クラウドにおけるWindows 10構成 (2)

皆さんこんにちは。国井です。
今日はさっそく前回の続きから。

全体の構成

前回のおさらいになりますが、Windows 10デバイスをクラウド経由での管理を行う場合、次のようなステップを行うことを解説しました。

1. Azure ADグループの作成
2. デバイス登録
3. デフォルトアプリの削除
4. アプリの展開
5. エンドポイントセキュリティの設定
6. 更新プログラムの管理
7. コンプライアンスポリシーの設定
8. そのほか

前回は1~3までを紹介したので、今回は4から順番に見ていきます。

4. アプリの展開

Intuneでは.msi拡張子のセットアッププログラムのほか、Microsoft 365 Apps、Microsoft Edge(新しいほう)や.exe拡張子のセットアッププログラムなどを展開(インストール)できます。
世の中にある多くのセットアッププログラムは.exe拡張子ですが、Intuneで展開しようと思ったら結構面倒なことをしなければなりません。

.exeファイルを.intunewinファイルに変換するとか操作が面倒なんですが、言い方を換えれば.intunewinファイルに変換しちゃえば中身はなんでもいいってことになるので、.exeファイル以外のプログラムを配れたりします。手順こそ面倒ですけど、スクリプトを配る、証明書を配る、レジストリ設定を配る、、もうなんでもありですw

展開するときはユーザーに展開するか、デバイスに展開するか、って問題がありますが、
物理的にはアプリってデバイスにインストールするわけだから、デバイスグループを対象として展開するように設定してもらうのがわかりやすいかと思います。

ちなみにガイドにはMicrosoft 365 Appsの展開方法しか書いていなかったけど、MSさんはWord, Excelだけあれば僕らの仕事が完結すると思っているらしいですw

5. エンドポイントセキュリティの設定

セキュリティのためにやらなければならないことって色々ありますが、主だったものはIntuneの[エンドポイントセキュリティ]という項目からまとめて設定できます。

ガイドの中ではエンドポイントセキュリティの中にある、セキュリティベースラインという設定を推奨しています。セキュリティベースラインはマイクロソフトが推奨するセキュリティ設定をまとめたもので、例えば次のような設定を自動適用してくれます。

・BitLockerの有効化
・Device Guard/Credential Guardの有効化
・Microsoft Defender(ウイルス対策)の設定
・SMBv1の無効化
・ブラウザーのパスワードマネージャーをブロック
・イベントログの監査対象項目の設定
などなど

こうした設定の推奨値を提示してくれるのでありがたいのですが、
一方で言葉の意味すらよくわからないセキュリティ設定が勝手に有効化されているのも怖い…
例えばこんなのとか(累乗近似ってなに?)

image

こんなのとか…

image

丸いアイコンをクリックすると説明が出てくるんだけど、、

image

やる気がなくなる、この説明..
ということで、推奨だからと言って大風呂敷を広げるのではなく、わかる範囲で少しずつ設定していったらいいと思います。ちゃんとそのために[未構成]という設定が用意してありますので、これを使いましょう。

また、ファイアウォールの設定も含まれているのですが、企業のニーズとMSの推奨が異なる場合も多いと思いますので、決してそのまま使うのではなくニーズに合わせてカスタマイズして使うようにしてください。(そう考えると何回か検証を繰り返してから使い始めるような感じになることがおわかりいただけると思います)

6. 更新プログラムの管理

オンプレミスからクラウドへの切り替わりで一番大きなインパクトがあるのが更新プログラムの管理。オンプレミスだったらWSUS使って、、という管理だったと思いますが、Intuneの場合は各クライアントが直接インターネットから更新プログラムをダウンロード、インストールします。
コロナ禍で自宅でテザリングなど使いながら仕事してます、みたいな環境だと一発でパケ死するので、このあたりの環境をきちんと整備しておくことがWindows Updateの設定をやる前にやるべきことです。
更新プログラムの設定は デバイス > Windows 10 更新リング から行います。
ガイドでは以下のような設定を推奨していました。

image

image

アクティブ時間は更新プログラムのインストール後の再起動に影響を与える時間設定ですが、
このあたりは事業内容や勤務形態によって変わってくるでしょうから各社で検討が必要なポイントです。
あとは機能更新プログラムがリリースされてすぐにインストールするって運用を許容できるか?なども検討ポイントでしょう。

7. コンプライアンスポリシーの設定

コンプライアンスポリシーは会社で定めたポリシーに沿ってデバイスが利用されているかを確認するためのサービスですが、実態はAzure AD条件付きアクセスのアクセス制御の目的で使うことが多いのではないかと思います。

ですので、どんなデバイスの状態のときだったら会社が管理しているクラウドサービスへのアクセスを許可するか?という視点でコンプライアンスポリシーを作成していきますので、
それこそベストプラクティスは会社によって異なると思うんですよね。
一応、ガイドではこんな設定を推奨していますっていうのだけ載せておきます。

image

image

image

パスワードに関するポリシーを推奨しているけど、私個人的には設定したくないです。
だいぶ前に検証した時は、そのデバイスに設定されたパスワードが8文字以上のパスワードであるか識別できず、全員「非準拠」って判定されたこともあります。
また、パスワードの定期変更も今はお勧めできる設定じゃないので..

8. そのほか

1~7まででやり残したことがそのほかでは紹介されています。

■基幹業務アプリの実装
「4. アプリの展開」で紹介した方法で業務で必要なアプリをインストールすればよいでしょう。以上。

■組織のリソースにアクセスするために必要なリソースの展開
証明書とか、Wi-Fi設定とか、プリンター接続の設定などなど。
アプリの展開で展開するか、ポリシー(構成プロファイル)として展開するか、のいずれかの方法で展開できると思います。ただ、いずれの方法でも展開できない場合にはPowerShellで展開してしまうやり方があります。
例えば、プリンター接続の設定などは構成プロファイルに設定がありませんから、
PowerShellスクリプトでプリンターに接続するための設定を入れておいて、
Intuneからスクリプトを展開するような方法を採るとよいでしょう。

PowerShellスクリプトはIntune Management Extenstionと呼ばれるクライアントエージェントを経由して実行するのですが、このクライアントエージェントはタスクスケジューラの設定により、1日1回の実行です。そのため、リアルタイム性に欠けることが難点です。
また、PowerShellスクリプトを安易に利用し始めると、GUI(構成プロファイル)でできることまでPowerShellスクリプトで実現しようとする可能性があるので、それはできるだけ避けるようにしてください。メンテナンスしにくくなりますので。

■優先ドメインの設定
優先的に利用するAzure ADドメイン名を定義しておきます。それにより、Windowsサインイン時にユーザー名に@以降を入力する必要がなくなります。
Azure AD参加しているとき用の設定ですね。
設定は デバイス > 構成プロファイル > Windows 10 > デバイスの制限から行います。

image

■OneDriveのKnown Folder Move設定
ドキュメントフォルダーやデスクトップフォルダーなどのユーザープロファイルの中でデフォルトで定義されているフォルダーをOneDriveの同期フォルダーにしてしまえば、会社のPCのデスクトップに保存したファイルが別のPCからアクセスできるようになります。
これをKnown Folder Moveと呼ぶそうなのですが、その設定をIntuneからやりましょうという話です。
ごめんなさい、この設定は検証していないので、だれか失敗した!とか情報あったら教えていただけると嬉しいです。
設定は デバイス > 構成プロファイル > Windows 10 > 管理用テンプレートからアクセスし、コンピューターの構成\OneDrive配下の
[サイレントモードでWindowsの既知のフォルダーをOneDriveに移動する]を有効にします。

image

■SmartScreenの設定
危険なWebサイトへのアクセスやブラウザースクリプトの実行を制御するSmartScreenもIntuneで最初から設定しておいてリスクを低減しましょう。
ご覧の3つの設定を有効にしてください。
設定は デバイス > 構成プロファイル > Windows 10 > 管理用テンプレートからアクセスし、ユーザーの構成\Microsoft Edge\SmartScreen配下の設定項目になります。

image

■状態の監視
ここまでのところでIntuneを利用して色々な設定をしてきましたが、最後はそれらの設定が正しく適用されているか確認しましょうという話です。
プロファイルやアプリなどを展開すると展開状況を確認できますので、これを見ておきましょう。ただ、これを使ってトラブルがわかったところでできることは限られるんですけどね..

image

まとめ

クラウドベースのWindows 10管理はもっと深堀していけば、やるべき作業ってあると思うのですが、今回はガイドで紹介されている項目をピックアップして私なりの視点で解説してみました。そして、今回は具体的な手順については割愛して、やるべき作業だけにフォーカスして書いてみました。
具体的な作業等については追ってブログ等々でご紹介できればと思っています。