Windows 10のキオスクモードとWDAGの導入がより簡単に、より柔軟に：企業ユーザーに贈るWindows 10への乗り換え案内（39）

前回の最後に、Windows 10 バージョン1809の「キオスクモード」について少しだけ触れました。Windows 10 バージョン1803以前と何が変わったのか紹介します。また、Windows Defender Application Guardの導入と構成が簡単になり、機能拡張が行われていることについても紹介します。

[山市良，テクニカルライター]

企業ユーザーに贈るWindows 10への乗り換え案内

これまでのWindows 10のキオスクモードとWDAGのおさらい

　Windows 10は「機能更新プログラム」によって、OSのバージョンアップと同時に新機能の追加が行われます。これは、Windows 10の「半期チャネル（Semi-Annual Channel：SAC）」に基づいて、年に2回のペースで継続的に行われます。

　今回、最新情報をお伝えする「キオスクモード」は、Windows 8.1から存在する機能であり、Windows 10 バージョン1803（April 2018 Update）以前のUI（ユーザーインタフェース）では「割り当てられたアクセス（Assigned Access）」と表現されていたものです。

　Windows 10のキオスクモードは、ローカルアカウントに単一のUWP（ユニバーサルWindowsプラットフォーム）アプリを割り当て、ユーザーがサインイン中、そのアプリだけを利用できるようにする機能ですが、本連載第28回で紹介したように「Microsoft Edge」には対応していませんでした。第28回では、Microsoft Storeで提供されている、ロックダウンされ、ポリシー制御が可能な「Kiosk Browser」を紹介しました。

• “割り当てられたアクセス”で使えるMicrosoft純正ブラウザ「Kiosk Browser」とは（本連載 第28回）

　「Windows Defender Application Guard（WDAG）」は、Windows 10 Enterprise バージョン1709で追加され、Hyper-Vの分離環境で実行されるセキュアなMicrosoft Edge環境です。本連載ではWindows 10 バージョン1709（Fall Creators Update）のWDAGを第15回で、Windows 10 バージョン1803のWDAGの変更点を第23回で紹介しました。

• Windows Defender Application Guardで実現するセキュアなブラウジング環境――Windows 10の新しいセキュリティ機能（その2）（本連載 第15回）
• Windows 10 April 2018 Update（バージョン1803）における企業向け機能の改善点と強化点（本連載 23回）

　Windows 10 バージョン1803からは、日本語環境へのローカライズ対応とProエディションへの提供拡大の他、WDAGコンテナでダウンロードされたファイルをホストに保存する機能が追加されました（ただし、Proエディションについては、ダウンロードファイルのホストへの保存は不可）。なお、第23回で指摘した日本語入力問題については、Windows 10 バージョン1803向けの2018年7月の「品質更新プログラム」（17134.191以降）で修正されたことを確認しました。

　本連載第23回では、新たに追加されたWDAG用のポリシーの1つとして、WDAGのMicrosoft Edgeの表示における、GPU（グラフィックスプロセッシングユニット）を使用したレンダリングへの対応（許可）を紹介していますが、こちらはWindows 10 バージョン1803時点では非公開の機能（ポリシーの有効化だけでは利用可能にならない機能）だったようです。

キオスクモードのセットアップが簡単に

　Windows 10のキオスクモードは、「設定」アプリの「アカウント」にある「家族とその他のユーザー」からセットアップします。Windows 10 バージョン1803までは、公式ドキュメントや公式ブログではキオスクモードと呼びながら、Windows 10のUIでは「割り当てられたアクセス」と表現されていた点が分かりにくいところでした。Windows 10 バージョン1809（October 2018 Update）ではこの点が改善され、セットアップを開始する場所に「キオスクモードを設定する」と明記されています（画面1）。

画面1　Windows 10 バージョン1803（左）とWindows 10 バージョン1809（右）のキオスクモードのセットアップ

　Windows 10 バージョン1803以前では、最初にWindows 10にローカルアカウントを作成し、そのアカウントに対して現在のユーザーにインストール済みのビルトインのUWPアプリまたはMicrosoft Storeから入手したUWPアプリ（UWPアプリによっては選択肢に出てこないものもあります）を割り当てるという手順でセットアップしました。

　Windows 10 バージョン1809では、新規作成または既存のローカルアカウントを選択して割り当てるという従来の手順に加え、その場でパスワードなしで自動サインインするように構成されるローカルアカウントを作成し、1つのUWPアプリを割り当てることができます。また、以前は選択できなかった「Microsoft Edge」を割り当てることもできるようになりました（画面2）。

画面2　ローカルアカウントを新規作成して、すぐにアプリを割り当てることができる。「Microsoft Edge」の割り当ても可能に

Microsoft Edgeを2つのモードのいずれかでセットアップ可能

　キオスクモードでユーザーに「Microsoft Edge」を割り当てる場合、「デジタル署名または対話側ディスプレイとして」と「パブリックブラウザーとして」のいずれかのモードを選択します（画面3）。

画面3　「Microsoft Edge」を割り当てる場合、「デジタル署名または対話側ディスプレイとして」と「パブリックブラウザーとして」のいずれかを選択できる

　前者の場合、指定したURLのWebサイトを全画面表示のMicrosoft Edgeで自動的に開きます（画面4）。

画面4　「パブリックブラウザーとして」モードのMicrosoft Edge

　後者の場合、InPrivateウィンドウのMicrosoft Edgeで指定したスタートページのURLをタブで開きます（画面5）。また、後者の場合は既定で5分のアイドル時間でMicrosoft Edgeがリセット（再起動）される他、Microsoft Edgeの機能の一部が制限されます。

画面5　「デジタル署名または対話側ディスプレイとして」モードのMicrosoft Edge

「Windowsセキュリティ」に統合されたWDAGのインストールと構成

　Windows 10 バージョン1809では、WDAGの機能のインストールと基本的な構成が簡素化されました。WDAGの機能は、「Windowsセキュリティ」（旧称、Windows Defenderセキュリティセンター）の「アプリとブラウザーコントロール」にある「分離されたブラウズ」からインストールできます。また、インストール後に（要再起動）、「Windowsセキュリティ」の「分離されたブラウズ」を開くと、データの保存、コピーと貼り付け、ファイルの印刷に関する設定をGUIで構成することが可能です（画面6）。

画面6　「Windowsセキュリティ」アプリからのWDAGのインストールと構成

　WDAGポリシーを見ると、細かな機能強化が行われていることも分かります。Windows 10 バージョン1803と比較すると、次の4つのポリシーが追加されています。

1. Windows Defender Application Guardでカメラとマイクへのアクセスを許可する
2. Windows Defender Application Guardでユーザーのデバイスからルート証明機関を使用できるようにする
3. ユーザーがWindows Defender Application Guardで開くファイルを信頼できるようにする
4. Windows Defender Application Guardで信頼されていないファイルの追加ソースを構成する

　前述したように「Windows Defender Application Guardのハードウェアアクセラレータによるレンダリングを許可する」ポリシーは、Windows 10 バージョン1803にも存在しますが、ポリシーの効果があるのはWindows 10 バージョン1809からです。

　また、「Windows Defender Application Guardをエンタープライズモードでオンにします」ポリシーはこれまでの単なる有効化だけでなく、Microsoft Officeに対して有効化するオプションが追加されています（画面7、既定は「1」）。

画面7　Windows 10 バージョン1809のWDAGポリシー。Officeに対するWDAGの有効化の効果については、現時点で情報なし

　公式ドキュメントではこのポリシーの意味について記載がないため、将来の機能拡張に向けた、まだ利用可能ではない機能である可能性があります。最新のドキュメントを確認してください。

• Windows Defender Application Guard overview［英語］（Windows IT Pro Center）

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（Oct 2008 - Sep 2016）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』（日経BP社）。