Contents はじめに Windows 8 + Windows Server 2012 : Better Together... 3 第 1 章 Windows 8 時代のフレキシブルワークスタイル リモートアクセスの課題 フレキシブルワークスタイルとは... 6

はじめに　

Windows 8 + Windows Server 2012 : Better Together

...

第 1 章

　

Windows 8

時代のフレキシブル ワークスタイル 1.1　リモート アクセスの課題 ... 1.2　フレキシブル ワークスタイルとは ...

第 2 章

　リモート アクセス ソリューションの要素技術 2.1　Windows To Go の技術概要 ... 2.2　DirectAccess の 術概要 ... 2.3　リモート デスクトップ サービスの技術概要 ...

第 3 章

　リモート アクセス ソリューションのシステム構成 3.1　DirectAccess のシステム構成 ... 3.2　リモート デスクトップ サービスのシステム構成 ...

第 4 章

　ソリューションのセットアップの概要 4.1　Windows To Go ワークスペースの作成 ... 4.2　DirectAccess のセットアップ ... 4.3 リモート デスクトップ サービスのセットアップ ...

Contents

3

5

5

6

7

7

10

12

15

15

17

18

18

20

22

著作権情報

© 2012 Microsoft Corporation. All rights reserved. 本書は現状有姿のままで提供されるものであり、このドキュメントに記載されている情報および 見解は、URL およびその他の Web サイト参照先を含め、事前の通知なく変更されることがあります。本書の利用に関する責任はお客様が負うも のとします。本書は、マイクロソフト製品の知的財産権に関する法的権利をお客様に許諾するものではありません。本書は、内部における参照を 目的として複製および使用することができます。本書は、内部における参照を目的として変更することができます。 ●　

Windows To Go

_･･･

_{社内の別の PC や第三者の PC ( 自宅の PC など ) を USB}

デバイスから起動して、企業の標準デスクトップに変えることができます。

●　

_DirectAccess

_{･････}

_{VPN に変わる、インターネットから社内リソースへのシー}

ムレスで安全なリモート アクセスを実現します。

●　

_{リモート デスクトップ サービス}

_･･･

_{ユーザーは、どこからでも企業のデスクトップ}

環境にリモート接続でき、IT 部門は、アプリケーションとデータを一元管理できます。

このホワイト ペーパーは、中小規模企業の IT 部門担当者を対象に、Windows 8 と

Windows Server 2012 の組み合わせで実現可能な、次の 3 つのリモート アクセス ソリュー

ションの利点、概要、および構成について説明します。

●_{クライアント Hyper-V ･･･ Windows Server 2012 Hyper-V と互換性の高い、仮想化テクノロジ} です。

●

　VHD (VHDX)

からのネイティブ ブート

･･･ VHD (VHDX)

イメージを利用した、

OS

のインス トールやイメージ展開をサポートします。

Windows 8 Enterprise だけの機能

　Windows 8 Pro

にソフトウェア アシュアランス

(SA)

を追加すると、

Windows 8

の最上位エディションで ある

Windows 8 Enterprise

にアップグレードすることができます。

Windows 8 Enterprise

は、

Windows 8

Pro

のすべての機能に加えて、次に示す企業向け拡張機能が提供されます。 ●

　Windows To Go

･･･

企業の管理されたデスクトップ環境を格納した、起動可能な

USB

デバイ スです。

Windows To Go

については、このホワイト ペーパーで説明します。 ●

　DirectAccess

･･･

インターネット接続を利用して、企業ネットワークの社内リソースにシーム レスにアクセスする機能です。

Direct Access

についてはこのホワイト ペーパーで説明します。 ●

　BranchCache

･･･

ホストまたはクライアントのキャッシュを使用して、

WAN

経由でのファイ ルや

Web

コンテンツのダウンロード エクスペリエンスを向上します。 ●

　AppLocker

･･･

アプリケーションやインストーラーの実行制限や監査を可能にします。

Windows 8

のアプリの制限にも対応します。 ●

　VDI

拡張機能

･･･ VDI

の仮想デスクトップに対して、ゲスト

OS

の展開、リモート接続、および

3D

グラフィックスのリッチなエクスペリエンス機能を提供します。

VDI

の拡張機能については、 リモート デスクトップ サービスの一部として、このホワイト ペーパーで説明します。

●

　WinRT

アプリのサイド ローディング展開

･･･ Windows 8

のアプリ

(WinRT

アプリ

)

は、

Windows

ストアから入手するのが原則です。

Windows 8 Enterprise

では、

Windows

ストア を経由しない、企業内でのアプリの配布 ( サイド ローディング ) をサポートします。

　Windows 8

は、ユーザーのデジタル ライフ スタイルにフォーカスして再創造された、最新のデスクトップ オペレーティング システム

(OS)

です。

Windows 8

は、従来からのデスクトップ

PC

およびノートブック ( モ バイル )

PC

の

OS

としてだけでなく、タブレット

PC

などのマルチ タッチ対応デバイスでのエクスペリエン スを向上する機能強化が行われています。

Windows 8

の強化および刷新されたエクスペリエンス機能は、決してコンシューマー ( ホーム ユーザー ) 向けだけのものではありません。

Windows 8

が変革しようとしているデジタル ライフ スタイルには、企業ユー スにおけるワーク スタイルも含まれています。そして、新しいワーク スタイルを実現する

Windows 8

の企業 向けの機能の多くは、同じテクノロジに基づいて開発され、親和性の高い

Windows Server 2012

との組み合 わせで実現されます。

"The Cloud OS" としての Windows Server 2012

　Windows Server 2012

は、

"the Cloud OS"

として再設計されたサーバー、仮想化プラットフォーム、およ びクラウド向けの最新

OS

です。

Windows Server 2012

は、小規模なサーバー環境から、企業のオンプレミス の大規模データセンターやプライベート クラウド、さらには

Windows Azure

やサービス プロバイダーが提 供するパブリック クラウドまでをカバーする、スケーラビリティと高可用性を備えます。

Windows Server 2012

はまた、エンド ユーザーが必要とする、データやアプリケーションへのアクセスを、 ユーザーの場所やデバイスを問わずに提供するための、

ID

管理サービス、ファイル サービス、リモート アク セス機能、セキュリティ機能を備えます。クラウド コンピューティングの利便性をエンド ユーザーやデバイ スに届けるのも、

Windows Server 2012

の役割というわけです。

Windows Server 2012

は、レガシ

OS

に対 して高いレベルで下位互換性を提供しますが、

Windows Server 2012

の提供するサービスをフルに利用するに は、

Windows 8

ベースの

PC

やデバイスの使用が最適です。

ビジネスにも最適な Windows 8

　Windows 8

は、コンシューマー向けの

Windows 8

、企業向けの

Windows 8 Pro

、および

ARM

デバイ スにプリ インストールされる

Windows RT

の

3

エディションで提供されます。企業向けエディションの

Windows 8 Pro

は、

Windows 8

( 無印 ) や

Windows RT

には無い次の企業向け機能を提供します。 　　

　　　　

●

　Active Directory

ドメイン参加 ･･･

Active Directory

のドメイン アカウントによるログオン ( サインイン ) とアクセス制御が可能です。

　　　　

●

　

グループ ポリシーによる管理 ･･･ 　ポリシー ベースでシステム構成やセキュリティ設定、 　　　　　　アプリケーションの配布を一元管理できます。

　　　　

●

　

リモート デスクトップ ( ホスト ) ･･･ デスクトップへのリモートからの接続をサポートします。 ●　_{暗号化ファイル システム}

(EFS)

･･･ ファイルやフォルダーを暗号化して保護するセキュリティ機 能です。 ●

　BitLocker

ドライブ暗号化および

BitLocker To Go ･･･ ボリューム全体を暗号化して保護する

　 セキュリティ機能です。

画面 1　VPN 接続の失敗例

1.2　フレキシブル ワークスタイルとは

　マイクロソフトが提唱するフレキシブル ワークスタイルとは、場所やデバイスを固定せず、業務を継続でき るワークスタイルです。フレキシブル ワークスタイルには、次のようなメリットがあります。

エンド ユーザーのメリット

●　_{いつでも、どこからでも、どのデバイスからでも接続 ･･･ ユーザーは、場所やデバイスを問わず、} 簡単な操作で ( または自動的に ) 、安全に社内リソースにアクセスできます。 ●　_{個人設定や作業環境をローミングして作業を継続 ･･･ ユーザーは、同じ作業環境を使用して、以} 前に中断した仕事をすぐに再開できます。

IT 部門のメリット

• セキュリティとコントロールの強化 ･･･ IT 部門は、デスクトップ環境やデータを一か所で集中 管理できるため、セキュリティの実装と監視が容易になり、データの保護と規制への準拠を強化 できます。 • アプリケーションとリソースの一元管理 ･･･

OS

やアプリケーションの展開と更新を

1

か所で行 えるため効率的です。また、データを

1

か所に保存するため、記憶域の使用効率が向上し、ハー ドウェア増強の計画も容易になります。

　

Windows 8

および

Windows Server 2012

は、フレキシブル ワークスタイルの実現を支援する、さま ざまな新機能を標準提供します。ここではその中から、中小規模の企業においても導入しやすい、

Windows

To Go、DirectAccess、

リモート デスクトップ サービスの

3

つのテクノロジについて説明します。

　モバイル ブロードバンドの普及、デバイスの多様化、

BYOD (Bring Your Own Device:

個人所有のデバイス を企業内に持ち込んで業務で利用すること ) のニーズ、それらに伴うセキュリティ リスクの増大など、企業の

IT

環境はいま、これらの新しい

IT

環境やニーズ、課題に対するソリューションを必要としています。企業の

IT

環境の統制とセキュリティを維持するために、新しいニーズに対応しないことは簡単です。しかし、新しい IT 環境やニーズに柔軟に対応できないと、従業員の生産性を阻害するだけでなく、重要なビジネス機会を失う ことになりかねません。例えば、営業担当者が社外から企業内のビジネス データにリモート アクセスできる のと、できないのとは、仕事の効率や営業成績が大きく違ってくるでしょう。

1.1　リモート アクセスの課題

　社外から企業ネットワークの社内リソースに対してリモート アクセスできる環境は、是非とも整備したい、 重要な

IT

サービスです。リモート アクセス環境は、社外で活動することが多い従業員や、国内外に出張する 従業員に対して、業務アプリケーションやデータ、あるいは作業環境すべてを提供できます。また、パンデミッ クや大規模災害など、緊急時の在宅勤務環境を迅速に提供することもできます。 　企業ネットワークへのリモート アクセス手段としては、

VPN

接続が一般的です。しかし、

VPN

接続には、 次のような課題や不安が常に付きまといます。 ●

　

ユーザーによる

VPN

接続、切断操作が面倒 ●

　VPN

接続時の通信速度の低下 ( ルーティングの影響 ) ●

　

解決できない

VPN

接続失敗のトラブル ●

　

長期間、社外で管理外に置かれたデバイスのセキュリティ低下 ●

　

デバイスの紛失や通信からの情報漏えい ●

　

管理下にない個人所有デバイスからのリモート アクセスに伴うセキュリティ リスク

　

　VPN

接続のトラブルの多くは、利用するインターネット接続環境におけるファイアウォールでのブロック が原因であり、その場合、エンド ユーザーはもちろん、企業側の

IT

スタッフにも解決できるものではありま せん。また、

VPN

接続は通常、企業の

IT

サブネット全体への接続を許可するものです。長期間、社外にあっ て適切な管理下に無いデバイスや、元々管理下に無い個人所有デバイス ( 自宅の

PC

など ) からの接続は、マ ルウェア感染や情報漏えいのリスクを高めます。 　　　　　　　

第 1 章

Windows 8 時代のフレキシブル ワークスタイル

画面 1: Windows To Go の利用イメージ

　Windows To Go

の

USB

ドライブから起動したデスクトップ環境は、フル機能の

Windows 8 Enterprise

であ り、いくつかの例外 (

TPM

を使用できない、回復環境や

PC

リカバリー機能が提供されないなど ) を除いて、通 常の

Windows 8

とまったく同じように動作します。

USB

接続は切断の可能性がありますが、

Windows To Go

は

60

秒以内の切断を許容します ( 切断中、すべての操作はロックされます ) 。また、切断状態が

60

秒経過すると、 自動的に PC の電源がオフになります。 画面 2: Windows To Go で起動した環境は、60 秒以内の USB の切断を許容。60 秒後に自動的に電源オフ 　フレキシブル ワークスタイルを実現するリモート アクセス ソリューションは、

Windows 8 Enterprise

の企業 向け拡張機能と、

Windows Server 2012

のサーバー機能の組み合わせで実現されます。それぞれ個別に使用する こともできますが、組み合わせることで、より高機能なソリューションになります。

Windows To Go

については

Windows 8 Enterprise

単体で動作する

OS

環境ですが、他の

2

つのリモート アクセス ソリューションのクライ アントとして利用できることにそのメリットがあります。

　　　 ライセンスに関する留意事項

●　

_{Windows To Go}

_と

DirectAccess

は、

Windows 8 Enterprise

の機能であり、

Windows 8 Pro

には 　　_{提供されない機能です。ボリューム ライセンス製品の}

Windows 8

Pro

にソフトウェア アシュアラ 　　ンス

(SA)

を追加することで、

Windows 8 Enterprise

にアップグレードできます。

●　

DirectAccess

など、

Windows Server 2012

のサーバーへのアクセスには、クライアント アクセス 　 ライセンス

(CAL)

が必要になります。

●　

Windows Server 2012

のリモート デスクトップ サービスに接続するには、リモート デスクトップ 　　サービス

CAL (RDS CAL)

が必要になります。

VDI

の仮想デスクトップの展開とリモート接続には、　 　さらに SA または

Windows Virtual Desktop Access (VDA)

ライセンスが必要になります。

2.1　Windows To Go の技術概要

　Windows To Go

は、

Windows

ソフトウェア アシュアランス

(SA)

で提供される

Windows 8 Enterprise

の企 業向け機能の

1

つです。

Windows To Go

を使用すると、ユーザーは

USB

接続の外部ドライブにインストールさ れたフル機能の

Windows 8 (Windows To Go

ワークスペース ) を使用して、社内の別の PC ( ライセンス取得済 みのデバイス ) や第三者の

PC

( 個人所有

PC

など ) を起動し、企業の標準のデスクトップ環境を使用して業務を 遂行することができます。これにより、次のような場所でのフレキシブル ワークスタイルを可能にします。 ●　

_{社内 ･･･ フリー アドレス デスクや共有エリアでの作業、}

BYOD

●　

_{社外 ･･･ 外出や出張先での第三者の PC を使用した作業}

●　

_{自宅 ･･･ 個人所有 PC での在宅勤務}

　

　Windows To Go

の

USB

ドライブは、種類の異なる複数のコンピューターを起動できます。また、

USB

ドライ ブに格納する

Windows To Go

ワークスペースには、社内の通常のデスクトップ

PC

やノート

PC

と同じインス トール イメージを使用して作成することができ、同じように社内のクライアントとして管理できます。

IT

部門は、

Windows To Go

ワークスペースの中に、

Active Directory

のドメイン設定や、業務アプリケーション、後述する

DirectAccess

クライアントの設定を組み込むことで、場所やデバイスを問わずに、業務を継続するためのデスク トップ環境をユーザーに提供できます

2.2　DirectAccess の技術概要

DirectAccess

は、

Windows Server 2008 R2

および

Windows 7 Enterprise

で初めて登場した、

VPN

に変 わるリモート アクセスのための新しいテクノロジです。

Windows Server 2012

では、

DirectAccess

の展開と 管理が簡素化され、

Windows 8 Enterprise

の

DirectAccess

クライアントとしてのエクスペリエンスが向上し ました。以前のバージョンは要件が厳しく、導入が難しかった中小規模の企業においても、

Windows Server

2012

では容易に導入できるようになっています。

DirectAccess

は、新しいインターネット プロトコルである

IPv6 (IP version 6)

と

IP

Sec

(IP Security)

、お よび

IPv4 (IP version 4)

から

IPv6

移行テクノロジに基づいたリモート アクセス ソリューションです。しかし、 現実として

IPv6

への移行を完了している企業は多くないでしょう。

DirectAccess

は

IPv6

に基づいていますが、

IPv6

の導入は必須要件ではなく、既存の

IPv4

ネットワークに導入してリモート アクセス環境を構築すること ができます。また、導入のために、

IPv6

や

IPSec

、

IPv6

移行テクノロジの詳しい知識は要求されません。 　

DirectAccess

のクライアントは、社内ネットワーク上では通常のネットワーク接続を使用します。同じ クライアントが社外に出ると、使用するインターネット接続状況に応じて、接続方法が選択され、自動的に

DirectAccess

による接続が行われます。

DirectAccess

による接続は、

IPSec

により暗号化保護された

IPv6

に よる通信ですが、そのことをユーザーが意識することはありません。社内ネットワークに接続しているときと 同じように、シームレスに社内リソースにアクセスすることができます。以前のバージョンとは異なり、

IPv4

だけのホストに対しても、

DirectAccess

が背後で必要な変換処理を行ってくれます。 従来の

VPN

の場合、ファイアウォールの状況によって、接続が失敗することがありましたが、複数の接続 方法を持つ

DirectAccess

は接続性に優れています。例えば、

PC

がファイアウォールの内側からインターネッ トに接続している場合 ( 自宅のブロードバンド接続やビジネス ホテルの接続サービスなど ) は、セキュリティ で保護された

Web

ブラウジングと同じポートを使用する、

HTTPS

ベースのトンネリング技術

(IPHTTPS)

で

IPv6

トラフィックを通すため、ファイアウォールやプロキシにブロックされることなく、

DirectAccess

の接 続が可能です。 図 2: DirectAccess の接続イメージ

　Windows To Go

で起動中は、

PC

に元からある内蔵の固定ディスクはオフラインになり、エクスプローラー には表示されません。

Windows To Go

は、ローカル ディスク (C: ドライブ ) として自身の

USB

ドライブの みを読み書きします。これにより、操作したファイルや

UR

L の履歴やセキュリティ情報が使用した

PC

に残る ことがありませんし、社内の機密データが

PC

に誤って公開されてしまうこともありません。また、企業の管 理下に無い、セキュリティ対策が不十分かもしれない PC を使用した場合でも、その

PC

に存在するかもしれ ないマルウェアやスパイウェア、ユーザーの同意のもとに導入されたブラウザーの情報収集ツール バーなどの 影響を受けることなく、常にクリーンなデスクトップ環境を利用できます。 画面 3: Windows To Go で起動すると、ローカルの固定ディスクはオフラインになるため、情報が PC に残ることがない

　Windows To Go

の

USB

ドライブは、極めて小さなサイズで持ち歩ける、ポータブルな企業デスクトップ環 境です。そのため、紛失や盗難のリスクは常に付きまといます。

Windows To Go

の

USB

ドライブは、作成時 ( ま たは作成後 ) に

BitLocker

ドライブ暗号化を使用して、ドライブ全体を暗号化して保護することができるため、 悪意のある第三者が不正に起動するのをブロックすることができます。

BitLocker

ドライブ暗号化を利用する ことで、

Windows To Go

の

USB

デバイスは、起動時にロックを解除するためのパスワードと、ログイン時の 認証で二重に保護されます。 画面 4: Windows To Go ドライブを BitLocker で暗号化し、パスワード ロックすることが可能

DirectAccess

クライアントは、インターネット接続があれば常に自動接続されている状態です。そのため、

IT

部門は、クライアントが社外にあっても、社内のクライアントと同じようにグループ ポリシーの変更の適用、 更新プログラムの配布、管理システムによるエージェント管理が可能です。また、ユーザーのログオン状態に 関係なく、

DirectAccess

の接続を介してクライアントをリモート管理することができます。 画面 7: DirectAccess で接続中のクライアントに対して、リモート デスクトップ接続をしているところ

2.3　リモート デスクトップ サービスの技術概要

リモート デスクトップ サービスは、以前はターミナル サービスと呼ばれていたもので、デスクトップや アプリケーションをサーバー側で集中的に実行し、ユーザーに画面をリモート表示するリモート アクセス ソ リューションです。リモート デスクトップ サービスは、社内でのシンクライアント ソリューションとしても 利用できますし、社外ユーザーに対するリモート アクセス ソリューションにもなります。

Windows Server

2008 R2

以降のリモート デスクトップ サービスには、リモート デスクトップ セッション ホスト ( 旧ターミ ナル サーバー ) を使用したセッション ベースのサービス ( ユーザーはサーバー上で実行されるマルチ ユー ザー セッションの 1 つに接続 ) に加えて、

VDI

の仮想デスクトップのサービス ( ユーザーは

Hyper-V

の仮想 マシンで実行されるクライアント

OS

に接続 ) が統合されました。 セッション ベースと仮想マシン

(VDI

) ベースのどちらも、リモート デスクトップ接続を使用して画面をリ モート表示するために、エクスペリエンスはほぼ同一です。セッション ベースはサーバーのリソースを複数ユー ザーでシェアするため、リソースあたりのユーザー収容数や管理性に優れています。ただし、サーバー

OS

で あるため、アプリケーションの制約や、ユーザーごとのカスタマイズが制限されます。一方、仮想マシン ベー スは、ユーザーごとにデスクトップ

OS

を実行する

1

台の仮想マシンを用意するため、より多くのリソースを 必要としますが、さまざまなアプリケーションに対応でき ( アプリケーションのシステム要件に合う

OS

を選 択できる ) 、ユーザーに完全な

OS

の管理者権限を付与することも可能です。また、仮想マシン ベースでは、

RemoteFX 3D

ビデオ アダプターという仮想

GPU (Graphics Processing Unit)

による、

3D

グラフィックスの リッチなエクスペリエンスを提供できます。

DirectAccess

のために、ユーザーは

VPN

接続のような、接続を開始したり、切断したりする操作を行う必 要はありません。

DirectAccess

クライアントは、ローカルのネットワーク接続を使用して社内リソースに直接 アクセスできないことを検出すると、有効なインターネット接続を利用して、

DirectAccess

サーバーへの接続 を開始し、社内ネットワークに相互接続します。この動作は完全に自動化されており、社内と社外のどちらでも、 一貫性のあるエクスペリエンスで社内リソースにアクセスすることができます。 画面 5: DirectAccess クライアントが社内ネットワークに直結している場合 画面 6: DirectAccess クライアントが社外のインターネットに接続された場合

画面 9: タッチ対応デバイスからのリモート接続では、ローカルと変わらないタッチ操作が可能

RDP 8.0 では RemoteFX USB

デバイス リダイレクト機能がサポートされ、ローカルに接続された USB デ バイスや内蔵カメラをリモート セッションにリダイレクトして、リモート セッション内で利用することがで きます。

RemoteFX USB

デバイス リダイレクトは、

Windows 8 Enterprise

を実行する仮想デスクトップと、

Windows Server 2012

のリモート デスクトップ セッション ホストの両方で利用可能です。以前のバージョン では、仮想

GPU

が割り当てられた、

Windows 7 Enterprise SP1

を実行する

VDI

の仮想デスクトップでのみ 利用可能な機能でした。 画面 10: RemoteFX USB デバイス リダイレクト リソースの効率使用と集中管理という面では、セッション ベースのリモート デスクトップ サービスが優れ ています。アプリケーションの互換性問題、

3D

グラフィックス要件、パワー ユーザーへの対応など、セッショ ン ベースで対応できない場合に、仮想マシン ベースを選択するとよいでしょう。 図 3: リモート デスクトップ サービスの利用イメージ

Windows Server 2012

のリモート デスクトップ セッション ホストは、

Windows 8

と同等のデスクトップ 環境をリモート ユーザーに対して提供できます。

Windows 8

に新たに採用されたスタート画面や

WinRT

ア プリの実行環境はもちろんのこと、接続元がタッチ対応デバイスの場合は、リモート セッション内でタッチ対 応を認識し、通常の

Windows 8

デバイスと同じように、タッチやジェスチャ操作が可能です。

画面 8: Windows Server 2012 のリモート デスクトップ セッション ホストへのリモート デスクトップ接続。Windows 8 と同じ UI で同じ エクスペリエンスを提供

Windows 8

は最新のリモート デスクトップ プロトコルである

RDP 8.0

を搭載しており、強化された

RemoteFX

機能とともに、ネットワークの速度や品質に影響されることなく、可能な限り、一貫性のあるリッ チなエクスペリエンスを実現します。例えば、

1.5Mbps

程度の遅延 ( レイテンシ ) の高いモバイル ブロード バンド回線を使用したリモート接続の場合、以前のバージョンでは背景をオフにするなど、エクスペリエンス 機能の一部が利用できませんでした。最新の

RDP 8.0

では、このような

WAN

回線上でも、

LAN

での利用と 変わらないエクスペリエンス機能を利用できます。また、ビデオやオーディオ コンテンツをスムーズに再生す ることができます。リモート セッションでのマルチ タッチ対応も、

RDP 8.0

の新機能です。

このように、

Windows Server 2012

の

DirectAccess

は、特に、中小規模の企業において

Windows 8

クライ アントを使用する場合の展開が、非常に簡単になっています。ただし、この既定の簡易展開では、証明書ベー スの認証を必要とする

2

要素認証や、

NAP

(ネットワーク アクセス保護) との統合などの高度な構成や、旧バー ジョン (

Windows

7) のクライアントのサポートなどが利用できないことに留意してください 図 4: DirectAccess サーバーを設置可能なネットワーク トポロジ

DirectAccess クライアント

Windows Server 2012

の

DirectAccess

の ク ラ イ ア ン ト と し て は、

Windows 8 Enterprise

お よ び

Windows 7 Enterprise/Ultimate

がサポートされますが、前述のように、既定の簡易展開では

Windows 8

Enterprise

のみがサポートされます。また、

DirectAccess

はソフトウェア アシュアランスの

Windows 8

Enterprise

の機能であり、

Windows 8 Pro

など他のエディションでは利用できません。

DirectAccess

を利用 できないデバイスについては、

DirectAccess

とともに展開することができる

VPN

でサポートすることが可能 です。

Windows Server 2012

では、

DirectAccess

と

VPN

を、単一の管理コンソールで一元管理することが できます。

DirectAccess

とリモート アクセス サービスのソリューションはどちらも、社内ネットワーク側に

Windows Server 2012

を実行するサーバーを

1

台以上設置して、

Windows 8

を実行するクライアントからリ モート アクセスする構成になります。そして、このクライアントの環境は、

Windows To Go

の

USB

ドライブ に格納することができます。

3.1　DirectAccess のシステム構成

DirectAccess

のリモート アクセス環境は、

Active Directory

ドメイン環境が構成された企業ネットワーク に

1

台以上の

DirectAccess

サーバーを設置することで、構築することができます。

DirectAccess

サーバーは、

Windows Server 2012

の [ リモート アクセス ] の役割としてインストールすることができ、

DirectAccess

のみを、あるいは

DirectAccess

と

VPN

サーバーの両方を展開することができます。前述したように、

DirectAccess

は

IPv6

に基づいていますが、

IPv6

を導入していない、

IPv4

ネットワークにも導入可能です。

DirectAccess サーバーの設置

Windows Server 2012

の

DirectAccess

サーバーは、以下の 3 つのネットワーク トポロジへの設置が可能 です。中小規模企業では、既存のインターネット接続環境を大きく変更することなく、

DirectAccess

サーバー を追加導入することが可能です。 ●　_{エッジ ･･･}

2

つのネットワーク アダプターを持つ

DirectAccess

サーバーをインターネットとの 境界に設置し、一方のネットワーク アダプターをインターネットに、他方を内部ネットワークに 接続します。インターネットに接続されるネットワーク アダプターには、

1

つのパブリック

IPv4

アドレスが必要です。 ●　_{エッジ デバイスの背後 ( ネットワーク アダプター 2 つ ) ･･･}

2

つのネットワーク アダプター持 つ

DirectAccess

サーバーを

DMZ

との境界に設置し、一方のネットワーク アダプターを

DMZ

に、 他方を内部ネットワークに接続します。

DMZ

に接続されるネットワーク アダプターには、

1

つの パブリック

IPv4

アドレスが必要です。 ●　_{エッジ デバイスの背後 ( ネットワーク アダプター 1 つ ) ･･･}

1

つのネットワーク アダプターを 持つ

DirectAccess

サーバーを内部ネットワークに設置します。

DirectAccess

サーバーに、パブリッ クなアドレスを割り当てる必要はありません。このトポロジでは、エッジ デバイス ( ルーターや ファイアウォール デバイス ) のパブリック アドレスへの

IP-HTTPS

トラフィックを、

DirectAccess

サーバーに転送するように、エッジ デバイスで IP マスカレードやファイアウォー ルを構成する必要があります。 以前のバージョンでは、このような柔軟なトポロジに対応していませんでした。また、

2

つの連続したパブリッ ク

IPv4

アドレスや、PKI ( 公開キー基盤 ) の展開など、その他にも前提要件がありました。

2

つの

IPv4

アド レス要件は、

Windows Server 2012

では削除されています。また、

PKI

の展開は必須要件ではなくなりました。

Windows Server 2012

の

DirectAccess

は、PKI を必要としない簡易展開が既定で行われます。

DirectAccess

サーバーに

SSL/TLS

証明書が必要になりますが、これを準備できない場合でも、自動生成される自己署名証明 書を使用して展開することができます。

Windows 8

と

Windows Server2012

のリモート アクセス ソリューションについて、セットアップの方法 を概要レベルで説明します。各ソリューションの導入が、それほど難しくないということを感じていただける はずです。

4.1　Windows To Go ワークスペースの作成

Windows To Go

ワークスペースを含む

USB

デバイスは、

[Windows To Go

ワークスペースの作成 ] ウィ ザードを使用して、

Windows 8 Enterprise

のインストール メディア内のイメージまたはカスタム イメージか ら、簡単に作成することができます。

USB デバイスの要件

Windows To Go

は、20 GB 以上の容量のある、

USB 3.0

ドライブへの作成がサポートされます。

USB 2.0

ドライブへの作成も可能ですが、サポートされない構成であり、推奨されません。また、

Windows

でリムー バブル記憶域として分類される、一般的な

USB

メモリは、十分な容量があり、

USB 3.0

規格であったとしても、 使用することができないことに留意してください。

Windows To Go

の作成には、以下の

URL

で紹介されている、

Windows To Go

認定デバイスの使用を推奨します。

Windows To Go: Feature Overview-Hardware considerations for Windows To Go

http://technet.microsoft.com/en-us/library/hh831833.aspx#wtg_hardware

Windows To Go

ドライブを使用したワークスペースは、

Windows 7

または

Windows 8

認定ロゴのある

PC

の

USB

3.0

( 推奨 ) または

USB 2.0

ポートに接続して、起動することができます。ただし、

Windows 7

ま たは

Windows 8

認定ロゴのある、あらゆる PC の起動を保証するものであはありません。

Windows To Go ワークスペースの作成

　

[

Windows To Go

ワークスペースの作成 ] ウィザードは、

Windows 8

の検索画面 (

"Windows To Go"

と 検索 )、

Windows 8 Enterprise

の [ コントロール パネル ] 、または

C:\Windows\System32\Pwcreator.exe

を実行して開始することができます。このウィザードは、

Windows 8 Pro

など他のエディションには提供され ないものです。

　 [

Windows To Go

ワークスペースの作成 ] ウィザードを起動したら、作成先の

USB

ドライブを選択し、

Windows 8 Enterprise

のイメージを指定して作成を開始します。オプションで、

BitLocke

r ドライブ暗号化に よる保護を構成することができます ( 暗号化を推奨 ) 。

Windows 8 Enterprise

のイメージとしては、インストール メディアの

Sources\Install.wim

を使用できま す。また、企業クライアントをイメージ展開するのと同じ方法で作成した、

WIM

形式のカスタム イメージを 使用することもできます。カスタム イメージは、

Windows

アセスメント & デプロイメント キット

(ADK)

な どに含まれる展開ツール

(ImageX.exe)

を使用して作成することができます。

第 4 章

ソリューションのセットアップの概要

3.2　リモート デスクトップ サービスのシステム構成

Windows Server 2012

のリモート デスクトップ サービスは、

Active Directory

ドメイン環境に導入するこ とができます。リモート デスクトップ サービスは、以下の 6 つのコンポーネントで構成されます。 ●　_{リモート デスクトップ}

(RD)

_{セッション ホスト ･･･ リモート デスクトップ接続のサーバー ( 旧} ターミナル サーバー ) ●　_{リモート デスクトップ}

(RD)

_{仮想化ホスト ･･･}

VDI

仮想デスクトップを実行する

Hyper-V

サーバー ●　_{リモート デスクトップ}

(RD)

接続ブローカー ･･･ デスクトップの割り当てや再接続を制御 ●　_{リモート デスクトップ}

(RD) Web

_{アクセス ･･･ デスクトップやアプリケーションへの接続を提供} 　　する

Web

ポータル ●　_{リモート デスクトップ}

(RD)

_{ゲートウェイ ･･･ インターネット経由での接続を可能にするゲート} 　 ウェイ ●　_{リモート デスクトップ}

(RD)

_{ライセンス ･･･}

RDS CAL

の割り当てを管理

RD

接続ブローカーは必須コンポーネントであり、リモート デスクトップ サービスの全体を管理します。 セッション ベースの展開には

RD

セッション ホスト、仮想マシン ベースの展開には

RD

仮想化ホストが必要 で、

RD Web

アクセス ( 必須 ) と

RD

ゲートウェイ ( オプション ) がデスクトップやアプリケーションへの接 続ポイントを提供します。

RD

ライセンス サーバーの設置も必須であり、これが無い場合、リモート デスクトッ プ サービスの各機能は、

120

日間の評価モードの終了後に機能を停止します。 セッション ベースまたは仮想マシン ベースのいずれか一方の展開を行う場合、最も小規模な展開方法は、 すべてのコンポーネントを

1

台のサーバーに構成する方法です。仮想化基盤を利用可能な場合は、

RD

仮想化 ホストを除くコンポーネントを、

1

台以上の仮想マシンで実行することもできます。

1

台でシンプルに展開する 場合でも、コンポーネントを複数に分散配置する場合でも、導入や管理が複雑になることはありません。導入 については、リモート デスクトップ サービス専用のインストール ウィザードにより、各コンポーネント間の 連携を適切に構成してくれるので、難しいところはありません。管理については、単一のコンソールを使用して、 全体を一元管理することができます。これらは、

Windows Server 2012

における、リモート デスクトップ サー ビスの最大の特長であり、以前のバージョンからの大きな改善点です。 図 5: リモート デスクトップ サービスのシステム構成

Windows

アセスメント & デプロイメント キット

(ADK)

http://msdn.microsoft.com/ja-jp/library/hh825420.aspx

画面 11: Windows 8 Enterprise に付属する [Windows To Go ワークスペースの作成 ] ウィザード

画面 12: Windows To Go ワークスペースを BitLocker ドライブ暗号化で暗号化して保護する

4.2　DirectAccess のセットアップ

DirectAccess

は、

Windows Server 2012

の [ リモート アクセス ] の役割に含まれており、

DirectAccess

単独で、あるいは

DirectAccess

と

VPN

を同時に展開することができます。

DirectAccess サーバーの展開

DirectAccess

サーバーは、特に中小規模の企業が簡単に展開できるようになっています。 [ リモート アク セス ] の役割の追加後に実行する [ リモート アクセスの構成 ] ウィザードで、

DirectAccess

サーバーを設置 するネットワーク トポロジを選択し、サーバーのパブリックな

FQDN

または IPv4 アドレスを入力すれば、

Windows 8 Enterprise

クライアントに対応した簡易展開を完了できます。

DirectAccess

サーバーを展開したら、 [ リモート アクセス管理コンソール ] を使用して、構成のカスタマイ ズやサービスの正常性の監視、クライアント接続状況の監視を行えます。例えば、既定では

Active Directory

ドメイン メンバーのすべてのノート PC ( ラップトップ PC) が

DirectAccess

クライアントとして構成されま すが、特定のコンピューターやコンピューター グループに変更することができます。なお、 [ リモート アクセ ス管理コンソール ] は、

DirectAccess

と

VPN

の両方に対応しており、

DirectAccess

とともに

VPN

を展開し た場合は、同じコンソールで管理することができます。 画面 13: 簡易展開は、ネットワーク トポロジと FQDN または IPv4 アドレスの入力だけで完了

4.3　リモート デスクトップ サービスのセットアップ

Windows Server 2012

のリモート デスクトップ サービスもまた、シナリオ ベースのインストール ウィ ザードを使用して、簡単に導入することができます。

リモート デスクトップ サービスのサーバーの展開

Windows Server 2012

が提供する役割や機能は、 [ 役割と機能の追加ウィザード ] を使用して、サーバー ごとにインストールすることができます。リモート デスクトップ サービスについては、専用のインストール オプションが用意されており、セッション ベースまたは仮想マシン ベースの展開シナリオを選択して、展開 シナリオに必要なコンポーネントを、複数のサーバーに同時にインストールし、コンポーネント間の構成まで を行ってくれます。

1

台のサーバーに展開する場合は、すぐに利用を開始できる状態まで構成してくれる [ クイック スタート ] オプションを利用できます ( クイック スタートは、評価環境を簡単に展開するのに便 利です ) 。 画面 16: [ 役割と機能の追加ウィザード ] が提供するリモート デスクトップ サービス専用のインストール オプション 画面 17: セッション ベースまたは仮想マシン ベースの展開シナリオを選択して、シナリオに必要になるコンポーネントを配置するサーバー を指定するだけ 画面 14: DirectAccess と VPN を一元管理可能な [ リモート アクセス管理コンソール ]

DirectAccess クライアントの展開

実は、

Windows 8 Enterprise

を実行する

PC

を

DirectAccess

クライアントとして構成するために、

PC

ご とのシステム構成は必要ありません。

DirectAccess

サーバーを展開すると、

Active Directory

ドメインに

DirectAccess

サーバーと

DirectAccess

クライアント用のグループ ポリシー オブジェクト

(GPO)

が作成されま す。

DirectAccess

クライアント用のグループ ポリシーが PC に適用されると、

DirectAccess

クライアントとし て動作し始めます。すなわち、クライアントが社内ネットワークに直結されている場合は、通常のクライアント と同じように社内リソースにアクセスでき、同じクライアントが社外に出た場合は、インターネット接続を使用 して

DirectAccess

サーバーに接続し、社内ネットワークに自動接続するようになります。

画面 19: ユーザー プロファイル ディスクは、リモート デスクトップ サービスにおけるローミングに使用される コレクションが作成されると、

RD Web

アクセスのポータルにアイコンが登録されます。

Windows 8

の [ コ ントロール パネル ] にある [

RemoteApp

とデスクトップ接続 ] を構成すると、

RD Web

アクセスに公開され ているアイコンを、Web フィードを使用して、

Windows 8

のスタート画面に自動登録できます。ユーザーは、

RD Web

アクセスが提供するアイコンをクリックすることで、シングル サインオンでサーバーや仮想デスク トップ、あるいは

RemoteApp

プログラムへのリモート デスクトップ接続を開始できます。

RemoteApp

プログラムとは、デスクトップ全体ではなく、アプリケーション ウィンドウ単位でリモート接 続し、ローカルのデスクトップにシームレスに統合してアプリケーションを利用できる機能です。

RemoteApp

プログラムは、コレクションごとに構成することができます。以前のバージョンでは

、RemoteApp

プログラ ムは

RD

セッション ホストでのみサポートされる機能でしたが、

Windows Server 2012

では、 仮想デスク トップにインストールされたアプリケーションを、

RemoteAp

p プログラムとして公開できるように拡張され ました。 _{コンポーネントの展開が完了したら、 [ サーバー マネージャー ] に統合されたリモート デスクトップ サービ} スの管理コンソールを使用して、構成と管理を一元的に行うことができます。

RD

ラインスや

R

D ゲートウェ イについては、シナリオ ベースの展開ではインストールされませんが、管理コンソールの展開イメージのアイ コンをクリックして、簡単に追加して構成することができます。 画面 18: [ サーバー マネージャー ] に統合されたリモート デスクトップ サービスの管理コンソール

コレクションの作成

リモート デスクトップ サービスのサーバーを展開したら、コレクションを作成して、ユーザーにリソース (デ スクトップやアプリケーション) を公開します。セッション ベースの場合はセッション コレクションを作成し、 デスクトップを提供する

RD

セッション ホストとアクセスを許可するユーザー グループを指定します。仮想 マシン ベースの場合は、仮想デスクトップ コレクションを作成します。仮想デスクトップ コレクションの作 成のためには、テンプレートとなる仮想マシンのイメージを事前に作成しておくことが必要ですが、テンプレー トを

1

つ用意さえすれば、仮想デスクトップ コレクションを使用して、必要な数の仮想マシンを自動作成し、 ゲスト

OS

を自動構成することができます。 セッション ベースと仮想マシン ベースの両方の展開で、コレクションにユーザー プロファイル ディスクを 構成することができます ( 個人用仮想デスクトップ コレクションを除く ) 。ユーザー プロファイル ディスク は、ユーザー設定とデータを格納するための仮想ハードディスクであり、接続時に自動的にマウントされるも のです。ユーザー プロファイル ディスクを使用することにより、ファイル転送を伴う移動ユーザー プロファ イルを利用しなくても、ユーザー環境のローミングが可能になります。ユーザーは、接続先のサーバーや仮想 マシンが変更になっても、自分の個人設定を継続して利用することができます。また、ユーザー プロファイル のサイズ増加が、サーバーや仮想マシンのディスク使用に影響しないというメリットがあります。

まとめ

このホワイト ペーパーでは、フレキシブル ワークスタイルを実現するリモート アクセス ソリューショ ンとして、

Windows To Go、DirectAccess、

リモート デスクトップ サービスの

3

つを紹介しました。

DirectAccess

とリモート デスクトップ サービスは、

Windows Server

の以前のバージョンから提供されてい るものですが、

Windows Server 2012

で展開と管理が非常に簡単になっており、中小規模の企業においても導 入しやすいものになっています。リモート アクセスに社外デバイスを使用する場合、セキュリティ リスクが 不安ですが、

Windows To Go

を用いればその不安を解消できるでしょう。

※ Microsoft、Windows、Windows ロゴは、⽶国 Microsoft Corporation および、またはその関連会社の商標です。 ※ その他記載されている、会社名、製品名、ロゴ等は、各社の登録商標または商標です。

※ このリーフレットは、2011 年 4 ⽉現在のものです。