Windows 11 バージョン22H2の大規模導入は時期尚早？ リプレース／アップグレードで“泣きを見ない”ための心得：企業ユーザーに贈るWindows 11への乗り換え案内（6）

Windowsの最新バージョン「Windows 11 バージョン22H2（2022 Update）」は、当然のことながら、以前のバージョンよりもUI、機能、セキュリティが洗練、強化されています。しかし、これから大規模導入する企業にとって、仕様変更や既知の問題には注意が必要です。前回、既知の問題の一つを紹介しましたが、他にも多数存在するのです。

[山市良，テクニカルライター]

企業ユーザーに贈るWindows 11への乗り換え案内

覚えておきたいWindows 10／11で廃止された企業向け機能

　Windowsデバイスを新バージョンにリプレースする場合、多くは「Windows 10」や「Windows 11 バージョン21H2」からのアップグレード、またはリプレースになると思います。「Windows 8.1」など、既にサポートが終了したバージョン（Windows 8.1は「2023年1月10日」にサポート終了）からリプレースする場合もあるでしょう。

　機能の廃止や新機能への置き換え、仕様変更は、企業でそれまで利用してきた機能や管理手法が、Windows 11の最新バージョンでも同じように利用できるのかどうかに影響します。利用できない場合は、代替の機能やサービスに移行するなどの見直しが必要になります。

• Windowsクライアントで削除された機能（Microsoft Learn）
• Windowsクライアントの非推奨の機能（Microsoft Learn）

●Windows To Go（廃止）

　企業向けの機能としては、上記Webページ記載の一覧にあるように、USBドライブにWindowsをインストールして任意のデバイスで起動できる「Windows To Go」がWindows 10 バージョン1903で非推奨となり、バージョン2004で廃止されました（「ワークスペース作成ツール」が削除されました、画面1）。

画面1　「Windows To Goワークスペース作成ツール」は、Windows 10 バージョン1909を最後に削除された

　「Windows 8 Enterprise」から利用可能になったこの機能は、「DirectAccess」と組み合わせて自宅や社外のデバイス上に企業のデスクトップ環境を再現し、安全な社内リソースへのアクセスを実現可能にするものでした。

　テレワーク（リモートワーク）が推奨されたコロナ禍において、特にニーズの高い機能でしたが、それと入れ替わるように廃止されたことは残念なことです。Windows 8.1やWindows 10 バージョン1909以前のWindows To Goでテレワークに対応した企業もあったかもしれませんが、Windows 11や現在サポートされているWindows 10ではこの機能は利用できません。

　代替ソリューションとしては、オンプレミスの「リモートデスクトップサービス（RDS）」で構築した仮想デスクトップ基盤（VDI）やクラウドベースの「Azure Virtual Desktop」「Windows 365クラウドPC」に企業のデスクトップ環境を用意し、リモートアクセスする方法があります。

• Azure Virtual Desktop（Microsoft Azure）
• Windows 365クラウドPC（Windows 365）

●ソフトウェアの制限のポリシー（非サポート）

　「ソフトウェアの制限のポリシー（Software Restriction Policy：SRP）」は、前述した非推奨機能一覧ではWindows 10 バージョン1803で非推奨になったと記載されていますが、Windows 10以降サポートされなくなったことにも注意が必要です。

　「Windows XP」から利用可能になったSRPは、Windowsのエディションに関係なく、実行ファイルのパスやハッシュ、証明書、インターネットゾーンによってソフトウェアを識別し、実行を許可または禁止できる機能です。Windows 10 バージョン1607までは従来通り動作しましたが、バージョン1703以降、期待通りに機能しないことがあり、その後、非推奨扱いとされました（画面2）。

画面2　Windows 10とWindows 11の最新バージョンでもSRPが機能する場合があるが、予期しない挙動を示すことがある（画面右では「cmd.exe」からの実行はブロックされないが、PowerShellからの実行はブロックされている）

　以下の記事に書いたように、別のドキュメントではWindows 10およびWindows 11ではSRPの基本ユーザー機能がサポートされないと明記されています。

• 使えるはずのポリシーが使えない――これはWindows 10のバグなのか、それとも仕様変更か？（連載：その知識、ホントに正しい？ Windowsにまつわる都市伝説 第108回）

　SRPの代替機能としては「AppLocker」や「Windows Defenderアプリケーション制御（Windows Defender Application Control：WDAC）」がありますが、機能の一部はEnterpriseエディション限定です。

• Windows Defenderアプリケーション制御とAppLockerの概要（Microsoft Learn）

●Windows Information Protection（非推奨）

　デバイス上のデータの暗号化保護機能である「Windows情報保護（Windows Information Protection：WIP）」（旧称、「エンタープライズデータ保護（Enterprise Data Protection：EDP）」はWindows 10から搭載された機能ですが、2022年7月に開発終了（非推奨）扱いとなり、代替ソリューションとしてクラウドベースの「Microsoft Purview」が推奨されています。

• 「Windows情報保護」が非推奨リスト入り、今後推奨される新たな情報保護機能「Microsoft Purview」とは？（連載：企業ユーザーに贈るWindows 10への乗り換え案内 第133回）

機能更新と品質更新プログラムの影響を回避するには？

　MicrosoftはWindows 11およびWindows 10の新バージョンを1年に1回、「機能更新プログラム」として提供します。新バージョンのリリース直後は、既知の問題が多く残っているため社内にロールアウトする際は注意が必要です。前回説明したのも、Windows 11 バージョン22H2にリリース時から存在する未修正の既知の問題でした。

　毎月の品質更新プログラムを起因として、問題が報告されることもあります。これらの既知の問題は、以下のサイトで公開され、回避策がある場合は示されます。既知の問題は、最終的に、将来の品質更新プログラムまたは機能更新プログラムで修正されることになります。

• Windows 11, version 22H2 known issues and notifications［英語］（Microsoft Learn）
• Windows 11, version 21H2 known issues and notifications［英語］（Microsoft Learn）
• Windows 10, version 22H2 known issues and notifications［英語］（Microsoft Learn）

　Windows 11 バージョン22H2のリリースでは、企業での利用に影響するものとして、「RemoteAppとデスクトップ接続」からのリモートデスクトップ接続ブローカー、またはリモートデスクトップゲートウェイ経由のリソースへの接続が応答なしになるという不具合があります。

　Windows 11 バージョン21H2以前で「RemoteAppとデスクトップ接続」を利用している場合は、アップグレードと同時に回避策（グループポリシーによるリモートデスクトップ接続でのUDPの無効化）を展開しておくか、問題が修正されるまでアップグレードを控えてください（画面3）。

画面3　Windows 11 バージョン21H2以前で「RemoteAppとデスクトップ接続」を利用している場合は、バージョン22H2にアップグレードすると接続が応答なしになる（回避策あり）

　また、プロビジョニングパッケージによるデバイスのセットアップが期待通りに機能しない、管理者権限を必要とするアプリがプロビジョニングパッケージでインストールされないという問題もあります。

　前者の問題は2022年11月のオプションの更新プログラム「KB5020044」で修正済みとなっていますが、そのサポート情報（https://support.microsoft.com/help/5020044）や、その後（例えば、2023年1月のKB5022303《https://support.microsoft.com/help/KB5022303》）を見ると「現在調査中であり、今後のリリースで更新プログラムを提供する予定です」となっており、本当に解決されたのかどうか疑問が残ります。

　品質更新プログラムを起因とした問題としては、特定の条件下でドメイン参加がエラーで失敗するという問題が確認されています。これは問題ではなく、2022年10月のセキュリティ更新に含まれる形で実施された「ドメイン参加のセキュリティ強化」の影響であり、新しい仕様ともいえます（画面4）。詳しくは、以下のサポート情報を確認してください。

• KB5020276 - Netjoin：ドメイン参加の強化の変更（Microsoft サポート）

画面4　2022年10月に実施された「ドメイン参加のセキュリティ強化」の影響で、以前はできていた特定の条件下でのドメイン参加がエラーになるようになった

　Active Directoryドメインに関しては、2023年4月11日と11月14日に、証明書ベースの認証に関するセキュリティ強化の実施が予定されています。

• KB5014754：Windowsドメインコントローラーでの証明書ベースの認証の変更（Microsoft サポート）

　機能更新プログラムや品質更新プログラムを起因とした問題の影響を避けるには、リリース直後にはロールアウトせず、既知の問題を確認し、自社への影響を調べ、影響がある場合は回避策を確認してからロールアウトすべきです。

　それには、「Windows Server Update Services（WSUS）」による更新プログラムの承認制御や、Windows Updateからの更新プログラムの受け取りの「遅延設定ポリシー」が利用できます。

　遅延設定ポリシーは、以前は「Windows Update for Businessポリシー」と呼ばれていましたが、2021年3月に提供が始まったクラウドベースの新サービス「Windows Update for Business Deployment Service」と混乱を避けるためでしょう。

　Windows 10までは「管理用テンプレート\Windows Update\Windows Update for Business」にあった遅延設定ポリシーは、Windows 11では「管理用テンプレート\Windows Update\Windows Updateから提供される更新プログラムの管理」に変更されました（画面5）。

• Windows Update for Businessとは異なる新しい「WUfB展開サービス」でIT管理者はもっと楽になる？（企業ユーザーに贈るWindows 10への乗り換え案内 第134回）

画面5　Windows Updateから更新プログラムを受け取る場合の遅延設定ポリシー

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP 2008 to 2023（Cloud and Datacenter Management）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker＆Windowsコンテナーテクノロジ入門』（日経BP社）、『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。