皆様こんにちは。Y.S.です。
今回は Configuration Manager を1から構築する機会がありました。
構築するにあたって Web での情報収集や解説されている方々の記事を沢山読みましたがこのシステム自体かなり癖のあるシステムとなっており、中々1から理解するのが私の知識量では非常に難しいものでした。
ですので備忘録も兼ねて感想を交えながら概念的な部分から実際の設定部分までを数回に分けて書いていこうと思います。
Configuration Manager とは?
Microsoft が開発したオンプレミス型のシステム管理ソフトウェアで旧称は、
Microsoft Systems Management Server ( SMS ) 、
Microsoft System Center Configuration Manager ( SCCM ) 、
Microsoft Endpoint Configuration Manager ( MECM ) などがあります。
運用は Windows サーバーで行います。 Windows だけではなく一部制限はありますが、 MACOS , Linux サーバーも管理が可能となっています。また Intune との共同管理を行う事でタブレットやスマートフォンなどモバイルデバイスも管理が可能です。
実際になにができるのか?
システム管理ソフトウェアといってもどこまで管理することができるのか?というのが気になる部分だと思います。
実際にできる部分として一部紹介します。
- アプリケーション、ソフトウェア更新プログラム、およびオペレーティング システムの展開
※今回の構築ではソフトウェア更新プログラムの展開について重点的に行っています。 - クライアントの管理
クライアントと任意の設定タイミングで通信を行い、クライアントの情報を詳細なレベルで取得し一括管理できます。 - Endpoint Protection における Defender の管理
Microsoft Defender for Endpoint の設定値をオンボード パッケージとして各クライアントに適用が可能
上記の他にもクライアントの管理としてリモートコントロールが可能であったり、コンプライアンス監査機能等があります。今回触れて思ったことは Windows Update や Microsoft Defender Antivirus の一元管理のシステムとして非常に便利な機能が多いなと思いました。
必要な知識
実際に構築するにあたり Configuration Manager (以下 CM )は単に CM だけの知識があれば構築できる訳ではなく様々なシステムの知識が必要となってきます。
- Active Directory ( AD )
- Windows Server Update Services (WSUS )
- SQL Server
- Internet Information Services ( IIS ) etc…
過去にオンプレミスの環境を業務で触れていた事はありましたが知識として全く足りず、1からの勉強となりました…
本来オンプレでの Windows Update 等の管理は WSUS で行うのが一般的だと思いますが、 CM 管理の場合 WSUS 側の設定を変更しても CM 側で同じ部分を変更できてしまったり、 WSUS 側で設定してしまうが故に CM で管理ができない( WSUS が優先される)部分が出てくる等非常に苦労しました※別記事で紹介予定
Configuration Manager の基本的な役割の概要
CM には大きく 3 つの役割があります。
- 管理ポイント
役割としては端末へのポリシーの配布と取得を行います。 CM はクライアントを認識すると CM クライアント エージェントと呼ばれるソフトウェアを配布しそのソフトウェアを通じて動作します。 - ソフトウェア更新ポイント
役割としては WSUS からソフトウェアのカタログを同期してサイト サーバーの DB に保持、その後各クライアントのソフトウェアのカタログを収集し更新が必要なものはないか確認します。 - 配布ポイント
役割としては CM が保持しているソフトウェアを配布ポイントにコピー後各クライアントに配布します。配布も複雑な設定を施さなくてもポリシー取得からランダマイズで展開を実施します。
CM についての導入部分は以上となります。
次回の記事以降は実際に CM の管理コンソール画面からできる設定部分についてを紹介していきます。
(今回はキャプチャ間に合いませんでした…すみません><)
では次回のブログでお会いしましょう。