2015年09月
SCCM2012+SCEP構築
SCCMによるクライアント構成管理機能、およびセキュリティ対策機能の実装、および運用設計事例をご紹介いたします。
背景
今回のお客様はクライアント構成管理システムリプレースの為、System Center 製品を用いた運用管理基盤の構築を検討しており、その中でも、弊社ではクライアント構成管理製品である「Configuration Manager (SCCM)」の導入実績が豊富にあったことから、お声掛け頂き、ご支援する運びになりました。
本SCCMのバージョン(2012)より、今まで別製品であった「Forefront Endpoint Security」の後継製品である、「System Center Endpoint Protection」の管理が統合され、クライアントPCに関わるセキュリティ機能を提供でき、3rdパーティ製のウイルス対策ソフトウェアが不要となります。
本事例では、SCCMによるクライアント構成管理機能、およびセキュリティ対策機能の実装、および運用設計を弊社にて対応致しました。
概要
業種 | 流通・小売業 |
---|---|
目的 |
|
作業規模 |
|
作業ボリューム | 3人月 |
作業内容 | System Center 2012 Configuration Manager 機能設計/構築/動作試験 |
構成図
弊社利用による効果
SCCM によるSCEPの統合管理
今回、お客様はクライアントのリプレースに伴い、ウイルス対策製品をサードパーティ製製品から、Microsoft 社のSystem Center 2012 Endpoint Protection (SCEP)に切り替えを実施されました。
SCCM 2012 では、SCEP の統合管理機能が標準として実装されている為、今回の機能設計に伴って、SCEPの統合管理規則及び定義更新ファイルの自動更新規則を設定いたしました。
※SCEPの定義更新ファイルは、Microsoft Updateの更新分類の1つとなっている為、SCCMのセキュリティパッチ展開機能で、展開することができます。
これによりコストを抑え且つ、構成管理機能とウイルス対策機能を一元管理することができました。また、SCEPを用いることにより副次的な効果としてコスト削減にもつながっております。
※SCEP のクライアントライセンスは、Microsoft製品のCore CAL Suite に内包されております。
BITSによる帯域負荷の平準化
お客様環境では、各地の拠点にWANを介してネットワークが構成されておりました。
しかし、拠点によりネットワーク帯域が異なっており、帯域が狭い拠点に関しては、SCCMの通信により既存のネットワーク通信に影響を与えないようシステムを構成する必要がありました。
SCCMでは、セキュリティパッチなどを展開する際に、クライアントからサーバーの保有しているファイルなどの資源にアクセスする仕様となっている為、各拠点の出口ネットワークの帯域使用率を考慮する必要がありました。
今回は、拠点毎にコレクション*1を作成し、拠点出口ネットワークの帯域幅により、異なる手法で帯域制御を行いました。
- 帯域が広い拠点 : BITS*2による帯域制御を行い、ネットワーク負荷を平準化
- 帯域が狭い拠点 : 拠点内部に配布ポイントを設置することにより、クライアントから出口回線への通信を抑制
これにより、既存のネットワーク通信に影響を与えず、ネットワーク帯域を多く使用する機能(セキュリティパッチ展開等)を利用することが可能となっております。
※1:コレクション
SCCMの管理対象デバイスおよびグループを論理的にグループ化する機能。
SCCMでは、このコレクションに対して、クライアント設定、ソフトウェア展開などを定義することができる。
管理対象は複数のコレクションに設定することができ、競合するような設定に関しては、優先順位を設定することが可能。
※2: BITS(Background Intelligent Transfer Services)
アイドル状態のネットワーク帯域幅のみを使用して、インターネット経由でファイルを転送するように設計されたファイル転送サービスHTTP、FTP、または共有フォルダーでのファイルの転送と異なり、BITS では利用可能な帯域幅をすべて使用するわけではないので、他サービスなどのネットワーク通信に影響を与えることなく、ファイルをダウンロードすることが可能。
作業内容の詳細
設計
基本設計
- ネットワーク設計
- 運用設計
環境構築
構成管理機能
- System Center 2012 SP1 Configuration Manager
セキュリティ管理
- System Center 2012 SP1 Endpoint Protection
環境移行対象
セキュリティ管理
- クライアントウイルス対策製品切替
納品ドキュメント
- 運用設計書
- 動作確認項目表兼結果報告書
- 運用手順書
この事例のPDFをダウンロード
「SCCM2012+SCEP構築」のPDFはこちらからダウンロードできます。