見出し画像

LANSCOPE エンドポイントマネージャー クラウドへの移行(Windowsのみ)

Salami

昨日の事のようですが、1年ぶりの投稿になってしまいました。去年と同じ文でスタート。

LANSCOPE エンドポイントマネージャー クラウド…まだ慣れないし、社内でどう呼ぶのかが少々問題なんですが(やっぱり「キャット」で通じるのは楽でした)、プロダクトどんどん増えてますしね。やむを得ないのか。あ、でもキャットのころも、アセットキャットとか遮断キャットとか分かれてはいましたね。

LANSCOPEということで「スコ」って呼び始めてたりします。猫要素を入れてます。

さて、そんなこんなで今年はLANSCOPE エンドポイントマネージャー クラウドを導入しましたので、導入をさらっと振り返ります。

<導入時の環境>

  • クライアント数170ぐらい(MacとWindowsが半々)すべてLANSCOPE エンドポイントマネージャー オンプレミス(旧LANSCOPE CAT) 

  • Windowsにはリモートロック用にLANSCOPE An freeをインストーㇽ

  • ディレクトリサービスはActive Directory→Azure Active Directoryへ移行計画中

  • MDMはMacがjamf、WindowsはIntuneへ移行予定 iOSはLANSCOPE An free

<導入理由>

  • キャンペーンで1年分のライセンスがお得

  • LANSCOPE An freeで行っていたスマホの管理を一歩進めたかった(アプリ配信など)。

  • オンプレのサーバーを捨てたかった(ログのことを考えると乗り換え即クローズというわけにもいかないので急ぎたかった)

  • MOTEXさんがクラウドに軸足を移すという勝手な予測(今のところそうではなかったです)

  • テレワーク増加のため、全体的にクラウド基盤へのシフトをしている

<Macはオンプレ継続>

Macについては移行を見送りました。この時点ではログが取得できなかったことと、MDMプロファイルを使用するため、jamfとの相乗りは困難だったのが大きな理由です。
また、ひとり情シスかつISO・Pマーク審査を控えていたので、Mac、Windowsを一気に移行するリソースがなかったのもあります。
2022年9月のVer.5.0.0.0で各種ログはとれるようになっています。
というわけで、Macのクラウド化も来年検討します。jamfで一時的に管理者になれるアプリを配信して、申請したら使えるようにしてあるのでここが何かで代替できれば…

<Windows移行作業>

①LANSCOPE An freeのエージェントアンインストール

LANSCOPE エンドポイントマネージャー クラウドとAn freeのエージェントは併存不可なので、まずはサポートサイトでダウンロードできるアンインストーラをLANSCOPE エンドポイントマネージャー オンプレミスから配布
(この時公式には公式のツールがなかったような気がする。LANSCOPE クラウド用を走らせたらうまくいったので流用)
以降の処理で使用したいので、アンインストーラと一緒にバッチでレジストリに識別用のキーを作成しておきました。
※以降、でLANSCOPE エンドポイントマネージャー の"エンドポイントマネージャー"は省略します。

②LANSCOPE クラウドエージェントのインストール

①で作成したレジストリキーがある端末を対象に、LANSCOPE クラウドのインストーラをLANSCOPE オンプレミスから配布します。
※この時はIntuneがありませんでした。Intune使えたならそっちかな。

③LANSCOPE エンドポイントマネージャー オンプレミスエージェント(MR)のアンインストール

②でLANSCOPE クラウドに上がってきた端末に、でLANSCOPE クラウドからLANSCOPE オンプレミスのアンインストールツールを配信(クラウドでは「配信」という機能名になっています)します。

<LANSCOPE クラウド→オンプレミスへの連携>

これでクラウドはWindowsはLANSCOPE クラウドでの管理になりました。
でもMacとWindowsの2重管理は嫌だ。
これは移行を決断した理由でもあるのですが、クラウドからオンプレへの連携(1日に1回のインポート)が出来ます。
オンプレのサーバーからCSVを毎日エクスポートして、それをGoogleドライブに自動で取り込んで資産台帳を作成してたりもするのでこの機能は助かりました。
Macもクラウドにするまでにはクラウド完結の仕組みにしておかねばですが。

インポート設定ではLANSCOPEクラウドとオンプレミスの間で項目の紐づけをすることが出来る
※項目名はそれぞれ微妙に異なります

グループツリーも同じ形同じ名称にしておけばそこにインポートされてきます

赤がクラウドからインポートされた資産

オンプレ側でクライアント名の重複を確認し、クラウドに登録されているのを確認・クラウド側でMRのアンインストール成功を確認したら、オンプレ側のライセンスを外します(一定期間置いたら削除する予定)

<良く使っている機能>

良く使っている機能をいくつか紹介します

①Windowsの機能更新

機能更新を配布する画面

社内アプリの都合で一部バージョン保持する必要がある(これもIntuneで出来ますが)のと、Intuneよりわかりやすいのでこっちを使っています。
サポート終了日調べられるだけでも良い。

細かいところで改善してほしいところはあるのですが、これが出来なくなったというのはありません。
アプリやファイルの配信機能はオンプレと同じでイントラの資産を見に行きます。

②デバイスの利用状況

オンプレ版のWebコンソールにも同様のものはあります

インラインでスクロールなのが少し残念
何月分のレポートという切り口で出力することが多いので、スクロールさせつつ数枚のキャプチャの貼り合わせをしています。

③記録メディア制御

設定画面はオンプレより直感的だと思う

外部記憶メディアの制御です。デフォルト不可で許可制で日単位で制限を外す運用です。

<失敗したこと>

遮断キャットでMR(オンプレのクライアントエージェント)インストール端末以外は遮断にしてたのを忘れており、MR削除後に端末が遮断を食らうというトラブルをいくつか起こしてしまいました。

<その他&まとめ>

  • エージェントについては移行過程でいったん被らせる必要があるが、ライセンス貸出などもあるので営業担当に相談するのが吉。

  • 当然ですが、何年何月からは全てのクライアント(当社の場合はWinのみ)のログがクラウドにあるという形で移行計画を実施した方が良いです。

  • 90台のWindows以降にかかった時間は2ヶ月ほど。LANSCOPE An freeが稼働している環境では思ったより時間がかかります。

  • 機能の面ではあわててクラウドにする必要はないと思いますが、ログツールなので、オンプレのアプリ経由でログが見られなくなる時から逆算して考える必要がある(生ログ取っておけばよいか…)。

  • クラウド版の画面設計にはまだまだ馴染めず。グループを頻繁にメンテする組織にはこのインターフェースだとややしんどい。

  • オンプレ→クラウドに特化したガイドがあると嬉しい。

  • クラウドでは資産の管理項目名が変わっているので紐づけにやや苦労する。

2023年はMacをLANSCOPEクラウドにするのかどうか悩むと思います。基盤出来たので数台でテストでしょうかね
書ききれませんでしたが、スマホをすべてiPhoneに乗り換え、LANSCOPEクラウドにVPPオプション加えて管理しています。
SSOのOktaへの切り替え、オンプレAD→Azure AD LANSCOPEオンプレ→LANSCOPEクラウド スマホ全とっかえ SYNCPIT導入
そこそこ働いた気がする1年でした。

来年は何書いてるでしょう。皆様良いお年を。


いいなと思ったら応援しよう!