Windows Embedded デバイスで Configuration Manager クライアントを展開および管理するシナリオ例
適用対象: System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1
[!メモ]
このトピックの情報は、System Center 2012 Configuration Manager SP1 以降および System Center 2012 R2 Configuration Manager 以降に適用されます。
[!メモ]
このトピックは次の場所に表示されます:「System Center 2012 Configuration Manager のクライアントの展開」ガイドおよび「System Center 2012 Configuration Manager を使用したシナリオとソリューション」ガイド
このシナリオは、System Center 2012 Configuration Manager SP1 を使用して、書き込みフィルターが有効にされた Windows Embedded デバイスを管理する方法の例です。 サービス パックが適用されていない Configuration Manager を使用している場合、Configuration Manager では、書き込みフィルターを自動的に無効にして、再度有効にすることはできません。この操作を実行するには、ソフトウェアをインストールする前と後に、追加の手順を実行する必要があります。 Embedded デバイスで書き込みフィルターがサポートされていない場合、デバイスは標準の Configuration Manager クライアントとして動作し、書き込みフィルターの管理に必要な、このシナリオの手順を実行する必要はありません。
大正ワイナリーは、観光案内所のオープンを予定していて、インタラクティブな案内を表示する Windows Embedded キオスクの導入を検討しています。 新しい観光案内所の建物は IT 部門の近くにはないため、キオスクをリモートから管理できることが重要です。 インタラクティブな案内を表示するソフトウェアのインストールに加えて、これらのデバイスでは、企業のセキュリティ ポリシーに準拠するために、最新のマルウェア対策保護ソフトウェアを実行する必要があります。 また、インタラクティブな案内を常に訪問者が利用できるようにするため、キオスクは、観光案内所の営業時間中はダウンタイムなしで、年中無休で運用する必要があります。
大正ワイナリーでは、既に Configuration Manager SP1 を実行してネットワーク上のデバイスを管理しています。Configuration Manager は、Endpoint Protection を実行し、ソフトウェアの更新プログラムとアプリケーションをインストールするように構成されています。 ただし、IT 部門はこれまで Windows Embedded デバイスを管理したことはないため、Configuration Manager 管理者の加藤さんは、会社の受付ロビーにある 2 台のキオスクを管理するテストを実行する予定です。 テストでデバイスのリモート管理が成功すれば、観光案内所のキオスクの発注は受理されます。
書き込みフィルターが有効にされたこれらの Windows Embedded デバイスを管理するために、加藤さんは、次の手順に従って、Configuration Manager クライアントをインストールし、Endpoint Protection を使用してクライアントを保護して、インタラクティブな案内ソフトウェアをインストールします。
プロセス |
参照先 |
|---|---|
Windows Embedded デバイスで書き込みフィルターを使用する方法と、Configuration Manager SP1 では、自動的に書き込みフィルターを無効にしてから再度有効にすることで、簡単にソフトウェアのインストールを保持できることを確認します。 |
「Configuration Manager でのクライアント展開の概要」トピックの「Configuration Manager クライアントを Windows Embedded デバイスに展開する」セクション |
Configuration Manager クライアントをインストールする前に、Windows Embedded デバイス用に新しいクエリ ベースのデバイス コレクションを作成します。 会社では、コンピューターの識別に標準の名前付け形式を使用しているため、コンピューター名の最初の 6 文字 (WEMDVC) で Windows Embedded デバイスを一意に識別できます。 このコレクションを作成するために、次の WQL クエリを使用します。select SMS_R_System.NetbiosName from SMS_R_System where SMS_R_System.NetbiosName like "WEMDVC%" このコレクションを使用して、他のデバイスとは異なる構成オプションで Windows Embedded デバイスを管理できます。 このコレクションは、再起動の制御、Endpoint Protection へのクライアント設定の展開、インタラクティブな案内アプリケーションの展開に使用されます。 |
|
コレクションのメンテナンス期間を構成して、案内アプリケーションとアップグレードのインストールに必要な再起動が観光案内所の営業時間中に発生しないようにします。 営業時間は、月曜日から日曜日の 9:00 ~ 18:00 です。 メンテナンス期間は、毎日 18:30 ~ 6:00 に構成します。 |
|
さらに、次の設定で [はい] を選択することで、Endpoint Protection をインストールするカスタム デバイス クライアント設定を構成し、このカスタム クライアント設定を Windows Embedded デバイス コレクションに展開します。
Configuration Manager クライアントをインストールするときに、これらの設定によって、Endpoint Protection クライアントがインストールされ、オーバーレイへの書き込みだけではなく、インストールの一部としてオペレーティング システムに保持されます。 会社のセキュリティ ポリシーでは、マルウェア対策ソフトウェアのインストールが常に必要で、キオスクを再起動する場合に、わずかな時間であっても、キオスクが保護されない状態になるリスクを避けたいと加藤さんは考えています。
|
手順 5: Endpoint Protection のカスタム クライアント設定を構成する の Configuration Manager の Endpoint Protection の構成方法 |
クライアントの構成設定の準備ができたため、加藤さんは、Configuration Manager クライアントのインストールを準備します。 クライアントをインストールする前に、Windows Embedded デバイスの書き込みフィルターを手動で無効にする必要があります。 キオスクに付属する OEM ドキュメントを読んで、指示に従って書き込みフィルターを無効にします。 加藤さんは、会社の標準の命名規則に従ってデバイスの名前を変更し、クライアント ソース ファイルがあるマップされたドライブから、次のコマンドを指定して CCMSetup を実行し、クライアントを手動でインストールします。CCMSetup.exe /MP:mpserver.cohovineyardandwinery.com SMSSITECODE=CO1 このコマンドで、クライアントをインストールし、イントラネット FQDN mpserver.cohovineyardandwinery.com を持つ管理ポイントにクライアントを割り当て、CO1 という名前のプライマリ サイトにクライアントを割り当てます。 クライアントのインストールと、サイトへのステータスの返信には少し時間がかかります。 クライアントが正常にインストールされ、サイトに割り当てられて、Windows Embedded デバイス用に作成したコレクションにクライアントとして表示されることを確認するまで、しばらく待機します。 追加の確認として、Windows Embedded デバイスのコントロール パネルで、Configuration Manager のプロパティを確認し、サイトで管理される標準の Windows コンピューターと比較します。 たとえば、[コンポーネント] タブの [ハードウェア インベントリ エージェント] には [有効] が表示され、[操作] タブには [アプリケーション展開の評価サイクル] や [探索データ収集サイクル] などの 11 個の使用可能な操作が表示されることを確認します。 クライアントのインストールと割り当てが正常に完了し、管理ポイントからクライアント ポリシーを受信したことを確認してから、OEM からの指示に従って、書き込みフィルターを手動で有効にします。 |
Configuration Manager で Windows ベースのコンピューターにクライアントをインストールする方法 |
Configuration Manager が Windows Embedded デバイスにインストールされたので、標準の Windows クライアントと同じ方法でデバイスを管理できることを確認します。 たとえば、Configuration Manager コンソールから、リモート コントロールを使用してデバイスをリモート管理したり、デバイスのクライアント ポリシーを開始したり、クライアントのプロパティとハードウェア インベントリを表示したりできます。 これらのデバイスは Active Directory ドメインに参加しているため、信頼されたクライアントとして手動でデバイスを承認する必要はなく、Configuration Manager コンソールから、デバイスが承認されていることを確認します。 |
|
インタラクティブな案内ソフトウェアをインストールするために、加藤さんは、ソフトウェアの展開ウィザードを実行して、必要なアプリケーションを構成します。 ウィザードの [ユーザー側の表示と操作] ページの、[Windows Embedded デバイスに対してフィルター処理を書き込む] セクションで、既定のオプション [メンテナンスの期限または期間中の変更を確定する (再起動が必要)] をそのまま使用します。 書き込みフィルターでこの既定のオプションを使用することで、再起動後もアプリケーションは保持され、キオスクを使用する訪問者は常にアプリケーションを使用できます。 毎日のメンテナンス期間は、インストールのための再起動と、更新を実行するための安全な期間です。 加藤さんは、アプリケーションを Windows Embedded デバイス コレクションに展開します。 |
|
Endpoint Protection の定義ファイルの更新を構成するために、加藤さんは、ソフトウェア更新プログラムを使用し、自動展開規則の作成ウィザードを実行します。 [定義ファイルの更新] テンプレートを選択して、ウィザードで、Endpoint Protection に適切な設定を指定します。 ウィザードの [ユーザー側の表示と操作] ページには、次の設定があります。
加藤さんは既定の設定をそのまま使用します。 また、これらの 2 つのオプションをこの構成にすると、メンテナンス期間のインストールとコミットまで待機せずに、Endpoint Protection のソフトウェア更新プログラムの定義を日中にオーバーレイにインストールできます。 この構成は、最新のマルウェア対策保護を実行するという企業のセキュリティ ポリシーに最も適合します。
加藤さんは、自動展開規則用に、Windows Embedded デバイス コレクションを選択します。 |
手順 3:Configuration Manager の Endpoint Protection の構成方法 のクライアント コンピューターに定義の更新を配布するように Configuration Manager ソフトウェア更新プログラムを構成する |
加藤さんは、オーバーレイのすべての変更を定期的にコミットするように、メンテナンス タスクを構成することにしました。 このタスクで、ソフトウェア定義更新プログラムの展開をサポートし、累積して、デバイスが再起動するたびに再度インストールする必要がある更新プログラムの数を減らすことができます。 経験上、この方法で、マルウェア対策プログラムを効率よく実行できます。
加藤さんは、最初に、名前以外に設定がないカスタム タスク シーケンスを作成します。 次に、タスク シーケンスの作成ウィザードを実行します。
加藤さんは、このカスタム タスク シーケンスを Windows Embedded デバイス コレクションに展開し、毎月実行するスケジュールを構成します。 展開設定の一部として、再起動後に変更を保持するために、[メンテナンスの期限または期間中の変更を確定する (再起動が必要)] チェック ボックスを選択します。 この展開を構成するために、作成したカスタム タスク シーケンスを選択し、[ホーム] タブの [展開] グループで、[展開] をクリックして、ソフトウェアの展開ウィザードを開始します。
|
|
キオスクを自動的に実行するために、加藤さんは、デバイスに次の設定を構成するスクリプトを記述します。
加藤さんは、パッケージとプログラムを使用して、このスクリプトを Windows Embedded デバイス コレクションに展開します。 ソフトウェアの展開ウィザードを実行するときに、もう一度 [メンテナンスの期限または期間中の変更を確定する (再起動が必要)] チェック ボックスをオンにして、再起動後も変更が維持されるようにします。 |
|
翌朝、加藤さんは Windows Embedded デバイスを見て、 次の点を確認します。
|
加藤さんはキオスクを監視し、キオスクが正常に管理されていることを上司に報告します。 その結果、ビジター センター用に 20 台のキオスクを注文することになりました。
Configuration Manager クライアントを手動インストールする場合、書き込みフィルターを手動で無効にしてから有効にし直す必要があります。加藤さんはこの問題を回避するために、Configuration Manager SP1 クライアントのインストールとサイトの割り当てが既に含まれているカスタマイズしたイメージを注文に含めます。 さらに、デバイス名は会社の命名形式に従って付けます。
キオスクは、ビジター センターがオープンする 1 週間前に納品されます。 この間、キオスクはネットワークに接続され、キオスク用のすべてのデバイス管理は自動実行されるため、ローカル管理者は必要ありません。 加藤さんは、必要に応じて次のようにキオスクが機能していることを確認します。
キオスク上のクライアントが、サイトの割り当てを完了し、Active Directory ドメイン サービスから信頼されたルート キーをダウンロードしている。
キオスク上のクライアントが、自動的に Windows Embedded デバイス コレクションに追加され、メンテナンス期間で構成されている。
Endpoint Protection クライアントがインストールされ、マルウェア対策保護用の最新のソフトウェア更新プログラム定義がある。
自動的に対話型プレゼンテーション ソフトウェアがインストールされ、実行されていて、訪問者が使用できる状態である。
この初期セットアップ後、更新プログラムのために再起動が必要になる状況は、ビジター センターを閉鎖する場合のみです。