2012/12/11

System Center 2012 SP1 Beta > Heterogeneous client support

System Center 2012 Configuration Manager (SCCM) は、かつて、Microsoft Systems Management Server
 (SMS) と呼ばれていたシステム管理製品です。

Windows 専用の管理製品のようなイメージがあると思いますが、SMS 1.2 (1996 年) までは、Windows だけでなく、MS-DOS や Macintosh (漢字 Talk と呼ばれていた頃)、OS/2 (山口智子さnが CM してたやつ) も管理対象にできた、ヘテロジニアスなシステム管理ツールでした。

System Center 2012 Configuration Manager SP1 (2013 年初頭リリース予定) は、またヘテロなシステム管理ツールになりそうです。Mac OS X と UNIX/Linux がクライアントとしてサポートされるほか、Windows Phone、Windows RT、iOS、Android などのモバイル デバイス管理も強化される予定です。

というわけで、Beta 版で Linux クライアントをインストールしてみました。


SP1 で新たに追加されるクライアント サポートは以下のとおり。Mac OS X と Linux クライアントでは、ハードウェア インベントリ、ソフトウェア インベントリ、ソフトウェア配布、必要な構成管理 (DCM) などの機能が提供される予定です。モバイル デバイスは、セキュリティ ポリシーの配布やリモート ワイプ、リモート ブロック、アプリ配布 (Windows Store、Apple Store、Google Play へのリンクおよびパッケージ配布、Windows RT へのサイドローディングを含む) 機能が提供される予定です。

Mac OS X ・・・ 10.6 snow leopard、OS X 10.7 Lion
UNIX/Linux  ・・・ AIX 5.3/6.1/7.1 (PowerPC)、HP-UX 11iv2/iv3 (IA64/PA-RISC)、RHEL 4/5/6 (x86/x64)、Solaris 9 (SPARC) /10 (x86/SPARC)、SLES 9/10 SP1/11 (x86/x64)
Mobile Device ・・・ Windows Phone 7/8、Windows RT、iOS、Android


 (↑ SCCM 2012 SP1 の Create Application Wizard。モバイル デバイスにはストアのリンクまたはパッケージ ファイルで)



(↑ SCCM 2012 SP1 の Create Package and Program Wizard。UNIX/Linux へのアプリ配布はこちら)

新たにサポートされるモバイル デバイスは Windows Intune の次期 Wave D バージョンとの統合でサポートされることになるようです。Windows Mobile/Nokia、Windows CE のレガシ クライアントと、Exchange ActiveSyc 経由でのデバイス管理は、これまでどおり、SCCM だけで可能。詳しくは、以下を参照。Windows Intune を利用しない場合、新しいモバイル デバイスはこれまでと同様に、Exchange ActiveSync 経由での管理になるようです。

Supported Configurations for Configuration Manager
[URL] http://technet.microsoft.com/en-us/library/gg682077.aspx


(↑ Android の記述が無い。Supported Configurations の情報と違う!?)

SCCM の Exchange Connector は Office 365 と同期できます。Windows Intune の現行バージョン (Wave C) でも、Android や iOS を管理できますが、こちらはオンプレミスの Exchange Server が必要でした (Windows Intune Wave C + Office 365 は NG)。Windows Intune Wave D になると、モバイル デバイス管理に Exchange ActiveSync を必要としなくなるようです (詳細不明)。そして、SCCM SP1 は、Windows Intune Wave D で管理されるモバイル デバイスを、SCCM SP1 の Exchange ActiveSync なしで管理対象にできます。ややこしいです。

新しいモバイル デバイスの管理については、SCCM SP1 Beta ではまだできないみたいです (Windows Intune Wave D は一般の人は評価できませんが、それとは関係なく Beta ではできないようです)。Linux クライアントと Mac OS X クライアントのインストール方法は、既にドキュメントが公開されています。

How to Install Clients on Linux and UNIX Computers in Configuration Manager
[URL] http://technet.microsoft.com/en-us/library/jj573939.aspx
How to Install Clients on Mac Computers in Configuration Manager
[URL] http://technet.microsoft.com/en-us/library/jj591553.aspx


Mac OS X 用のインストーラーは、SCCM のインストール イメージの SMSSETUP\MacOSClient\macclient.dmg にありました。我が家には Mac 君がいないので、動作を確認することはできていません。

Linux クライアントは、SCCM のインストール イメージのどこを探しても見つからないなぁと思っていたら、別途ダウンロードする必要がありました。

Microsoft System Center 2012 Service Pack 1 Beta Configuration Manager - Clients for Additional Operating Systems
[URL]  http://www.microsoft.com/en-us/download/details.aspx?id=34609

SLES 用のダウンロード ファイルを展開したもの。これを Linux マシンにコピーして...
install スクリプトでインストールします。


しばらくすると、SCCM の Assets and Conpliance\Devices\All Desktop and Server Clients にクライアントとして登録されます。出てこない場合は、管理ポイントで HTTP ではなく、HTTPS が有効になっているかも。HTTPS でやる場合は、クライアントをインストールする際に証明書 (pfx) を指定してあげる必要があります (-UsePKIcert オプションを使用)。Linux クライアントを評価する場合は、SCCM の管理ポイント (Management Point) で HTTPS ではなく HTTP を使うように構成すると簡単です。HTTP を選択できない場合は、Administration > Overview > Site Configuration > Sites でサイトのプロパティを開き、 [Client Computer Communication]で[HTTPS or HTTP]を選択してください。

ハードウェア インベントリはしばらくかかりますが、ちゃんと取れました。ハードウェア インベントリの取得には、Open Management Infrastructure (OMI) という CIM/DIMF のオープンソース実装が利用されているようですが、UNIX/Linux クライアントとともに組み込まれるようです。なかなかインベントリがあがってこない場合は、UNIX/Linux 側で /opt/microsoft/configmgr/bin/ccmexec -rs hinv を実行して、強制的にスキャンを開始してみてください。また、DNS で UNIX/Linux の名前解決ができることも重要かもしれません。

(↓SLES 11 SP2 のハードウェア インベントリ: OS)



(↓SLES 11 SP2 のハードウェア インベントリ: インストールされたアプリケーション)


かつて、Forefront Endpoint Protection と呼ばれていた Windows 向けマルウェア対策ソフトは、System Center 2012 Endpoint Protection として SCCM に展開および管理機能が統合されました。Linux クライアントと Mac OS X クライアントでは、System Center 2012 Endpoint Protection もサポートされるとのこと 。これらのインストーラーは、SCCM SP1 Beta には入っていませんでした。

実は、Core CAL の購入者には、VLSC を通じて、既に正式版が提供されているようです。

How to download and install System Center 2012 Endpoint Protection for Linux
[URL] http://support.microsoft.com/kb/2696659/en-us

Frequently asked questions about System Center 2012 Endpoint Protection for Mac
[URL] http://support.microsoft.com/kb/2683548/en-us


評価専門の私には、詳細はわかりません。どうやら、SCCM のコンソールやポリシー、レポートと連動するものではないようです。上の Mac 用のドキュメントには、
"There are no remote management options for System Center 2012 Endpoint Protection for Mac"
と書いています。


0 件のコメント: