管理者用の回復パスワードを付与する 

システム管理者は暗号化されたドライブにアクセスするための手段を準備しておくことは非常に重要です。

例えば、
・ユーザーの利用している PC の故障してしまう
・各ユーザーが自分で設定したTPMのPIN番号やパスワードを忘れてしまう
・ユーザーがスマート カードまたは USB スタートアップ キーを紛失してしまう
など、BitLocker で保護されたデータにアクセスできなくなる事は避けなければなりません。
BitLocker ではドライブへのアクセスを回復する方法として以下の 3 つがあります。

これらの中でも BitLocker における障害対応時の最も簡単な方法は 48 桁の回復パスワードを利用する方法です。

回復パスワードはドライブを暗号化する際に任意の 48 桁の数字が割り当てられますが、システム管理部門だけが管理する回復パスワードを 2 つ目、3つ目…の回復パスワードとして追加する事が可能です。この管理者用の回復パスワードを利用することで、その都度、暗号化されたドライブ用の回復パスワードを調べる必要がなくなり、迅速な対応が可能となります。

例えば以下はリモートにある端末の C: ドライブに 2 つ目の回復パスワードとしてすべて数字の 0 を割り当てるコマンド (要管理者権限) になります。

＞ manage-bde.exe –cn “管理対象コンピューター” –protectors –add C: -rp 000000-000000-000000-000000-000000-000000-000000-000000

作成した回復パスワードが正常に反映されているか確認します。こちらのコマンドも管理者権限が必要です。

＞ manage-bde.exe –cn “管理対象コンピューター” –protectors –get C:

2 つ目の数字パスワードとして登録されていることが確認できます。
このようにユーザーに知られることなく管理者用の回復パスワードを追加していくことが出来ます。

回復パスワードを再作成する

次にユーザーに回復パスワードを通知した後に、システム管理者はユーザーが回復パスワードを紛失することを考慮し、回復パスワードを付け替える (＝回復パスワードを再作成する) 方法について記載したいと思います。以下のように 3 つの方法があります。

１） manage-bde.exe を利用して現在の回復パスワードを削除し、新規の回復パスワードを作成する。
２） ResetPassword.vbs を実行して新規の回復パスワードにリセットする。
３） PowerShell を利用する。

■まずは manage-bde.exe を利用する方法ですが、前章の説明で manage-bde.exe –protectors –add と説明したように、manage-bde.exe コマンドを実行すれば新規に任意の数字の回復パスワードを作成し、以前の回復パスワードは manage-bde.exe –protectors –delete で削除することが可能です。

■続いては ResetPassword.vbs を利用する方法です。サンプル スクリプトは以下のTechNetにて公開されています。
http://technet.microsoft.com/ja-jp/library/cc771778(WS.10).aspx#BKMK_AppendixB

回復パスワードを再発行したい端末にてこのVBスクリプトを実行すると以下の図のように自動的に回復パスワードの入れ替え処理を実施します。

タスクスケジューラーにこの ResetPassword.vbs をセットしておくことで定期的な回復パスワードの変更も可能となります。また、グループポリシーによって AD DS に回復パスワードを自動的に保存する設定を行っている場合には、このスクリプトが実行される際に新規の回復パスワードが AD DS 側に追加されます。

[ご参考情報] 回復パスワードを AD DS にバックアップするためのコマンド
> manage-bde.exe -protectors -adbackup C: -id { recoveryGUID }

※ 上記コマンドは、PC キッティング時に Workgroup 環境で BitLocker を有効化 (ユーザーに端末を渡す前に暗号化処理を終えておく) させておき、PC  配布後にドメインに参加させる場合に効果的です。ドメイン参加後に回復パスワードの AD バックアップコマンドを実行することによって AD DS に安全に保存することが可能となります。

■最後に PowerShell を利用した管理方法です。

Windows 7 には BitLocker 用の WMI Provider のクラス (Win32_EncryptableVolume) が用意されており、このクラスを使った PowerShell によるローカルもしくはリモート制御が可能です。
クラスに関する情報はこちら Win32_EncryptableVolume Class
http://msdn.microsoft.com/en-us/library/aa376483(v=VS.85).aspx

メソッドの利用例
回復パスワードの新規作成　/　ProtectKeyWithNumericalPassword() メソッドを実行
古い回復パスワードの削除　/　DeleteKeyProtector("{ recoveryGUID }") や DeleteKeyProtectors() メソッドを実行
回復パスワードの確認　/　GetKeyProtectorNumericalPassword() メソッドを実行

以上、今回紹介させて頂いた手法によって BitLocker 回復パスワードを簡単に管理ができます。
システム管理者はユーザー側への作業や負担をかけることなく端末の集中管理を行うことができます。

「Adobe Flash Player のアップデートを簡単に行う良い方法は無いの？
 WSUS や Windows Update と同じように管理者側で最新の更新プログラム
 を選択したら、自動的にクライアントの Adobe Flash Player をアップデート
 できる仕組みがあるとうれしいんだけど」

上記の内容は、お客様からよく頂く質問のひとつです。以前は、この質問に対して以下のようにお答えしていました。

「SCCM で取得したインベントリ情報をもとに、古い Adobe Flash Player を
 利用している PC を判別 して頂き、判別した PC に対してソフトウェア配布
 機能を利用して最新の実行モジュール (*.exe or *.msi) を配布することが
 できます。」

しかし、今は以下のようにお答えすることができます。

「SCCM を利用することで、WSUS や Windows Update と同じように
 管理者側で最新の更新プログラムを選択して頂くだけで、
 Adobe Flash Player のアップデートを簡単に行うことができます。」

何故 SCCM で Adobe Flash Player のアップデートが簡単に行えるのか？・・ですが、
この背景には Adobe 社より SCCM 専用のカタログ ファイルが提供されるようになったことが挙げられます。

上記の図は Adobe Flash Player を社内展開するために、事前に申請手続きを行った管理者の方のみが
アクセスできるサイトになりますが、ご覧の通り、SCCM で利用可能な Adobe Flash Player のカタログファイルが提供されています。

■ Adobe Flash Player のカタログファイル入手申請はこちらから
http://www.adobe.com/jp/products/players/fpsh_distribution1.html

こちらを SCCM に取り込むことによって WSUS　や Windows Update と同じように簡単に更新プログラムの適用が可能となります。

カタログ ファイルを SCCM に取り込む際には SCUP (System Center Update Publisher)　を利用します。

■ SCUP のダウンロードはこちらから
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=0446cce9-94a4-4fb0-b335-e7516044063d&displaylang=en

SCUP を介して カタログ ファイルを取り込むことで、以下のように SCCM の管理コンソールから適用状況を詳細に把握することやクライアント PC に対する簡単な展開を実現することが出来るようになります。

　　　　　　　　　　　　　　　　
                             管理コンソールによる Adobe Flash Player の適用状態の把握



　 　　クライアント PC への Windows 7 更新プログラムと Adobe Flash Player のアップデート
（ユーザープル型の展開と管理者があらかじめ定めた時間でのサイレントインストールの両方に対応）

Windows の更新プログラムや Adobe Flash Player のアップデートはセキュリティを維持するために必須の作業ですが、同時に管理者にとって非常に負担のかかる作業です。
SCCM をご活用いただくことで、 Windows の更新プログラムと Adobe Flash Player を同じ仕組みでまとめて簡単に更新することが出来るようになります。
すでに SCCM を導入されているお客様、まだ導入されていないお客様も是非一度 SCCM による Adobe Flash Player のアップデートをご検証下さい！

尚、WSUS と SCCM 2007 の違いについては、以下のリンクからご確認頂けます。

■ WSUS  と SCCM 2007 の機能比較
http://technet.microsoft.com/ja-jp/windowsserver/cc980793.aspx

それでは、また！ 

 ※12/15追記
SCCM による Adobe Falsh Player のアップデートに関する Link を以下にご案内いたします。
英語ではありますが、是非ご参考下さい！

■  How to setup SCUP and ConfigMgr 2007 to deploy custom updates
http://blogs.technet.com/b/jasonlewis/archive/2007/11/30/how-to-setup-scup-and-configmgr-2007-to-deploy-custom-updates.aspx

 ■ SCUP - Publishing an Update (Webcast)
http://blogs.technet.com/b/jasonlewis/archive/2009/05/22/screencast-system-center-updates-publisher-publishing-an-update.aspx

■ SCUP - Deploying an Update
http://blogs.technet.com/b/jasonlewis/archive/2010/02/23/screencast-system-center-updates-publisher-deploying-an-update.aspx

みなさん、こんにちは。

11月1日に SCCM 2007 の最新バージョンである、SCCM 2007 R3 の日本語版がリリースされました！
SCCM 2007 R3 では PC の電源管理といった新機能の追加や、PC キッティング機能の改善、コレクション機能の操作性向上といった機能改善が加えられています。

 Configuration Manager 2007 R3 の新機能
http://technet.microsoft.com/ja-jp/library/ff977104.aspx

SCCM 2007 R3で追加された各機能の詳細ついては今後も本BLOGにて順次情報提供をしていく予定ですが、
本日は SCCM 2007 R3 関連の情報提供第一弾として、SCCM 2007 R3 のサーバーインストール手順をご紹介します。

こちらの手順書は SCCM 2007 R3 サーバーのインストールに必要となる手順を、画面ショット + SCCM プリセールスエンジニアの解説付きでご紹介しているものとなります。

ご存知の方もいらっしゃるかと思いますが、以前よりこちらのblogサイトにてSCCM 2007 R2 対応のインストール手順を公開させていただいておりました。
多くのお客様、パートナー様に SCCM 手順書をご利用いただいており、その中でも “Windows Server 2008 R2” に対応して欲しいといったリクエストも多数いただいておりました。
今回 R3 で新規にインストール手順書を書き直すにあたって、2008 R2 対応のほかにも、今までに頂戴したさまざまなフィードバックを加えています。

既存のSCCM 2007 R2 サーバーインストール手順書からの、主な変更点は以下になります
- SCCM 2007 SP2 のインストールに対応
- SCCM 2007 R3 サーバーのインストール手順を追加
- ベースOSとして、Windows Server 2008 R2 に対応
- データベースは SQL Server 2008 に対応

ぜひこちらの手順書をご活用いただき、SCCM 2007 R3の評価を実施いただければと思います。

ではまた！

みなさん、こんにちは。
今回はクライアント関連の情報をお伝えしたいと思います。

先月10月12日に MED-V 2.0 Public Beta がリリースされましたが、みなさまご存知でしょうか？
特に MED-V は、XP から Win7 への移行時の業務アプリ延命策として最近注目されている技術です。
今回リリースされた最新バージョンは、以前より使い勝手もよくなっていますのでぜひ検証してみてください。

 ■ MED-V 2.0 Public Beta

MED-V 2.0 の最大の特徴は、専用の管理サーバーが不要になったということです。
サーバー配置などインフラ設計、環境構築、運用の手間、と新しい技術を導入するたびに増えていくサーバーを
きちんと管理していくのは大変です。
MED-V 2.0 では既存の資産配布の仕組みを使ってクライアントへの配布、管理を行うことできるようになりました。
(マイクロソフトのお勧めは OS 展開もできる System Center Configuration Manager です！)

ここで主な機能を2つ、ご紹介したいと思います。

1．ホスト /  ゲスト間のデータ共有
MED-V v1 SP1 では、ホストからゲスト、ゲストからホストへデータを受け渡すには専用のツールを使ったり、
ネットワーク上の共有フォルダーを利用するなど、どうしても 1クッションが必要でした。
MED-V v2 では、ホストとゲストでお互いのデスクトップ環境をシームレスに共有できるようになります。

　　(1) スタートメニューからゲスト OS  (仮想のWindows XP) で動作している
　　　　Excel を起動
　　　　※ ゲスト上のアプリケーションは、ホスト (Windows 7) のスタートメニューから
　　　　　　シームレスに起動できます
　　　

　　(2) ゲスト上の Excel から、「名前を付けて保存」を実行
　

　　(3) 「デスクトップ」上に保存
　　　

　

 2．Web リダイレクション機能の拡張
Web リダイレクションは、特定のサイトを自動的にホスト側 (IE8) からゲスト側 (IE6) に振り分けることができる、
非常に便利な機能です。
MED-V v1 では、この Web リダイレクション機能は「Domain suffix」「IP prefix」「All Local addresses」の
3種類で設定するようになっていました。
MED－V v2 では、より柔軟に、「ワイルド カード」「サイト」「ページ or アプリケーション」「ポート」の4種類の
設定ができるようになり、より柔軟に対応できます。

　［Web リダイレクションで自動的に振り分けられ、2 バージョンのブラウザーが起動］


　［Web リダイレクションの設定画面：Workspace Packager］

◆　［Workspace Packager］
上記の Web リダイレクションを設定しているツールは「Workspace Packager」 といいます。
MED-V v1 では Workspace というモジュールをゲスト OS にセットアップします。
（ゲスト OS となる Windows XP に対して Workspace をインストールします）
MED-V 2.0 では Workspace の代わりに Workspace Packager というツールを使いますが、使い方と位置づけが
異なっています。

MED-V v1 では VHD ファイルのいわば内側に Workspace を配置しましたが、MED-V v2 は Packager という名前が
表すようにVHD ファイルの外側から、パッケージングする形になります。
さらに、 Workspace Packager は MED-V v1 の管理コンソールが持っている Web リダイレクションをはじめとした
ポリシーの設定機能も包含しています。

Workspace Packager や実装された機能の詳細については次回 （1週間後？） の投稿をお待ちください。

◆MED-V 2.0 Public Beta のモジュールは、下記の Microsoft Connect サイトからダウンロードできます。
11月以降、ベータ版の展開ガイド、ラボ環境の計画ガイドなどを日本語化して提供する予定になっていますので、
ぜひ検証してみてください。(MED-V のモジュールは英語版のみの提供です)
ご利用には Connect サイトへの登録が必要です。
　https://connect.microsoft.com/medv/InvitationUse.aspx?ProgramID=6452&InvitationID=MEDV-6CJC-Y6X2

 ■ Information
◆Windows 7 / Windows Server 2008 R2 SP1 リリース候補版
　　
　　クライアント向けには機能追加されていません。セキュリティ パッチの集積です。
　　モジュールはこれまでとは違い、サーバーとクライアントで共通モジュールになっています。
　　こちらからダウンロードいただけます。

　　Windows 7 Service Pack 1 RC および Windows Server 2008 R2 Service Pack 1 RC
　　http://www.microsoft.com/japan/windowsserver2008/sp1.mspx
　　※ リリース候補版の使用期限は2011年11月30日です。

◆The Microsoft Conference Japan Tour 2010 開催！
　　
　　11月25, 26日の東京を皮切りに、12月中旬まで全国 8 都市で MSC Japan Tour 2010 を開催します。
　　「最新のクラウド ソリューション」がメイン テーマですが、クライアント関連のセッションもありますし、
　　無償セミナーですのでぜひお越しください。

　　登録・詳細はこちらから
　　http://www.microsoft.com/japan/cloud/msc2010/default.mspx

　「チーム メンバーのセッション」
　　T2-3 ：デスクトップ移行の有効な選択肢 デスクトップ仮想化 (VDI) を考える
　　T2-4 ：App-V を使った Microsoft Office 2010 の展開ノウハウ
　　T2-5 ：Windows 7 + Microsoft Office 2010 展開と互換性対応のポイント
　　T2-7 ：Internet Explorer 8 への移行方法解説
　　T2-8 ：Windows 7 展開 ～ OS 互換性の解決策 : MED-V ～

　　T3-1 ：次世代の仮想化テクノロジを搭載! Windows Server 2008 R2 SP1 の新機能紹介
　　T3-6 ：クラウド基盤の運用管理 ～ System Center と Dynamic Datacenter Toolkit ～
　　T3-7 ：クラウド時代に求められるセキュリティ ～ ADFS と Forefront で守る Windows インフラ ～

みなさん、こんにちは。
先日は、MED-V 2.0 Public Beta が10月12日に公開されたことを当ブログでお知らせいたしました。
今回も引き続き MED-V 2.0 についての最新情報をお届けし、ユーザーにとってより使いやすくなった
MED-V 2.0の機能についてもご紹介していきたいと思います。

■ MED-V 2.0 最新情報

1 . Beta ドキュメント (日本語翻訳版) リリース！

11 月 4 日に MED-V 2.0 Beta ドキュメント 日本語翻訳版 がリリースされました。
ドキュメントには以下のコンテンツが含まれています。

・MEDV_Deployment_Guidance_beta.pdf  (MED-V 展開ガイド)
・MED-V Evaluation.pdf  (MED-V 評価ガイド)
・MED-V Administration Toolkit.pdf (MED-V Administration Toolkit 利用ガイド)

MED-V 2.0 Beta の基本的な評価ポイントは概ね以下に記載した3つの作業となります。

1. 展開用 workspace (ゲスト OS) のセットアップと汎用化 （sysprep による初期化）
2. MED-V Workspace Packager による展開用 workspace パッケージ （インストーラー） の作成
3. MED-V Client (ホストOS) への workspace パッケージのインストールと workspace の初期設定 

 展開ガイドと評価ガイド、そして製品ヘルプをご活用頂き、
上記の評価を行う際の参考として是非ご利用下さい！  

2 . MED-V 2.0 Public Beta Refresh リリース！

MED-V 2.0 Public Beta 公開からまだ数日しか経っていませんが、
先日 11 月 5  日に早くもアップデート版である MED-V 2.0 Public Beta Refresh  が公開されました！

MED-V 2.0 Public Beta Refresh の主な改善点は以下の 2 つの内容となっています。

・Workspace Packager のアップデート （MED-V ゲスト OS への任意のコンピューター名の適用が可能）
・MED-V ゲスト OS の初期設定プロセスの変更
 （初期設定時に MED-V ゲスト エージェントが ゲスト OS 上にインストールされる ）

これから検証を始められるお客様、或るいは、既に MED-V 2.0 Public Beta をご利用のお客様も、
是非こちらの MED-V 2.0 Public Beta Refresh をご評価下さい！

尚、上記でご紹介したドキュメントは MED-V 2.0 Public Beta Refresh の評価を行う際にも、ご利用頂ける内容となっています。

今回ご紹介した、ドキュメント、Public Beta Refresh はいずれも Microsoft Connect で公開されています。
ダウンロード メニューから最新版をご入手下さい！

・Microsoft Connect サイト
  https://connect.microsoft.com/medv/InvitationUse.aspx?ProgramID=6452&InvitationID=MEDV-6CJC-Y6X2
  ※ご利用には Connect サイトへの登録が必要です。

■ ユーザーにとってより使いやすくなったMED-V 2.0 Beta

仮想 OS のアプリケーションで作成されたデータの拡張子も自動登録可能！

前回はホスト OS  とゲスト OS 間でお互いのデスクトップ環境をシームレスに共有できるようになったことをご紹介致しました。
今回は、こちらの機能についてもう少し掘り下げたいと思います。
まずは、前回のおさらいも含め、ホスト OS とゲスト OS  のデスクトップ環境の共有から見ていきましょう。

(1) ホスト OS 上のスタートメニューから ゲスト OS 上のアプリケーション (Excel 97) を起動します。

一見、ホスト OS 上にインストールされているアプリケーションを起動しているように見えますが、
実は、ゲスト OS 上にインストールされているアプリケーションを起動しています。
MED-V 2.0 ではユーザーに対して今まで以上に仮想環境を意識させない作りになっています。

(2) ゲスト OS 上のアプリケーションでデータを作成します。

まるでホスト OS 上にインストールされているアプリケーションと同じような操作環境を提供します。 
お気づきかもしれませんが、仮想 OS 上のアプリケーションを操作している際は、
IME も自動的に仮想 OS 上のものに切り替わっていることが見て頂けますね。
（心なしか、懐かしの「カイル君」もいつもよりうれしそうにも見えます。）

(3) ゲスト OS 上のアプリケーション作成したデータを保存します。

データの保存先には、もちろんホスト OS 上の各ドライブを選択することができますが、
特に、仮想 OS 上のデスクトップとマイドキュメントを保存先に指定した場合は特別な扱いとなっており、
自動的にホスト OS のデスクトップとマイドキュメントにリダイレクトされるようになっています。

自動的にホスト OS のデスクトップ上に仮想 OS で作成したデータがリダイレクトされ、保存されることをご確認頂けます。

(4) ゲスト OS 上のアプリケーション作成したデータのプロパティから拡張子の割り当てを確認します。

ご覧の通り、ホスト OS 上に保存されているデータの拡張子の関連付けが、仮想 OS 上のアプリケーションとなるように自動で割り当てられます！

今回は前回に引き続き、MED-V 2.0 の最新情報とより使いやすくなったMED-V 2.0 の機能について触れました。
デスクトップ仮想化 (MED-V) は Windows 7 の早期導入を実現するための一つのアプローチです。
是非、MED-V 2.0 Beta Refresh をご評価頂き、Windows 7 の早期導入を実現するためにご活用ください！