編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」
「Windows 10」法人導入の手引き

Windows 10導入に必要な社内LAN環境の準備は?

野明純

2015-11-11 07:32

 「Windows 10」を企業で活用するための機能や展開方法を解説する本連載、第2回目は企業ネットワークにWindows 10を導入するために必要な(1)Active Directoryの設定、(2)Volume Activation(ボリュームライセンスの認証手続きを自動化する作業)、(3)更新プログラムの管理—について説明する。

 現在多くの企業では、社内LAN環境に「Active Directory」を導入し、「Windows 7」「Windows 8/8.1」のコンピュータをActive Directoryにドメイン参加させて、グループポリシーによってコンピュータとユーザーを管理している。また、OSのボリュームライセンス認証は、KMS(キー管理サービス)ホストまたはMAK(マルチプルアクティベーションキー)を利用していることと思う。

 さらに更新プログラムの管理、いわゆるセキュリティパッチの管理は「Windows Update Services」や「System Center Configuration Manager」を導入し、更新プログラムを配布している。最近ではクラウドサービスの利用、BYOD、ワークスタイルの変化にともない、社内LAN環境の外でデバイスを使うケースが増えてきており、モバイルデバイス管理(MDM)サービスを使う企業も多くなってきている。

 このような環境にWindows 10のクライアントを導入するにあたり、企業のIT管理者はどのような準備を行えばいいのだろうか。Active Directoryのグループポリシー、ライセンス認証、更新プログラムの管理について、それぞれ具体的に解説する。

 特に、更新プログラムの管理については、Windows 10から従来の「セキュリティ更新プログラム」に加えて「機能更新プログラム(Feature Update)」の2種類が提供されるようになるため、それぞれのアップデートの管理方法について検討する必要がある。

1.Active Directoryとグループポリシー

 Windows 10のコンピュータは、Active Directoryのバージョンが「Windows Server 2008以降のドメインコントローラ」であれば問題なくドメイン参加できる。Windows 10で追加された新しい生体認証の仕組み「Windows Hello」も、Windows Server 2008以降のドメインコントローラで利用できる。ただし、新機能の「Microsoft Passport(パスワード不要のPKIベースの認証)」を社内LAN環境で利用するためには「Windows Server 2016(本記事時はTechnical Preview 3)」が必要だ。

 Active Directoryでもう1つ重要な準備は、Windows 10で新たに追加されたグループポリシーの項目を、既存のドメインコントローラに追加する作業である。具体的な手順は以下の通り。

(1)こちらのサイトからWindows 10に対応したグループポリシー管理用テンプレートをダウンロード
(2)ダウンロードしたMSIファイルを実行し、デフォルトインストール先である「C:\Program Files (x86)\Microsoft Group Policy\Windows 10\」にインストール
(3)インストールフォルダ内の「PolicyDifinitions」フォルダをコピーし、ドメインコントローラの「%windir%\SYSVOL\sysvol\<ドメイン名>\Policies\」にコピー

  • 注1:ADMXファイルのコピー後に警告メッセージが発生した場合は、こちらの「サポート技術情報(KB)」に記載されている手順で対処可能である
  • 注2:また、こちらのサイトから、Windows 10で追加されたポリシー一覧のダウンロードも可能である

2.ライセンス認証について

 既存の社内LAN環境でKMSホストを用いてライセンス認証を行っている場合、Windows 10の導入に際してはKMSホストにパッチを適用する必要がある。KMSホストのOSのバージョンにより適用するパッチが異なる。

  • KMSホストのOSがWindows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2の場合に適用するパッチ
  • KMSホストのOSがWindows 7、Windows Server 2008 R2の場合に適用するパッチ

 KMSホストにパッチを適用後、Windows 10に対応したKMSキーをVLSC(Volume License Service Center)から入手し登録を行う。また、MAK認証を利用している場合は同様にVLSCからWindows 10に対応したMAKキーを入手する必要がある。 以下、KMSホストと必要となるキーの対応表となる。


KMSホストと認証できるクライアントOSと必要なキー

3.アップデートの管理

 Windows 10では、機能の更新プログラム(Feature Update)と、セキュリティの更新プログラムの2種類がそれぞれ別のタイミングで配信されるようになる。

3.1 機能更新プログラムの配信管理

 Windows 10からはWindows as a Serviceと呼ばれるサービシングモデルを採用している。今までのOSの提供とは異なり、OSの新しい機能を定期的に、無償で配信する仕組みに変わった。

 サービシングモデルは、常に最新の機能を適用していく「Current Branch(CB)」、ある一定の期間が経過したのち新機能を適用するモデル「Current Branch for Business(CBB)」、10年間同じOSイメージを利用するモデル「Long Term Servicing Branch(LTSB)」の3種類がある。サービシングモデルの詳細は次回で解説するが、機能更新プログラムは最短4カ月の間隔で提供される。CBBでFeature Updateの適用を延期できるのは2つ先の機能更新プログラムが提供されるまでだ。仮に機能更新プログラムが4カ月ごとに配信されるとすると、最後のFeature Updateのリリースから8カ月目(2つ先の機能更新プログラムがリリースされた時点)で、次のFeature Updateを適用する必要がある。

 Windows 10の導入にあたり、企業のIT管理者は自社でどのサービシングモデルを選択するか決める必要がある。ここで1点補足すると、3つのサービシングモデルは混在して選択可能だ。例えば、通常業務で利用するOA端末や社外に持ち出すモバイル端末にはCBまたはCBBを選択し、基幹業務端末や生産ライン端末にはLTSBを選択すると言った運用ができる。

 さて、CBBを選択した場合は、Feature Update適用のタイミングを検討し、設定する必要がある。CB(Feature Updateの適用を延期しない)からCBBへの切り替えは、「アップグレードを延期する(Windows Updateの設定→Window Update→詳細オプション→アップグレードを延期するにチェック)」画面で行う。


「アップグレードを延期する」のチェックボックスでCBとCBBを切り替える

 さらに、CBBでは「リング」という概念で、Feature Updateの適用を延期する期間をコンピュータや組織ごとに設定できる。リングの設定管理は、「Active Directory の グループポリシー」および、「WSUS(Windows Serer Update Service)」「SCCM(System Center Configuration Manager) vNext」で可能になる予定だ。


「グループポリシー」でCBBのFeature Update適用タイミングを設定

 SCCMの対応は以下の通り。


System Center Configuration Managerの対応

機能のアップデート管理をまとめると次のようになる。

  • Windows Updateから更新
  • Windows Update for Businessから更新:今年後半提供予定
  • Windows Serer Update Service(WSUS)から更新:Windows Server 2012以降のWSUSにパッチ適用が必要(Update to enable WSUS support for Windows 10 feature upgrades:https://support.microsoft.com/en-us/kb/3095113)
  • System Center Configuration Managerから更新:SCCM vNextが必要

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]