Windows PCの構成管理について①

構成管理について

本シリーズでは、Windows PCにおける構成管理について複数回にわたって解説します。今回は、グループポリシーを利用した構成管理について詳しく説明します。

グループポリシーとは

グループポリシーとは、PCの構成管理を行うためのツールです。
組織で利用するPCをユーザー配布するとき、PCを素の設定の状態で渡すという企業は少ないと思います。
なぜ素の状態で渡さないのか...というと、大きくは以下2つの理由と考えており、PCの構成管理を行う必要があります。

• 社内システムを利用するため
  社内のシステムを利用するためにはPC上に設定を入れる必要がある場合があります。素の状態で渡しても利用できないためマニュアルなどを用意することもできますが、利用者やIT担当者の負担を下げるため、設定を入れ込んだ状態でPCを渡します。
• セキュリティのため
  PCではいろいろな設定ができてしまいます。利用者が良かれと思って設定した内容がセキュリティホールになってしまう場合がありますので、利用者が変更できないように制御をかけることがあります。

また、社員が入社したタイミングやPCを交換する際、利用者はPCをただ受け取るだけですが、その前段ではIT担当者の人たちがたくさんの苦労をしています。(中にはPCを用意するだけでそんなに時間かかるの？と思う方もいるのでしょうか...。)
一般的なPCの準備の流れについて、以下のような進め方をとっている企業が多いと思います。

1. PCのイメージファイルを用意し、PCへコピーする。
2. PCを企業ドメイン(ADサーバー)へ参加する。
3. イメージファイルやグループポリシーで設定できない箇所を手動で設定し、ソフトウェアをインストールする。
4. 動作チェック、資産管理台帳への記入、、など諸々を対応
   (1の「イメージファイルを用意し」のところが一番大変な作業なんです...ここでは細かいことは触れませんが...。)

以上のような流れを経て、利用者はPCを受け取り業務へ取り組むことができます。
IT担当者の皆様...日々お疲れ様です。ありがとうございます。

グループポリシーにある課題

構成管理として利用するグループポリシーですが、オンプレミスADから配布する機能になるため、PCはADと通信が取れる状況下にいないと設定が適用されません。例えば、リモートワークが増える中で、PCが常にADと通信できる環境にない場合、設定が適用されないことがあります。

じゃあどうするの？

上記の解決策については、今あるITインフラでどうにかしよう！というのはなかなか難しいと考えています。課題を解決するにはソリューションを使う、組み合わせるなどが必要になります。

• VPNソリューションを利用する
  VPNは多くの企業で導入されていると思いますが、常時VPNな構成になっていない場合は利用者の任意のタイミングでしかポリシーを適用ができないことが課題になります。IT担当者からの適切なアナウンスをすることと、協力的な利用者様たちであることを願うばかりです。

• ポリシーのクラウド管理を利用する
  クラウド管理の例としてはMicrosoft Intuneがあげられます。Microsoft Intuneではグループポリシーと同様な設定も可能です。ADに依存しないためPCがネットワークにつながりサービスへアクセスできる状態であれば、どこにいても原則的にポリシーを適用することが可能です。

次回予告(？)

Intuneいいじゃん！という印象を与えたところで、
次回は、ポリシーのクラウド移行に関する考慮点について詳しく紹介します。