Part 1 IT CPU IT IT 1998 Windows NT Server 4.0, Terminal Server Edition 1 Windows Based Terminal WBT Windows CE 1 100Mbps 1Gbps LAN OS 1 PC 1 OS 2

(1)

Microsoft Flexible Workstyle

マイクロソフトだけが提案できる

“新”シンクライアント

_&

BYOD

ソリューション

Part 1 シンクライアント環境の“真”のビジネス価値とは

Part 2 マイクロソフトだけが提供できるトータルソリューション

技術情報 Windows Server 2012／_{Windows Server 2012 R2}の_RDS強化点

(2)

Part 1 シンクライアント環境の

“真”のビジネス価値とは

シンクライアントとはもともと、企業の

_IT

環境において、コンピューティングリソース（

_CPU

、メモリ、ディスクなど）や アプリケーション、データをサーバーに集約して集中的に管理および実行し、社員が使用する端末（シンクライアント） には必要最小限の機能しか搭載せずに画面をリモートで表示するというソリューションです。 シンクライアント環境は、利用者の端末管理を簡素化します。しかし、シンクライアント環境のメリットは それだけではありません。

_IT

環境の大部分をデータセンターのサーバーに集約できるため、 セキュリティやコンプライアンスの強化、作業場所や端末（デバイス）を問わない柔軟なデスクトップ環境の提供、 運用管理の効率化など、

_IT

のさまざまな課題を解決するソリューションとなります

シンクライアントの歴史と課題

シンクライアントソリューションとしてマイクロソフトが初めて提供したのは、1998年リリースの「

_{Windows NT Server}

4

.

0

, Terminal Server Edition

」に実装された「ターミナルサービス」（現在の「リモートデスクトップサービス」の前身）でした（図

₁

）。ターミナルサービスは、「

_{Windows Based}

Terminal

（

_WBT

）」という

_{Windows CE}

ベースのシンクライアント専用端末ともに華々しく登場しましたが、採用されたのは一部の業種や業務に限定されました。シンクライアントソリューションの導入が進まなかった理由はさまざまですが、技術的な課題もその1つです。100

Mbps

や1

Gbps

があたりまえとなった現在の通信環境に比べると、当時の

_LAN

はネットワーク帯域が狭く、画面表示の応答性を確保するために表示色を落とすなど、利用者のエクスペリエンスに大きな制約がありました。また、サーバー

_OS

にデスクトップアプリケーションをインストールして使用するという、新しい利用方法が互換性やライセンスの問題を生み、利用できるアプリケーションも限定されました。もう1つの大きな課題は、初期導入コストでした。当時は ターミナルサーバー ●マルチユーザーセッション ●デスクトップとアプリケーションの集中管理 ●コンピューティングリソースの集約 シンクライアント専用端末 （またはPC） 画面表示の転送キー入力、マウス操作の転送図1● 「ターミナルサービス」によるシンクライアント環境のイメージ。OS、アプリケーション、データをすべてサーバー側に集約できるため、さまざまなメリットが生まれる。しかし、登場当初は技術的、コスト的な課題が大きく導入が進まなかった

(3)

Part 1 シンクライアント環境の“真”のビジネス価値とは 企業内クライアントPC、シンクライアント専用端末、モバイルPC、BYOD、自宅のPC… Windows Server 2012 R2 リモートデスクトップ（RD）セッションホスト Hyper-V ハイパーバイザー リモートデスクトップ（RD）仮想化ホスト セッションベース ユーザーセッション ローミング （ユーザープロファイルディスク、UE-V） アプリケーションの仮想化 （RemoteApp、App-V） 自動プロビジョニング パッチ管理 フェアシェア、動的メモリ データ重複除去 ライセンス管理 （RDライセンス） 接続管理 （RD接続ブローカー） リモートアクセス（RDゲートウェイ、ネットワークアクセス保護、 DirectAccess、デバイス認証、Webアプリケーションプロキシ）ユーザーセッション仮想デスクトップ RemoteFX（RDP 8） ● WAN対応 ● アプリ転送（RemoteApp） ● デバイスリダイレクト ●リモート制御（セッションシャドウ） Windows To Go 図2● マイクロソフトの最新のシンクライアントソリューションコンピューター（シンクライアントに対してリッチクライアント）の高性能化と低価格化が急速に進み、シンクライアント専用端末の価格メリットはすぐに失われてしまいました。加えて、シンクライアント環境ではサーバーに大量のコンピューティングリソースが必要となったため、全体的な初期導入コストは当時主流のクライアント

_/

サーバー環境よりもどうしても大きくなりました。すでに導入済みのクライアント

_/

サーバー環境から、シンクライアント環境へとリプレースする場合は、さらにコストがかかりました。

シンクライアントの最新事情

Windows

2000

Server

以降、ターミナルサービスはサーバーの標準の役割（機能）として

_OS

に実装され、パフォーマンスやネットワーク使用帯域、機能、およびエクスペリエンスの改善、拡張が続けられてきました。

_{Windows Server}

2008

R

2からは「リモートデスクトップサービス（

_RDS

）」に改称され、同時に「仮想デスクトップインフラストラクチャ（

_VDI

）」の機能が統合されました。

_RDS

の

_VDI

機能は「

_Microsoft

VDI

」とも呼ばれ、

_{Windows Server}

標準のサーバー仮想

化テクノロジである「

_Hyper-V

」ハイパーバイザー上でデスクトップ

_OS

をインストールした仮想マシン（仮想デスクトップ）を集中的に実行し、利用者には仮想デスクトップのコンソールへのリモートデスクトップ接続を提供します。

_Windows

Server

2008

R

2以降の

_RDS

では、従来のターミナルサーバー方式の「セッションベース」と、

_Hyper-V

の仮想化による「仮想マシンベース」のいずれか、または両方を、

_RDS

の共通基盤を使用して利用者に提供できるようになりました。さらに、

_{Windows Server}

2012以降の

_RDS

では、セッションベースと仮想マシンベースの統合がさらに進み、より簡単に導入できるようになりました。セッションベースと仮想マシンベースのどちらで導入するかは、利用シナリオやシステム要件、アプリケーションの互換性に応じて最適なほうを選択できます（図

2

）。利用者から見たエクスペリエンスや機能に違いはほとんどありません。また、

_{Windows Server}

2012および

_Windows

8に実装された「リモートデスクトッププロトコル（

_RDP

）」の新バージョン、

_RDP

8

.

0により、ネットワーク使用帯域の抑制とエクスペリエンスのさらなる向上を両立できるようになりました。

_RDP

8

.

0以降のエクスペリエンス機能は「

_RemoteFX

」というテクノロジに基づいており、遅延の多い

(4)

低速な

_WAN

リンクにおいても、応答性や機能性を損なわない、すぐれたエクスペリエンスを実現します。また、タッチ対応のタブレット端末に対して、タッチ操作をサポートします。クライアント側は現在、シンクライアント専用端末のほか、通常のコンピューター（リッチクライアント）、「

_Windows

Thin PC

」などでロックダウンしたコンピューター（事実上のシンクライアント専用端末）、タブレット端末、スマートフォンなど、さまざまなデバイスを選択できます。シンクライアントベンダーは

_RemoteFX

対応のシンクライアント専用端末を提供していますし、

_Windows

8と同時に登場した

_{Windows RT}

デバイス（マイクロソフトの「

_{Surface RT/ Surface}

2」など）は、携帯性やタッチ操作が要求される利用シナリオにおけるシンクライアント端末として最適なエクスペリエンスを提供します。

また、マイクロソフトは

_{Mac OS}

、

_iOS

、

_Android

向け

リモートデスクトップアプリケーション「

_{Microsoft Remote}

Desktop

」の無償提供も開始しています。

_{App Store}

および

Google Play

から無料でダウンロードできます。

_Microsoft

Remote Desktop

は、

_Windows

にリモートデスクトップ接続し、ネットワーク経由で

_PC

を遠隔操作できるアプリケーションで、

_Windows

7（

_{Professional/Enterprise/Ultimate}

）や

_Windows

8

/

8

.

1（

_{Enterprise/Pro}

）、

_Windows

Server

2012

R

2などのリモートデスクトップサービス／

_VDI

仮想デスクトップへ接続することができます（画面

₁

）。これを利用すれば、使い慣れた自分の

_PC

やデバイス、外出時、緊急時などでもオフィスにある自分の

_Windows

デスクトップやターミナルサービスに接続し、時間や場所に縛られることなく業務を遂行できるので生産性の向上にも大きく寄与します。

画面1● Androidタブレット用「Microsoft Remote Desktop」からWindows Server 2012 R2リモートデスクトップサービスのVDI仮想デスクトップに接続した様子。Windows 8.1のデスクトップが完全に利用できる

(5)

Part 1 シンクライアント環境の“真”のビジネス価値とは

シンクライアントのビジネス価値

ここでいったんシンクライアントソリューションの利用シナリオとメリットを整理しておきましょう（図

3

）。シンクライアント環境は、ビジネスのさまざまな課題を解決する、数多くの価値を提供します。その初期導入コストは現在でもやや壁にはなりますが、コストの壁を越える価値を見出すことができるはずです。 価値─その

1

情報漏えい対策とセキュリティ強化

USB

メモリなどのリムーバブルメディアやプリンターなど、クライアント端末に接続されるデバイスは、情報漏えいの経路としてしばしば問題になることがあります。シンクライアント環境では、画面表示の転送とキーボードおよびマウス信号の転送のやり取りだけで実現されるので、機密データが端末にダウンロードされることはありません。すべてのデータをデータセンターに保管し、一か所で管理できるので、機密データの保護が容易になります。そして、シンクライアントのテクノロジの進化により、現在ではシンクライアント端末側に接続されたさまざまなデバイスを、リモートのセッションにリダイレクトして、ローカルデバイスのように利用させることが可能になりました。管理者は特定のデバイスの使用だけを許可したり、あるいはデバイスの使用を完全に禁止したりといったことを、サーバー側で完全にコントロールできます。また、次に説明するリモートアクセス環境においても、シンクライアント環境はセキュリティの強化に寄与します。リモートアクセス手段として一般的な仮想プライベートネットワーク（

_VPN

）接続は、リモートの端末を社内のネットワークに接続するかたちとなるため、その接続を通じてマルウェアが社内ネットワークに侵入したり、あるいはダウンロードされた機密データが十分なセキュリティ対策のとられていないコンピューター（自宅の

_PC

など）から外部に送信されたりする危険性があります。シンクライアント環境を利用したリモートアクセスの場合、管理者はリモートデスクトップ接続のための最小限のポートを許可すればよく、画面表示だけでデータのダウンロードは行われません。また、リモート表示の画面とローカル端末の環境は完全に分離できるので、接続元のコンピューターの脆弱性の影響を受けないという利点もあります。 価値─その

2

フレキシブルワークスタイルと事業継続 いつでも、どこからでも社内リソースにアクセスできるリモートアクセス環境を整備することは、社員の生産性を高め、フリーデスクやモバイル、在宅勤務、

BYOD

など、さまざまなワークスタイルを実現します。このようなリモートアクセス環境は、平常時だけでなく、大規模災害やパンデミックの発生時の事業継続対策（

_BCP

）としても役立つのです。リモートアクセス環境の整備にシンクライアント環境は非常に有効です。安全性やセキュリティの実装の容易さはすでに説明したとおりです。シンクライアント環境では、業務アプリケーションを含む企業の標準的なデスクトップ環境を、いつでも、どこでも、どんなデバイスに対しても提供できるので、社員は常に同じ作業環境で業務を継続できます。 価値─その

3

デスクトップとアプリの標準化、 互換性環境 シンクライアント環境では、

_OS

およびアプリケーションをデータセンター側で集中的に展開および管理します。そのため、

_IT

部門は

_OS

の設定やセキュリティ、アプリケーションのバージョン管理を一か所で完全にコントロールできます。シンクライアント環境のこの特性を活かし、複数の

_OS

の種類（非

_Windows

を含む）やバージョンが混在する既存の

IT

環境に、最新

_OS

と最新アプリケーションを組み込み済みの社内標準のデスクトップ環境をすばやく提供できます。あるいは、仮想マシンベースのデスクトップ環境を利用して、レガシーアプリケーションの実行環境を提供し、互換性問題に対処することも可能になります。 価値─その

4

取替え可能なユーザー端末 シンクライアント環境では、重要なものはすべてデータセンター内に存在します。利用者の端末は、キーボードとマウスが備わった単なる表示装置に過ぎません。利用者は、端末が故障したとしてもすぐに別の端末で業務を継続できます。また、端末を交換しても、最小限の設定（ネットワーク接続など）ですぐにシンクライアント端末として利用可能になります。同じ理由により、社員はシンクライアント専用端末、企業内のコンピューター、

_BYOD

デバイス、自宅の個人

_PC

のいずれからアクセスしても、常に共通のデスクトップ環境を利用することができます。

(6)

●情報漏えい対策とセキュリティ強化 ・データセンター側にデータを保存し、集中的に保護・機密データをローカルデバイスにダウンロードさせない・

_BYOD

デバイスに対して社内の標準環境を安全に提供 ●フレキシブルワークスタイルと事業継続 ・インターネット越しに安全なリモート接続（

VPN

不要）・在宅勤務やモバイルユーザーに社内と同じ作業環境を提供・大規模災害やパンデミック時の事業継続 ●デスクトップとアプリの標準化と集中管理 ・デスクトップ環境とアプリケーションの展開と更新がデータセンター側の作業だけで完了・利用者側の

_PC

の互換性やスペックを問わずに、最新の

_OS

やアプリケーション、または互換環境を提供できる ●取替え可能なユーザー端末 ・

_OS

、アプリケーション、データはすべてデータセンター側にあり、利用者の端末に依存しない・端末が故障しても、代替品ですぐに業務に復帰できる図3● シンクライアントソリューションの主な利用シナリオとメリット

(7)

シンクライアントソリューションの

基盤部分を担う

RDS

と

VDI

マイクロソフトはシンクライアント環境の基盤テクノロジとして、

_{Windows Server}

2012

/

2012

R

2の「リモートデスクトップサービス（

_RDS

）」を提供しています。

_RDS

のシンクライアント環境は、従来のターミナルサーバー方式のセッションベースのデスクトップと、

_Hyper-V

の仮想化環境を利用した仮想マシンベースのデスクトップの両方を提供します。後者は、いわゆる仮想デスクトップインフラストラクチャ（

_VDI

）と呼ばれるもので、

_RDS

を利用した

_VDI

環境を「

_{Microsoft VDI}

」と呼ぶこともあります。ターミナルサーバー方式と

_Microsoft

VDI

の両方とも、

_RDS

の共通基盤を利用しており、接続管理から負荷分散、

_Web

アクセス、ライセンス管理まで一元管理できます。

RDS

によるターミナルサービス方式と

_VDI

方式のどちらを選択するか、それは適性や要件に合わせて柔軟に対応できます。ターミナルサービス方式は、

_{Windows NT Server}

4

.

0

Terminal Server Edition

（

_TSE

）からの長い実績があり、サーバー当たりのユーザーの収容率が高いためコスト効率に優れています。ただし、同じデスクトップ環境をマルチユーザーで利用するため、ユーザーごとのカスタマイズ（異なるアプリケーション、異なるバージョンなど）には制約があります。一方、

_VDI

方式は、ユーザーごとに仮想マシンの

_OS

インスタンスを提供するため、ユーザーごとの個別化が容易です。ただし、サーバーにより多くのリソースを必要とし、同じ理由でサーバー当たりのユーザー収容率が制限されます。管理するべきデスクトップ数が増えることも、運用コストを押し上げる要因になります。

RDS

と

VDI

を組み合わせた

マイクロソフトの

シンクライアントソリューション

VDI

はユーザーに自由度の高いデスクトップを提供するがコストが高く、

_RDS

は逆にユーザーのデスクトップ操作に制限が発生しやすいがコストが低いという特徴があります。マイクロソフトのシンクライアントソリューションでは、これらの特徴を活かし、基本的なデスクトップの提供は

_RDS

で行い、その要件を超えるユーザーにのみ

_VDI

を提供します。例えば、オフショアでの委託業務や契約社員のデスクトップには

_RDS

を利用し、柔軟なデスクトップが必要となる役員や重要なアカウントを担当する営業職には

_VDI

を利用するなどの使い分けを行うことで、シンクライアントソリューションが備える、セキュリティ／コンプライアンス性と機動性、そして管理の容易性を全てのユーザーで実現しながら、それぞれの要求される自由度に応じた最適なデスクトップを提供します。さらに、

_VDI

と

_RDS

それぞれに割り振られたユーザーは、容易に入れ替えることが可能ですので、社員の職務の変化に応じて迅速に対応することも可能です（図

4

）。【

VDI

が必要なユーザーの例】 ・ユーザーが判断し、自由にアプリケーションの インストールを行う ・

_RDS

（

_{Windows Server 2012/2012 R2}

のデスクトッ プ）で動作しないアプリケーションやデバイスを利用す る必要がある ・随時、

_Windows

の設定を変更する必要がある など

Part 2 マイクロソフトだけが提供できる

トータルソリューション

マイクロソフトの製品およびテクノロジは、従来のセッションベース（旧ターミナルサーバー形式）の シンクライアント環境と仮想マシンベース（

_VDI

）の新しいシンクライアント環境の両方で、 ユーザーのフロントエンドからバックエンドのサーバー、ストレージ、および管理基盤まですべてカバーしています。 適正や要件、予算に合わせてこれらを個別に導入、または組み合わせて利用することが可能です。 シンクライアント環境の構築に必要なビルディングブロックのすべてを、マイクロソフトの製品やテクノロジだけで 準備できるということが、マイクロソフトだけが提案できるシンクライアントソリューションになります。

(8)

RDS

と

VDI

で

共通のデスクトップ管理を実現する

App-V

と

System Center

マイクロソフトは、

_RDS

VDI

方式の両者の適性の違いを緩和するテクノロジとして、アプリケーションの仮想化を可能にする「

_Microsoft

Application Virtualization

（

_App-V

）」を提供しています。

App-V

は、アプリケーションの実行環境を

_OS

から分離し、アプリケーションをパッケージとしてオンデマンドで配信できるテクノロジです。

_App-V

は、

_RDS

_VDI

方式のどちらのシンクライアント環境にも組み合わせることができます。ターミナルサービス方式と組み合わせれば、ユーザーごとにアプリケーションを動的に切り替えることができ、ターミナルサービス方式の制約を取り払います。

_VDI

方式と組み合わせれば、仮想デスクトップの

_OS

環境を汎用化することができ、デスクトップ数の増加に伴う運用コストの上昇を抑制します。いずれの方式に組み合わせた場合でも、

OS

環境とアプリケーションのライフサイクル管理（パッチ管理やバージョンアップ）を分離して、アプリケーションを一元的に集中管理できるのも大きなメリットです。マイクロソフトのシンクライアント環境全体は、「

_System

Center

」管理製品群で運用管理できます（図

5

）。

System

Center

により、仮想環境を含むサーバー基盤の稼働監視から、仮想デスクトップのプロビジョニング、パッチ管理、アプリケーション（

_App-V

を含む）の配布、リソースの最適化、およびバックアップによる保護までをトータルにカバーします。

System Center Operations Manager

（

_SCOM

）を利用すれば、アプリケーション、サーバー、クライアント、ネットワークデバイスなど、システム全体を監視し、障害が発生する前に問題を検出し、改善策を実施することができます。

System Center Virtual Machine Manager

（

_SCVMM

）は、仮想マシンベースのデスクトップ（

_VDI

）展開における

_RD

仮想化ホストの正常性管理と稼働監視を行います。

System Center Conﬁguration Manager

は、仮想デスクトップ用の仮想マシンテンプレートの作成、アプリケーションの配布、パッチ管理を行います。この他、マイクロソフトが提供するセキュリティ製品やテク

RDS

いずれの環境も シンクライアントソリューションの メリットを実現 ●機密データとアプリケーションの保護 ●安全なリモート接続環境 ●すばやいアプリケーション管理

VDI

接続元ユーザー ●デスクトップの操作は自由 ●デスクトップの変更に制限あり ●低コスト ●デスクトップの操作は自由 ●デスクトップの変更も自由 ●高コスト自由にWindowsの設定変更やアプリケーションの追加が必要ないユーザーはRDS方式へ接続自由にWindowsの設定変更やアプリケーションのインストールを行うユーザーはVDI方式へ接続 職務の変化に応じて、入れ替え 図4● RSD、VDIは、いずれの環境もシンクライアントソリューションのメリットを実現します

(9)

Part 2 マイクロソフトだけが提供できるトータルソリューション 組織内 System Center 2012 R2 System Center 2012 R2 デスクトップ構成管理／ アプリケーション配信 システム運用監視 組織外 境界セキュリティ RDSサーバー（接続管理） SCOM SCVMM RDセッション ホスト（RDS） ホスト（VDI）RD仮想化 接続元端末 Active Directory（ID認証基盤） ライセンス管理サーバー 接続元端末 SCCM 自宅・外出先 インターネット

RDS/VDIどちらもWindows Server 2012 R2 RDSサーバー役割でカバー Android iOS Windows Android Windows iOS 図5● マイクロソフトが提案する、マイクロソフトテクノロジだけで構成されたハイブリッドなシンクライアント環境ノロジとの親和性も高いため、社内環境、モバイル環境、リモートワーク環境に、セキュアなシンクライアント環境を展開することができます。

Windows Server 2012 R2

の

新機能

Windows Server

2012

R

2は、

Windows Server

2012

で刷新された

_RDS

のほとんどの機能をそのまま引き継いでいますが、いくつか重要な新機能と改善点があります。

■

VDI

記憶域のデータ重複除去

Windows Server

2012

R

2では新たに、

_{Windows Server}

2012でファイルサービスに導入された新機能である「データ重複除去」を、仮想デスクトップの記憶域（ファイルサーバーに配置する場合）で有効化できるようになりました。仮想デスクトップの記憶域に対するデータ重複除去のサポートは、実行中の仮想マシンの仮想ハードディスク（

_VHD

または

_VHDX

）にも適用されます。同一の

_OS

を実行する仮想デスクトップは、ほとんど同じ内容を持つ仮想ハードディスクファイルを持ちます。そこでデータ重複除去を有効化すれば、ディスク使用率を劇的に向上（場合によっては90％以上圧縮）できます。データ重複除去は、仮想マシンベースのデスクトップの記憶域としてファイルサーバーを利用する大きなメリットになります。 ■ユーザーエクスペリエンスのさらなる向上

Windows Server

2012

R

2および

_Windows

8

.

1は最新の

RDP

8

.

1を搭載し、パフォーマンスの向上とユーザーエクスペリエンスのさらなる改善が行われています。

_RemoteFX

は圧縮テクノロジが改善され、ネットワーク使用帯域幅がさらに削減されます。また、セッション切断時の再接続の時間が短縮（クイック再接続）や

_RemoteApp

プログラムの表示機能の改善（移動中のウィンドウの内容表示、ライブサムネイル、ウィンドウの透明化）など、エクスペリエンスが向上します。マルチタッチ機能も改善され、ズーム操作やスタート画面の表示など、ローカルとリモートで競合するようなタッチ操作がわかりやすくなります。

(10)

■マルチデバイス対応 リモートデスクトップ接続の

_WAN

対応が強化されたことによって、

_RDS

のリモートアクセス利用シナリオはより現実的になりました。

_{Windows Server}

2012以降の強化されたリモートアクセスおよびセキュリティ機能を導入することで、場所とデバイスを問わないリモートアクセスの利便性と、セキュリティの強化を両立できます。

さらに

_{Mac OS}

、

_iOS

、

_Android

向けに無償提供が開始されたマイクロソフト純正のリモートデスクトップアプリケーション「

_{Microsoft Remote Desktop}

」により、

_{Windows PC}

だけでなく、

_Mac

、

_iPhone/iPad

、

_Android

スマートフォン／タブレットなどからも

_Windows

デスクトップ環境が容易に利用できるようになったこともビジネスワーカーの生産性向上に大きく貢献します。

レガシー

PC

をシンクライアントに

変える

Windows Thin PC

マイクロソフトのシンクライアント環境にアクセスするクライアントは、

_Windows

のリッチクライアント（

_Windows

7

/

8

/

8

.

1など）、

_{Windows Embedded}

または

_Linux

ベースのシンクライアント専用端末、およびスマートフォンやタブレットなどのマルチデバイスを利用できます。これらの既成のデバイスに加えて、

_PC

をロックダウンして事実上のシンクライアント専用端末として利用する方法があります。そのための

_OS

が、「

_{Windows Thin PC}

」です。

Windows Thin PC

は、「ソフトウェアアシュアランス（

_SA

）」の契約者に特典として提供されている軽量

_OS

です。

Windows Thin PC

は、ロックダウンのために機能が限定されており、クライアント側にアプリケーションデータを保持しないため、シンクライアント端末と同様にセキュリティ面や持ち運び性など様々な利点があります。また、

Windows

7

Enterprise

の企業向けセキュリティ機能の他に、書き込みフィルターやキーボードフィルターを独自にサポートしており、ステートレス（デスクトップへの変更内容を維持しない再帰可能）な

_PC

環境の実現や、特定のショートカットキーの無効化など、通常の

Windows

環境ではできない、追加のセキュリティ対策を容易に実装できます。

Windows Thin PC

は、名前のとおり、シンクライアント端末の

_OS

としての利用が想定されています。

_SA

が付与されたデバイスに、

_Windows

の代わりにインストールすることで、セキュリティの高いシンクライアント専用端末を作成することができます。数世代前の

_PC

であれば（

_{Windows Thin PC}

のシステム要件を満たす限り）、レガシー

_PC

の再利用にも活用できます。

マイクロソフト製品スタックで

統一するメリット

前述したように、マイクロソフトはシンクライアント環境に必要な製品とテクノロジをトータルで提供しています。そのすべてを活用することで、製品やテクノロジ間の高い親和性のメリットを生かし、セキュアで安定したシンクライアント環境を構築し、最良のエクスペリエンスをユーザーに提供できます。マイクロソフトの製品とテクノロジに統一するメリットはそれだけではありません。仮想化レイヤから上位アプリケーションまで、またクライアント環境を含めて、エンドツーエンドでカバーできるということは、マイクロソフトもしくはパートナー企業（その場合はハードウェアレイヤも含めて）によるワンストップのサポートが可能になり、サポートコストの抑制と問題解決の迅速化の両方を実現できます。これは、他社のシンクライアントソリューションを選択した場合には得られない大きなメリットです。仮想化環境が絡むと複雑になりがちなライセンスを、一元管理できるのもメリットです。

(11)

Part 3 シンクライアント環境構築

ライセンスガイド

シンクライアントソリューションの最大の課題は初期導入コストにあります。 そして、その大部分をライセンスコストが占めます。また、

_VDI

については、 導入後にライセンスの更新コストが継続的に発生します。 一方、マイクロソフトの提供する

_RDS

のライセンスコストは導入コストも低く、ライセンスの更新費用も不要です。

VDI

と

_RDS

を必要に応じて組み合わせるマイクロソフトのシンクライアントソリューションでは、 既存の

_VDI

ソリューションに比べて大幅に導入と運用に関するライセンスコストを低く保ちながら、 シンクライアントソリューションを実現することができます。

シンクライアントソリューションの

ライセンスの最適化

シンクライアントソリューションだけに限らず、仮想化テクノロジの登場は、しばしばユーザー側を悩ませてきました。

_VDI

ではサーバー内の仮想環境でデスクトップ

_OS

を稼働させることにより、ユーザーごとに独立したデスクトップ環境を提供する一方で、接続するクライアントに対して、クライアント

_OS

のライセンスを1つずつ購入する必要があります。このライセンスは導入時の他に継続的にライセンスの更新が必要になります。一方で、

_RDS

では複数のユーザーが

_{Windows Server}

2012

R

2上で個別にデスクトップを利用することになるため、必要となるライセンスは1つのサーバー

_OS

ライセンスと、比較的安価で継続的にライセンスコストが発生しない接続ライセンスの組み合わせになり、

_VDI

に比べると安価に導入が可能です。

既存の

PC

を利用して

シンクライアントソリューションを実現

PC

から仮想デスクトップ環境にアクセスしたり、自宅の

_PC

やキオスク端末など、遠隔地にある第三者のデバイスから仮想デスクトップ環境にアクセスしたりするには、

_Windows

Virtual Desktop Access

（

_{Windows VDA}

）が必要になります。

_Windows

ソフトウェアアシュアランス（

_SA

）は、

Windows Virtual Desktop Access

（

_{Windows VDA}

）の権利を包含しています。そのため、

_{Windows SA}

を持つ

_PC

では、追加コストなしで

_{Windows VDA}

の権利を行使できます。一方、シンクライアント専用端末デバイスや、

_SA

を付与できない

_PC

から

_VDI

を利用するには、

_{Windows VDA}

を追加

する必要があります。また、

_{Windows SA}

を持つ

_PC

がある場合は、追加コストなしで、

_Windows

の代わりに

_Windows

Thin PC

をインストールして利用することができます。

なお、

_{Windows VDA}

ライセンスは、

_Microsoft

以外の他社の

_VDI

ソリューションを利用し

_Windows

にアクセスする場合も同様に必要となります。

BYOD

デバイスからの同時利用を

可能にする

Windows CSL

シンクライアント環境は、在宅勤務や

_BYOD

を実現する手段として使用できます。

_{Windows SA}

および

_Windows

VDA

には社外から社内の仮想デスクトップにアクセスするローミング使用権が含まれています。

_{Windows SA}

もしくは

Windows VDA

が割り当てられたデバイスの主要（プライマリ）ユーザーは、個人所有の

_PC

もしくは出張先のホテルの

_PC

など会社所有ではないデバイスを利用し、自宅や外出先から社内の

_VDI

の仮想デスクトップに業務利用を前提にリモートアクセスすることができます。なお、ローミング使用権はセッションベースのデスクトップへの接続には適用されません。それには、ユーザーまたはデバイスごとに取得する

RDS CAL

が必要になります。

BYOD

の利用シナリオでは、社員が会社にタブレットなどの個人のデバイスを持ち込み、仮想デスクトップにアクセスしたいという要望があるかもしれません。以前はこれらのデバイスに対して、それぞれ

_{Windows VDA}

を購入するというオプションしかありませんでしたが、現在では

BYOD

の利用シナリオを想定した「

_{Windows Companion}

サブスクリプションライセンス（

_CSL

）」を利用できます。

(12)

Windows CSL

は、

_{Windows SA}

または

_{Windows VDA}

のライセンス取得済みデバイスに追加できるサブスクリプションライセンスであり、デバイスの主要（プライマリ）ユーザーはライセンス取得済みデバイスと同時に最大4つまでの個人デバイスおよび会社が所有する非

_Windows

デバイス（コンパニオンデバイス）から、社内外を問わず仮想デスクトップへのアクセスが可能になります。なお、会社所有の

_{Windows RT}

デバイスについては、

_{Windows SA}

または

_{Windows VDA}

のライセンスの範囲内でコンパニオンデバイスとして利用できる特典が適用されるため、無償で

_{Microsoft VDI}

の環境を利用することができます。

VDI

ソリューションを

より低コストに柔軟に運用する

VDI Suite

ライセンス

マイクロソフトは、

_VDI

を低コストで導入するためのシンプルなライセンスオファリング

_{, VDI Suite}

を用意しています。

VDI Suite

ライセンスは、月々の更新型ライセンスであるため、従業員の増減や職務の変化に応じた必要ライセンスの増減に柔軟に対応することが可能です。表

₁

では、以下の2つの例でコスト試算を行いました。それぞれの前提条件を以下に示します。

VDI

に必要となるライセンスの参考情報 詳細情報 マイクロソフトソフトウェアアシュアランス http://www.microsoft.com/ja-jp/licensing/software-assurance/

詳細情報 ソフトウェアアシュアランス> Windows Virtual Desktop Access

http://www.microsoft.com/ja-jp/licensing/software-assurance/windows-virtualization.aspx 詳細情報 仮想デスクトップのライセンス http://www.microsoft.com/ja-jp/windows/japanenterprise/solutions/virtualization/licensing.aspx 例 ─

1

_フル

VDI

_{＋フルシンクライアント} 1

,

000ユーザー規模のシンクライアント環境を、

_{Microsoft VDI}

環境で構築します。1サーバー当たりの収容率は50人（50仮想マシン／サーバー）と見積り、20台のサーバーを用意します。1

,

000台のシンクライアント専用端末で構築します。シンクライアント専用端末は、新規購入します（1台3万円と仮定しました）。 例 ─

2 VDI/RDS

_{ハイブリッド環境＋}

PC

_の再利用 1

,

000ユーザー規模のシンクライアント環境を、

_{Microsoft VDI}

と

_RDS

のセッションの仮想化のハイブリッドで構築します。1サーバー当たりの収容率は、

Microsoft VDI

が50人、

RDS

が100人。400台のシンクライアント専用端末を新規に購入し、

_{Microsoft VDI}

の仮想デスクトップにアクセスします。残り600ユーザーは、レガシー

_PC

に

_Windows

(13)

Part 3 シンクライアント環境構築ライセンスガイド コスト項目 単価 フルVDI＋フルシンクライアント （シンクライアント 1,000台） （シンクライアントVDI/RDSハイブリッド＋ 400台＋PCPC 600の再利用台） 数量小計数量 小計（増減） Windows Server 2012 R2 10万7,400円 20台 214万8,000円 14台 150万3,600円（↓） Windows Server 2012 R2 CAL 4,100円 1,000人 410万円 1,000人 410万円（→） Windows VDA* 1万2,360円 1,000台 1,236万円 400台 494万4,000円（↓） Windows SA* 6,600円 0 0円 600台 396万円（↑） RDS CAL 1万2,400円 1,000台 1,240万円 1,000台 1,240万円（→） シンクライアント専用端末 H/W 3万円 1,000台 3,000万円 400台 1,200万円（↓） 初年度合計 − − 6,100万8,000円 − 3,890万7,600円（約40％↓） ライセンス更新*（2年目以降、年額） − − 1,236万円 − 890万4,000円（約30％↓） 表1● ライセンスコストの試算。ライセンス価格は、マイクロソフトボリュームライセンスプログラムのSelect Plus 価格レベルAの参考価格。シンクライアント専用端末以外のハードウェアコスト（サーバー、ストレージ、ネットワークなど）は含みません（*Windows VDAとWindows SAはサブスクリプションライセンスなので更新が必要になります。

Windows VDA…1,030円/台/月、Windows SA…6,600円/台/年）

完全な

_VDI

環境をすべてシンクライアント専用端末で構築するのと比較して、

_VDI/RDS

のハイブリッド環境は約4割コストダウンできています（図

₆

）。毎年のライセンス更新費用（非永続ライセンスである

_{Windows VDA}

と

_SA

）は約3割のコストダウンです。なお、

_{Microsoft VDI}

にアクセスするデバイス

の

_{RDS CAL}

は、

_VDI

接続専用の

_{RDS CAL}

を含む

_{VDI Suite}

を利用することで、いずれのソリューションもさらにコストダウンを図ることができます（

_{VDI Suite}

の

_{RDS CAL}

相当分は1クライアント当たり月額213円）。フル

VDI

＋シンクライアント （シンクライアント_1,000台）

VDI/RDS

（シンクライアントハイブリッド₄₀₀台＋＋_{PC 600}

PC

再利用台） 6,100万8,000円 1,236万円 初年度合計ライセンス更新／年（2年目以降） 3,890 万_7,600円（約₄₀％↓） 890万_4,000円（約₃₀％↓） Windows Server 2012 R2 × 14台 （150万3,600円） Windows VDA × 400台 （494万4,000円） Windows SA × 600台 （396万円） RDS CAL × 1,000台 （1,240万円） シンクライアント H/W × 400台 （1,200万円） Windows Server 2012 R2 × 20台 （214万8,000円）

Windows Server 2012 R2 CAL × 1,000人（410万円） Windows VDA × 1,000台 （1,236万円） RDS CAL × 1,000台 （1,240万円） シンクライアント H/W × 1,000台 （3,000万円） 初年度約₄割減 （更新費約₃割減） （410万円） Windows Server 2012 R2 CAL × 1,000人

(14)

シンクライアントでも可能な業務 ●操作性、使い勝手の低下を犠牲にしても端末へのデータ保存を禁止したい ●単一、もしくは少数のアプリケーションのみを使用（コールセンターなど） ● 端末に依存しない仕事環境が必要（在宅勤務、社外からの利用など） リッチクライアントに適した業務 ● 高スペックを必要とする、またはシンクライアントによる実行が困難なアプリケーションを使用（CAD、ストリーミング、テレビ会議など） ● オフラインでの利用が必要など、ネットワークの制限がある（外出の多いモバイルユーザーなど） ● 特殊なデバイスを使用（認証、音声デバイスなど） リッチクライアント＋シンクライアント 通常のPC シンクライアントサーバー 通常のアプリケーションは端末側で実行、利便性を確保特定のアプリケーションはサーバー側で実行、端末へのデータ保存は禁止特定アプリケーションのみ画面転送マイクロソフトのおすすめ案図7● デスクトップの検討では、提供する業務に適した選択を！

まとめ

技術が進みシンクライアントソリューションにおける利便性が増した今日、コストへの対応が導入の可否に大きく影響する場合があります。本書で説明したとおり、ユーザーの適性や用途にあわせて、

VDI

と

RDS

を組み合わせることで、初期導入時のライセンスコストと、ライセンス更新のためのコストを最適化できます（図

7

）。さらに、

_{Windows Thin PC}

を活用して既存の

_PC

をシンクライアント化することにより、新しいハードウェアを購入するよりも圧倒的にコストダウンを図れます。シンクライアント環境においては、クライアントは取り換えが容易なため、

Windows Thin PC

の導入も容易である上に、再利用した

PC

は致命的に故障するまで最大限に活用できます。また、すべてを完全に

_VDI

方式に移行すると、サーバー側により多くのコンピューティングリソースが必要になるだけでなく、サーバー当たりのユーザー収容率にも限りがあります。

VDI

方式は、仮想ではありますが、ユーザーごとに1台の

_PC

を用意することになり、そのぶんのプロセッサ能力、メモリ容量、ディスク領域を必要とします。仮想デスクトップが使用するメモリ領域やディスク領域は、複数の仮想デスクトップで少なからず重複しているため、効率性に劣ります。

_RDS

によるターミナルサービス方式で対応できるユーザーや業務については、積極的にそちらを利用することで、サーバー当たりの収容率を高め、リソース利用を効率化できます。適材適所に、適切なテクノロジを適用する、それを可能にするマイクロソフトのシンクライアントソリューションです。

(15)

■シナリオベースで簡単なサーバー展開

Windows Server

2012以降の「役割と機能の追加ウィザード」には、

_RDS

の各種役割サービスを1台以上のサーバーに一括展開する

_RDS

専用のインストーラーが追加されています。このインストーラーを使用すると、セッションベースまたは仮想マシンベースのいずれかの展開シナリオを選択して、選択した展開シナリオに最小限必要となる役割サービスとシステム構成を自動的に展開することができます（画面

1

）。例えば、仮想マシンベースの展開シナリオを選択した場合、

_RD

仮想化ホストとして指定したサーバーには、

_Hyper-V

の役割が自動的にインストールされ、オプションで

_Hyper-V

仮想スイッチを自動構成させることもできます。 ■セッションベースと仮想マシンベースの一元管理

Windows Server

2008

R

2以前の

_RDS

は、

_RDS

の役割サービスごとに専用の管理ツールが存在し、複数の管理ツールを使い分けながらシステム構成や監視を行う必要がありました。

_{Windows Server}

2012以降の

_RDS

は、主要な管理機能が「サーバーマネージャー」に統合された

_RDS

の管理コンソールに集約され、

_RDS

の役割サービスの展開状況、負荷分散と冗長化の構成、デスクトップやアプリケーションをユーザーに提供するためのコレクションの作成、接続状況の監視などを一か所で行えるようになりました（画面

2

）。セッションベースと仮想マシンベースのデスクトップを同じ管理コンソールを使用して、共通の操作性で管理できるよう

技術情報

Windows Server 2012

／

Windows Server 2012 R2

の

RDS

強化点

RDS

への

VDI

機能の統合は

Windows Server 2008 R2

で行われました。ただし、従来のターミナルサービスの 基盤をそのまま応用したものであったため、サーバーの展開と構成が複雑であり、仮想デスクトップのプロビジョニング 機能はありませんでした。管理者は仮想デスクトップの作成と構成を、仮想デスクトップごとに、仮想デスクトップの 数だけ実行する必要がありました。

_{Windows Server 2012}

および

_{Windows Server 2012 R2}

の

_RDS

では、 これらの問題の改善を含む大幅な変更が行われました。

(16)

になったことも大きな改善点です。例えば、

_Windows

Server

2008

R

2以前はセッションベースだけの機能であった

_RemoteApp

プログラムの公開が、

_{Windows Server}

2012以降では仮想マシンベースでもサポートされ、共通の操作性でアプリケーションを公開できます。

_RemoteApp

プログラムとは、デスクトップ全体への接続ではなく、

_RS

セッションホスト（旧ターミナルサーバー）や仮想マシン内のアプリケーションへの接続をウィンドウ単位でユーザーに提供し、接続元のローカルのデスクトップ環境にシームレスに統合して利用できるようにする機能になります。 ■仮想デスクトップのプロビジョニングと更新

Windows Server

2012以降の

_RDS

では、

_Hyper-V

を実行する

_RD

仮想化ホストに仮想デスクトップ用の仮想マシンを自動作成する、仮想デスクトップのプロビジョニング機能が搭載されました。

_Windows

7

Enterprise Service Pack

（1

_SP

1）以降の仮想マシンを作成し、

_Sysprep

（システム準備ツール）を実行して汎用化したテンプレートを準備しておけば、そのテンプレートを指定して必要な数の仮想デスクトップを、複数の

RD

仮想化ホストに次々に作成することができます（画面

₃

）。テンプレートから仮想デスクトップのプールを作成した場合は、ユーザーのログオフ時にユーザーが行った変更を完全に破棄し、仮想デスクトップを元の状態にロールバックする機能がサポートされます。ロールバック機能は、トレーニング現場や一時的なユーザーのサポートなど、さまざまな利用シナリオに有効ですが、時間経過とともにイメージが古くなってしまうという課題があります。この課題に対しては、プール内の仮想デスクトップの再作成という方法で簡単に対処できます。管理者は仮想デスクトップのテンプレートに対して

_OS

やアプリケーションの更新を適用し、更新したテンプレートを用いて仮想デスクトップを再作成することで、すべての仮想デスクトップを最新状態にリフレッシュすることができます。 ■仮想デスクトップの記憶域として ファイルサーバーを使用可能

Windows Server

2012に実装された新しいファイル共有プロトコル「サーバーメッセージブロック（

_SMB

）3

.

0」のパフォーマンスおよび継続的可用性の強化により、

_Windows

Server

2012以降の

_Hyper-V

では仮想マシンの構成ファイルおよび仮想ハードディスクをすべて、ファイルサーバーの画面2● Windows Server 2012以降のRDSの管理コンソール。セッションベースと仮想マシンベースのデスクトップを同じコンソールから共通の操作で展開および管理できる

(17)

技術情報 Windows Server 2012／Windows Server 2012 R2のRDS強化点

SMB

3

.

0共有に格納できるようになりました。この機能は、「

_{Hyper-V over SMB}

」と呼ばれています。仮想マシンベースのデスクトップを展開する場合、ファイルサーバーに仮想マシンを格納することは、記憶域のコスト削減に有効です。仮想化環境では通常、高性能で高価な

SAN

（ネットワーク記憶域）や

_DAS

（

_{Direct Attached}

Storage

）を導入しますが、それを標準的なハードウェアで構成されたファイルサーバーで代用できるのです。 ■ユーザープロファイルディスク セッションベースのデスクトップおよび仮想デスクトッププールでは、ユーザープロファイルディスクがサポートされます。ユーザープロファイルディスクは、

_{Windows Server}

2012の

_RDS

から追加された新機能であり、ユーザーごとにユーザープロファイルを保存するための仮想ハードディスクファイル（

_VHDX

）を作成します。ユーザープロファイルディスクを使用すると、複数ある

_RD

セッションホストや仮想デスクトップのプールのどこに接続しても、自動マウントされるユーザープロファイルディスクによって同じユーザー環境をローミングできます。また、ロールバックが有効な仮想デスクトップのプールにおいて、ユーザー設定およびデータを保持できます。ユーザー環境のローミングは、従来からある

_Windows

標準の移動ユーザープロファイルや

_RDS

のユーザープロファイルでも実現可能ですが、ユーザープロファイルディスクはネットワーク経由のダウンロードが発生しないというメリットがあります。なお、ユーザープロファイルディスクはコレクションごとの設定であり、コレクション間（例えば、セッションベースと仮想マシンベースのコレクション間）で共用することはできません。セッションベースと仮想マシンベースの両方でユーザー環境をローミングする必要がある場合は、後述する「

_UE-V

」を利用できます。

_UE-V

を使用すると、セッションベースと仮想マシンベースの両方の環境で

_Windows

や

_{Internet Explorer}

、

Ofﬁce

アプリケーション、サードパーティ製アプリケーションの個人設定をローミングできます。

_UE-V

は、ユーザープロファイルディスクや移動ユーザープロファイルと併用できます。

■

RDP 8.0

のパフォーマンスと エクスペリエンスの強化

Windows Server

2012および

_Windows

8では、

_RDS

の接続に使用する「リモートデスクトッププロトコル（

_RDP

）」の新

(18)

しいバージョン、

_RDP

8

.

0が搭載されました。

_RDP

8

.

0は、ネットワーク使用帯域幅の削減、接続品質の自動検出、

_UDP

トランスポートへの対応により、遅延の大きい

_WAN

を含むあらゆるネットワーク接続で、快適なリモートデスクトップ接続を実現します。動画のスムーズな再生、双方向オーディオ、

_USB

デバイスリダイレクト、マルチタッチ対応など、パフォーマンスだけでなくエクスペリエンス機能も大幅に強化されています。

Windows Server

2008

R

2

SP

1で初めて登場した「

_RemoteFX

」は、主に

_RemoteFX

3

D

ビデオアダプター（仮想

_GPU

）の機能を示すものでした。

_{Windows Server}

2012

以降は、

_RDP

8

.

0のエクスペリエンス機能全般を

_RemoteFX

と呼ぶようになります。そして、

_RemoteFX

3

D

ビデオアダプター以外の

_RemoteFX

機能は、セッションベースと仮想マシンベースで共通です。

_RemoteFX

3

D

ビデオアダプターは、

RD

仮想化ホストの物理環境に実装されたグラフィックスカード（

_GPU

）を仮想化し、

_DirectX

3

D

などの高精細グラフィックス（

_{Windows Server}

2012は

_DirectX

11、

_{Windows Server}

2012

R

2は

_DirectX

11

.

1）をサポートする機能です。 ■シャドウセッション 「シャドウセッション」は、

_RD

セッションホストのアクティブなユーザーセッションに、管理者がリモートから表示専用またはリモート制御モードで同時接続する機能です（画面

₄

）。シャドウセッションはターミナルサービスと呼ばれていた時代から提供されてきた機能であり、トレーニングの現場やヘルプデスクなどで便利な機能でした。

_{Windows Server}

2012の

RDS

では

_RDS

の全面的な設計変更によりシャドウセッションの機能が削除されましたが、

_{Windows Server}

2012

R

2の

RDS

では再び利用可能になりました。しかも、以前のシャドウセッションは既存の

_RDP

セッションを別のユーザーのセッションにリダイレクトするというわかり難いものでしたが、新しいシャドウセッションや「サーバーマネージャー」に統合された

RDS

の管理コンソール、リモートデスクトップ接続（

_Mstsc

）のオプションから接続できるようになり、より直感的で使いやすいものになっています。画面4● シャドウセッションは、RDSの管理コンソールから開始できる

(19)

技術情報 Windows Server 2012／Windows Server 2012 R2のRDS強化点

BYOD

デバイスをカバーする

リモートアクセス機能

リモートデスクトップ接続の

_WAN

対応が強化されたことによって、

_RDS

のリモートアクセス利用シナリオはより現実的になりました。

Windows Server

2012以降の強化されたリモートアクセスおよびセキュリティ機能を導入することで、場所とデバイスを問わないリモートアクセスの利便性と、セキュリティの強化を両立できます。 ■

_RD

ゲートウェイと

_DirectAccess

RDS

は標準で

RD

ゲートウェイという、インターネットゲートウェイ機能を提供します。

_RD

ゲートウェイは、

_RDP

を暗号化された

_HTTPS

でカプセル化して社内ネットワーク上のセッションベースまたは仮想マシンベースのデスクトップへのリモートデスクトップ接続を中継します。

_RD

ゲートウェイでは、証明書ベースの認証のほか、アクセス範囲の制限、デバイスリダイレクトなどの機能制限の強制、ネットワークポリシーサーバー（

_NPS

）と統合したネットワークアクセス保護（

_NAP

）によるクライアント検疫などでセキュリティをさらに強化できます。

Windows

7

Enterprise

以降のドメインメンバーであれば、「

_DirectAccess

」という安全でシームレスなリモートアクセス環境を実現できます。

_DirectAccess

を使用すると、社内から持ち出された

_PC

はインターネットに接続した時点で

IPSec

トンネルまたは

_IP-HTTPS

トンネルで

_DirectAccess

サーバーに接続され、社内リソースに安全にアクセスできるようになります（画面

₅

）。

_DirectAccess

は

_VPN

（

_Virtual

Private Network

）よりも接続性が高く、ドメインメンバーに限定されるというセキュリティ上のメリットがあります。社内から持ち出された

_PC

は

_BitLocker

ドライブ暗号化やセキュアブート（

_Windows

8以降）で保護されるため、紛失や盗難にあっても

_PC

に保存された企業情報が漏洩することはありません。また、

_Windows

8

Enterprise

以降の新機能である「

_{Windows To Go}

」を使用すると、

_USB

ドライブに格納した

Windows

8イメージで任意の

_PC

を起動して、企業内のクライアント環境（

_DirectAccess

やドメイン設定を含む）を再現することができます。

_{Windows To Go}

は

_BitLocker

ドライブ暗号化で保護することができ、

_{Windows To Go}

で起動した

_PC

はローカルディスクをマウントしないため、

_USB

ドライブの紛失や盗難、第三者の

_PC

の脆弱性の影響を受けないと画面5● DirectAccessは、社外に持ち出されたPCに対して、安全でシームレスな社内リソースへのアクセスを実現する

(20)

いうメリットがあります。

RD

ゲートウェイと

_DirectAccess

のこれらの機能は、

Windows Server

2012以前または

_{Windows Server}

2012

から利用できる機能です。

_{Windows Server}

2012

R

2では、

BYOD

デバイスの利用を想定した、デバイス認証に基づいた社内リソースへのアクセスを許可する新しいテクノロジが用意されます。

■

Web

アプリケーションプロキシとデバイス認証

Windows Server

2012

R

2の

_{Active Directory}

フェデレーションサービス（

_{AD FS}

）は、新たにデバイス認証による二次要素認証（

_{Second Factor Authentication}

）に対応しました。デバイス認証をサポートするために、

_{AD FS}

には「デバイス登録サービス」が追加され、

_{Active Directory}

に個人デバイスを登録できるようになります。また、

_{AD FS}

はデバイスの登録状況やアクセス元の場所を識別して、クレーム対応アプリケーションにこれらの情報をクレーム（要求の属性）として提供することができます。このデバイス登録の機能は社内ネットワーク参加（

_{Workplace Join}

）と呼ばれ、

_Active

_{Domain Join}

）とは異なる方法で個人デバイスを

_{Active Directory}

の管理下に置くことを可能にします。

_Windows

8

.

1、

_{Windows RT}

8

.

1、および

_iOS

を実行するデバイスは、社内ネットワーク参加（

_Workplace

Join

）が可能です（画面

6

）。

AD FS

はデバイス認証に基づいてクレーム対応アプリケーションの認証を行いますが、

_{Windows Server}

2012

R

2のもう1つの新機能である「

_Web

アプリケーションプロキシ」とともに展開することで、デバイス認証をクレーム非対応のアプリケーションにまで適用することができます。

_Web

アプリケーションプロキシは、

_HTTP/HTTPS

アプリケーションのリバースプロキシとして機能し、接続元に

_{AD FS}

による事前認証（デバイス認証を含む）を要求することができます。

_RDS

の

_Web

ポータルである

_{RD Web}

アクセスは、

_HTTPS

でアクセス可能なので、

_Web

アプリケーションプロキシと

_{AD FS}

による事前認証で、社内ネットワーク参加（

_{Workplace Join}

）済みデバイスに対して限定的にアプリケーションを公開することができます。

画面6● Windows 8.1の社内ネットワーク参加（Workplace Join）機能。ドメインに参加しないデバイスを