンを使用できる機能は、オンプレミス アプリから迅速に移行する必要がある組織にとって便利です。
これは、Azure AD Premium ライセンスをお持ちのすべてのお客様にご利用いただけます。「商用オンラインサービスのサブスクリプションをお持ちのマイクロソフトのお客様は、シングルサインオンをご利用いただき、追加費用なしで多要素認証によるアクセス保護が可能になります。なぜなら、ID は安全で信頼性の高いリモートワーク環境を実現するための最初の出発点だからです」とグラント氏は述べています。「ID を保証し、エンドポイントマネージャーでの共同管理でもクラウドのみの [Intune] でも管理を適用することで、企業向けアプリケーションや基幹業務アプリケーション、教育用アプリケーションなど、ユーザーに適切なアプリケーションセットを確実に提供できます。」
しかし、Azure AD と Endpoint Manager が ID とアクセスに同じコントロール プレーンを使用するようになることは、単に SSO を有効にするよりもはるかに大きな前進です。仮想デスクトップやクラウド アプリを使用している場合でも、ドキュメントで共同作業を行っている場合でも、Teams 会議に参加している場合でも、これらのすべてのデバイスは、アクセスする前にセキュリティ レベルの証明などを行うことができます。デバイスが管理されていること、パッチが適用されていること、最新のマルウェア対策と暗号化が有効になっていること、さらには、ユーザーがデバイスを離れて戻ってきた場合にタイムアウトが発生してデバイスがロックされ、PIN を入力する必要があることを確認できます。これは、「ゼロ トラスト」セキュリティの実装に向けた大きな一歩であり、グループ ポリシーを適用してデバイス機能をロックするよりもはるかに強力な保護を提供し、PC の起動速度への影響もはるかに少なくなります。
より少ない帯域幅で、より多くのデバイスに、より多くのアプリを
Intune では、macOS デバイスの管理コントロールが待望の拡張され、Intune を介した Outlook Mobile の制御も強化されます。これは、ロックダウンによって、より広範囲のデバイスを扱えるようになるためです。
グラント氏は、macOS管理はMicrosoftとJAMFのパートナーシップに取って代わるものではなく、今後も継続されることを確認した。「これにより、スクリプト作成やタスク自動化といった、お客様からご要望の多かった追加のコントロールが追加され、エンドポイントマネージャーコンソール内でMacの設定が容易になります。」
グラント氏は、Outlook Mobile の Intune アプリ保護ポリシー (iOS および Android で職場および学校のアカウントがアクセスできるストレージを制限する) は、仕事と家庭が非常に重なり合っているため、会社のデータと従業員のプライバシーの両方を保護するためのものだと説明した。
モバイルデバイスで個人用と仕事用を行き来する場合、あるいはBYOD(個人所有デバイス)のシナリオ(BYODを意図していたか、あるいは単にBYODしか持っていなかったかに関わらず)において、Outlook Mobileで仕事用メールに誤って個人用ファイルを添付してしまうことを防ぐセキュリティを提供します。プライバシーの確保は依然として非常に重要であり、人々はマルチタスクをこなし、これまであまり慣れていない新しい方法で仕事をしています。私たちは、悪意のあるコンテンツが企業環境に侵入するのを防ぐだけでなく、個人用と仕事用の環境を分離できるようにすることで、人々のプライバシーを保護したいと考えています。
統合アプリ配信は、Intune の新しいポータルサイトに、Config Manager ソフトウェア センターと Azure AD マイ アプリという 2 つのアプリ ギャラリーを統合することで、混乱を解消することを目的としています。通常、これらを別々に管理する方が合理的だとグラント氏は示唆します。「組織の中には、ポータルサイトの使用に慣れたモバイル ワーカーがいて、本社のスタッフはソフトウェア センターを使用していたというケースもあるでしょう。しかし、今では本社のスタッフも現場に出て業務を行っています。そこで、IT 管理者がどのポータルサイトを使用していても、アプリを安全に展開できるようにしたいと考えました。」
また、エンドポイント マネージャーの生産性スコアの新しいネットワーク接続およびエンドポイント分析と連携して、IT 管理者が従業員の作業をスピードアップできるようにもなります。
「ネットワークに問題を抱えている職場の拠点を可視化し、業務の妨げとなっているネットワーク上の問題がないか確認できるようになりました」とグラント氏は述べた。以前は、接続状況が悪かったり遅延の問題が発生しているオフィス拠点にポリシーを適用するために役立っていたが、今ではITスタッフが提案を行うことができるようになった。「あるエリアで接続に問題がある場合は、Webアプリの利用を推奨したり、パケットサイズを縮小したり、ブロードバンドへの負荷を軽減するためにパッチ適用方法を変えたりするのも良いだろう。自宅のブロードバンドが遅いことに気づいた従業員には、『モバイル端末でカンパニーポータルを使ってアプリケーションにアクセスしてみてはいかがでしょうか?』と提案できるだろう。」
エンドポイントアナリティクスは、デバイスの健全性だけでなく、不満を抱えた従業員がヘルプデスクにチケットを発行する前に、デバイスの速度低下の原因も表示します。「グループポリシー、アップデートの不足、あるいは非常に使いにくいアプリケーションなどがパフォーマンスを低下させている箇所を特定できます」とグラント氏は述べています。
不要なエージェントと厳格なポリシーを取り除けば、SSD ベースのノート PC は、Microsoft 365 のコーポレート副社長 Brad Anderson 氏が自慢する、コールド ブートから Web ブラウザーを開くまでの 23 秒に匹敵する速度を実現できるはずだと Microsoft は示唆している。
