IT エンジニアのための流し読み Windows 10 - 入門！System Center Configration Manager

IT エンジニアのための流し読み Windows 10
入門！ System Center Configuration Manager
2019 年 6 月
太田卓也
takuya.ohta@outlook.com

本資料について
本資料は技術勉強用の資料として公開しています
マイクロソフトの正式見解であったり、内容をコミットするものではございません。
内容を一部だけ変更して使うなどを控えていただければ、シェアは自由にしていただいて構いません。
ただし、ビジネスでの使用はお控えください。m(_ _)m
太田卓也 (オオタタクヤ)
マイクロソフトのエンジニア
現在は主に Windows 10 を担当しています
何かあれば遠慮なく ☺

[SCCM 友の会]
System Center Configuration Manager
この秋おさえておきたい最新機能!
https://youtu.be/U8CUI3NJEfE
本資料は SCCM の「概要」を簡単にまとめています。
2018 秋時点での SCCM の最新機能については
Tech Summit 2018 の動画を参考に！☺

System Center Configuration Manager とは？
クライアント PC の統合管理用パッケージ製品
Intune との連携
マルチデバイス・機能連携
コンプライアンス設定
システム構成の監査
デバイスとユーザーを管理するのに役立つ機能を提供
IT スタッフやユーザーの生産性と効率を向上

基本動作概要
SCCM サイトの役割
SCCM
サイトサーバー
管理者による設定
収集情報の確認
配布ポイント
ソフトウェア更新
ポイント
管理ポイント
クライアント
SCCM クライアント
エージェントを
インストール
ポリシーの取得
状態のレポート
ファイルのダウンロード
更新プログラム
カタログの取得
ポリシーの配信
ファイルのコピー
更新プログラム
カタログの同期命令
◼ 上記は役割例でこれ以外にも 20 以上存在 (分散)
◼ 役割は 1 つのサーバーに複数設定も可能 (集約)
◼ 1 つの役割を複数のサーバー設定することも可能 (分散・冗長)

柔軟な構成も可能
中央管理サイト
全てのプライマリ
サイトを集中管理
支店の管理者が
管理・制御を実施
管理ポイントや
配布ポイントは
複数設置可能
プライマリ
サイトサーバー 1
プライマリ
サイトサーバー2
プライマリ
サイトサーバー 3
情報の同期
情報の同期
情報の同期
役割
◼ 管理ポイント
◼ 配布ポイント
役割
◼ サイトサーバー
セカンダリ
サイトネットワーク帯域が
十分でない場合など
役割
役割
◼ データベース
役割
役割
サーバー

サーバー構築イメージ
CPU : 16 Core
RAM : 96 GB
CPU : 4 Core
RAM : 8 GB
主な役割
CPU : 8 Core
RAM : 16 GB
主な役割
主な役割
◼ ソフトウェア
更新ポイント
SCCM サーバー構成例
SCCM の設計や構築について
SCCM の設計は環境・必要要件や機能に応じて大きく左右されます。
実際の設計や設定の相談については別途承らせていただきますのでご了承ください。
SCCM の必要要件や推奨構成について
◼ サイジング
◼ サイトシステムの前提条件
◼ サポートされるサーバー OS
◼ 推奨ハードウェア
◼ サポートされるクライアント OS
◼ 機能やネットワークのサポート要件
◼ 弊社パートナー企業
◼ マイクロソフトコンサルティングサービス
◼ マイクロソフトプレミアサポート
System Center Configuration Manager のサポートされている構成
https://docs.microsoft.com/ja-jp/sccm/core/plan-design/configs/supported-configurations
Active Directory SCCM サイトサーバー更新プログラム管理用サーバー
CPU : 2 Core
RAM : 8 GB
主な役割
クライアント管理
ファイル配布用サーバー1
拠点用クライアント管理
ファイル配布用サーバー2
2,000 台のクライアントが利用 2,000 台のクライアントが利用

インベントリ管理 - 資産の情報の収集と特定
自動収集される情報一例
こんな課題を解決
◼ 社内のシステム構成情報を把握したい
◼ インストールされているソフトウエアや利用状況を把握したい
SCCM の特徴
◼ 標準で 30 種 200 属性の詳細なハード / ソフトウエア情報
◼ SCCM クライアントが定期的に自動収集
◼ 収集した情報はツールやレポートで確認
◼ ハードウェア
◼ OS バージョン
◼ ネットワーク設定
◼ アプリケーション一覧
◼ ディスク上のファイル
◼ 更新プログラム
◼ クライアントのステータス
◼ BitLocker のステータス
コンソールから自動収集したイン
ベントリの確認が可能※ OS 上のツールやコマンドで見れる情報のほとんどは収集が可能とお考え下さい
インベントリ管理アプリケーション管理 OS の展開更新プログラム管理
Endpoint Protection コンプライアンス設定リモートコントロール Intune との連携

インベントリ管理アプリケーション管理 OS の展開更新プログラム管理
収集したインベントリは様々な機能で活用
コレクションは SCCM の重要かつ強力な基本機能
それ以外での利用例
◼ ライセンスやアプリケーションの利用状況の確認
◼ 特定の条件に合致するクライアントの特定
◼ グループ分け (コレクション) に活用
標準レポート機能により社内システ
ムの情報が確認できる
一般的な利用例
◼ コンソールからインベントリ情報の確認
◼ 標準レポート機能を使用してレポート出力
◼ SQL Reporting Service による高度なレポートやカスタム
レポートの作成
インベントリ情報を利用してグループ分けすることが可能。
またメンバーは自動的に更新することができ様々な面で活用可能。
コレクションを使用する例
◼ あるメーカーの機種の PC にのみ更新プログラムを配信
◼ 特定の部署のユーザーに対してのみアプリケーションを配信
◼ 特定のアプリが入っている PC のみレジストリ設定を配信する
Excel や PDF などの形式で出
力することも可能

インベントリアプリケーション管理 OS の展開更新プログラム管理
アプリケーションの管理 – ソフトウェアの配信をサポート
◼ ソフトウェアの配信を人海戦術で行っている
◼ 拠点間の WAN に負荷をかけず、帯域制御をしながらソフトウェ
アの配信をしたい
SCCM の特徴
◼ ユーザーに対してローカル管理者権限を与えることなくソフトウエアのイ
ンストールが可能
◼ 定められたスケジュールでの強制インストールや条件、ユーザーの選択
によるインストールが可能
◼ ディスクの空き容量や OS バージョンなど、インストールの前提条件
チェックによるトラブルを未然に防止
ポータル機能により、ユーザーからのセルフサービスで
アプリケーションの配布も可能
配信可能なアプリケーション等の一例
◼ Windows アプリ (exe, msi)
◼ ストアアプリ (UWP)
◼ App-V 仮想アプリケーション
◼ コマンドの実行
◼ バッチファイル (bat)
◼ スクリプト (PowerShell)
※ コマンドプロンプトで実行が出来るものは対応できるとお考え下さい

負荷分散やネットワーク帯域制御による展開にも対応
プライマリサイトサーバー
配布ポイント
配布ポイント配布ポイント
DMZ の
配布ポイント
サイトサーバーから配布ポイント (ファイルサーバー) 間の制御
◼ 使用する帯域の制御や転送を行う時間帯のスケジューリング
◼ オフラインでの転送も可能。DMZ やクラウドにも対応
◼ 配布ポイントは自由に増設が可能。クライアント OS も対応
配布ポイント (ファイルサーバー) からクライアント間の制御
◼ 使用する帯域の制御や転送を行う時間帯のスケジューリング
◼ ピアツーピア技術によるクライアント同士でのキャッシュ共有機能
拠点 A 拠点 B 拠点 D 外出先
データセンター
クラウド上の
配布ポイント
拠点 C
BITS による
帯域制御
BITS による帯域制御
(帯域幅、スケジュール)
メディアによる
オフライン転送
クライアント OS を
配布ポイントに設定
DMZ に
配布ポイントを配置
Azure 上に
配布ポイントを配置
ピアツーピアによる
キャッシュの共有 BITS による帯
域制御

OS 展開 – PC セットアップの自動化
◼ OS のマスターイメージが多くメンテナンスが大変
◼ 新規導入や故障時の OS 入れ替え時に手作業が多く時間がかかる
SCCM の特徴
◼ イメージ作成ツールによる容易な OS イメージの作成
◼ 「タスクシーケンス」機能による OS 展開プロセスの自動化
◼ ネットワークや DVD、USB メディアからの OS 展開方法に対応
「タスクシーケンス」機能により、手作業でやっていた
内容を自動化することが可能
「タスクシーケンス」による設定可能な項目例
◼ ユーザープロファイルの移行
• データの保存、復元
◼ ハードディスクの制御
• パーティションの作成
• フォーマット
◼ OS イメージの適用
◼ デバイスドライバーの管理
◼ Windows システム設定
• ドメイン / ワークグループ設定
• ネットワーク構成情報
◼ 更新プログラムの適用
◼ アプリケーションのインストール
◼ コマンドラインの実行
◼ ディスク暗号化 (BitLocker 設定)
※ クリーンインストールからの一連の設定作業が自動が出来るとお考え下さい

様々な OS の展開方法にも対応
① ネットワークブート (PXE)
② タスクシーケンス
ネットワークブートによる展開 SCCM エージェント
PC の電源投入後
F12 キーを押下
クライアントサーバー
最新パッケージを
クライアントに
ユーザーが好きな時に
実行も可能
クライアント
DVD/USB ブートによる展開
メディアで起動
クライアント
メディアでのオフライン展開
メディアで起動
クライアントメディアー
必要パッケージを
全て入れておく
① ネットワーク通信 (HTTP)
サーバー
① ネットワーク通信 (HTTP)
サーバー
① インストール

更新プログラムの管理 – 適格・確実に適用の管理
SCCM は様々な Windows Server の機能をコントロールします。
更新プログラムに関しては、Windows Server Update Services (WSUS) のカタログを情報
を利用しソフトウェア更新ポイント (SUP) という役割となります。
ただし、実際の更新プログラムの配信に関してはアプリケーション管理の機能を使うため、制度が
高いスケジュール設定が可能です。
◼ PC の更新プログラムの適用状況を正確に把握したい
◼ 更新プログラムの配信タイミングを厳密にコントロールしたい
◼ Windows 10 や Office 365 ProPlus を管理したい
SCCM の特徴
◼ Microsoft Update カタログと同様の仕組みの精度の高い検出
◼ SCCM の配信機能を利用した柔軟な配布コントロール
◼ すぐに使えるレポート機能
◼ 毎月の配信をパターン可し自動承認・配布制御も可能
更新プログラムの適用状況も
簡単に把握することが可能
Windows Server の機能 (WSUS) のカタログを使用

エンドユーザーに高度な知識やオペレーションが不要
◼ バルーンメッセージにより更新の有無をお知らせ
◼ 「ソフトウェアセンター」により、ユーザー自身で容易に更新のインストールが可能
簡単操作にて
適用が可能
ユーザーへの通知が可能
(日本語も対応してます)

Endpoint Protection - セキュリティ構成・管理を一元化
◼ セキュリティ管理と運用管理がばらばらになっている
◼ 問題発生時の切り分けが大きな負担になっている
SCCM の特徴
◼ Windows Defender ウイルス対策を管理・レポート
◼ 単一ツールでクライアント管理およびセキュリティ対策を実現
◼ サポートの一元化によりインシデント対応の時間 (工数) を短縮
マルウェア感染や修復履歴などが
レポートで可視化可能
SCCM のコンソールから
状況の確認が可能
SCCM のコンソールから
ポリシー設定が可能
OS の組み込み機能を
そのまま利用可能
SCCM で設定可能なセキュリティ機能の例
◼ Windows Defender ウイルス対策
◼ Windows ファイアウォール
◼ Windows Information Protection
◼ Windows Defender ATP
◼ Windows Defender Device Guard
◼ Windows Defender Exploit Guard
◼ Windows Defender Application Guard
※ Windows Defender ウイルス対策以外の機能はポリシーや設定の補助となります

コンプライアンス設定 – 構成の継続的な検査と修復
◼ ユーザーが利用している PC が適切な設定か分からない
◼ 適切でない場合には設定を修復したい
SCCM の特徴
◼ 望ましい状態と現状のギャップをレポートやアラートで可視化
◼ 特定の PC のレジストリ値やファイルの有無をベースラインとして利用し意図しない設定
の場合に自動修復も可能
あるべき設定への
修復スクリプトを設定
様々なベースラインを
設定することが可能
◼ ファイル
◼ レジストリ
◼ スクリプト
ネットワークブートによる展開
ベースライン
構成項目の設定
サーバークライアント
ベースラインの
チェック
自動修復
または
アラート生成ベースライン
◼ WMI
◼ XMML
◼ AD 情報

リモートコントロール - ヘルプデスクサポートの効率化
◼ ユーザーの PC などの構成情報を確認しつつ対応を行いたい
◼ ユーザーと画面を共有しながら作業を効率化したい
SCCM の特徴
◼ 専用のリモートツールによる機能
◼ SCCM のインベントリ情報を確認しながらのサポート、
◼ ヘルプデスクユーザーにはリモートコントロールのみなど、細かなセキュリ
ティコントロールが可能
リモートツールの機能一例
◼ UAC の対応
◼ キーボード、マウスのロック
◼ マルチモニター対応
◼ ファイル転送機能の強化
◼ ヘルプデスク担当者の表示
◼ コレクション単位での設定
◼ ロールベースセキュリティ
◼ ファイアーウォールの自動設定
◼ 低帯域での機能改善
◼ ポート要件の変更

Intune との連携 – 共同管理機能
◼ PC とモバイルデバイス管理を一元化したい
◼ クラウド環境への移行をスムーズに行いたい
SCCM の特徴
◼ 管理コンソールですべてのデバイスを一元管理
◼ モバイルデバイス、PC のポリシーをデバイスの種類や用
途に応じて設定し配布
◼ 「ワイプ」など Intune に登録されているデバイスで使用
できる機能の管理が可能
モバイルデバイスも同じコンソー
ルで管理が可能
以前にハイブリッドモバイルデバイス管理という機能で、SCCM と intune を統合管理
することが可能でしたが、2019/9/1 を持ちましたてサポート終了となります。
統合管理が必要な際は、今後は「共同管理機能」をご利用ください。
SCCM / Intune のハイブリッド MDM 管理
Hybrid MDM with Configuration Manager and Microsoft Intune
https://docs.microsoft.com/en-us/sccm/mdm/understand/hybrid-mobile-device-management

System Center
Configuration Manager
Appendix 1 - 社外のデバイス管理

社外のデバイスはそのままでは管理できない
AD CA
社内 LAN 環境インターネットDMZ
Firewall Firewall
社外の端末はポリシーや
アプリを受け取れない
◼ クラウド環境、intune などが利用できない
◼ 社外に存在するクライアントを管理したい
◼ 社外の端末にポリシーやアプリケーションを配布したい
SCCM の機能
◼ 「インターネットベースの管理」による DMZ 上に配置したサイトシステム
によるクライアントの管理
◼ 「クライアント管理ゲートウェイ」オンプレミスサーバーへの追加コスト不要
の管理
管理ポイント
配布ポイント
ポイント

SCCM の機能 - インターネットベースのクライアント管理
DC CA
管理ポイント
配布ポイント
ポイント
DMZ にサーバーを配
置する必要あり
管理ポイント
ポイント
DC CA
配布ポイント
必要な構成
◼ 必要なサイトシステムの DMZ 上への配置・ドメイン参加
◼ サイトシステムのインターネット用 DNS 名
◼ PKI 証明書
◼ 信頼されたルート証明書
◼ インターネット通信と必要なポートの解放
制限される機能例
◼ クライアントのプッシュインストール
◼ サイトの自動割り当て
◼ Wake On LAN
◼ オペレーティングシステムの展開
◼ リモートコントロール
◼ ユーザーへのソフトウェアの展開 (ただし構成による)
Firewall Firewall
デバイスが社外に移動しても
管理が可能

SCCM の機能 - クラウド管理ゲートウェイ
AD CA
Azure
DMZ にサーバーを配置
する必要なし
必要な構成
◼ クラウド管理ゲートウェイ接続ポイント
◼ クライアント証明書の構成
◼ Azure への VM 展開、Azure サブスクリプション
◼ Azure での Configuration Manager の認証に使用される Azure
管理証明書
制限される機能例
◼ クライアントのプッシュ
◼ サイトの自動割り当て
◼ アプリケーションカタログ
◼ OS 展開・タスクシーケンス
◼ マネージメントコンソール
◼ Web サイトのレポート
◼ Wake On LAN
◼ Mac、Linux クライアント
◼ Azure Resource Manager
◼ ピアキャッシュ
クラウド
配布ポイント
クラウド管理
ゲートウェイ
クラウド管理
ゲートウェイ
接続ポイント
Port 443
管理ポイント
配布ポイント
ポイント
Firewall Firewall
デバイスが社外に移動しても
管理が可能

System Center
Configuration Manager
Appendix 2 – SCCM 関連資料

System Center Configuration Manager 関連資料
◼ System Center Configuration Manager のドキュメント
オンライン公式ドキュメントが公開されています。
https://docs.microsoft.com/ja-jp/sccm/
◼ Enterprise Mobility + Security ブログ
EMS の最新情報 Blog で一部 SCCM も含まれています。
https://blogs.technet.microsoft.com/enterprisemobility/
◼ System Center: Configuration Manager
開発部門による SCCM の情報発信 Blog です。
https://blogs.technet.microsoft.com/configurationmgr/
◼ ConfigMgrDogs
サポートによる SCCM/intune の情報発信 Blog です
https://blogs.technet.microsoft.com/configmgrdogs/
◼ System Center Configuration Manager Feedback
バグや新しい機能要求をフィードバックするサイトです。
気に入った意見に投票すると機能が実装される確率が上がります。
https://configurationmanager.uservoice.com/forums/300492-ideas
◼ Japan System Center Support Team Blog
日本マイクロソフト System Center サポートチームの公式ブログです
https://blogs.technet.microsoft.com/systemcenterjp/
一部のドキュメントは PDF で一括
ダウンロードが可能です！
Microsoft の製品ドキュメントは GitHub の管理に移行しております。
最新情報は docs.microsoft.com をご参照ください。

SCCM （CB) 1606ベースに環境構築から機能評価検証までを一通り評価可能です。
ご紹介ができてない機能があり、そこは後述の SCCM 2012 R2 の評価ガイドをご利用ください。
◼ System Center Configuration Manager (CB) 評価ガイド機能紹介とアーキテクチャ編
http://download.microsoft.com/download/F/0/D/F0D20D4C-B594-4341-924C-55DFF50FED88/SCCM_Architect_EvalGuide_jp.docx
◼ System Center Configuration Manager (CB) 評価ガイド環境構築編
http://download.microsoft.com/download/F/0/D/F0D20D4C-B594-4341-924C-55DFF50FED88/SCCM_CB_EvalGuide_jp.docx
◼ System Center Configuration Manager (CB) 評価ガイドモバイルデバイス展開編
http://download.microsoft.com/download/F/0/D/F0D20D4C-B594-4341-924C-55DFF50FED88/SCCM_EvalGuide_Intune_Integration_Deployment_jp.docx
◼ System Center Configuration Manager (CB) 評価ガイドモバイルデバイス運用管理編
http://download.microsoft.com/download/F/0/D/F0D20D4C-B594-4341-924C-55DFF50FED88/SCCM_EvalGuide_Intune_Integration_Management_jp.docx
◼ System Center Configuration Manager (CB) 評価ガイド Office 365 ProPlus 編
http://download.microsoft.com/download/F/0/D/F0D20D4C-B594-4341-924C-55DFF50FED88/SCCM_EvalGuide_O365ProPlus_jp.docx
◼ System Center Configuration Manager (CB) 評価ガイド Windows 10 管理編
http://download.microsoft.com/download/F/0/D/F0D20D4C-B594-4341-924C-55DFF50FED88/SCCM_EvalGuide_Win10_Management_jp.docx
System Center Configuration Manager (CB) 評価ガイド
今後も様々なテーマで追加します！！

◼ System Center 2012 R2 Configuration Manager 評価ガイド - 機能紹介とアーキテクチャ編
http://www.microsoft.com/ja-jp/download/details.aspx?id=41674
◼ System Center 2012 R2 Configuration Manager 評価ガイド - 基本環境構築編
◼ System Center 2012 R2 Configuration Manager 評価ガイド - インベントリ収集編
◼ System Center 2012 R2 Configuration Manager 評価ガイド - アプリケーション管理編
◼ System Center 2012 R2 Configuration Manager 評価ガイド - ソフトウェア更新プログラム展開編
◼ System Center 2012 R2 Configuration Manager 評価ガイド - Endpoint Protection 管理編
◼ System Center 2012 R2 Configuration Manager 評価ガイド - OS 展開編
◼ System Center 2012 R2 Configuration Manager 評価ガイド - モバイルデバイス管理編
◼ System Center 2012 R2 Configuration Manager 評価ガイド - モバイルデバイス展開編
http://download.microsoft.com/download/C/2/2/C224F787-9B74-4222-B4D1-
4367DE4BF0F1/System_Center_2012_R2_Configuration_Manager_EvalGuide_Windows_Intune_Integration_Deployment_jp_mod.docx
◼ System Center 2012 R2 Configuration Manager 評価ガイド - モバイルデバイス運用管理編
http://download.microsoft.com/download/C/2/2/C224F787-9B74-4222-B4D1-
4367DE4BF0F1/System_Center_2012_R2_Configuration_Manager_EvalGuide_Windows_Intune_Integration_Management_jp_
一部 SCCM CB 版の評価ガイドで該当するものが無い機能は 2012 版の評価ガイドで代用可能です。
System Center 2012 R2 Configuration Manager 評価ガイド

IT エンジニアのための流し読み Windows 10
入門！System Center Configuration Manager
END
太田卓也

IT エンジニアのための流し読み Windows 10 - 入門！System Center Configration Manager

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie IT エンジニアのための流し読み Windows 10 - 入門！System Center Configration Manager

Ähnlich wie IT エンジニアのための流し読み Windows 10 - 入門！System Center Configration Manager (20)

Mehr von TAKUYA OHTA

Mehr von TAKUYA OHTA (16)