1. Windows 10 移行が招く、新たなクライアントPC管理の課題とは
多くの企業が移行し始めている Windows10 。この Windows 10 は「最後の Windows 」とも呼ばれ、Windows 10 以降のOSのバージョンアップは更新プログラムを介して提供される形に変更されました。また、ユニバーサルアプリケーションと呼ばれる、PC、スマートフォン、タブレット型端末などの複数のデバイスに対応するアプリケーションが導入されています。
しかし、これらの変更が、企業におけるユーザPCの管理をより複雑・困難にしています。なぜなら、以前までのOSのように更新プログラムを常に最新の状態にしていると、知らないうちにOSのバージョンアップが実行され、社内で使用しているシステムや自社開発のアプリケーションが突然動かなくなってしまったり、既存の Active Directory ではWindows 10 を管理するためのポリシーが不足しているといった事態を招いてしまったりするからです。
そこで今回は、既存の Active Directory を利用した Windows 10 のバージョンアップコントロールとグループポリシー管理についてご紹介します。
2. Windows 10 のサポート期間
まず知っておくべきことは、Windows 10 の各バージョンにはそれぞれ、サポート期間が存在するということです。Windows 10 の新バージョンは「機能更新プログラム」として、3月と9月の年2回、配布される仕組みになっています。この更新は、まず「Semi-Annual Channel (Target) –以前のCB」に対してリリースされ、それから約4カ月後に「Semi-Annual Channel – 以前のCBB」に対してリリースされます。「機能更新プログラム」の各リリースは、「Semi-Annual Channel (Target)」向けにリリースした後、原則として18カ月間サポートされます。
サポートが終了すると、「品質更新プログラム( Windows Update )」が提供されなくなるため、ウイルスなどの悪質なプログラムに感染してしまうリスクが非常に高くなり、たいへん危険な状態になります。
3. Windows 10 のバージョンアップコントロール
社内で使用しているシステムやアプリケーションが最新の Windows 10 に対応していないなどの理由で、必ずしも常に最新の「機能更新プログラム」を適用できるとは限りません。このような場合には、下記の方法で「機能更新プログラム」の適用を延期することによる、Windows 10 のバージョンアップコントロールを行うことができます。
- Active Directory のグループポリシーを利用して「機能更新プログラム」の適用を制限
コンピュータがドメインに参加し、Active Directory でグループポリシーを管理している環境であれば、一定期間、機能更新プログラム適用を延期させることができます。ただし、延期可能な期間は Windows 10 の各バージョンによって異なるため、確認しておく必要があります。 - WSUSサーバで「機能更新プログラム」配信を制限
クライアントPC( Windows 10 )へ「機能更新プログラム」を配信するか否かを決定します。
なお、Active Directory の無いワークグループ環境でも Windows Update の設定を行うことができますが、この場合は個々のクライアントPCでそれぞれ設定を行わないといけないため、台数分設定作業をしなくてなりません。
また、WSUSサーバは Windows 10 のバージョンアップコントロールだけでなく、Windows 7 などへの Windows Update の配信や社内ネットワークの負荷低減など、多くの利点があります。
次章では、Windows 10 を Active Directory のグループポリシーで管理するために必要な設定についてご紹介します。
4. Active Directory による Windows 10 クライアントのグループポリシー管理
Active Directory のバージョンが「 Windows Server 2008 以降のドメインコントローラ」であれば、Windows 10 のコンピュータをドメインに参加させることができ、Windows 10 を Active Directory から管理することができます。
ただし、「 Windows Server 2012 R2 以前のドメインコントローラ」では、Windows 8.1 までの OS 向けのグループポリシーのテンプレートがインストールされている状態のため、デフォルトでは、Windows 10 で追加されたポリシーを設定することができません。そのため、Active Directory で Window 10 クライアントを管理するためには、 Microsoft のダウンロードセンター(外部リンク) などから、Windows 10 で新たに追加されたグループポリシーの項目をダウンロードし、既存のActive Directory(ドメインコントローラー)に追加しておく必要があります。
まとめ
Windows 10 では、バージョンアッププログラムの配布方法やアプリケーションの形態が大きく変わりました。企業で Windows 10 をユーザPCとして利用するためには、更新プログラムの適切な制御と、Active Directory の環境に応じたグループポリシーの追加が必要不可欠です。既存の環境とグループポリシーをうまく活用して、安全で快適な Windows 10 環境を運用しましょう。
Windows 10 の展開や管理に関する具体的な方法は こちらの資料 に記載されていますので、ぜひダウンロードしてご一読ください。
