SCCMについて

初めまして。都内で社内のシステムエンジニア(レベル１)を行っています。

今まで新しいPCをセットアップするときやアプリをアップデートするときはすべて手動でやっていましたが、最近クライアントがシステムの仕様を変更して、これからはSCCMとかいうツールを使って、こういったアップデートをサーバ側から実施・管理するようになるみたいです。

ではSCCMを勉強しなきゃ、ということで自分の知識整理も兼ねて今回noteにSCCMの基礎知識を初投稿してみようと思います。

概要

SCCMとはSystem Center Configuration Managerの略。クライアントPCの構成管理に関する情報の収集、分析、Software導入のための基盤となるマイクロソフトのサーバミドルウェア製品。SCCMが製品の標準機能として提供する多彩な機能を組み合わせることで、セキュアで効率的にクライアントPCを管理構成できる。

SCCMの主な機能

構成情報(インベントリ)の収集(Hardware Inventory Cycle)：管理するクライアントからハードウェアやネットワーク構成、導入済みソフトウェア、ソフトウェアライセンス、適用済みのセキュリティ構成プログラムなどの構成情報を自動収集し、一元管理する。ハードウェアの資産管理ログはinventoryagent.logに記録される。

アプリケーション配布(通常)(Application Deployment Evaluation Cycle)：リモートからアプリケーションをインストールする。なお、管理者権限で動作するので、ユーザに特別な権限を与える必要がない。また、クライアント(デバイス)だけではなく、ユーザを対象にしたアプリケーション配布や、ユーザ向けポータル画面からのセルフサービスインストールも可能。

アプリケーション配布(仮想) : App-V(Application Visualization)でか操作されたアプリケーションについても配布できる。

ソフトウェア更新プログラムの管理(Software Updates Deployment Evaluation Cycle)：Microsoft Updateと連携し、カタログ情報を利用したセキュリティ更新プログラムの展開(必須プログラムの検出および配信)が可能。

マルウェア対策：マルウェア対策システム(System Center Endpoint Protection)と機能が統合されているので、定義ファイルの配信や、感染状況のレポートも可能。

OSの自動展開：標準構成のマスターPCからOSマスターイメージを取得し、ネットワークやDVDオフラインMediaを使用したOSのイメージ展開が可能。また、SCCMで管理するOCマスターイメージ(オフライン状態)へソフトウェア更新プログラムを自動的に適用することも可能。Windows To Goの展開にも対応している。

コンプライアンスと自動修復：特定のレジストリ値やファイルの存在をベースラインとして定義することで、クライアントの現状と望ましい状態(ベースライン)とのギャップを確認し、望ましい状態でない場合は、自動修復を行うことができる。

ライセンス管理(資産インテリジェンス)：ソフトウェアライセンスの購買情報を実際のインストール数と比較し、レポーティングすることができる。

インターネットクライアントの管理：VPN接続を利用しない環境でも、インターネット上のクライアントを管理することができる。なお、別途証明書(PKI)の導入が必要になる。

リモートコントロール：SCCMのリモートデスクトップツールにより、管理者もしくはヘルプデスクがクライアントローカルにログインしての作業が可能。

SCCMの主なバージョン遷移

1994年：SCCMの前身はSystems Management Server 1.0 であり、1994年にリリースされました。MS-DOS, Windows for Workgroups, Windows NT, Machintosh とWindows NT Server のOS/2 デスクトップ,NetWare, LAN ManagerおよびPathworksと互換性がありました。

その後1995年はバージョン1.1, 1996年はバージョン1.2, 1999年は2.0, 2003年はSMS 2003とリリースが重ねられた。

SMSのx.1バージョンでは、管理スコープの適用単位となる”サイト”を初めて定義した。

SMSのx.2バージョンでは、サイトパラダイムがサブネットのグループに変更された。

SMS 2003では、software deployment や、サイト間でActive Directoryを複数選択できるようになった。またAdvanced Client がクライアントPCに導入できるようになり、より規模の大きいインフラ管理が可能なManagement Point（MP)とCommunicationできるようになった。MPは25000台のAdvanced Clientを管理できる。

2007年：System Center Configuration Manager 2007がWindows Server 2008およびWindows Vista用にリリースされました。

2015年：System Center Configuration Manager 1511 が2015年11月にWindows 10用にリリースされました。その後、2016年にバージョン1602, 2016/6/22にバージョン1606、2016/11に1610、2017/3に1702、2017/7に1706、2018/3に1802、2018/12に1810、2019/3に1902、2019/7に1906がリリースされた。

2019年：2019/12にEndpoint Configuration Manager 1910がリリースされました。Windows 10 ビルド1806以降に対応。Configuration Manager, Intune, Desktop Analysis, Autopilotおよびそのほかの機能がDevice Management Admin Consoleより使用可能となりました。その後、2020/4にバージョン2002、2020/8にバージョン2006、2020/11にバージョン2010がリリースされた。

これからはちょっと具体的に、レベル１エンジニアがクライアントで使用するSCCM関連のツールを紹介します。まだ私はサーバ側のSCCMサービスへアクセスするためのアクセス権がもらえていないので、管理者が仮に「SCCMクライアントインストールしたよー」と言ってきたときに、クライアントPC側で確認することを以下に記載します。

Configuration Manager : クライアントPC側で自身のSCCMの管理状況を確認できるプログラム。Actionsで確認できる項目は、それぞれ異なる役割をもつ。クライアント側のActionsは、Client Agent Settingsとは異なる。Cofiguration Managerを使用する推奨のハードウェアスペックはこのリンクを確認してください。

Configuration Manager から確認できること

１．「一般」タブより：Clientのサイトコード、識別子、バージョン、証明書の種類、接続タイプ、共同管理の可否、共同管理のキャパシティ

２．「Components」：各構成要素のバージョン、インストール状況および有効・無効の状況。

３．「Actions」：クライアントPCで実行できるアクションの確認。このリストにあるアクションはConfiguration Manager Consoleで自動設定されているものとは別にユーザが手動で実行できる。

４．「Site」：サイトコードの設定、DNSに設定されている管理ポイントのDNSサフィックスの設定。

５．「Cache」：キャッシュの保存場所および容量の設定。例：C:\Windows\ccmcache　5120MB

６．「Configurations」：クライアントに割り当てられたベースラインの表示(ベースライン名、リビジョン、最終評価時刻、コンプライアンス違反状況、コンプライアンス評価の状況)、レポートの表示(View Report)、リフレッシュ(Refresh)、評価(Evaluate)の更新。

７．「Network」：インターネット経由でデバイスを管理したい場合、Internet Based Management PointのFQDNを入力する。プロキシサーバがある場合、プロキシの設定も可能。(Proxyサーバ、サーバポート(HTTPまたはHTTPS)、プロキシサーバユーザ名・パスワード)

今日はここまで。

次回はIntuneとの連携のことを調べて記録したいと思います。