デスクトップ ファイルMicrosoft Desktop Optimization Pack の再考

Wes Miller

目次

Application Virtualization
Advanced Group Policy Management
Asset Inventory Service
Diagnostics and Recovery Toolset
System Center Desktop Error Monitoring
その他のコンポーネント
MDOP のライセンス
まとめ

Microsoft Desktop Optimization Pack (MDOP) と、MDOP に含まれている 5 つのテクノロジ (SoftGrid Application Virtualization、Asset Inventory Service、Diagnostics and Recovery Toolset、Advanced Group Policy Management、および System Center Desktop Error Monitoring) に関するコラムを執筆してから約 2 年が経過しました。この間に、MDOP 2008 と MDOP 2008 R2 (図 1 参照) という 2 つの更新版がリリースされました。最新リリースでは、すべての主要コンポーネントにさまざまな機能強化が施されているだけでなく、ほとんどのコンポーネントでサポートされるロケールの数が増えました。2009 年中ごろまでにリリースが予定されている新たな更新版では、Microsoft Enterprise Desktop Virtualization (MED-V) がサポートされます。MED-V の詳細については、今月のコラムの最後で紹介します。それでは、MDOP に含まれている各テクノロジがどのように強化されたかを見てみましょう。

fig01.gif

図 1 新しい Microsoft Desktop Optimization Pack 2008 R2

Application Virtualization

この MDOP コンポーネントは、もともと SoftGrid Application Virtualization と呼ばれていましたが、Microsoft Application Virtualization 4.5 (APP-V) という名称に変更されました。このコンポーネントは、大幅に機能強化され、Microsoft Windows ベースの組織で迅速かつ容易に使用できるようになりました。信頼性に関する強化機能には、次のようなものがあります。

  • メモリがロックされるキャッシュ。この機能により、システムが突然シャットダウンされても、クライアント システムのローカル アプリケーション キャッシュにアプリケーションを保持できます。
  • バックグラウンド ストリーミング。この機能により、アプリケーションの自動キャッシュを実行できます。自動キャッシュでは、ユーザーが他のタスクを実行しているときに、バックグラウンドでアプリケーションがダウンロードされます。
  • アプリケーションのチェックポイント処理。この機能により、後で迅速に復元できるように、ユーザー設定やその他の設定などのアプリケーションの状態をバックアップできます。

APP-V を使用すると仮想パッケージから MSI ファイルを作成できるので、マイクロソフトのインフラストラクチャを管理しやすい方法で簡単にサポートできるようになりました。つまり、既存のアプリケーション発行ツールを使用して、迅速かつ信頼性の高い方法で APP-V パッケージを発行することもできます。同様に、System Center Configuration Manager (SCCM) ユーザーと SMS ユーザーは、事前キャッシュされたアプリケーションを、ローカル ユーザーがまだインストールされていない新しいシステムにも発行できます。APP-V と SCCM が統合されている SCCM 2007 R2 では、1 つの管理コンソールを使用して、アプリケーションを管理するためになじみのあるワークフローを実行し、SCCM コア機能を使用して物理アプリケーションと同様に仮想アプリケーションのインベントリ作成、分散、管理、およびレポート処理を行うことができます。また、オンラインでもオフラインでも APP-V の使用状況を管理された方法で監視できる、WMI プロバイダが用意されています。

パフォーマンスと利便性を向上するために、APP-V では、インフラストラクチャ内にある既存の HTTP サーバーからストリーミングを実行できるようになりました。また、シーケンス処理が最適化され、仮想アプリケーションの作成時間が短縮されるようになりました。さらに、.NET ベースのアプリケーションを仮想化できるようになりました。.NET の仮想化の詳細については、「Microsoft Application Virtualization (App-V) 4.5 における .NET のサポート」を参照してください。

APP-V では 11 か国語のローカライズ版がサポートされるようになり、タイ語、ヘブライ語、アラビア語、ベトナム語、インド語などの "複雑なスクリプト" を使用する言語以外のすべての言語でアプリケーションを仮想化できるようになり、ユーザビリティが向上しました。また、(1973 年リハビリテーション法の) 第 508 条で規定されているアクセシビリティ コンプライアンスもサポートされています。

APP-V は、32 ビット版の Windows XP (APP-V 4.2) と Windows Vista (APP-V 4.5) でサポートされています。x64 版の Windows Vista のサポートは、2009 年後半にはベータ版で導入され、2010 年中にリリース版で導入される予定です (「MDOP Makes Some Noise in Spain」(スペインで話題になっている MDOP) を参照してください)。64 ビット版の Windows のサポートは APP-V での提供を望む声が多い機能の 1 つですが、APP-V で Windows Vista や Windows Server 2008 との互換性を実現するには、APP-V インフラストラクチャを大幅に変更する必要があります。そのため、この機能については、適時サポートする予定です。

Advanced Group Policy Management

Microsoft Advanced Group Policy Management (AGPM) は、2.5 と 3.0 の 2 つのバージョンが提供されています。サーバー インフラストラクチャで Windows Server 2003 が実行されているか、クライアントで RTM 版の Windows Vista が実行されている場合、先にリリースされた AGPM 2.5 を使用する必要があります。AGPM 3.0 を使用するには、サーバーで Windows Server 2008 が実行されていて、AGPM の管理に使用するクライアントで Windows Vista Service Pack 1 が実行されている必要があります。この新しいリリースでは、x64 版の Windows Vista Service Pack 1 と Windows Server 2008 のサポートも追加されています。ただし、AGPM を使用して、Windows 2000 SP4 以降が実行されているシステムのグループ ポリシーを管理することは可能です。

AGPM 3.0 では、プラットフォームとアーキテクチャのサポートだけでなく、グループ ポリシーにアクセス許可を適用することも可能になりました。つまり、組織内でグループ ポリシーを変更するユーザーを制御できます (図 2 参照)。また、図 3 に示すように、ポリシーの変更日時、変更内容、および変更者 (そして変更を承認または拒否したユーザー) を監視するために、変更の追跡機能が強化されています。AGPM 3.0 のユーザー インターフェイスも大幅に強化され、APP-V と同様に、サポートされる言語が増えました (合計で 11 言語)。

fig02.gif

図 2 グループ ポリシー管理コンソールに統合された AGPM

fig03.gif

図 3 AGPM によって表示されるポリシーのリビジョン管理

Asset Inventory Service

Microsoft Asset Inventory Service (AIS) 1.5 コンポーネントは、"サービスとしてのソフトウェア" モデルを採用した唯一の MDOP コンポーネントです。AIS 1.5 は使いやすいオンライン サイトで利用でき、簡易クライアント インストーラを使用して、管理されたシステムから情報を取得します。当初、AIS は、ソフトウェア管理に関する詳細情報を提供する (インストール済みのアプリケーションに関する詳細情報をクライアント システムから迅速かつ容易に取得する) ようにデザインされたコンポーネントでしたが、ライセンスの追跡機能も提供するようになりました。そのため、AIS では、インフラストラクチャにインストールされているソフトウェアが通知されるだけでなく、そのインベントリとマイクロソフト ライセンス ステートメントに関する情報の関連付けも行われます。現在、法律的な観点から、コンプライアンスを確保することは重要ですが、それだけでなく、未使用のライセンスに無駄なコストをかけないようにするためにも、この機能はきわめて重要です。AIS には、多くのアプリケーション タイトルのカタログに基づいてデータの正規化を行う機能が組み込まれています。AIS のレポートでは、重複する情報が省略された、理解しやすい完全な情報が提示されます。

Diagnostics and Recovery Toolset

AGPM と同様に、現在、MDOP に含まれている Microsoft Diagnostics and Recovery Toolset (DaRT) には、5.0 と 6.0 の 2 つのバージョンがあります。DaRT 5.0 は、2007 年に執筆したコラムで紹介した MDOP のリリースに付属していたものですが、現在も使用することが可能で、変更されていません。Windows XP システムを回復する場合は、DaRT 5.0 が必要です。

一方、Windows Vista を使用する組織向けに、MDOP 6.0 には、DaRT 5.0 のすべての機能に加えて、さらにいくつかの機能も含まれるようになりました。DaRT 6.0 では、32 ビット版と 64 ビット版の Windows Vista がサポートされています。実際、ERD Commander ISO の作成プロセスでは、Windows Vista DVD を使用して処理を完了します。以前お伝えしたように、Windows PE 1.x CD-ROM (DaRT 5.0) を使用して Windows Vista システムを起動すると、復元ポイントのデータが失われる原因となるので、そのような操作は行わないでください。Windows Vista システムの起動には、Windows PE 2.0 (DaRT 6.0) を使用してください。

独自のユーザー インターフェイスを備えている DaRT 5.0 とは異なり、DaRT 6.0 は、Microsoft Windows 回復環境 (WinRE) インターフェイスに統合され、起動時には、適切なツールを起動するためのクイック起動メニューが表示されます。

今回のリリースで新たに導入された機能は、Standalone System Sweeper です (図 4 参照)。Standalone System Sweeper により、オフライン スキャンでマルウェア対策機能が提供されます。Standalone System Sweeper では、ISO イメージの初回作成時に、最新のシグネチャが使用されます。また、ERD Commander の使用時には、USB フラッシュ ドライブ (UFD) を介して更新を提供することもできます。インターネット接続を利用できる場合は、オフライン スキャン用の更新をリアルタイムにダウンロードできます。

fig04.gif

図 4 シグネチャの更新を受け取る Standalone System Sweeper

WinRE の一部である System Boot File Repair も新たに導入された機能です。この機能を使用すると、重要なシステム ブート ファイルを修復して、システムを再び起動可能な状態にすることができます。

DaRT 6.0 では、回復用にローカルのシステム ドライブを共有することはできなくなりましたが、必要に応じてリモート共有に接続し、ERD の Explorer に似ているインターフェイスを使用して、データをコピーすることは現在でも可能です。

また、DaRT は、BitLocker によって暗号化されたボリュームをサポートするように機能強化されました。以前は、ディスクやボリュームの暗号化ツールをサポートするには手動で処理する必要があり、BitLocker はまったくサポートされていませんでした。現在は、この点が変更され、Windows Vista もサポートされるようになりました。

System Center Desktop Error Monitoring

組織では、Microsoft System Center Desktop Error Monitoring (DEM) 3.0 SP1 を使用して、Windows のクラッシュやアプリケーションのハングを一元管理および診断できます。DEM 3.0 SP1 では、パフォーマンスと信頼性の向上に加え、レポート機能 (たとえば、統計データの上位項目を表示する機能) も強化されました。また、完全な機能を備えた System Center Operations Manager に簡単にアップグレードすることもできます。

DEM は、組織が所有しているシステムのライフサイクルを知るうえでの手掛かりとなるので、組織にとって便利な機能です。つまり、以前検出されなかったり、奇妙なシステム エラーの原因となったりしていた事象を事前に確認できるようになりました。DEM によって、厄介なアプリケーションやドライブが事前に処理されるので、エンド ユーザーが信頼性の高いデスクトップ エクスペリエンスを享受できます。また、ソフトウェアで発生するエラーの経緯と理由を特定できないアプリケーション開発者とドライバ開発者が、それを理解するのにも役立ちます。

その他のコンポーネント

これで、2007 年のコラムで MDOP を紹介したときに MDOP に含まれていたすべての主要コンポーネントの説明が終わりました。すべてのコンポーネントには大幅な機能強化が施されていますが、MDOP について皆さんの関心が最も高いのは新機能でしょう。他のほとんどの MDOP コンポーネントと同様に、Microsoft Enterprise Desktop Virtualization (MED-V) は、マイクロソフトが買収したテクノロジで構成されており、エンタープライズの Windows 環境を強化するテクノロジへと変化を遂げています。

マイクロソフトは、小規模な仮想化技術企業であった Kidaro を 2008 年に買収しました。Kidaro 社の製品に興味を持ったのは、同社の製品が、厳密には Virtual PC、VMware、Citrix XEN などのような仮想化製品ではなかったためです。実際、Kidaro 社のテクノロジは、既存の仮想マシンをより動的かつ管理しやすいものにするのに効果的でした。それはまさに、マイクロソフトが目指していたものでした。

このコラムの執筆時点でパブリック ベータ版で提供されている MED-V では、組織が、必要に応じて、レガシ アプリケーションをローカルに保持できるだけでなく、管理された仮想環境でレガシ アプリケーションを提供できるようにデザインされています。"ウィンドウ内に表示されるデスクトップ" は、エンド ユーザーにとってわかりにくく、管理者にとって管理しにくい場合があります。MED-V では、こうした機能の代わりに、必要なレガシ アプリケーションが一元管理される標準化されたイメージに含まれており、管理者とパワー ユーザー以外のすべてのユーザーにとって、レガシ アプリケーションがホスト OS で実行されているネイティブ アプリケーションのように見える形で実行されます。もちろん、レガシ アプリケーションは、実際には、Microsoft Virtual PC のゲスト OS で実行されています。

MED-V では、まず、パッケージ化処理が行われます。その際、管理者がイメージを作成およびテストして IIS Web サーバーに格納し、その後リポジトリからイメージを取得できる MSI を作成するのに役立つコンソールが提供されます。

イメージは、リムーバブル記憶域 (UFD や DVD など)、または TrimTransfer という MED-V に組み込まれている配信メカニズムを介して展開できます。TrimTransfer では、イメージの展開と更新用に帯域幅を最適化する配信メカニズムを提供します。もちろん、SCCM インフラストラクチャがある場合は、SCCM を使用してイメージを配布することもできます。

MED-V の一元管理サーバーでは、最大 5,000 台のエンドポイントがサポートされ、Active Directory を使用してイメージを割り当てたり、Active Directory のユーザーまたはグループ ベースの認証を要求したりすることができます。

MED-V を使用すると、展開中に、ゲスト OS のネットワークを自動的に構成してドメインに参加させたり、ホストの RAM に基づいてゲスト OS に RAM を割り当てたりすることができます。展開後は、MED-V を使用して、ゲスト OS の監視とリモートからの一元管理を行うことができます。

イメージの認証は Active Directory で制御できます。有効期限を設定して一定期間しかアクセスできないようにしたり、一定の時間内 (業務時間内など) しかアクセスできないようにしたりして、イメージへのアクセスを制限できます。

従来の仮想化システムで表示される "移動ウィンドウ内に表示されるデスクトップ" は、専門知識を持たないユーザーが使用するには難易度が高い可能性があります。MED-V では、こうした機能の代わりに、Windows の通知領域に小さなアイコンを表示します。仮想マシンは、基本的にエンド ユーザーには見えないようになっていますが、エンド ユーザーのホスト OS のスタート メニューには、ゲスト OS にインストールされているすべてのアプリケーションのショートカットが表示されます。こうしたアプリケーションは、デスクトップ全体を表示するように構成されていない限り、実行時に自立型のアプリケーションとして実行されます (見た目は、ホストで実行されている場合と同様に実行されます)。また、MED-V では、必要に応じて、こうしたアプリケーションを色付きの境界線で囲み、ユーザーがアプリケーションがどこで実行されているのかを明確に把握できるようにすることもできます。このオプションはユーザーの役に立ちますが、ユーザーが MED-V を実行していることをヘルプ デスクのスタッフが把握できるようにもなります。管理者は、MED-V 管理コンソールで、このオプションを使用できます。

Virtual PC の場合とまったく同様に、通常、ホスト プリンタへのプリンタのリダイレクト、ファイルの転送、およびコピーと貼り付けはすべて、構成したとおりに機能します。事実上、ユーザーは、MED-V でホストされているアプリケーションを、ホスト OS でホストされているアプリケーションと同じように操作して、印刷を行ったり、コピーや貼り付けを行ったりすることができます。また、必ず MED-V のゲスト OS の Web ブラウザで開かなければなならない URL を指定しておき、それ以外の URL にはホスト OS の Web ブラウザが使用されるようにすることもできます。さらに、ユーザーの状態を保持するか、状態を保持する必要がない場合は元に戻すことができる (特定の時点のスナップショットに戻す) ように、イメージを構成できます。

MED-V は、セキュリティで保護され、簡単に更新できる、管理された環境をエンド ユーザーに提供するための手段と考えることができます。レガシ アプリケーションにアクセスするための管理された環境を提供すること、セキュリティやコンプライアンス上の理由から情報へのアクセス制限を提供すること、または単に管理された環境でエンタープライズ アプリケーションを提供することのいずれを目的としている場合でも、MED-V によって、エンド ユーザーに必要なアプリケーションを提供するための新しく魅力的な方法がもたらされます。これは、パフォーマンス、セキュリティ、および管理性に優れた、負担の少ない方法で行われます。

MED-V は MDOP プラットフォームの待望の更新コンポーネントで、マイクロソフト ユーザーが Windows への投資を最適化するのに確実に役立ちます。

MDOP のライセンス

MDOP のライセンス要件に変更はありません。MDOP のライセンスを取得するには、ユーザーが、MDOP を実行するデスクトップ コンピュータを対象として含むマイクロソフト ソフトウェア アシュアランス (SA) 契約を結んでいる必要があります。ソフトウェア アシュアランス契約が有効になると、ライセンス コストは、1 台のデスクトップ コンピュータにつき年間 10 ドル~ です。ボリューム ディスカウントや教育機関向けの価格設定もあります。

これまでどおり、通常、MDOP はサーバーでは使用できません。ただし、Application Virtualization 4.5 for Terminal Services のライセンスを取得することはできます。詳細については、Microsoft Application Virtualization for Terminal Services サイトを参照してください。

まとめ

MDOP 2008 R2 リリースと MED-V をサポートする近日リリース予定の MDOP では、価値のある新しいツールを追加して、マイクロソフト SA 契約を結んでいるユーザーが Windows への投資を最大限に活用できるようにしています。また、その際には、他の言語のサポートを必要とする運用など、他のマイクロソフト管理テクノロジに対してユーザーが行った投資も最適化されます。

MDOP の詳細については、Windows デスクトップの管理と展開に関するサイトを参照してください。このサイトは、MDOP がリリースされるたびに更新され、新しいコンポーネントや更新プログラムに関する情報が提供されます。

現在ソフトウェア アシュアランスを契約していて、MDOP のライセンス取得を検討している方は、無償で利用できる MDOP ROI ツールのサイトにアクセスすることをお勧めします。このサイトは、デスクトップ システムに MDOP を展開することで削減できる推定費用を算定するのに役立ちます。

Wes Miller は、テキサス州オースティンにある CoreTrace 社 (CoreTrace.com) の製品管理責任者です。以前は Winternals Software 社に勤務し、その後はマイクロソフトでプログラム マネージャとして働いていました。Wes の連絡先は、technet@getwired.com (英語のみ) です。