Windows 10 April 2018 Update（バージョン1803）における企業向け機能の改善点と強化点：企業ユーザーに贈るWindows 10への乗り換え案内（23）

今回は、2018年春にリリースされたWindows 10の最新バージョン「Windows 10 April 2018 Update（バージョン1803）」について、企業向け機能の改善点や強化点と、最新情報をお届けします。

[山市良，テクニカルライター]

企業ユーザーに贈るWindows 10への乗り換え案内

Windows Defender Application Guardの改善点と強化点

　「Windows Defender Application Guard（WDAG）」は、Windows 10 Fall Creators Update（バージョン1709）から利用可能になった“Enterpriseエディション限定”の新しいセキュリティ機能です。

訂正（2019年1月28日）

　記事公開当初、Windows Defender Application Guard（WDAG）がEducationエディションでも利用可能と表現していましたが、誤りでした。WDAGはWindows 10 バージョン1709のEnterpriseエディションに初めて搭載され、Windows 10バージョン1803で利用可能なエディションがProエディションにまで拡大されました。Windows 10 バージョン1903（予定、通称19H1）では、Educationエディションにも拡大される予定です。

　WDAGを利用すると「WDAGコンテナ」と呼ばれる、Hyper-Vでホストから完全に隔離された環境で「Microsoft Edge」を実行し、その表示（および入力）をユーザーに提供することで、信頼できないサイトからの悪意のあるコードや実行可能ファイルを取得してしまったとしても、その実行をブロックしてホストに影響するのを回避できます。

　Windows 10 April 2018 Update（バージョン1803）では、WDAGの一部の機能がProエディションでも利用可能になりました。また、WDAGを提供するために「仮想化ベースのセキュリティ（Virtualization-Based Security：VBS）」の機能がProエディションにも搭載されました。

　WDAGには、ユーザーの選択で開始する「スタンドアロンモード」と、グループポリシーでリダイレクトやクリップボード共有、印刷機能を制御する「エンタープライズモード」の2つのモードがあります。Windows 10 バージョン1803のProエディションでは、スタンドアロンモードでWDAGを利用できます。グループポリシーを使用したエンタープライズモードは、引き続きEnterpriseエディションでのみ利用可能です。

　WDAGについては本連載第15回で紹介しましたが、Windows 10 バージョン1709では日本語環境でのセットアップと利用に問題があることを指摘しました。

• Windows Defender Application Guardで実現するセキュアなブラウジング環境――Windows 10の新しいセキュリティ機能（その2）（本連載 第15回）

　WDAGは初回開始時に、WDAGコンテナをセットアップするためにしばらく時間がかかりますが、2回目以降は比較的素早く起動します（画面1、画面2）。Windows 10 バージョン1803はバージョン1709に比べ、その起動パフォーマンスが大幅に改善されています。また、日本語環境でも特別な対処をしなくてもセットアップできるようになりました。さらに、今後は「Microsoft Intune」のWDAGポリシーで自動セットアップできるようになる予定です。

画面1　スタンドアロンボードのWDAGの開始。初回使用時にWDAGコンテナのセットアップのためにある程度の時間がかかる。Windows 10 バージョン1803では、起動パフォーマンスの改善に加えて、日本語環境でもエラーなくセットアップが完了するように改善された

画面2　エンタープライズモードのWDAG。あらかじめ定義したエンタープライズまたはニュートラルサイト以外へのアクセスは、WDAGに自動的にリダイレクトされる

　筆者が確認したところでは、WDAGコンテナを実行するMicrosoft Edgeは、以前と同様、英語（en-us）環境上に構築されているようです。Windows 10 バージョン1803ではWDAGの多言語環境への対応が進んだようで、ユーザーインタフェース（UI）の日本語化や日本語入力にも対応しています。

　しかし、キーボードの認識が英語配列であるという制限があります（例えば「:」と入力するには［Shift］＋［;］キー、「@」と入力するには［Shift］＋［2］キーを入力する必要があります）。キーボード配列を含む、完全なローカライズ対応が早期になされることを期待しています。

　Windows 10 バージョン1803のエンタープライズモードのWDAGでは、新たに2つのポリシーが追加されています。1つは、WDAGのMicrosoft Edgeの表示における、GPU（グラフィックスプロセッシングユニット）を使用したレンダリングへの対応（許可）。もう1つは、WDAGのMicrosoft Edgeでダウンロードしたファイルをホスト側から取り出すことができるようになったことです（画面3、画面4）。既定ではこの機能は無効化されていますが、ポリシーにより許可することが可能です。

画面3　ダウンロードファイルのホストへの保存を許可する新しいポリシー

画面4　ホスト側ではエクスプローラーなどで「ダウンロード」フォルダに作成される「信頼されていないファイル」からダウンロードファイルを取得できる

開発中のLinuxコンテナのサポート、最新のWindows 10で評価可能に

　Windows 10 Anniversary Update（バージョン1607）のx64版では、Windows Server 2016と同等の機能を持つ「Hyper-V」および「コンテナ」の機能がサポートされ、Windowsコンテナの2つある実行方法の1つ、「Hyper-Vコンテナ」の環境を構築することができます。Windows Server 2016およびWindows Server Semi-Annual Channel（SAC）は、Dockerのプラットフォームにもなりますし、クラウドにデプロイする前の開発およびテスト環境としても利用できます。一方、Windows 10は、開発およびテストの環境として利用することができます。

　Hyper-Vコンテナでは、Windows Server 2016のServer CoreのベースOSイメージ（microsoft/windowsservercore:latestまたはltsc2016）、またはNano ServerのベースOSイメージ（microsoft/nanoserver:latestまたはsac2016）のコンテナを作成、実行することができます。Windows 10 バージョン1709では、Windows Server 2016ベースのベースOSイメージに加えて、Windows Server バージョン1709のベースOSイメージ（microsoft/windowsservercore:1709およびmicrosoft/nanoserver:1709）の作成と実行が可能になりました。

　Hyper-Vコンテナでは、将来的にLinuxコンテナのネイティブなサポートが追加される予定です。この機能は「Linux Container on Windows（LCOW）」とも呼ばれるもので、現在は開発中の段階です。2018年3月末にリリースされた、Docker Community Editionをベースとした「Docker for Windows」のバージョン18.03.0-ce-win59では、Experimental（実験的機能）としてLCOWを一足先に評価できるようになりました（画面5、画面6）。

• Docker for Windows Stable Release notes> Docker Community Edition 18.03.0-ce-win59 2018-03-26［英語］（Docker Documentation）

画面5　Docker for Windowsで「Experimental」機能を有効化する

画面6　「--platform=linux」を指定することで、Docker for WindowsをLinuxコンテナ環境に切り替えることなく、Windowsコンテナの環境のまま、Linuxコンテナの作成と実行が可能に

　Windows上でLinux環境を実現する技術としては、Windows 10 バージョン1709から正式版となった「Windows Subsystem for Linux（WSL）」がありますが、LCOWはこれとは全く別の技術です。Windowsコンテナ（Windows ServerコンテナおよびHyper-Vコンテナ）とWSLについては、筆者のもう1つの連載「その知識、ホントに正しい？ Windowsにまつわる都市伝説」の第94回と第95回で詳しく説明しています。

• Windows上で稼働するLinux、動かしているのはどのテクノロジー？（その1）（連載：その知識、ホントに正しい？ Windowsにまつわる都市伝説 第94回）
• Windows上で稼働するLinux、動かしているのはどのテクノロジー？（その2）（連載：その知識、ホントに正しい？ Windowsにまつわる都市伝説 第95回）

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（Oct 2008 - Sep 2016）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』（日経BP社）。