こんにちは、コーポレートチームの宮川です。
コーポレートチームで日々取り組んでいるWindows端末における資産管理について共有したいと思います。
PR TIMESにおけるPCについて
PR TIMESでは、Webサービスの「PR TIMES」や動画広報サービスの「PR TIMES TV」などのサービスを提供しています。ソフトウェア開発やPR TIMES TVでの動画制作などの仕事をする部署にはMacを、ExcelなどのOfficeツールとの互換性を重視する部署にはWindowsを使うため、社内ではMacとWindowsのどちらにも需要があります。
そのため、MacもWindowsもどちらも払い出しており、基本的には、開発チームや動画チームにはMacを、営業やカスタマーサポートなどのビジネス側にはWindowsを貸し出しています。
PR TIMESにおけるWindowsの資産管理
PR TIMESでは、Windowsを管理しているMDMとしてIntuneを使っています。Intuneは設定配布、情報収集、遠隔制御の三つの文脈で活用しています。
Windowsのキッティングについて
コーポレートチームでのWindowsのキッティングは以下の手順に沿って行います。
ユーザーアカウントの作成
ローカルアカウントを作成しておいて、Entra IDに参加させます.。
MDMのエンロール
Intuneにエンロールさせます。Microsoft EMS E3に登録すれば、Entra IDの参加と同時にIntuneへのエンロールもできますが、その料金がコストに見合わないと判断し、手動で行っています。
アプリケーションのインストール
端末を払い出す前に、以下の8つのソフトウェアを全端末にインストールしています。
・基本的にはほぼ全ての会社において使われているアプリ:Google Chrome、Slack、Zoom、Google Drive
・特定の業務で必要になるために入れているアプリ:Adobe Acrobat Reader、BIZTEL
・コーポレートチームでPCを管理するために入れているアプリは以下です。この辺のソフトウェアは過去のブログで紹介されています。ISM Cloud One、CrowdStrike、Cisco Umbrella
このうち、弊社でIntuneから配布しているのは、CrowdStrikeとCisco Umbrellaです。Intuneから配布できないアプリケーションもありますが、全てのアプリをIntuneから配布する場合、全てのアプリが配布されたか確認するのに時間がかかるという問題がありました。コーポレートチームでは、全てのアプリが正確にインストールされているか目視確認してから払い出したいので、絶対に入っていてほしいアプリケーション以外は手動でインストールしています。
ブラウザやアプリの各種初期設定
利用ブラウザはGoogle Chromeを推奨しているため、Google Chromeをデフォルトのブラウザに設定しています。
Adobe Acrobat Readerは印刷時に選択できる項目が多く、PDFを開くことに利点があるので、PDFを開くアプリはAdobe Acrobat Readerを設定しておきます。
プリンター設定
弊社オフィスには、プリンターが3台あります。キッティング時には入社者の部署に最も近いプリンターのドライバーをインストールしています。プリンターはほとんどの人が業務で使うので、社員はプリンターのことを気にせずに業務に取り掛かることができます。
OSを最新にする
基本的に返却された端末や倉庫に長い間保管されていた端末は、OSがアップデートされていないことがあります。セキュリティの観点からも良くないので、最新にしてから払い出します。
WindowsにおけるMDMの活用
弊社において、Windowsの資産管理を担っているMDMはIntuneです。コーポレートチームではIntuneがあることで多くの利点がありますので、それをそれぞれの文脈から話します。
ワイプ機能によるPC紛失の対策やインベントリ取得による端末のログイン情報の取得、キッティング効率化のためのアプリケーションやグループポリシーの配布、更新リングに活用しています。
アプリ、設定配布
Intuneはアプリの配布や設定の一括配布に適しています。弊社では、アプリケーション配布、グループポリシーの配布、社内WiFi環境への自動アクセス、BitLockerの回復キーの収集などに活用しています。
Intuneからは確実なソフトウェアのインストールやPCキッティング短縮のため、端末にアプリケーション配布をしています。現在では、CrowdStrikeとCisco Umbrellaを配布しています。企業のセキュリティ向上のためには、このように確実に端末にインストールされていてほしいソフトウェアこそシステムから配布するべきです。
また、同様の理由で、Intuneからはスクリーンセーバーにおけるグループポリシーを配布しています。PR TIMESはISMS認証を取得しており、それに必要となる設定です。従来まではローカルグループポリシーからスクリーンセーバーの設定をし、非常に手間のかかる作業を行ってから端末を払い出していましたが、この設定により、キッティング時に確認する手間が解消されました。具体的な設定はこちらです。
BitLockerの回復キーをIntuneで収集していましたが、最近その仕組みが非常に役立つ場面がありました。それは、CrowdStrikeの障害が発生した際のことです。端末がブルースクリーンになり、使用できなくなりました。その端末を復旧させる際に、BitLockerの回復キーの入力が必要となったため、Intuneで収集していた情報を活用することで、迅速に対応できました。
情報収集
IntuneはPCを特定する上でも重要な役割を担っています。コンプライアンスポリシーやデバイスの最終チェックイン時刻の確認でActiveな端末かどうか確認したり、インベントリの情報を確認することで、端末の特定に活用しています。
コンプライアンスポリシーの確認によって、アクティブに使われている端末かどうか判断することができます。コンプライアンスポリシーは各社のテナントごとに変更できますが、弊社のコンプライアンスポリシーはシンプルで、30日間ユーザーアカウントにログインされなかった端末は非準拠になる設定になっています。
遠隔制御
遠隔制御については以下のように活用しています。
・Intuneに情報が入っていれば、万が一PCが盗まれたり、紛失しても、コーポレートチーム側が作業を行うことで初期化を遠隔で行えます。
・2024/10/01に、Windows 11 24H2がリリースされましたが、ソフトウェアの互換性に問題があったため、更新リングにより、配信を90日間止めています。従業員がOSをアップデートして問題が起きないように対応することができます。
上記の理由により、弊社では、Intuneは不可欠なソフトウェアになっています。
まとめ
今回はコーポレートチームで行っているWindows端末の資産管理について紹介しました。
弊社では、WindowsはMDMを用いて管理しています。MDMを用いることで、コーポレートチームには多くの利点があります。キッティングではさまざまな自動化に用いていて、時間短縮になったり、人的な作業ミスがなくなります。また、ワイプや再起動の遠隔制御は、弊社ではリモートワークを行う社員や、福岡・大阪などの他拠点で働いている社員もいるため重要です。
MDMにはさまざまな機能がありますが、各社の需要と必要性に合わせて、取捨選択して導入していくことが大事だと思います。
