エンドポイント管理の新時代ツール「Tanium」でWindows 10をFUしてみた

Windows
TaniumでWindows 10のFU展開

ロケーションを選ばず、簡単にデバイスを管理できると注目されているエンドポイント管理ツール「Tanium」。

既に普及しているMECM(SCCM)と比べて何ができるのか、どう違うのか気になりますよね。

実際に仮想環境(Hyper-V)のクライアントPCを使って、Windows 10の機能更新プログラム(FU)を適用してみました。

MECM(SCCM)のFUと比べてどう違う?

?

  • 適用が早いので時間がかからない
  • ネットワーク負荷を抑えた展開が可能
  • デバイス単位で配信できる
  • パッケージのフレームワークが用意されている

展開が比較的早い

MECMでは3~4時間ほどかかることもあるFUの展開も、Taniumでは30分~1時間ほどで完了します。

また、展開が失敗しても「即座にログが反映される」「確認したいデータがすぐに返ってくる」ため、エラーの原因を早急に究明できます。

ネットワーク負荷を抑えた展開が可能

FUは展開するファイルサイズが大きいため、ネットワークの帯域圧迫に頭を悩ませることが多いです。

Taniumは「リニアチェーン・アーキテクチャ」を使用した方式で展開を行いますので、ネットワーク負荷を抑えることができます。

▼リニアチェーン・アーキテクチャの仕組みについてはこちらの記事を参照してください。

「境界」は不要

Taniumでは「境界」を設定する必要はありません。配信対象クライアントのIPアドレスを設定する必要もありません。

配信するパッケージのフレームワークが用意されている

配信するパッケージのフレームワークが既に用意されているため、毎回最初からパッケージを作る必要がありません。

パッケージのフレームワークを編集して配信対象の条件を変更したり、その都度オプション条件を追加・削除するだけでパッケージ作成が完了します。

TaniumのFU展開方法

Taniumにはアップグレードファイルを配信する方法として「有効化パッケージアップグレード」と「インプレースアップグレード」の2つが用意されています。

有効化パッケージアップグレード

有効化パッケージ

こちらは機能更新プログラム(FU)をそのままクライアントに展開する方法です。

「定義済みパッケージギャラリー(the Predefined Package Gallery)」から機能更新ソフトウェアのパッケージのみ(例:Windows 10 バージョン 21H2 の機能更新プログラム (KB5003791))をインポートし、そのまま対象とするクライアントへ展開します。

サポートされているOSは、Windows 10 2004~21H2 です。

インプレースアップグレード

主に「1.ファイル配信」「2.再スキャン」「3.アップグレード実行」の3段階に分けたパッケージを配信する方法です。

サポートされているOSは、Windows 7 Service Pack 1 以降、Windows 10 2004~21H2、Windows 11 です。

1. ファイル配信

1

クライアントへアップグレードに必要なファイルのパッケージを配信します。

配信方法には「プレキャッシュ」「ダイレクトキャッシュ」の2種類方法があります。

◆プレキャッシュ
TaniumからクライアントへISOファイルとそれを実行するコマンドを配信する方法です。

オンプレミス環境のクライアントへの配信に適しています。

◆ダイレクトキャッシュ
「BITS(Background Intelligent Transfer Service)」を使用して、クライアントがMicrosoftのサーバーにアクセスし、ISOファイルをダウンロードさせる方法です。

リモートワークで使用しているPCのように、他のTanium管理下にあるデバイスと切り離されたネットワークにあるデバイスにも配信が可能です。

2. 互換性の修復と再スキャン(任意)

2

「1.ファイル配信」が失敗した場合、スキャン用のパッケージを配信してその原因をスキャンします。

成功した場合は実行の必要はありません。

3. アップグレード実行

3

アップグレード専用のパッケージを配信し、クライアントでアップグレードを実行します。

インプレースアップグレードでFUしてみた

仮想環境のクライアントPC「Tanium-client02」を Windows 10 21H1 から Windows 10 21H2 にFUしてみました。

21H1

配信は「インプレースアップグレード」で行います。

1. ファイルの配信

「ダイレクトキャッシュ」「プレキャッシュ」の両方を試しました。

方法1:ダイレクトキャッシュ

【1】クライアントのBITSが実行中になっているか確認します。
BITS

【2】クライアントでセキュリティソフトやWindows Defenderの設定で以下のフォルダをセキュリティから除外するよう設定します。

・「C:\Deploy\Tanium」

・「C:\Program Files (x86)\Tanium\」

除外

セキュリティ除外を設定しないと誤検知が発生しFU配信が正常に実行されない場合があります。

【3】Package Gallery > the Predefined Package Gallery に移動します。

以下の3つのパッケージを Software package にインポートします。

  • InPlace Upgrade to Windows 10 Version 21H2 – Phase1 – Direct-Cache
  • InPlace Upgrade to Windows 10 Version 21H2 x64 – Phase2 – Re-Scan
  • InPlace Upgrade to Windows 10 Version 21H2 x64 – Phase3 – Upgrade

インポート

【4】インポート後、Software packageから「InPlace Upgrade to Windows 10 Version 21H2 – Phase1 – Direct-Cache v1.0.6.5」を任意のクライアントにデプロイします。

▼デプロイに成功するとクライアントに「C:\deploy」フォルダが作成され、ファイルが格納されます。
OS

方法2:プレキャッシュ

【0】事前準備
解凍ソフト「7-zip」とOSのファイルを事前にダウンロードしておきます。

プレキャッシュはダイレクトキャッシュとは異なり、FU展開に必要なファイルを配信側であらかじめ準備する必要があります。

  • 7-zip.msi
  • Windows 10 21H2のISOファイル

【1】クライアントでセキュリティソフトやWindows Defenderの設定で以下のフォルダをセキュリティから除外するよう設定します。

・「C:\Deploy\Tanium」

・「C:\Program Files (x86)\Tanium\」

除外

セキュリティ除外を設定しないと誤検知が発生しFU配信が正常に実行されない場合があります。

【2】Package Gallery > the Predefined Package Gallery に移動します。

以下の3つのパッケージを Software package にインポートします。

  • InPlace Upgrade to Windows 10 Version 21H2 x64 – Phase1 – Pre-Cache
  • InPlace Upgrade to Windows 10 Version 21H2 x64 – Phase2 – Re-Scan
  • InPlace Upgrade to Windows 10 Version 21H2 x64 – Phase3 – Upgrade

インポート2

【3】Software Packagesで「InPlace Upgrade to Windows 10 Version 21H2 x86 – Phase1 – Pre-Cache v1.0.6.5」を選択し「Edit」を選択します。
プレキャッシュ

【4】Package Files を開き、【0】事前準備 でダウンロードした「7-zip.msi」「ISOファイル」をアップロードします。
ファイル1

ファイル2

【5】「Update Detection」「Install Verification」の言語設定を「1033」から日本語の言語パック「1041」に書き換えて保存します。

Update Detection

Install Verification
tanium03_07

【6】任意のクライアントにデプロイします。

▼ダイレクトキャッシュと同様、デプロイに成功するとクライアントに「C:\deploy」フォルダが作成され、中にファイルが配信されます。
OS

2. 互換性の修復と再スキャン(ファイルの配信失敗時)

「1. ファイルの配信」が失敗した場合、コンパチビリティチェックのデプロイを実行し、エンドポイントの互換性の問題を確認します。

成功した場合は「互換性の修復と再スキャン」を実施する必要はありません。

【1】「InPlace Upgrade to Windows 10 Version 21H2 x64 – Phase2 – Re-Scan v1.0.6.5」を「Edit」で編集します。

【2】 「Update Detection」、「Install Verification」の言語設定を「1033」から日本語の言語パック「1041」に書き換えて保存します。

Update Detection

Install Verification
tanium03_07

【3】コンパチビリティチェックのステータスは以下のQuestionで確認可能です。

Get Computer Name and Deploy - Windows Upgrade Scan Details from all machines

question

【4】該当するクライアントが「Passed: No error Data」と記録されたらアップグレードへ進むことができます。

3. アップグレード

【1】Software Packagesで「InPlace Upgrade to Windows 10 Version 21H2 x64 – Phase3 – Upgrade」をデプロイします。

【2】「Deployment Workflow」の「Restart」メニューを開きます。

Restart」を選択して、デプロイを実行します。

再起動0

【3】クライアントが自動的に再起動します。クライアント側のアップグレードが確認できたら完了です。
再起動1

▼アップグレード前
21H1

▼アップグレード後
再起動2

【関連記事】新世代エンドポイント管理ツール「Tanium」の特徴とは?MECM(SCCM)とどう違う?

【関連記事】エンドポイント管理の新時代ツール「Tanium」でプログラム配信してみた

終わりに

今回はTaniumを使ってWindows 10をFUしました。

Taniumの操作は少し独特ですが、FU展開が短時間で終わったりネットワークの帯域圧迫の心配が少ないことが長所だと思います。

ダイレクトキャッシュを使用すればリモートワークで社外にあるデバイスにもFU適用することができます。

リモートワークが当たり前になってきた今、是非Taniumの導入を考えてみてはいかがでしょうか。