今回は、2018年春にリリースされたWindows 10の最新バージョン「Windows 10 April 2018 Update(バージョン1803)」について、企業向け機能の改善点や強化点と、最新情報をお届けします。
「Windows Defender Application Guard(WDAG)」は、Windows 10 Fall Creators Update(バージョン1709)から利用可能になった“Enterpriseエディション限定”の新しいセキュリティ機能です。
記事公開当初、Windows Defender Application Guard(WDAG)がEducationエディションでも利用可能と表現していましたが、誤りでした。WDAGはWindows 10 バージョン1709のEnterpriseエディションに初めて搭載され、Windows 10バージョン1803で利用可能なエディションがProエディションにまで拡大されました。Windows 10 バージョン1903(予定、通称19H1)では、Educationエディションにも拡大される予定です。
WDAGを利用すると「WDAGコンテナ」と呼ばれる、Hyper-Vでホストから完全に隔離された環境で「Microsoft Edge」を実行し、その表示(および入力)をユーザーに提供することで、信頼できないサイトからの悪意のあるコードや実行可能ファイルを取得してしまったとしても、その実行をブロックしてホストに影響するのを回避できます。
Windows 10 April 2018 Update(バージョン1803)では、WDAGの一部の機能がProエディションでも利用可能になりました。また、WDAGを提供するために「仮想化ベースのセキュリティ(Virtualization-Based Security:VBS)」の機能がProエディションにも搭載されました。
WDAGには、ユーザーの選択で開始する「スタンドアロンモード」と、グループポリシーでリダイレクトやクリップボード共有、印刷機能を制御する「エンタープライズモード」の2つのモードがあります。Windows 10 バージョン1803のProエディションでは、スタンドアロンモードでWDAGを利用できます。グループポリシーを使用したエンタープライズモードは、引き続きEnterpriseエディションでのみ利用可能です。
WDAGについては本連載第15回で紹介しましたが、Windows 10 バージョン1709では日本語環境でのセットアップと利用に問題があることを指摘しました。
WDAGは初回開始時に、WDAGコンテナをセットアップするためにしばらく時間がかかりますが、2回目以降は比較的素早く起動します(画面1、画面2)。Windows 10 バージョン1803はバージョン1709に比べ、その起動パフォーマンスが大幅に改善されています。また、日本語環境でも特別な対処をしなくてもセットアップできるようになりました。さらに、今後は「Microsoft Intune」のWDAGポリシーで自動セットアップできるようになる予定です。
筆者が確認したところでは、WDAGコンテナを実行するMicrosoft Edgeは、以前と同様、英語(en-us)環境上に構築されているようです。Windows 10 バージョン1803ではWDAGの多言語環境への対応が進んだようで、ユーザーインタフェース(UI)の日本語化や日本語入力にも対応しています。
しかし、キーボードの認識が英語配列であるという制限があります(例えば「:」と入力するには[Shift]+[;]キー、「@」と入力するには[Shift]+[2]キーを入力する必要があります)。キーボード配列を含む、完全なローカライズ対応が早期になされることを期待しています。
Windows 10 バージョン1803のエンタープライズモードのWDAGでは、新たに2つのポリシーが追加されています。1つは、WDAGのMicrosoft Edgeの表示における、GPU(グラフィックスプロセッシングユニット)を使用したレンダリングへの対応(許可)。もう1つは、WDAGのMicrosoft Edgeでダウンロードしたファイルをホスト側から取り出すことができるようになったことです(画面3、画面4)。既定ではこの機能は無効化されていますが、ポリシーにより許可することが可能です。
Windows 10 Anniversary Update(バージョン1607)のx64版では、Windows Server 2016と同等の機能を持つ「Hyper-V」および「コンテナ」の機能がサポートされ、Windowsコンテナの2つある実行方法の1つ、「Hyper-Vコンテナ」の環境を構築することができます。Windows Server 2016およびWindows Server Semi-Annual Channel(SAC)は、Dockerのプラットフォームにもなりますし、クラウドにデプロイする前の開発およびテスト環境としても利用できます。一方、Windows 10は、開発およびテストの環境として利用することができます。
Hyper-Vコンテナでは、Windows Server 2016のServer CoreのベースOSイメージ(microsoft/windowsservercore:latestまたはltsc2016)、またはNano ServerのベースOSイメージ(microsoft/nanoserver:latestまたはsac2016)のコンテナを作成、実行することができます。Windows 10 バージョン1709では、Windows Server 2016ベースのベースOSイメージに加えて、Windows Server バージョン1709のベースOSイメージ(microsoft/windowsservercore:1709およびmicrosoft/nanoserver:1709)の作成と実行が可能になりました。
Hyper-Vコンテナでは、将来的にLinuxコンテナのネイティブなサポートが追加される予定です。この機能は「Linux Container on Windows(LCOW)」とも呼ばれるもので、現在は開発中の段階です。2018年3月末にリリースされた、Docker Community Editionをベースとした「Docker for Windows」のバージョン18.03.0-ce-win59では、Experimental(実験的機能)としてLCOWを一足先に評価できるようになりました(画面5、画面6)。
Windows上でLinux環境を実現する技術としては、Windows 10 バージョン1709から正式版となった「Windows Subsystem for Linux(WSL)」がありますが、LCOWはこれとは全く別の技術です。Windowsコンテナ(Windows ServerコンテナおよびHyper-Vコンテナ)とWSLについては、筆者のもう1つの連載「その知識、ホントに正しい? Windowsにまつわる都市伝説」の第94回と第95回で詳しく説明しています。
岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』(日経BP社)。
Copyright © ITmedia, Inc. All Rights Reserved.