ボリューム ライセンス認証の概要

 

適用対象: Windows 10,Windows 8.1,Windows Server 2012 R2,Windows Server 2016 Standard Technical Preview 5,Windows Server 2016 Datacenter Technical Preview 5

IT プロフェッショナル向けのこの技術概要では、Windows オペレーティング システムのボリューム ライセンス認証テクノロジについて説明します。また、これらのテクノロジを使って多数のコンピューターのボリューム ライセンスを展開および管理することで、組織にどのような利点があるかについても説明します。

以下のリソースも参照してください。

Windows クライアント オペレーティング システムおよびサーバー オペレーティング システムでは、組織のボリューム ソフトウェア ライセンスの配布と管理を構成するタスクを簡略化するために、いくつかのテクノロジが用意されています。これらのテクノロジには以下のようなものがあります。

  • ボリューム ライセンス認証サービスのサーバーの役割   "ボリューム ライセンス認証サービス" は、Windows Server 2012 で追加された Windows Server のサーバーの役割の 1 つです。Microsoft ソフトウェアのボリューム ライセンスの発行と管理を、さまざまなシナリオおよび環境において自動化および簡略化できます。ボリューム ライセンス認証サービスでは、キー管理サービス (KMS) をインストールして構成でき、Active Directory によるライセンス認証を有効にできます。

  • キー管理サービス (KMS)   KMS は、KMS ホストがインストールされているサーバーからネットワーク内のシステムのライセンス認証を実行できるようにする役割サービスです。KMS により、IT 担当者はローカル ネットワーク上でライセンス認証を完了できるため、製品のライセンス認証のために個々のコンピューターを Microsoft に接続する必要がなくなります。KMS は専用のシステムを必要とせず、他のサービスを提供するシステム上に共存できます。既定では、Windows クライアント オペレーティング システムおよびサーバー オペレーティング システムのボリューム エディションは、KMS サービスをホストするシステムに接続してライセンス認証を要求します。ユーザーによる操作は必要ありません。

  • Active Directory によるライセンス認証   Active Directory によるライセンス認証は、Active Directory ドメイン サービス (AD DS) を使ってライセンス認証オブジェクトを格納できる役割サービスです。これにより、ネットワークに対してボリューム ライセンス認証サービスを保持するタスクをさらに簡略化できます。Active Directory によるライセンス認証では、追加のホスト サーバーを用意する必要がなく、コンピューターのスタートアップ時にライセンス認証要求が処理されます。

    Generic Volume License Key (GVLK) を使って Windows クライアント オペレーティング システムまたはサーバー オペレーティング システムを実行していて、ドメインに接続されているコンピューターでは、自動的かつ透過的にライセンス認証が行われます。これらのコンピューターは、ドメインのメンバーである限りライセンス認証を維持し、ドメイン コントローラーと定期的に通信を行います。ライセンス認証は、ライセンス サービスの開始後に実行されます。このサービスが開始されると、Windows クライアント オペレーティング システムまたはサーバー オペレーティング システムを実行しているコンピューターは自動的に AD DS に接続し、ライセンス認証オブジェクトを受信して、ユーザーによる操作なしでライセンス認証が完了します。

    System_CAPS_noteメモ

    AD DS にライセンス認証オブジェクトを格納するには、スキーマ レベルが Windows Server 2012 以降であることが必要です。ドメイン コントローラーで実行されている Windows Server のバージョンがこれよりも前である場合は、Windows Server 2012 バージョンの Adprep.exe を使用してスキーマを更新すると、クライアントのライセンス認証ができるようになります。詳細については、「Adprep.exe の実行」を参照してください。

  • ボリューム ライセンス認証ツールのコンソール   KMS および Active Directory によるライセンス認証では、ボリューム ライセンス認証ツールのスナップインがインストールされます。ボリューム ライセンス認証ツールのコンソールを使用すると、AD DS または KMS ホストで 1 つ以上のボリューム ライセンス認証のライセンス キーをインストールし、ライセンス認証を行い、管理できます。

Windows サーバー オペレーティング システムと組み合わせて使用できる Microsoft のボリューム ライセンス認証テクノロジには、他にも次のようなものがあります。

  • ボリューム ライセンス認証管理ツール (VAMT)   VAMT は、Windows アセスメント %%amp;amp; デプロイメント キット (ADK) に含まれる、無料でダウンロードできる MMC スナップインです。ネットワーク管理者などの IT 担当者は、このツールを使って、Windows および Microsoft Office のボリューム ライセンス認証処理と販売ライセンス認証処理を自動化し、一元的に管理できます。VAMT では、マルチ ライセンス認証キー (MAK) または Windows キー管理サービス (KMS) を使って、ボリューム ライセンス認証を管理できます。

    VAMT 3.0 には、以前にリリースされたバージョンの VAMT の主要な機能がすべて含まれると共に、改良されたインターフェイス、スケーラビリティと速度を高める SQL Server データベース内のデータ記憶域、新しいレポート オプション、Windows PowerShell コマンドレットを使用する機能、および新しい状況依存のヘルプが含まれています。さらに、VAMT 3.0 は、KMS と MAK のライセンス認証に加えて、Active Directory によるライセンス認証をサポートしています。VAMT 3.1 は Windows ADK に含まれています。VAMT の詳細については、「ボリューム ライセンス認証管理ツール (VAMT) のテクニカル リファレンス」と「VAMT の使い方に関するトピック」を参照してください。

  • マルチ ライセンス認証キー (MAK)   MAK は、Microsoft がホストするライセンス認証サービスに対する 1 回限りのライセンス認証に使用されるボリューム ライセンス キーです。MAK を使ってコンピューターのライセンス認証を行うには 2 つの方法があります。

    • MAK 個別ライセンス認証   各コンピューターが、インターネットまたは電話を使って、それぞれ独立に Microsoft に接続してライセンス認証を行う必要があります。

    • MAK プロキシ ライセンス認証   MAK プロキシとして動作するコンピューターがネットワーク上の複数のコンピューターからライセンス認証情報を収集し、それらのコンピューターを代表して一元的なライセンス認証要求を Microsoft に送信します。MAK プロキシ ライセンス認証は、ボリューム ライセンス認証管理ツール (VAMT) を使って構成されます。

  • 仮想マシンの自動ライセンス認証 (AVMA) AVMA を利用すると、適切にライセンス認証されている Windows サーバーに仮想マシンをインストールする場合に、プロダクト キーを個々の仮想マシンごとに管理する必要がなくなります。インターネットに接続されていない環境でも同様です。サーバー上で管理するプロダクト キーも表示するステッカーもありません。仮想マシンが仮想化サーバーのアレイ間で移行された場合でも、その仮想マシンはライセンス認証され、引き続き動作します。AVMA には、Windows Server 2012 R2 Datacenter を実行している仮想化サーバーが必要です。ゲスト仮想マシン上のオペレーティング システムは、Windows Server 2012 R2 Datacenter、Windows Server 2012 R2 Standard、または Windows Server 2012 R2 Essentials. であることが必要です。AVMA の詳細については、「仮想マシンの自動ライセンス認証」を参照してください。

ボリューム ライセンス認証テクノロジを構成して使用する前に、ボリューム ライセンス認証が動作するしくみを理解しておくと役立つ場合があります。

KMS ホストを使用している環境では、ボリューム ライセンス認証プロセスは次のように実行されます。

  1. KMS がサーバーにインストールされます。

  2. KMS ホスト キーが KMS ホストにインストールされ、Microsoft のホストされているライセンス認証サービスに接続することで、ライセンス認証が行われます。

  3. KMS が有効になった後は、KMS が開始されるたび、または 1 日に 1 回、KMS によって SRV レコードがドメイン ネーム システム (DNS) に登録されます。

  4. KMS クライアント コンピューターは、構成済みのレジストリ エントリから、または DNS 内の KMS SRV レコードを介して、KMS ホストを検出します。

  5. クライアントは 1688/TCP を使って KMS ホストに RPC 要求を送信します (既定の設定)。この要求には、暗号化されたクライアント コンピューター ID が含まれています。このコンピューターでまだライセンス認証が行われたことがなく、KMS ホストから応答がない場合、クライアントは 2 時間後に新しい要求を送信します。コンピューターでライセンス認証が行われている場合、クライアントは 7 日後に新しいライセンス認証要求を送信します。

  6. KMS ホストはクライアント コンピューター ID をテーブルに追加し、クライアントにライセンス認証カウントを返します。

  7. クライアントはライセンス認証カウントをライセンス ポリシーに照らして評価し、ライセンス認証しきい値が満足されている場合は、ライセンス認証を行います。

    System_CAPS_noteメモ

    KMS が定めるライセンス認証しきい値を満足させるには、Windows Server 2012 以降のサーバー オペレーティング システムを実行するコンピューター 5 台以上 (物理マシンか仮想マシンかを問わない) と、Windows 8 以降を実行するクライアント コンピューター 25 台以上のライセンス認証を行う必要があります。Windows Server 2012 を実行するコンピューターは、30 日間の期間内に、ライセンス認証済みの KMS クライアント コンピューターに接続する必要があります。

Active Directory によるライセンス認証を使用している環境では、ボリューム ライセンス認証プロセスは次のように実行されます。

  1. エンタープライズ管理者のアクセス許可を持つユーザーが、Active Directory によるライセンス認証の役割サービス (KMS ホスト キーを含む) をドメイン コントローラーにインストールした後、Microsoft によってホストされるライセンス認証サービスを使って KMS ホスト キーのライセンス認証を行います。

    System_CAPS_noteメモ

    このインストールは、ボリューム ライセンス認証ツールのコンソールがインストールされている任意のコンピューターから完了できます。

  2. GVLK を使って Windows を実行している、ドメインに参加しているコンピューターが起動すると、クライアント上のライセンス サービスが自動的にドメイン コントローラーにライセンス情報を照会します。

    System_CAPS_noteメモ

    Active Directory によるライセンス認証は、ドメインのメンバーではないコンピューターのライセンス認証には使用できません。

  3. 有効なライセンス認証オブジェクトが見つかると、特にメッセージが表示されることなくライセンス認証は処理されます。ユーザーによる操作は必要ありません。Active Directory によるライセンス認証には、KMS ライセンス認証の場合と同じ更新ガイドラインが適用されます。

    System_CAPS_noteメモ

    ボリューム ライセンス情報が AD DS で見つからない場合、Windows を実行しているクライアントは KMS ホストを探し、KMS ライセンス認証プロセスに従ってライセンス認証を試行します。

Active Directory によるライセンス認証または KMS ライセンス認証を選択できない場合 (遠隔地のコンピューターにライセンスを付与する場合など) は、オペレーティング システム イメージの一部として MAK キーを配布できます。これは、WMI スクリプトとプロダクト キーの変更ウィザードによって、または VAMT を使って実行します。MAK のインストール後は、各クライアントがインターネットまたは電話を使ってそれぞれ独立に Microsoft に接続し、ライセンス認証を完了する必要があります。

遠隔地や高度なセキュリティで保護された環境などで、インターネットに接続していないクライアント コンピューターに対しては、別の MAK 検証オプションが用意されています。MAK プロキシ ライセンス認証では、VAMT がクライアント コンピューターに MAK プロダクト キーをインストールし、ターゲット コンピューターからインストール ID (IID) を取得し、クライアントに代わって IID を Microsoft に送信して、確認 ID (CID) を取得します。次に、CID がインストールされることで、クライアント コンピューターのライセンス認証が行われます。

複数の場所にある数十台、数百台、または数千台のコンピューターを検証してライセンス認証を行うことは、重要なネットワーク管理タスクの 1 つです。それによって、オペレーティング システムおよびアプリケーションが正規のものであること、セキュリティが侵害されていないこと、サポートされることを確認します。ボリューム ライセンス認証サービスは、このようなタスクの実施に役立ちます。

ライセンスおよびライセンス認証に関する一般的な質問について次に説明します。

製品のライセンス認証は、ソフトウェアを製造元に対して確認するプロセスです。ライセンス認証によって、製品が正規の状態であり、プロダクト キーがセキュリティの侵害を受けていないことを確認します。これにより、ソフトウェアのプロダクト キーと、デバイスにインストールされた特定のソフトウェアとの関係が確立されます。以前のバージョンの Windows オペレーティング システムでは、ライセンス認証と検証 (Windows Genuine ツールを使用) を別々に行っていました。これは、それらを同じものと考えていたユーザーにとっては混乱の原因となりました。Windows オペレーティング システムのうち、Windows Server 2012 および Windows 8 以降では、ライセンス認証と検証が同時に行われます。

Windows クライアント オペレーティング システムおよびサーバー オペレーティング システムのリリースされたバージョンでは、次のチャンネルを通じてライセンスを取得できます。

  • 販売   販売店を通じて入手された Microsoft ソフトウェア製品については、それぞれ個別にライセンスが付与され、1 つの固有のプロダクト キー (製品のパッケージに印刷) が提供されます。ユーザーは製品のインストール時にこのプロダクト キーを入力します。ソフトウェアのインストールの完了後、コンピューターはこのプロダクト キーを使ってライセンス認証を完了します。この最後のライセンス認証手順は、オンラインまたは電話によって実施できます。

  • 相手先ブランド供給元 (OEM)   ほとんどの OEM では、Windows および他のソフトウェアの標準ビルドを搭載したシステムを販売しています。OEM ライセンス認証は、オペレーティング システムをコンピューターのファームウェアと関連付けることによって行われます。このプロセスは、コンピューターがユーザーに出荷される前に行われるため、ソフトウェアは既にライセンス認証済みであり、ユーザーによる追加の手順は必要ありません。OEM ライセンス認証は、ユーザーがコンピューター上で OEM から提供されたイメージを使用している限り有効です。カスタマイズしたイメージを使用する場合は、OEM から提供されたイメージをカスタム イメージ作成の基本として使用できます。

  • ボリューム ライセンス   ボリューム ライセンスは、組織で特定の数のクライアントのライセンス認証を行うことで、特定のソフトウェアを使用できるようにするプロダクト キーです。Microsoft のボリューム ライセンスでは、組織ごとの規模や購入方法に合わせてカスタマイズされたプログラムが用意されています。組織でボリューム ライセンスを使用するには、Microsoft との間でボリューム ライセンス契約を結ぶ必要があります。

ライセンス認証は、ユーザーがあまり意識しなくて済むように設計されています。ただし、オペレーティング システムは、インストール後すぐにライセンス認証を行う必要があります。Windows オペレーティング システムのライセンス認証を行わないと、ユーザーはカスタマイズを完了できません。

お客様は、前に説明したボリューム ライセンス認証シナリオ (KMS、Active Directory によるライセンス認証、MAK) のいずれかまたは 3 つすべてを使用して、環境内のシステムのライセンス認証を実行できます。

  • どのようなときにキー管理サービス (KMS) を使用するか:KMS は、実行している Windows のバージョンに関係なく、ボリューム ライセンス認証クライアントの既定のキーです。ネットワークに複数のバージョンの Windows クライアント オペレーティング システムおよびサーバー オペレーティング システムが展開されている場合は、通常、KMS を使ってライセンス認証を行います。

    System_CAPS_important重要

    KMS が Windows 7 SP1 または Windows Server 2008 R2 SP1 にインストールされている場合に、Windows 8 や Windows Server 2012 以降のオペレーティング システムを実行しているクライアントをサポートするには、KMS の更新が必要です。詳細については、「Windows 8 および Windows Server 2012 のサポートを Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 KMS ホストに追加する更新プログラム」を参照してください。

    組織では KMS を使ってネットワーク内の各システムのライセンス認証を実行できるため、製品のライセンス認証のために個々のコンピューターを Microsoft に接続する必要がなくなります。

    KMS ライセンス認証を使用するには、コンピューター上に条件を満たしたオペレーティング システム ライセンス (多くの場合、OEM から新しく購入したコンピューターの一部として取得) が存在し、BIOS に Windows マーカーが含まれている必要があります。

  • どのようなときに Active Directory によるライセンス認証を使用するか:Active Directory によるライセンス認証を使用すると、Windows 8 または Windows Server 2012 以降のオペレーティング システムを実行しているクライアントのライセンス認証プロセスが単純になります。これを使用するには、AD DS のスキーマが Windows Server 2012 以降であることが必要です。

    ライセンス認証オブジェクト自体は編集できません。ただし、適切なアクセス許可を持つ管理者は、高度な AD DS ツールを使って、各ライセンス認証オブジェクトを表示し、必要に応じてライセンス認証オブジェクトでアクセスが制限されるように、セキュリティ アクセス制御リスト (ACL) を構成できます。管理者は、必要に応じて、ライセンス認証オブジェクトを削除できます。ローカル クライアントでは、ユーザーがライセンス認証オブジェクトへの書き込みアクセス許可を持っていれば、コマンド ラインを使ってこれらの機能を実行できます。

  • どのようなときにマルチ ライセンス認証キー (MAK) を使用するか:組織のコンピューターすべてがその組織のネットワーク上にあれば好都合ですが、そうであるとはかぎりません。頻繁に出張に出かける従業員が持つノート PC や、ホスト ネットワークへの接続性が良くない支店のコンピューターもあれば、メイン ネットワークから切り離された、きわめてセキュリティの厳しいネットワークに属するコンピューターもあります。そのようなクライアントのライセンス認証には、MAK を使用できます。

    System_CAPS_noteメモ

    MAK ライセンス認証の構成と使用の詳細については、「ボリューム ライセンス認証の展開ガイド」を参照してください。

ボリューム ライセンス認証サービスは、Windows Server 2012 以降のオペレーティング システムを実行している任意のコンピューターにインストールして使用できます。

Active Directory によるライセンス認証を使用するには、AD DS のスキーマ レベルが Windows Server 2012 以降であることが必要です。これは、ライセンス認証オブジェクトを格納できるようにするためです。ドメイン コントローラーで実行されている Windows Server のバージョンがこれよりも前の場合は、Windows Server 2012 バージョンの Adprep.exe を使用してスキーマを更新するとクライアントのライセンス認証ができるようになります。

KMS は、Windows Server 2012 以降のオペレーティング システムを実行している任意のコンピューターにサーバー マネージャーを使ってインストールできます。また、以前のバージョンの Windows Server を実行しているコンピューターでも、コマンド ラインからインストールして使用できます。

KMS は、ドメインのメンバーになることができる任意のバージョンの Windows を実行しているコンピューターのライセンス認証に使用できます。

表示: