導入事例Case Study

SCCM2012+SCEP構築

背景

今回のお客様はクライアント構成管理システムリプレースの為、System Center 製品を用いた運用管理基盤の構築を検討しており、その中でも、弊社ではクライアント構成管理製品である「Configuration Manager (SCCM)」の導入実績が豊富にあったことから、お声掛け頂き、ご支援する運びになりました。


本SCCMのバージョン(2012)より、今まで別製品であった「Forefront Endpoint Security」の後継製品である、「System Center Endpoint Protection」の管理が統合され、クライアントPCに関わるセキュリティ機能を提供でき、3rdパーティ製のウイルス対策ソフトウェアが不要となります。


本事例では、SCCMによるクライアント構成管理機能、およびセキュリティ対策機能の実装、および運用設計を弊社にて対応致しました。

概要

業種 流通・小売業
目的
  • クライアント切り替えに伴う構成管理基盤のリプレース
  • クライアントセキュリティ機能のリプレース
  • セキュリティパッチ導入機能のリプレース
  • リモートコントロールツールのリプレース
作業規模
  • 利用ユーザー数: 約5万名
  • 総サーバー台数:2台
作業ボリューム 3人月
作業内容 ŸSystem Center 2012 Configuration Manager 機能設計/構築/動作試験

構成図

作業効果

SCCM によるSCEPの統合管理

今回、お客様はクライアントのリプレースに伴い、ウイルス対策製品をサードパーティ製製品から、Microsoft 社のSystem Center 2012 Endpoint Protection (SCEP)に切り替えを実施されました。


SCCM 2012 では、SCEP の統合管理機能が標準として実装されている為、今回の機能設計に伴って、SCEPの統合管理規則及び定義更新ファイルの自動更新規則を設定いたしました。

※SCEPの定義更新ファイルは、Microsoft Updateの更新分類の1つとなっている為、SCCMのセキュリティパッチ展開機能で、展開することができます。


これによりコストを抑え且つ、構成管理機能とウイルス対策機能を一元管理することができました。また、SCEPを用いることにより副次的な効果としてコスト削減にもつながっております。

※SCEP のクライアントライセンスは、Microsoft製品のCore CAL Suite に内包されております。

BITSによる帯域負荷の平準化

お客様環境では、各地の拠点にWANを介してネットワークが構成されておりました。

しかし、拠点によりネットワーク帯域が異なっており、帯域が狭い拠点に関しては、SCCMの通信により既存のネットワーク通信に影響を与えないようシステムを構成する必要がありました。

SCCMでは、セキュリティパッチなどを展開する際に、クライアントからサーバーの保有しているファイルなどの資源にアクセスする仕様となっている為、各拠点の出口ネットワークの帯域使用率を考慮する必要がありました。


今回は、拠点毎にコレクション*1を作成し、拠点出口ネットワークの帯域幅により、異なる手法で帯域制御を行いました。


  • 帯域が広い拠点 : BITS*2による帯域制御を行い、ネットワーク負荷を平準化
  • 帯域が狭い拠点 : 拠点内部に配布ポイントを設置することにより、クライアントから出口回線への通信を抑制

これにより、既存のネットワーク通信に影響を与えず、ネットワーク帯域を多く使用する機能(セキュリティパッチ展開等)を利用することが可能となっております。
※1:コレクション

SCCMの管理対象デバイスおよびグループを論理的にグループ化する機能。

SCCMでは、このコレクションに対して、クライアント設定、ソフトウェア展開などを定義することができる。

管理対象は複数のコレクションに設定することができ、競合するような設定に関しては、優先順位を設定することが可能。


※2: BITS(Background Intelligent Transfer Services)

アイドル状態のネットワーク帯域幅のみを使用して、インターネット経由でファイルを転送するように設計されたファイル転送サービスHTTP、FTP、または共有フォルダーでのファイルの転送と異なり、BITS では利用可能な帯域幅をすべて使用するわけではないので、他サービスなどのネットワーク通信に影響を与えることなく、ファイルをダウンロードすることが可能。

弊社利用による効果

Power Shell スクリプトを活用した運用手法の効率化

管理規模が大きくなれば大きくなるほど、SCCMに設定すべき項目も増え管理作業も増加していきます。

特に、SCCMは管理するネットワーク境界や、コレクション、クライアント設定、セキュリティ規則、セキュリティパッチの展開情報など管理するべき情報も多く、管理業務は多岐に渡ります。


SCCM 2012 SP1より、管理を効率化する為に有用なPowerShell のコマンドレットが内包されました。これらのコマンドレットを活用して運用スクリプトを作成することにより、お客様の工数を削減することに貢献いたしました。


例えば、SCCM上でのコレクション作成作業は一般的に1コレクション10~15分程度かかるのですが、本件では、CSVに記述された設定を元にコレクションを自動設定するスクリプトを作成させていただき、1コレクションあたり数秒で作成可能になりました。また、コレクションの設定をCSVファイルから一括で読み込むことが可能ですので、 1回の操作で複数のコレクションを一度に作成することが可能な仕様としております。

実績に基づく柔軟な機能設計

SCCMを用いた構成管理は、コレクションの切り分けや、展開規則の設定により多種多様なクライアント運用を行うことが可能です。

特に、SCCM 2012 から、Active Directory と連携し、ユーザーアカウントとクライアント端末の紐づけが可能になり、より自由度の高いクライアント運用が可能になりました。


SCCMでは、Microsoft社から提供されているドキュメントを用いることにより、基本的な運用機能までは直ぐに構築することが可能ですが、お客様の機能要件にSCCMを併せていくとなると、製品の自由度が高い分、設計は容易ではありません。


弊社では、他業種のお客様の元でSCCMの設計/構築を担当させていただいた実績がございます。

本件では、機能の要件定義から、案件に携わらせていただき、お客様の求める機能がSCCMをどのように利用すれば実現できるかを様々な観点から提案させていただき、運用機能を構築させていただきました。

それにより、よりお客様が活用することのできるシステムを構成する事ができました。

作業内容の詳細

設計

  1. 基本設計

    • ネットワーク設計
    • 運用設計

環境構築

  1. 構成管理機能

    • System Center 2012 SP1 Configuration Manager
  2. セキュリティ管理

    • System Center 2012 SP1 Endpoint Protection

環境移行対象

  1. セキュリティ管理

    • クライアントウイルス対策製品切替

納品ドキュメント

  • 運用設計書
  • 動作確認項目表兼結果報告書
  • 運用手順書

この事例のPDFをダウンロード

「SCCM2012+SCEP構築」のPDFはこちらからダウンロードできます。

この事例をダウンロード

関連事例

お問い合わせ

ご相談・お見積もりのみのご依頼も、お気軽にお問い合わせください。

03-5684-68409:00~17:45(土日、祝日を除く)

お問い合わせはこちら