日本マイクロソフトは11月1日、Windows 10の法人向け機能の強化について説明した。Windows Defender Application GuardやWindows AutoPilotなど、企業内のIT管理負担を軽減し、セキュリティを担保する各機能の概要を紹介する。
日本マイクロソフトは2017年11月1日に開催したMicrosoft 365 Businessの発表会の場で、Windows 10の法人向け機能の強化について説明した。Windows Defender Application GuardやWindows AutoPilotなど、企業内のIT管理負担を軽減し、セキュリティを担保する各機能の概要を紹介する。

コンテナ型仮想化で保護する「Windows Defender Application Guard」
既報のとおり、「Microsoft 365 Business」は、Windows 10 Proライセンスを内包する法人向けパッケージだ。Windows 7/8/8.1からWindows 10へのアップデート権を含み、保有する法人Windowsライセンスのエディション種別に関わらず最上位版の「Microsoft 365 Enterprise」を契約するとWindows 10 Enterpriseライセンスに切り替わる仕組みだ。

直近の大型アップデート(10月17日リリース)であるWindows 10 Fall Creators Updateでは、法人向けにも多数の新機能が加わった。例えば、「Windows Defender」ブランドで統一したセキュリティ機能や、クラウドと連携してOSを展開する「Windows AutoPilot」など。

OS管理面では機能更新プログラムのダウンロードサイズを差分形式で軽減する「UUP(Unified Update Platform)」が追加されている。「UUPを使うことで、(OSのイメージサイズが)2.5GB程度まで軽減する」(日本マイクロソフト Windows&デバイスビジネス本部 Windowsグループ エグゼクティブプロダクトマネージャー 藤原正三氏)という。UUPは、現在はWindows Updateのみに適用可能だが、今後WSUS(Windows Server Update Services)などにも展開していく予定だ。

「顧客からもっとも要望を受けていた」(藤原氏)機能が、コンテナ型仮想化で保護する「Windows Defender Application Guard(以下、Application Guard)」である。信頼されていないWebサイトにアクセスするために、Hyper-V上でコンテナを用意し、閲覧終了後はコンテナを破棄することでOS本体を保護する仕組みだ。通常のサンドボックスと異なるのは、クリップボードやMicrosoft Edgeの情報(お気に入りやCookie、パスワードなど)をApplication Guardのセッションでも利用できる点。「初回起動時はコンテナの準備などで時間を要するが、その後はスムーズに動作する」(藤原氏)という。

Application Guardの動作は、ユーザーが手動起動するスタンドアロンモードと、IT管理者が指定したサイト(ドメインおよびIP範囲)に応じて自動起動するエンタープライズモードの2パターンがある。設定管理はグループポリシーやSCCM(Microsoft System Center Configuration Manager)、Microsoft Intuneから行う。不要なファイルをダウンロードし、そこからマルウェアが侵入・拡散する例は枚挙に暇がないため、社内からWebへアクセスする際に頼れる機能となる。ただし、Application GuardはWindows 10 Enterprise向け機能であり、Proでは動作しない。また、メモリ容量も8GB以上(16GB以上推奨)が必要となる。

大量のPCへWindows 10を素早く展開する「Windows AutoPilot」
AutoPilotは、PCが持つ固有IDをクラウド上にあるWindows Autopilot Deployment Serviceにアップロードし、あらかじめIT管理者が設定したプロファイル情報(運用ポリシーにそぐわないためプライバシー設定をスキップする、OneDrive for Businessの利用を前提とするためOneDrive設定をスキップするなど)をPCに適用しながら、Windows 10を大量のPCに一括展開する機能だ。固有IDはハードウェアベンダーやセルラーから納品時に受け取ることを想定しているが、Windows PowerShellを使った手動取得も可能。つまり、PCを受け取った社員はPCの電源を入れて、IT管理者から受け取ったアカウントでサインインするだけで済む。

Autopilotの運用にはAzure AD(Active Directory)を使い、Microsoft Intuneでサードパーティ製アプリケーションを自動展開する場合はAzure AD Premiumが必要となる。気になる対応PCだが、「グローバルではレノボ、HP、パナソニック、富士通、東芝、そしてMicrosoftの6社が対応を表明している」(藤原氏)という。技術的には、それ以外のPCも基本的に利用可能で、「Windows 8.x時代のPCであれば固有IDを利用できる」(藤原氏)という。

AutoPilotの機能自体は、前回の大型アップデートWindows 10 Creators Updateから用意していたが、Windows 10 Fall Creators Updateでは、展開の進捗状況を示すProgress Displayや、使用許諾の同意画面をスキップする機能が加わった。また、日本マイクロソフトは説明時点で未検証としているが、サインインする前にセキュリティポリシーを適用する機能が加わった。

 

 

【関連記事】

「Windows 10」アップデートに見る--MSが展開するハードとソフト、その方向性

日本マイクロソフト、汎用性の高い量子コンピュータの実現に向けた最新の取り組みなどを紹介