【備忘】IT管理者が知るべきWindows 10 Anniversary Updateの新機能
少し時間が経ってしまいましたが、2016年8月2日にリリースされたWindows 10のAnniversary Updateことversion1607ですが、企業ITの観点でどういった新機能があるのか、Technet Blogに記載されていたので、記録しておきます。
What’s new for IT pros in the Windows 10 Anniversary Update – Windows for IT Pros
主な新機能の内容は以下の通り
- Windows Information Protection (WIP), which helps to protect enterprise apps and data on enterprise-owned and personal devices against potential data leakage without otherwise interfering with the user experience.
企業所有や個人所有のデバイス上に存在する企業のアプリケーションやデータをユーザエクスペリエンスを妨げることなく、データ漏えいから保護する「Windows Information Protection(WIP)」
- Improvements to Windows Hello for Business, which now includes both Windows Hello and Microsoft Passport.
Windows HelloとMicrosoft Passportを含むWindows Hello for Businessの改善
- Simplified provisioning with Windows Imaging and Configuration Designer (ICD), and the ability to install Windows ICD with the fullWindows Assessment Deployment Kit (Windows ADK), or by itself.
Windows Imaging and Configuration Designer(ICD)によるシンプルなプロビジョニングと、Windows ICDをWindows Assesment Deployment Kit(Windows ADK)と一緒にもしくは単独でインストールできるように
Azure Active Directory(Azure AD)に参加しているリモートPCへ接続できるように
- Improved taskbar management, including the ability to add and remove pinned apps from the taskbar as an administrator, while still allowing users to pin/unpin apps and change the order of pinned apps on the taskbar after the enterprise configuration is applied.
管理者がタスクバーにピン付けされたアプリを追加したり削除したりでき、許可されたユーザがタスクバーのピン付けされたアプリを企業が設定した後に追加/削除したり変更できるといった、タスクバー管理機能の改善
MDM機能の拡充
- Shared PC mode, which optimizes Windows 10 for shared use scenarios, such as touchdown spaces in an enterprise or temporary customer use in a retail business.
企業のタッチダウンスペース(メインオフィス以外に設置された短時間の業務エリア)やリテール業界において一時的にお客様が利用するスペースなど、Windows 10を共有で利用するシナリオに最適化された「Shareed PC mode」
- The inclusion of App-V and UE-V as Windows features (instead of inclusion in MDOP, which required a separate download and installation).
Windowsの機能としてApp-VやUE-Vが含まれるようになった(元々は、MDOPに含まれており、別々にダウンロード・インストールを行う必要があった)
- Windows Defender enhancements, including the release of Windows Defender Offline (which allows you to run offline scans), Block at First Sight (which dramatically improves detection times for new malware), enhanced notifications, and potentially unwanted application (PUA) detection.
Windows Defender Offline(オフラインスキャンができる)やBlock at First Sight(新種マルウェアに対する防御を行う時間を劇的に改善)や通知機能の改善、そして潜在的に不要なアプリケーションの制限といった機能のリリースを含む、Windows Defenderの機能拡張
とのことです。
上記の項目の中でも、特に業務でも考えることの多いセキュリティに関連する項目について少し掘り下げて調べてみたいと思います。
AppVolumesでThinAppを配信できるって知らなかった
前回AppVolumesのFAQドキュメントの一部を見てみましたが、その中で知らなかった事実が載ってました。
Q. How does the App Volumes acquisition reposition ThinApp?
A. App Volumes dynamically delivers applications to desktops in real time. ThinApp provides application isolation and support for legacy applications. Using App Volumes to deliver ThinApp packages allows for real-time delivery of isolated and troublesome applications alongside natively delivered applications.
上記によると、ThinAppの配信にAppVolumeが使えるとのこと。そうすることによって、ThinAppのレガシーアプリケーションの隔離といった特徴と、AppVolumeのダイナミックで迅速なアプリケーション配信が両立できると。
言われてみるとなるほどといった感じですが、調べるとVMwareさんのBlogにちゃんと書いていました。(自分が知らなかっただけで、割と常識なんだろうな・・)
Using VMware App Volumes with ThinApp Packages - VMware ThinApp Blog - VMware Blogs
1つ目のブログポストの内容を見ると、ThinAppで必ずMSIファイルを生成しなければならず、新規作成の時には、Setup Captureで"Generate MSI package"を選択すればよさげ。このMSIファイルをAppStack作成時にインストールするんですね。
既存のThinAppパッケージについては、PACKAGE.INIファイルを適切に編集してMSIファイル生成を有効にした上で、BUILD.BATを実行する必要があるとのこと。
(詳しくはブログ参照)
マスタOSに依存しないアプリケーション配信の基盤としては、AppVolumesを利用しながら、レガシーアプリケーションの保護や異なるバージョンのアプリ共存などの対応策としてThinAppを連携させるといった使い方が理想なんですね。
VMwareのアプリケーション配信/仮想化は非常に協力になったなぁと実感します。
(せめてAdvanceエディションでAppVolumes使えたらいいのになぁ。。)
AppVolumesのTechnical FAQに載ってる内容(1/2)
VMwareがHorizon製品群として提供する、リアルタイムでのアプリケーション配信を実現する「AppVolumes」についてです。
AppVolumes自体は、アプリケーションをOSから分離し、
仮想ディスクの形でデスクトップへアプリケーションを配布することで、動的かつ柔軟なアプリケーションの割り当てを実現できます。
同じアプリケーション仮想化のコンポーネントである、ThinAppではできなかったユーザ単位でのアプリケーション割り当てが出来ることも大きなポイントです。
また、変更データを書き込むための書き込み専用のボリュームもユーザへ割り当てられるので、アプリケーションの変更を維持することも可能です。
このようなAppVolumesですが、日本語の詳細な情報が乏しいなか、
FAQ方式で具体的で分かりやすいドキュメントがアップされており、知らなかった情報もいくつかあったので、適当にピックアップしてご紹介します。
・AppStackもしくはWritable volume内のアプリケーション数に上限はあるの?
アプリケーション数の上限もなければ推奨の数もないが、多数のアプリケーションを同時に動作させることによってWindowsOSに与える影響が大きくなる。
そのため、管理者は商用環境に展開する前に、検証することが重要。
・1ユーザに複数のwritable volumesをアサインできる?
ユーザ当たり1つのwriteble volumeしかアサインできない。
・App Volumesはどのような種類のアプリケーションをサポートしているの?
App VolumesはほとんどのWindowsアプリケーションに対応している。ただ、ユーザがログアウトした後に動作し続けるようなアプリケーションはデスクトップにネイティブインストールするべき。
また、アンチウイルスソフトウェアやOSパッチはAppStacksにインストールしてはいけない。
・App Volumesはコンフリクトをどのように管理しているの?
(例:<AppStack1>と<AppStack2>の両方にMicrosoft Word 2013が入っているような場合)
コンフリクトがある場合、最後にアタッチされたAppStackが優先される。
上記例において、<AppStack2>が最後にアタッチされた場合、<AppStack2>に入っているMicrosoftWordが利用される。
※注意点
同じアプリケーションで2つの異なるバージョンが必要な場合は、VMware ThinAppを活用してそれぞれ独立して動作させることで解決すべき。
・どのバージョンのMicrosoft Officeがサポートされるの?
Microsoft Office 2010と2013がサポートされる。
・Microsoft Officeのプラグインもしくはアドオンは、Office本体がインストールされているAppStackとは別々にインストールすべき?それとも、同じAppStackにインストールすべき?
AppVolumes2.7においては、Microsoft OfficeのAppStackは1つしかアタッチできない。
プラグインはMicrosoft Officeと同じボリューム(AppStackもしくはOSシステム領域)にインストールすることが推奨される。
・プロビジョニング用のクリーンなVMはViewの仮想デスクトップでもよい?
Viewの仮想デスクトップをプロビジョニング用のクリーンなVMとして利用することは非推奨。View agentはアンインストールすべき。
・App VolumesはVMwareのEUC製品以外でも使えるの?
App VolumesはVMware vSphereとMicrosoft Hyper-Vどちらのハイパーバイザーでも動作する。
また、デスクトップとアプリケーション配信の面においては、Citrix XenAppやCitrix XenDesktopでも動作する。(vSphereかHyper-Vを利用している限り)
次回も適当にピックアップしてメモしておきます。
AirWatch 8.1でのiBeacon対応について
EMM(Enterprise Mobility Management)製品であるAirWatchの最新バージョンにて、iOSのiBeaconに対応したそうです。
AirWatchのMDM機能では、従来よりジオフェンスと言われる機能があり、位置情報に基づいてデバイスに適用するプロファイルをコントロールすることが可能でした。
ただ、GPSベースでの位置情報であったため、数メートル単位でのコントロールは難しく、「建物の中に入った」とか「教室に入った」とかを検知することは不可能でした。
そこで、iBeaconに対応することで、数メートル単位での細やかな位置情報の扱いが可能になりそうです。
■そもそも「iBeacon」とは?
・BLE(Bluetooth Low Energy)という低消費電力の近距離無線通信技術を用いたiOSの位置情報サービスを拡張する技術
・アップルが商標登録している
<基本動作>
・「Beacon端末」「アプリ」「サーバ」の3つの要素によって動作する
・Beacon端末がIDなどの情報を載せたBLE電波を発信し、iOSがそれを検出して対応アプリを起動
・アプリが取得したID情報をインターネット経由でサーバに問合せし、サーバが必要な情報を配信してアプリ上に表示
<Beacon端末>
・BLE電波を一定の間隔で発信し続ける
・Beacon端末の専用機器を提供している会社が多く存在(Estimote社、アプリックス社、ACCESS社など)
・一回の電池交換で数か月~数年程度で放置できる
<取得できる情報>
・個体を識別するためのUUID,Major値,Minor値
・Beacon端末からの電波強度
・「Far」:数十m「Near」:数m「Immediate」:数cm~数十cm「Unknown」:不明による距離感
参考:http://www.micro-wave.net/column/technology/iBeacon.php
■AirWatchでのiBeacon利用要件
<サーバ要件>
・AirWatch Admin Console v8.1以上
<デバイス要件>
・iOS7以上
・Bluetoothと位置情報サービスがMDM Agentに対して有効になっていること
・Bluetooth4.0がサポートされている機種(iPhone 4S/5/5S/5C/6/6 Plus, iPad Mini, iPad 3rd and 4th gen)
<セットアップ要件>
でも、AirWatchでデバイスを制御する目的は、セキュリティをきちんと確保することですから、iBeaconを活用することでセキュリティを高めるような利用シーンがあるかな?というのが正直どうかなと。。
考えられる利用シーンとしてはこういったところなのかなぁ。
・デバイスが工場に入ったことを検知すると同時にカメラ機能をOFF
・営業マンが金融店舗内に戻ってきたことを検知するとデバイスのカメラ機能をOFF
・生徒に配布しているタブレットが教室にあるときは、学習に不要な機能をOFF
【CRN記事紹介】ハイブリッドストレージの最新状況(NimbleとTintri)
仕事上、いろんなストレージメーカの方から製品紹介を頂くのですが、
ここ最近は特に新興企業が多数出現し、競争が激化しているなぁと感じています。
そんな中で、自分が特に検討の対象とするミッドレンジクラスのストレージは大きく2つの種別に分かれてきています。
・ハイブリッドストレージ(フラッシュデバイスとHDDを組み合わせて動作)
ex) Nimble,Tintri etc..
・オールフラッシュストレージ(すべてフラッシュデバイス)
ex) Pure Storage,XtremIO(EMC),Violin Memory etc..
ここ最近は、エンドユーザから見てもオールフラッシュストレージの価格が下がってきており、PureStorageのエントリー機種やNetAppのオールフラッシュFASなんかはハイブリッドストレージと比較しても競争力のある値付けをしていると感じます。
SSDの価格下落を見越したオールフラッシュストレージ新製品--ネットアップが投入 - ZDNet Japan
この状況の中で、ハイブリッドストレージがどのように存在感を出していくのか?
当然ユーザは「同じ値段だったら、すべてフラッシュのほうがよくね?」と思いますので、今後どのように価値を出していくんだろうと思っているわけであります。
そんな中、今週興味深いニュースが、アメリカのエンタープライズIT系ニュースサイトのCRNに掲載されていたので、紹介します。
ポイントを適当にまとめると、以下の通り。
・Nimble Storageが特定のアプリケーションをフラッシュ上で必ず動作させる機能を追加
・オールフラッシュと同じサービスレベルでアプリケーションを動かすことが可能
・オールフラッシュと比較して、ノードあたりに利用できるフラッシュの容量が多い
(RAID,Snapshotといった機能をフラッシュではなく、HDDを利用しているため)
・ソフトウェアベースのデータ暗号化機能をサポート(金融・ガバメント向け)
このように、必要なアプリケーションには、オールフラッシュと同等の性能を発揮でき、オールフラッシュよりも便利な機能を数々提供することで、しっかりと存在感を出そうとしています。
また、同じハイブリッドストレージメーカであるTintriについても記事がありました。
・125Mドルの新規調達を実施
・シリーズF調達ラウンドでの合計額を260Mドルに
・バリュエーションが1Bドル超え
技術的な内容ではないですが、ハイブリッドストレージの代表的な新興企業であるTintriが、将来的にも見通しが明るいことを表した内容になっており、投資化からも評価されているということです。
オールフラッシュとハイブリッド各社が、それぞれ特徴を活かして競争することで、
我々ユーザ側に価格的にも機能的にも、多くのメリットがもたらされますので、
どんどん市場全体が盛り上がってほしいものです。
VMware Horizon(With View)でのストレージ容量サイジングとディスポーザルディスク
VMware Horizon(With View)において必要なストレージ容量の計算と、頭の中で整理できていなかったView特有のディスク機能について確認する機会があったので、書いておきます。
■フルクローンで必要な仮想マシンあたりのストレージ容量(ユーザデータ除く)
①フルクローン仮想マシンディスクサイズ+②VSWP+③オーバーヘッド
①・・仮想デスクトップに割り当てるディスク容量
②・・VSWP
(VSWPの容量計算)
VSWPには2種類のスワップファイルが存在します。
予約されていない仮想メモリサイズと同容量
・2GBメモリを割り当てて、メモリ予約無しの場合は2GBが必要
・2GBメモリを割り当てて、1GBのメモリ予約有りの場合は1GBが必要
2.ESXiホストがメモリプレッシャー下にある場合に作成されるスワップファイル(最大1GB)
■リンククローンで必要な仮想マシンあたりのストレージ容量(ユーザデータ除く)
①レプリカVM(データストア毎)+②差分ディスク+③更新・再構成用容量+④ディスポーザブルディスク+⑤VSWP+⑥オーバヘッド
①・・マスタイメージVMの容量と同じで、各データストアに自動配置される
②・・リンククローン仮想マシンの差分ディスクサイズ
※推奨はレプリカVMの50%(Technical White Paperより)
(初期に確保される容量)
・Windowsページファイル(メモリ容量の150%)
・仮想スワップ
・カスタマイズデータ(200MB)
③・・RefreshとRecomposeのオペレーション時に確保しておくべき容量(推奨はリンククローン差分ディスクサイズの20%(※オペレーションの頻度による))
④・・ディスポーザブルディスクを有効にした場合(デフォルト)に必要な容量
となります。
ところで、リンククローンで必要な④のディスポーザブルディスクについて、
どういったメリットがあるのか?どういった使われ方をするのか?を正確に把握していなかったので、調べてみました。
★ディスポーザブルディスクとは
ディスポーザルディスクの役割は、リンククローンにおける差分が増加しすぎないように、テンポラリなデータを退避しておくディスクです。
差分ディスクが無尽蔵に増えないように、予め固定容量の別ディスクへ切り出しておくことで、容量を予測可能にしておくのです(かな?たぶん)
★ディスポーザブルディスクにリダイレクトされるデータは?
以下の3種類のデータがディスポーザルディスクにリダイレクトされるとのこと。
しかし、②と③はデフォルトではリダイレクトされないようです。
リダイレクトされるようになるには、環境変数設定でTMPとTEMPのパスを削除しておくことが必要のようです。
★ディスポーザブルディスクはどこに配置される?
ディスポーザブルディスクは常にOSディスクと同じ領域に保存されます。
Horizon6からはディスポーザルディスクのドライブレターを選択できるとのこと。
★ディスポーザブルディスクのデータが削除されるタイミングは?
ディスポーザブルディスクが削除(リフレッシュ)されるのは、仮想デスクトップがパワーオフされるタイミングです。
ただし、Viewがパワーオフを実施した場合のみです。(ユーザによるパワーオフは対象外)
具体的には以下のオペレーション時です。
・Rebalance
・Refresh
・Recompose
・プール設定で「Always Power Off」に設定されていたことによる、パワーオフ
参照した資料・ブログ
Understanding View Disposable Disks | VMware Consulting Blog - VMware Blogs
Windows10の新しいデータセキュリティモデル「Enterprise Data Protection(EDP)」について(2/2)
Windows10のEnterprise Data Protection(EDP)の中身について、詳細は分からない部分も多いですが、以下サイトに記載されている情報を頼りに整理したいと思います。
Enterprise Data Protection overview (Preliminary)
Windows 10 introduces new model for data security with Enterprise Data Protection - AirWatch Blog
まず、あるデータを「企業データ」だと指定すると、EDPがそのデータがどこにどのように共有されたか追跡をするようになります。
その上で、EDPでは4つの保護レベルを設定する形になります。
①Block : 不適切なデータ共有を発見すると共有を停止する
②Override : 不適切なデータ共有を発見すると、従業員にその動作が不適切であることを知らせる。しかし、この保護レベルの場合、従業員がデータの共有レベルを上書きすることができる。(しかし監査ログとしては残る)
③Audit : バックグラウンドで動作し、不適切なデータ共有はブロックせずに記録しておく。
④Off : データ保護機能は動作しない
例えば、ある企業データを従業員が個人デバイスからDropboxやTwitterへ共有しようとしたとします。その場合、①で設定していれば、その共有操作自体が制限され不可能になります。②で設定されていれば、共有時にプロンプトが表示され、企業データを個人データとして上書きすることを承諾すると、共有自体は可能になるものの、上書きの結果がすべて監査ログとして残るといった具合です。
また、データを「企業データ」として指定するにあたって、企業のファイルサーバやSharePoint,Web上の企業データ置き場(Office365など)からコピーされたデータは全て「企業データ」として指定し、暗号化させることができるようです。
一度「企業データ」として指定したデータは、ローカルにダウンロード後にUSBなどの外部デバイスにコピーしたとしても、暗号化は解除されないとのこと。
そして、「Privileged Apps」という概念もあるようで、アプリケーションも「企業アプリ」と「個人アプリ」の色付けが可能で、「企業データ」には「企業アプリ」でしかアクセスできないといったコントロールができるようです。
また、そのために既存のアプリケーション改修などは不要とのこと。
(現状のEMMソリューションではアプリケーションのWrappingやSDKによる改修が必要な場合がほとんどです)
「企業データ」としての指定方法や、既存のEMM・MDM製品とのインテグレーションなど、まだまだ不明な点は多いものの、iOSを上回るデータ保護機能が実装されていることは間違いないです。
このあたりは、これまでも企業向け市場にフォーカスしてきたWindowsならではの機能追加であると感じます。
こういった機能が国内の市場に認知・評価されるまでには時間がかかりそうですが、有力なMDMベンダや資産管理ソフトベンダがサポートし、アナウンスしだすと一気に利用されるのかなと。(要注目です)
