「Windows 10」を企業で活用するための機能や展開方法を解説する本連載、第2回目は企業ネットワークにWindows 10を導入するために必要な(1)Active Directoryの設定、(2)Volume Activation(ボリュームライセンスの認証手続きを自動化する作業)、(3)更新プログラムの管理—について説明する。
現在多くの企業では、社内LAN環境に「Active Directory」を導入し、「Windows 7」「Windows 8/8.1」のコンピュータをActive Directoryにドメイン参加させて、グループポリシーによってコンピュータとユーザーを管理している。また、OSのボリュームライセンス認証は、KMS(キー管理サービス)ホストまたはMAK(マルチプルアクティベーションキー)を利用していることと思う。
さらに更新プログラムの管理、いわゆるセキュリティパッチの管理は「Windows Update Services」や「System Center Configuration Manager」を導入し、更新プログラムを配布している。最近ではクラウドサービスの利用、BYOD、ワークスタイルの変化にともない、社内LAN環境の外でデバイスを使うケースが増えてきており、モバイルデバイス管理(MDM)サービスを使う企業も多くなってきている。
このような環境にWindows 10のクライアントを導入するにあたり、企業のIT管理者はどのような準備を行えばいいのだろうか。Active Directoryのグループポリシー、ライセンス認証、更新プログラムの管理について、それぞれ具体的に解説する。
特に、更新プログラムの管理については、Windows 10から従来の「セキュリティ更新プログラム」に加えて「機能更新プログラム(Feature Update)」の2種類が提供されるようになるため、それぞれのアップデートの管理方法について検討する必要がある。
1.Active Directoryとグループポリシー
Windows 10のコンピュータは、Active Directoryのバージョンが「Windows Server 2008以降のドメインコントローラ」であれば問題なくドメイン参加できる。Windows 10で追加された新しい生体認証の仕組み「Windows Hello」も、Windows Server 2008以降のドメインコントローラで利用できる。ただし、新機能の「Microsoft Passport(パスワード不要のPKIベースの認証)」を社内LAN環境で利用するためには「Windows Server 2016(本記事時はTechnical Preview 3)」が必要だ。
Active Directoryでもう1つ重要な準備は、Windows 10で新たに追加されたグループポリシーの項目を、既存のドメインコントローラに追加する作業である。具体的な手順は以下の通り。
(1)こちらのサイトからWindows 10に対応したグループポリシー管理用テンプレートをダウンロード (2)ダウンロードしたMSIファイルを実行し、デフォルトインストール先である「C:\Program Files (x86)\Microsoft Group Policy\Windows 10\」にインストール (3)インストールフォルダ内の「PolicyDifinitions」フォルダをコピーし、ドメインコントローラの「%windir%\SYSVOL\sysvol\<ドメイン名>\Policies\」にコピー
- 注1:ADMXファイルのコピー後に警告メッセージが発生した場合は、こちらの「サポート技術情報(KB)」に記載されている手順で対処可能である
- 注2:また、こちらのサイトから、Windows 10で追加されたポリシー一覧のダウンロードも可能である
2.ライセンス認証について
既存の社内LAN環境でKMSホストを用いてライセンス認証を行っている場合、Windows 10の導入に際してはKMSホストにパッチを適用する必要がある。KMSホストのOSのバージョンにより適用するパッチが異なる。
- KMSホストのOSがWindows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2の場合に適用するパッチ
- KMSホストのOSがWindows 7、Windows Server 2008 R2の場合に適用するパッチ
KMSホストにパッチを適用後、Windows 10に対応したKMSキーをVLSC(Volume License Service Center)から入手し登録を行う。また、MAK認証を利用している場合は同様にVLSCからWindows 10に対応したMAKキーを入手する必要がある。 以下、KMSホストと必要となるキーの対応表となる。
KMSホストと認証できるクライアントOSと必要なキー
3.アップデートの管理
Windows 10では、機能の更新プログラム(Feature Update)と、セキュリティの更新プログラムの2種類がそれぞれ別のタイミングで配信されるようになる。
3.1 機能更新プログラムの配信管理
Windows 10からはWindows as a Serviceと呼ばれるサービシングモデルを採用している。今までのOSの提供とは異なり、OSの新しい機能を定期的に、無償で配信する仕組みに変わった。
サービシングモデルは、常に最新の機能を適用していく「Current Branch(CB)」、ある一定の期間が経過したのち新機能を適用するモデル「Current Branch for Business(CBB)」、10年間同じOSイメージを利用するモデル「Long Term Servicing Branch(LTSB)」の3種類がある。サービシングモデルの詳細は次回で解説するが、機能更新プログラムは最短4カ月の間隔で提供される。CBBでFeature Updateの適用を延期できるのは2つ先の機能更新プログラムが提供されるまでだ。仮に機能更新プログラムが4カ月ごとに配信されるとすると、最後のFeature Updateのリリースから8カ月目(2つ先の機能更新プログラムがリリースされた時点)で、次のFeature Updateを適用する必要がある。
Windows 10の導入にあたり、企業のIT管理者は自社でどのサービシングモデルを選択するか決める必要がある。ここで1点補足すると、3つのサービシングモデルは混在して選択可能だ。例えば、通常業務で利用するOA端末や社外に持ち出すモバイル端末にはCBまたはCBBを選択し、基幹業務端末や生産ライン端末にはLTSBを選択すると言った運用ができる。
さて、CBBを選択した場合は、Feature Update適用のタイミングを検討し、設定する必要がある。CB(Feature Updateの適用を延期しない)からCBBへの切り替えは、「アップグレードを延期する(Windows Updateの設定→Window Update→詳細オプション→アップグレードを延期するにチェック)」画面で行う。
「アップグレードを延期する」のチェックボックスでCBとCBBを切り替える
さらに、CBBでは「リング」という概念で、Feature Updateの適用を延期する期間をコンピュータや組織ごとに設定できる。リングの設定管理は、「Active Directory の グループポリシー」および、「WSUS(Windows Serer Update Service)」「SCCM(System Center Configuration Manager) vNext」で可能になる予定だ。
「グループポリシー」でCBBのFeature Update適用タイミングを設定
SCCMの対応は以下の通り。
System Center Configuration Managerの対応
機能のアップデート管理をまとめると次のようになる。
- Windows Updateから更新
- Windows Update for Businessから更新:今年後半提供予定
- Windows Serer Update Service(WSUS)から更新:Windows Server 2012以降のWSUSにパッチ適用が必要(Update to enable WSUS support for Windows 10 feature upgrades:https://support.microsoft.com/en-us/kb/3095113)
- System Center Configuration Managerから更新:SCCM vNextが必要