2019年12月12日木曜日

Workspace ONE UEM の Windows 10 更新プログラム管理 〜 概要編 〜

こんにちは。
今年から Workspace ONE についてセミナーや展示会などのイベントや顧客訪問でお客様の声を伺う機会が増えたのですが、Windows 10 の更新プログラム管理についてWorkspace ONE でどのような管理ができるのか?とご質問頂くことが多かった気がします。

Windows 10 への移行が進む中、とりあえず移行したけど管理運用で困っているケースが少なくないのでしょう。また、そのなかでもやはり WaaS ( Windows as a Service )にどう対応していくか、運用方法で困っている方が多いのかと思います。
 

そこで、今回は” Workspace ONE UEM の Windows 10 更新プログラム管理”と題して、Workspace ONE UEM で Windows 10 の更新プログラム管理がどの様に行えるかを、数回に渡ってご紹介したいと思います。

今回は「概要編」です。
なぜ Workspace ONE UEM で更新プログラム管理を行ったほうがいいのか、どのような仕組みで管理しているか、といった情報をご紹介します。



■クラウドから Windows 10 の更新プログラム適用を管理

従来、Windows 10 の更新プログラム管理といえば、社内に構築したWSUS(Windows Server Update Services)や SCCM (Microsoft System Center Configuration Manager)で行うのが一般的でした。特に WSUS を使用しているケースが多いかと思います。この WSUS を使う主目的は3つあります。
【1】 更新プログラム適用タイミングのコントロール
【2】 クライアントの更新プログラム適用状況確認
【3】 更新プログラム取得時のインターネットトラフィックの削減(BranchCache)
このような WSUS による管理はPC ( Windows 10 )が社内のネットワークにあるのが前提でした。

ですが昨今は、PC が社内にあるのが当たり前ではなくなって来ているかと思います。自宅や出先でPC を開き仕事をする人が増えてきおり、場所に縛られない働き方が増えてきています。このような働き方が一般的になってくると PC が社内のネットワークに接続されないため、従来の WSUS による更新プログラム管理では管理しきれなくなってきます。そのためこれからの時代、Windows 10 がどこにいても管理できるように Workspace ONE UEMなどインターネット経由でクラウドから管理する方法が必要になってきています。



 ■Workspace ONE UEMの Windows 10 の更新プログラム管理機能

Workspace ONE UEMはクラウドサービスとして提供され、Windows 10をクラウドから管理することができます。Workspace ONE UEMで Windows 10 を管理する際は Workspace ONE UEM にデバイスを登録(加入)する必要があります。これについては、過去のブログで紹介しています。
この Workspace ONE UEM のWindows 10 管理は「リモート制御/紛失対策」「設定(プロファイル)配布」「アプリ配布」など様々な管理機能があり、「更新プログラムの管理」も可能です。

設定方法やどのような画面で管理できるかはこの後のブログで紹介しますが、まずは概要の仕組みを紹介します。Workspace ONE UEM で実施される更新プログラム管理概要を簡単な図で説明すると以下の様になります。

【主な流れ】
《1》Workspace ONE UEM からWindows 10 に更新プログラムの取得ルール(プロファイル)を適用
《2》クライアント Windows 10 がクラウド上にある Microsoft のWindows Update サーバーに直接通信し、自分に適用できる更新プログラムの情報を取得(更新プログラム自体のダウンロードはまだ)
《3》クライアント Windows 10 が自分に適用できる更新プログラムの情報をWorkspace ONE UEMへ送信
《4》Workspace ONE UEM で更新プログラムの適用を承認(手動/自動)
《5》承認された更新プログラムの情報を確認
《6》承認された更新プログラムをMicrosoft のWindows Update サーバーからクライアント
※簡易的な説明の為、一部詳細の仕様と異なる場合があります。

以上のような仕組みで Windows 10 の更新プログラム管理を行います。


 ■WSUSの代わりになるのか?

Workspace ONE でのWindows 10 更新プログラム管理を説明すると上記質問をよく聞きます。個人的に「代わりになります!」と言い切るのは好きではないのですが、このブログ前半であげた”WSUS を使う主目的 3つ”はWorkspace ONE UEM の Windows 10 更新プログラム管理機能で代替えすることができます。

【1】 更新プログラム適用タイミングのコントロール
これは更新プロファイルと、承認機能で制御できます。更新プロファイルで品質更新プログラムや機能更新プログラムの適用遅延日数を指定することができます。また、WSUSのような管理者による更新プログラムの承認後の配布、といった管理も可能です。(この承認後の配布機能は他のWindows 10 管理MDM製品には無い機能かと思います)これらの機能を使うことで Microsoft から更新プログラムがリリースされてもすぐには適用されず、管理者の意図したタイミングでクライアントへ配布することが可能です。

【2】 クライアントの更新プログラム適用状況確認
クライアント Windows 10 に適用されている更新プログラムの状態をWorkspace ONE UEM の管理コンソールから確認することが可能です。クライアントPC単位での確認も、更新プログラム(KB)単位での確認も可能です。適用済みなのか、適用前なのか、インストール後の再起動待ちなのか、といった状態が確認できます。また、Workspace ONE Intelligence を使用すれば高度な管理も可能です。

【3】 更新プログラム取得時のインターネットトラフィックの削減(BranchCache)
前述の Windows 10 更新プログラム管理の仕組みでも記載しましたが、基本的にはMicrosoft のWindows Update サーバーから直接クライアント Windows 10が更新プログラムをダウンロードします。そのため、このままだとWSUSと比べインターネットトラフィックがとても増加してしまいます。
Workspace ONE UEM では更新プログラム取得時のインターネットトラフィックの削減のため、Windows 10 の配信最適化機能(P2P配信機能)を使用します。この機能を使用することで、クライアントPC同士で更新プログラムのファイルをやり取りし、インターネットトラフィックを削減します。


※上記図はイメージですので実際の配信最適化機能の動作とは異なります。


■まとめ

Windows 10は従来のように社内に閉じた環境の管理だけではなく、どこにいてもクラウドから管理する仕組みが必要になってきています。Workspace ONE UEM はクラウドから、従来のWSUSで必要とされるような更新プログラム管理を行うことができます。

今回の概要編では、背景や機能の概要をご紹介させて頂きました。
Workspace ONE UEM によるWindows 10 の更新プログラム管理を実現するためにキーとなる機能は「更新プロファイル」「承認機能」「更新プログラムの適用状態確認」「配信最適化」機能です。次のブログからはこれらの機能をそれぞれもう少し詳しく見ていきたいと思います。