Windows、iPad、および Android - タブレットの世界における Office 資産の管理と使用 (パート 2)

  • Article

原文の記事の投稿日: 2011 年 10 月 13 日 (木曜日)

タブレット コンピューティングの世界における Office 資産の管理に関するシリーズのパート 2 へようこそ。パート 1では、主としてリッチ クライアント、リモートのリッチ クライアント、Office for Mac、Web Apps、および携帯電話の Office で Office を利用する主な方法をご紹介しました。ここでは、電子メール、カレンダー、およびその他の Office コンテンツを複数の種類のデバイス間で利用できるようにするテクノロジについて説明します。私は、"Office" をアプリケーションそのものとしてだけでなく、コミュニケーション、電子メール、およびコラボレーションのワークロードとも考えているので、この記事ではこうしたワークロードが主要な要素になります。タッチ デバイスやリモート アクセス用デスクトップ向けの Office UI のカスタマイズといったトピックに入る前に、まずは私が使用しているビルド環境を紹介し、Office ワークロードへのモバイル デバイス接続の基本事項を説明します。

私のビルド環境

私はいつも、何かを執筆する前にすべてが実際に動作して機能していることを確認するという方法にこだわっています。もちろん、あらゆるものを構築して統合するのは大変です。こうした成果物のテストのために実行される Windows Server System Reference Architecture (WSSRA) 環境 (かつて社内では親しみを込めて "Minicore" と呼んでいました) のようなものは手元にありませんが、私には比較的ロバスト (かつポータブル) な環境があります。WSSRA の "Minicore" では 32 個の仮想マシンを実行していましたが、私の環境では 6 つの仮想マシンを実行してホスト コンピューター、iPad、および Samsung Galaxy Tab をクライアントとして使用しています。

  • クアッド コア i7、16 GB RAM、1 TB RAID 0 SSD ストレージ、オンボード NIC、および PCIE NIC を搭載した HP 8540W ノート PC
  • Hyper-V の役割がインストールされた Windows Server 2008 R2 Enterprise
  • いずれも Windows Server 2008 R2 Standard を実行している 6 つの仮想マシン
    • ドメイン コントローラー
    • SharePoint 2010
    • Exchange Server 2010
    • RDS RemoteApp
    • Citrix XenApp
    • Forefront Unified Access Gateway 2010 (UAG)
  • iPad 2 (iOS 4 搭載)
  • Samsung Galaxy Tab (Android 2.2 搭載)
  • Office for Mac 2011 がインストールされた MacBook Air
  • PCIE NIC に接続されている Cisco ワイヤレス ルーター

以上が、今年の TechEd と SharePoint Conference に私が持って行ったものです (空港の荷物検査では、こんな人の後ろには並びたくないものです)。また、このシリーズの残りの記事向けのスクリーンショットについても、この環境で撮る予定です。それでは、基本事項の説明に入りましょう。

Exchange ActiveSync

2002 年に当社は Microsoft Information Server (MIS) 2002 の一部として AirSync なるものを構築し、約 1 年後にこの機能は拡張されて Exchange Server 2003 に移され、Exchange ActiveSync と名前を変えました。マイクロソフトに入って間もない頃、その初期の機能を利用して電子メールやカレンダーを携帯電話で取得していたことを今でも私は覚えています。それは私にとって必要不可欠な機能でした。あれから何年も経て Exchange ActiveSync (EAS) は進化し、Windows 以外のプラットフォームでも利用可能になったことで、Windows Mobile および Windows Phone、Apple の iPad および iPhone、Android ベースのデバイスなど、多くの種類のデバイスにわたってセキュリティを支える重要な柱となりました。このブログ シリーズを執筆する私にとっては、さまざまなデバイスで Office にアクセスするための共通基盤でもあります。

Exchange ActiveSync は、デバイスのロック解除に PIN を要求および強制適用する機能など、各種の重要な IT 管理機能を備えています。これにより、認証には別の要因が強制的に追加されます。つまり、ユーザーがデバイスを紛失した場合でも、PIN を知っている人物でないとデバイス全体 (Exchange ActiveSync がネイティブでサポートしているデバイスの場合) や、EAS に接続しているソフトウェア環境 (NitroDesk の TouchDown (英語)、DataViz の RoadSync (英語) など) にはアクセスできないわけです。

上に示したのは Exchange Server 2010 のプロパティ ビューです。パスワード ポリシーのほか、同期の設定やその他のデバイス属性 (デバイスのカメラおよびブラウザーを無効にする機能など) に関するポリシーも設定できます。セキュリティ性の高い環境では、これらの制御によってデータの漏洩に対する追加保護や悪意のあるコードの Web ブラウザー経由での侵入に対する保護が実現されます。また、Apple は iPhone Configuration Utility を提供しています。これは、iPhone および iPad デバイスにポリシーを適用するためにサードパーティのモバイルデバイス管理 (MDM) インフラストラクチャで使用されます。

企業のセキュリティ構想の本質的な部分は、Exchange ActiveSync の機能とこうしたデバイスでそれらをサポートするために必要な作業によって実現されます。このことは、EAS をネイティブでサポートしている、Android 2.0 やそれ以降のデバイスにも当てはまります。

Exchange ActiveSync での制御を使用してデバイスを構成できることは、ほとんどのデバイスを正しい方向に導くための 1 ステップであり、デバイスに電子メールが保存される日数を制限することはデータのセキュリティに関するリスクの軽減に役立ちます。しかし、iOS、Android、Symbian、Windows Phone など、各種デバイスにわたる EAS の実装はプラットフォームごとに大きく異なります。この点が特に顕著なのは Exchange ActiveSync を使用した Information Rights Management (IRM) であり、この記事の執筆時点では、EAS を使用した IRM が Windows Phone と Windows Mobile のプラットフォームに制限されています。特定の電子メール トラフィックについてセキュリティ強化を必要としている組織では、IRM がメッセージング コンテンツに対する持続的な保護を提供します。EAS クライアントは電子メールへのアクセスにますます使用されるようになっていることから、モバイル デバイスのユーザーが IRM で保護されたコンテンツをセキュリティが保護された方法で作成および利用できるようになることが重要です。これらのデバイスでの EAS サポートが正しい方向への 1 ステップであると述べた真意は、EAS では大部分の IT 部門が馴染んでいる Active Directory グループ ポリシー制御にかなわないということです。ユーザーを発展途上のプラットフォームに移行させるというアイデアを検討する際には、この点を考慮する必要があります。

Office によるグループ ポリシーの構成管理

Office には、長い間 Windows プラットフォームできめ細かく構成管理が行われてきた経緯があります。ポリシー管理の機能は、Office 97 のリリースで登場してから 15 年ほどのうちに、大幅に拡張されました。当初、強制的に適用できる設定項目の数は 50 を少し超える程度に過ぎませんでしたが、Office 2010 ではその数が 2000 以上になっています。気になっている人のために述べておくと、Office for Mac 2011 では (以前の Mac バージョンと同様に) 強制可能な設定が皆無 (英語) であり、オプションでインストール時の設定を使用できるに過ぎません。ただし、こうした設定は、パート 1 でも述べたようにユーザーが自由に変更できます。インストール時の設定に関していえば、そのことが Windows 上で Office をインストール時に構成できる方法へと私を導くきっかけになりました。こうした方法は、Office のセキュリティと管理容易性にとって非常に重要です。というのも、Office の構成方法を決定できるだけでなく、機密性 (暗号化と IRM の規則)、整合性 (信頼できる発行者、場所およびデジタル署名の規則)、可用性 (VBA マクロ、アドイン、ActiveX、Internet Explorer、およびファイル ブロックの規則) などの設定項目の構成も可能になるからです。これらの制御は、Office を実行している Windows 環境に固有のものです。

Office をカスタマイズされた形で Windows コンピューターにインストールするための主な制御メカニズムとして、次の 3 つがあります。

  1. グループ ポリシーで事前に定義された設定
  2. Config.xml
  3. Office カスタマイズ ツール (OCT) を使用して生成されたカスタム MSP ファイル

これらの提示順は、競合が発生した際の優先順位に一致しています。ご想像のとおり、グループ ポリシーの設定は最も制御の度合いも強く、config.xml で定義されたどんな設定よりも優先されます。また、config.xml での設定は OCT で生成された MSP ファイル内の設定よりも優先されます。Office 2010 の構成時には、何千というグループ ポリシー設定を利用できます。実際に問題になるのは "どこから手をつけるか" ですが、ここでは Security Compliance Manager (英語) によるベースラインの確立が有効です。使用できる既知の構成を調整していくほうが、何もない状態から始めるよりも容易だからです。

次に優先されるのが、Office と共に使用される config.xml ファイルです。XML であること、また事前に定義されている要素があまり多くないことから、この方法を膨大な数の設定項目で利用する人はいないでしょうが、ライセンス認証サービスの簡単な呼び出しや言語校正ツールのカスタマイズといった構成では、config.xml ファイルが最善で場合によっては唯一の選択肢です。以下に、標準的な config.xml ファイルの内容を示します。

最後のオプションは、Office カスタマイズ ツールの使用です。このツールは本来、Office のインストールおよび構成方法を決定づけるものです。こうした設定は、config.xml と同様、インストール時にのみ使用され、強制的に適用されることはありません。その後グループ ポリシーの強制を使用しない場合は、Office for Mac の場合と同様、環境内のポリシー強制が必要な要素の管理容易性とセキュリティが深刻な危害を受けることになります。OCT では、グループ ポリシーと同じ設定項目を公開しており、Office のセットアップ プロセスでレジストリの書き込みやカスタム コマンドを実行できます。Office 2010 の管理された展開で使用される最も一般的な制御項目は、推奨設定のダイアログ表示を抑制する設定でしょう。この設定を行うと、Windows Update の利用を原則的に求めるポップアップ メッセージがユーザーに表示されます。Windows Update は、ほとんどの管理された環境の IT 管理者が Windows Server Update Services (WSUS) や System Center Configuration Manager のようなツールを使用してユーザーの代わりに実行します。

これらは Windows で Office インストールをカスタマイズする主な方法であり、この内容については必ず説明しようと考えていました。というのも、たとえ皆さんが Office の機能を iPad に提供する方法の手がかりを求めてこのブログを読んでいるとしても、こうした説明はリモート デスクトップやサーバー上で Office をホストして iPad、Android、または Windows デバイスから利用する方法の解説を始めるときに役立つからです。プロビジョニングの対象がリモート デスクトップ サービスの役割がインストールされた Windows Server 2008 R2 コンピューターであるか、リモートの Windows 7 仮想マシンであるかにかかわらず、私にはその場でインストールをカスタマイズできる機能が必要になります。こうしたサービスを何千人ものユーザーに提供する場合はなおさらです。

唐突ですが、このシリーズのパート 2 はここまでにします。パート 1 をまだ読んでいない方は、ぜひそちらもお読みください。パート 3 については、数日後に投稿する予定です。

最後までお読みいただき、ありがとうございました。

Jeremy Chapman

シニア製品マネージャー

Office IT Pro チーム

これはローカライズされたブログ投稿です。原文の記事は、「Windows, iPad and Android - Managing and Using Your Office Assets in a Tablet World (Part 2)」をご覧ください。