Microsoft Endpoint Configuration Manager とは？

皆さん、こんにちは。

今回は、初心に立ち返って、Microsoft Endpoint Configuration Manager (MECM, SCCM, Configuration Manager) とはどんな製品でどんなことが出来るかについてまとめてみようと思います。

なぜ、このネタを書こうかと思ったのかというと、最近、知り合いの人と、Microsoft Endpoint Configuration Manager について話していた時に、Microsoft Endpoint Configuration Manager って最初取っつきにくかったのですよねと言われ、確かに私も最初製品に触れた際にいまいち全体像を理解出来ていなかったなと思い、今回のネタを選びました。

なので、今回の記事は今まで Microsoft Endpoint Configuration Manager (MECM) や System Center Configuration Manager (SCCM) というキーワードは知っているけれど、具体的にどんな製品か分からない方向けの解説記事になります。初心者向けを対象としています。

<一言で Microsoft Endpoint Configuration Manager を表すと>

「クライアントコンピューターの統合管理用パッケージ製品」と言えるのではないでしょうか。一言と書きましたが、長いですねw

まず、Microsoft Endpoint Configuration Manager は後述のパートでも紹介しますが、クライアントコンピューターのライフサイクル (PC 導入から運用、そしてはリタイア) の過程を管理するための製品です。様々な機能が詰め込まれているため、様々な管理スキルも必要とされます。

<歴史>

次に、どの位の歴史がある製品かも抑えておきたいと思います。

現在の Microsoft Endpoint Configuration Manager は、何度か名称変更されています。

最初にリリースされた際は、Systems Management Server (SMS) という名前で 1994 年にリリースされました。

その後、2007 年に System Center Configuration Manager (SCCM) という名前になり、2012 年には、System Center 2012 Configuration Manager という製品名でリリースされました。

2015 年には、WaaS (Windows as a Service) の流れを受けて、Configuration Manager も定期的にメジャーバージョンのリリースがされるようになり、System Center Configuration Manager Current Branch 1511 のように名称が変わりました。

更に、2019 年には、System Center のブランドから Microsoft Endpoint Manager のブランドへ変更になり、現在の Microsoft Endpoint Configuration Manager という名前に変更されています。

1994 年から考えると 29 年目の製品ですかね。

<製品概要>

ここからは、以前勉強会で登壇した時の資料を基に紹介します。

Microsoft Endpoint Configuration Manager 概要 from Yutaro Tamai

まずは、概要でどのような機能があるかです。

上記のように幅広い機能がありますが、アプリケーション管理や OS の展開や更新プログラム管理の機能を主に使われている組織が多いように思います。もちろん、他の上記に記載の機能だったり、それ以外の機能も沢山あります。

下記からは個別機能についてざっくり紹介していきます。

<インベントリ管理>

まずは、インベントリ管理。Microsoft Endpoint Configuration Manager では既定の設定で、クライアントコンピューターにどのようなソフトウェアがインストールされているのかや物理メモリの容量やオペレーティングシステムのバージョンなどの情報を取得出来ます。

また、設定次第では、特定のファイル名や拡張子のファイルがクライアントコンピューターに存在しているか、そのバージョンやファイルサイズを取得することも出来ます。

<アプリケーション管理>

次に、アプリケーション管理です。各クライアントコンピューターに導入したいアプリケーションをサイレントで強制的に導入する orユーザードリブン型 (ユーザーの好きな時にアプリケーションをインストール出来る) の二つが選べます。また、スケジュール化など多用なアプリケーション配信の仕組みを整えることが出来ます。有償ソフトウェアの場合、承認が無いとインストール出来ない等。

メインどころと言っても過言では無い、OS 展開機能。これはかなりカスタマイズ要素があり、ゼロタッチ展開やライトタッチ展開など様々な OS 展開の種類を選択出来ます。この機能については紹介すると凄ーく長くなるので (かなり好きな機能なのでw) 割愛します。

<更新プログラム管理>

更新プログラム管理は、ソフトウェア更新プログラム (パッチ) の管理機能です。良く、WSUS (Windows Server Update Service) と比較されますが、大きな違いは、WSUS は動きとして、プル型に対し、Microsoft Endpoint Configuration Manager はプッシュ型のような動きが取れ、管理者側の設定次第で強制的にソフトウェア更新プログラムをインストールすることが出来ます。たとえ、ユーザーが管理者権限を持っていたとして、ソフトウェア更新プログラムをアンインストールしても、再度、強制的にソフトウェア更新プログラムが降ってきます。ここが、WSUS と大きな違いです。ただ、技術的には、Microsoft Endpoint Configuration Manager もエージェントがそのような振る舞いをするだけで、厳密にはプルでソフトウェア更新プログラムを取りに行きますが。

Microsoft Defender (Windows Defender) の管理をするための機能が Microsoft Endpoint Configuration Manager にあります。スキャンサイクルの制御や、パターンファイルの更新頻度やソースを設定することも出来ます。また、Microsoft Defender for Endpoint (Windows Defender ATP) のエンロールも出来ます。

<コンプライアンス設定>

この機能は馴染みの無い方も多いかと思います。この機能は、例えば組織にて強制したい設定やこのレジストリ値はこの値で無いと NG のような項目があった場合、準拠しているのか準拠していないのかを確認する、そして適切な値を設定するということが出来る機能です。この機能を用いることにより、組織内のクライアントコンピューターの設定値を均一化することも出来ます。

<リモートコントロール>

この機能は主にサービスデスク業務やユーザーサポート業務で利用するための機能です。専用のツールを使ってユーザーのマシンをリモートで操作できる機能です。この機能はリモートデスクトップと違い、ユーザーのセッションを奪わず、エンドユーザーとサポートする側が同じ画面を見ながら操作や対応を行えます。そのため、ユーザーサポートに適した機能かと思います。

Microsoft Endpoint Configuration Manager はオンプレミスの製品ですが、最近はクラウドと連携して、更に強化をしています。具体的には、Microsoft Endpoint Configuration Manager のサーバーと、Microsoft Endpoint Manager (Intune) を連携して、オンプレミスのデバイスを Microsoft Endpoint Manager のポータルから管理出来る機能などを用意しています。まだまだ出来ることは少ないですが、今後も Microsoft Endpoint Configuration Manager はクラウドの力を活用して強化していくと思います。

<まとめ>

今回はざっくり、Microsoft Endpoint Configuration Manager とはどのような製品なのかを紹介しました。もし、皆さんが知りたい内容なこの点は詳しくという機能などがありましたら、是非コメントしてみてください。

共有:

いいね: