モダン マネージメントへの移行について考える

Intune, Microsoft, SCCM, 運用

皆さん、こんにちは。

今回は、概念的なお話をしたいと思います。

現在、企業にて Configuration Manager (Microsoft Configuration Manager, Microsoft Endpoint Configuration Manager (MECM), SCCM) を用いて、デバイスを管理されている方向けに、今後、組織の管理デバイスをモダン マネージメント (Microsoft Intune) に移行する際の考え方や戦略について紹介出来ればと思います。

<モダン マネージメントとは>
まずは、定義的な話から。

モダン マネージメントとは、既存の Active Directory、グループ ポリシー、Configuration Manager を使ったいわゆる、トラディショナル マネージメントと対比した言い方で、Microsoft Entra ID (Azure Active Directory)、Microsoft Intune を使ったクラウド ベースのデバイス管理手法のことを指します。

既存の Active Directory、グループ ポリシー、Configuration Manager を使った手法だと、今日のハイブリッド ワークの要件になかなか対応出来なかったリしますが、モダン マネージメントでは、クラウド ベースの管理であるため、デバイスがインターネットにさえ繋がっていれば、デバイスの管理が出来ます。逆に言うと、デバイスをインターネットに接続出来ない場合は、既存のトラディショナル マネージメントを引き続き行う必要があります。

https://learn.microsoft.com/ja-jp/windows/client-management/manage-windows-10-in-your-organization-modern-management

<なぜ、モダン マネージメントが必要なのか?>
前述のパートでも少し触れましたが、COVID-19 によるパンデミック以降は、組織でのデバイス管理の要件が一変しました。今まで、オンプレミスでのデバイスだけ管理していれば良かった組織も半ば強制的にハイブリッド ワークを選択せざるを得ない状況下となり、組織ネットワーク以外に接続されたデバイスの管理の重要性が増しました。

また、オンプレミスでのデバイス管理のトラディショナル マネージメントでは、デバイスを管理するために、Configuration Manager サーバーを社内で管理する等、デバイスを管理するための管理基盤も管理しなければいけません。(管理のための管理をしている状況下)

組織のデバイス管理者からすると、組織内のデバイスを管理したいだけなのに、管理基盤の管理もしなければならないというもどかしい課題もありました。

この点、モダン マネージメントでは、クラウド サービス (SaaS : Software as a Service) で管理サービスが提供されるため、本来のデバイス管理というタスクに集中出来ます。
そのため、モダン マネージメントへ移行を検討している組織が増えているように感じます。

<トラディショナル マネージメントからモダン マネージメントへの移行の難しさ>
もちろん、既存のトラディショナル マネージメントの運用が特殊な運用だったり、かなりカスタマイズされている場合、容易にモダン マネージメントには移行できません。というか、ラージ エンタープライズになればなる程、グループ ポリシーでの運用や Configuration Manager での運用をどっぷりやっているため、移行はそう簡単ではありません。

移行を計画される際は、現状のトラディショナル マネージメントの要件を今一度精査する必要があると思います。その上で、トラディショナル マネージメントの手法や方法をそのままモダン マネージメントに移行することは控えた方が良いと思います。あくまで、管理手法が異なりますし、設計思想も異なるため、何がビジネス要件なのかを良い機会と思い整理することを強くお勧めします。

その上で、実際の移行フェーズになった際に問題になるのは、”いつ”、”どんなタイミング” で各デバイスをトラディショナル マネージメントからモダン マネージメントに移行するかです。

一番簡単なのは、各デバイスのハードウェアを入れ換える際に、一緒にマネージメント手法を変える方法です。
例えば、今まで使っていた、クライアント デバイスを新しいハードウェアに換えるという時に、新しく配布するデバイスにモダン マネージメントの設定を行って配布をするというものです。

比較的規模が小さいと、この手法が有効ですが、ラージ エンタープライズの場合、デバイスを入れ換えるプロジェクトは大がかりになり、時間もかかるため、必ずしも、モダン マネージメントに入れ換えたい時に、クライアント デバイスを交換出来るとは限りません。
このような課題があるため、ラージ エンタープライズの組織では、なかなかモダン マネージメントに移行できないというのも事実です。

この課題に少しでもソリューションが適用出来ないかと思い、私は、現在、既存のトラディショナル マネージメント (Configuration Manager でデバイス管理しているクライアント) のマシンをマシンの入れ換え無しに、モダン マネージメント (Microsoft Intune の Windows Autopilot でのデバイス エンロール) への移行シナリオの検証を行っています。
実は、このシナリオは既に、Microsoft Learn に記事があります。

https://learn.microsoft.com/ja-jp/autopilot/tutorial/existing-devices/existing-devices-workflow

ただ、私のブログでは、ステップ バイ ステップにて紹介する記事を公開出来ればと思っています。

今後、実際の手順を記載したブログ記事を公開予定ですので、ご期待ください!