Intuneは細かい制御に向かない?完全移行よりMCM(MECM)と共同管理がおすすめ
リモート環境もオンプレミス環境も管理できるIntuneは非常に便利で、MCM(MECM)よりも優れているように見えます。
ただ、MCMでは可能でもIntuneでは不可能なことが多数あります。MCMからIntuneに安易に完全移行してしまうと困った事態となる可能性が高いです。
では、IntuneはあきらめてMCMを使い続けるしかないのでしょうか?
はじめに
リモートワークの普及から、クラウドで既存のオンプレミス環境を管理できるIntuneが新たなエンドポイント管理ツールとして注目を浴びています。
しかし、今までMCMでできていたことがIntuneではできないということがあります。
弊社はMCMからIntuneへの完全移行を考えているお客様に対し、既存の環境を残したままMCMとIntuneを連携させる「共同管理」をおすすめしています。
Intuneとは
Microsoft Intuneはクラウドベースの端末管理ソリューションです。
主な機能は、管理下にあるクライアントのマルウェアの検知状況や、セキュリティパッチの適用状況、ハードウェア構成やインストールされているソフトウェア情報の一元管理などがあります。
Intuneに移行するメリット
MCMのようにオンプレミス上にサーバー環境を構築する必要が無く、サーバーの設置コストなど、オンプレミス環境に割くリソースを削ることができます。
またインターネットベースの管理であることから、インターネット接続さえあれば社内ネットワークも社外ネットワーク端末どちらも管理することが可能です。
Intuneの移行方法には、すべてIntuneに移行する「完全移行」とMCMと連携する「共同管理」があります。
Intune完全移行をおすすめしない理由
IntuneはMCMとは仕様が異なるプラットフォームのため、MCMで運用してきたことがIntuneでは実現できないことがあります。
安易にMCMから完全移行するのはおすすめしません。
Intune完全移行のデメリット
- インターネット接続が必須
- 回線負荷コントロールが難しい
- アプリ配信の細かい制御ができない
- アプリ・更新プログラムを特別な拡張子に変換する必要がある
- FU配信時の前提条件、制限事項がある
- MCMの管理方法の完全再現は不可能
インターネット接続が必須
管理、配信など、すべての操作にインターネット接続が必要です。
アプリの配信もインターネットを通して適用させるため、容量の大きいアプリの配信において、帯域を圧迫しないよう工夫する必要があります。
回線負荷コントロールが難しい
Intuneはインターネット接続が前提のため、回線負荷の制御が問題になってきます。
特に一か所のゲートウェイからインターネットに接続している場合は、帯域が圧迫され、アプリ配信が満足にできないような状況になることも珍しくありません。
その対策として、一か所のゲートウェイからインターネットに接している場合、LBO(ローカルブレイクアウト)によるネットワーク制御がありますが、IntuneではIPアドレスを指定する必要があります。
LBO(ローカルブレイクアウト):データセンターを経由せず、各拠点からルーターなどを介して直接クラウドサービスにアクセスすることで、ネットワーク制御を行う方法。
▼Intune用のIPアドレスについては以下リンクを参照して下さい。
また、LBO以外にも「Microsoft Connected Cache」というキャッシュサーバを置くことでMCMの配布ポイントに近い形式での運用が可能です。
Microsoft Connected Cacheは現在早期プレビュー限定の機能です。
更新リングで更新プログラムの細かい制御ができない
IntuneにはWindows Updateに関する挙動をコントロールできる「更新リング」という機能があります。
割り当てた対象へ自動的に更新プログラムを展開できる便利な機能なのですが、MCMと比較すると更新プログラムのオプションを細かくカスタマイズできません。
▼MCMと比べて「更新リング」ができない制御
- 更新リングで適用できる更新プログラムは基本的には最新の更新プログラムのみ
- 適用スケジュール設定が曜日、週ごとのみ
- 更新プログラムの適用期限や再起動実施は延長できるが、適用の停止はできない
パッケージ化してからIntuneで配信すると任意の更新プログラムを適用可能です。
アプリ・更新プログラムを特別な拡張子に変換する必要がある
更新プログラムをはじめとしたWindowsアプリ(Win32)、インストーラーファイル(.exeや.isoなど)は「.intunewinファイル」に変換する必要があります。
また、サイレントインスールオプションのないアプリ(GUI操作のみの場合)は、互換性の問題が発生する可能性があり、パッケージ化する必要があります。
FU配信時の前提条件、制限事項がある
IntuneでFU(Feature Update)を配信するには、前提条件、制限事項を満たす必要があります。
前提条件として、Intuneのライセンスとは別に「Windows Update for Businessデプロイサービス」のライセンスが含まれたサブスクリプション加入が必要です。
制限事項については以下リンクを参照して下さい。
MCMの管理方法の完全再現は不可能
IntuneはMCMと異なるプラットフォームのため、いままで使用していたMCMの機能や設定をIntuneで完全に再現するのは不可能です。
完全移行より共同管理がおすすめ!!
MCMからIntuneへ完全に変えずとも、共同管理であれば、既存のMCM環境を残したままIntuneの機能を使うことができます。
共同管理のメリット
共同管理とはMCMとIntuneを組み合わせた、ハイブリッドな管理環境を構築する方法です。
オンプレミス環境とクラウド環境のエンドポイント管理が一元化され、複雑なデバイス環境に対してより効果的にセキュリティと生産性の向上が見込めます。
- Intuneで管理するかMCMか選ぶことができる
- MDM管理ができる
- Intuneベースのリモート操作ができる
- Azure ADに連携して管理できる
Intuneで管理するかMCMか選ぶことができる
MCMのワークロード機能によって、管理下のデバイスを機能ごとにMCM、Intuneどちらを使用するか細かく設定することができます。
管理するプラットフォームを以下の中からそれぞれ選ぶことができます。
・Configuration Manager(MCM)
・パイロットIntune
・Intune
「パイロットIntune」は基本的にはMCMで管理し一部のコレクションのみをIntuneで管理したい場合に使用します。
MDM管理ができる
サーバーや社用PCだけでなく、社用携帯、タブレットなども管理できるようになります。
Intuneベースのリモート操作ができる
インターネットを通して、デバイスの再起動、リモートコントロール、リセットなどが実行できます。
Azure ADに連携して管理できる
Azure ADの条件付きアクセスポリシーでクラウド環境とオンプレミス環境の両方のデバイスのステータスを使用して、組織のアプリやサービスへのアクセスを管理することが可能です。
共同管理設計はアーザスにお任せください!
お客様の環境によってどのように共同管理の設計をするか変わってきます。
アーザスでは共同管理の初期設計の実績がございますので、御社に合った共同管理設計を実施いたします!
▼▼お気軽にお問い合わせください▼▼