Windows 10 バージョン1903リリースとWDAG最新情報:企業ユーザーに贈るWindows 10への乗り換え案内(51)
Windows 10の最新バージョン「Windows 10 May 2019 Update」が一般および企業向けに正式リリースされ、ロールアウトが開始されました。今回は、企業内で展開する際の注意点と、本連載でも何度か取り上げた「Windows Defender Application Guard(WDAG)」の新機能を紹介します。
Windows 10の新バージョン、企業でのロールアウトは慎重に
2019年5月22日(日本時間)に「Windows 10 May 2019 Update(バージョン1903、ビルド18362)」が一般向けにリリースされ、バージョン1903の「機能更新プログラム」の段階的なロールアウトが開始されました。Windows 10 バージョン1809以前の「Windows Update for Business」の「半期チャネル(対象指定)」(SAC-T)に対しても同様です。
全てのPCですぐに利用可能になるわけではなく、今後、対象範囲が順次拡大されていきます。なお、機能更新プログラムやインストールメディアはビルド「18362.30」がベースになっており、アップグレード時またはアップグレード後に、最新ビルドに更新されます。リリース時点でのビルド番号は「18362.116」、2019年6月の定例更新後のビルド番号は「18362.175」です。
2019年6月18日(米国時間)からは、Home/Proエディションに対するサービス終了日(2019年11月12日)が近づくWindows 10 バージョン1803と、既にサービスが終了しているWindows 10バージョン 1709以前に対する機能更新プログラムの機械学習に基づいた自動配布が開始されました。
一般向けリリースと同じ日に、「Windows Server Update Services(WSUS)」に対してもWindows 10 バージョン1903の機能更新プログラムが提供されました。企業は自社の判断で機能更新プログラムを承認し、ロールアウトを開始できます(画面1)。
Windows 10 バージョン1903は、前回のWindows 10 October 2018 Update(バージョン1809、ビルド17763)のロールアウト失敗を受け、Windows Insiderプログラムの「Release Preview」リングでのテスト期間が長く設けられました。そのため、当初の予定(2019年4月)から1カ月遅らせてリリースとなりました。
しかしながら、リリースから数日で多数の既知の問題が報告され、影響を受けるPCには配布を停止するという措置がとられました。Windows 10のダウンロードサイトから手動でアップグレードを試みた場合でも、アップグレードがブロックされる場合があります(画面2)。
画面2 画面左から、準備ができているPC、準備ができていないPC、手動でアップグレードしようとしてブロックされたPC(USBメディアからアップグレードを開始した場合に、同様の互換性問題が報告される問題もあるようだ)
一方、WSUSによる機能更新プログラムは、一般ユーザーが「Windows Update」や「Windows 10更新アシスタント」を利用してアップグレードするのとは異なり、「承認」に基づいて配布されるため、自社で確認やテストを行うことが重要です。
既知の問題やその解決状態は、Windows 10リリース情報の新しい「ヘルスダッシュボード」で確認できます。企業では、限定した範囲内の標準的なクライアントPCで機能更新プログラムによるアップグレードをテストしてから、展開範囲を広げていくべきです。既知の問題がクライアントPCに影響するような場合は、リフレッシュされた機能更新プログラムがWSUSに提供されるのを待つことを検討すべきかもしれません。
- Windows 10, version 1903 and Windows Server, version 1903[英語](Microsoft Docs)
WDAGの新機能の紹介――Educationへの対応、Chrome/Firefox連携
Windows 10 バージョン1903の企業向けの新機能や変更点については、以下のMicrosoftの公式ドキュメントで確認できます。
- What's new in Windows 10, version 1903 IT Pro content[英語](Windows IT Pro Center)
- Features removed or planned for replacement starting with Windows 10, version 1903[英語](Windows IT Pro Center)
この中から、今回は本連載でも何度か取り上げてきた「Windows Defender Application Guard(WDAG)」の変更点と新機能を紹介します。
- Windows Defender Application Guardで実現するセキュアなブラウジング環境――Windows 10の新しいセキュリティ機能(その2)(本連載 第15回)
- Windows 10のキオスクモードとWDAGの導入がより簡単に、より柔軟に(本連載 第39回)
上記の「What's new in Windows 10」ドキュメントには書かれていませんが、Windows 10 バージョン1903からは、WDAGの「スタンドアロンモード」と「エンタープライズモード」がEducationエディションでも利用可能になりました。
WDAGはWindows 10 バージョン1709でEnterpriseエディションに実装され、Windows 10 バージョン1803からはスタンドアロンモードでの利用がProエディション(Pro Education、Pro for Workstationsを含む)でも利用可能になりました。実は、Windows 10 バージョン1809まで、EducationエディションではWDAGを利用することができませんでした。この件については、以下の連載記事で詳しく説明しています。
- Windows 10からの挑戦状、再び―これまでEducationエディションではWDAGが使えなかった(連載:山市良のうぃんどうず日記 第155回)
WDAGの新機能としては、WDAGを「Microsoft Edge」だけでなく、「Google Chrome」や「Mozilla Firefox」と連携して使用できるようになったことがあります。これは、Windows 10 バージョン1903だけというわけではなく、Windows 10 バージョン1803以降のWDAGでも利用可能な新機能になります。
この機能は、WDAGをセットアップしたWindows 10に「Windows Defender Application Guard Companion」アプリをインストールすることと、ChromeやFirefox向けの「Application Guard拡張機能」を追加することで利用可能になります。これらは、以下のサイトから入手できます。
- Windows Defender Application Guard Companion(Microsoft Store)
- Application Guard拡張機能(chromeウェブストア)
- Application Guard拡張機能(Firefox Add-ons)
Windows Defender Application Guard Companionは、WDAGを単独で開始できるランチャーアプリです。ChromeとFirefoxのApplication Guard拡張機能は、このアプリと連携してWDAGウィンドウを開きます(画面3、画面4)。
Application Guard拡張機能は、スタンドアロンモードとエンタープライズモードの両方に対応しています。ChromeまたはFirefoxの「Application Guard拡張機能」アイコンをクリックし、「新しいApplication Guardウィンドウ」をクリックします。右上にある「…」メニューから「新しいApplication Guardウィンドウ」をクリックして開始するMicrosoft Edgeのスタンドアロンモードとよく似ています。
エンタープライズモード(バージョン1903ではポリシーの名称が「管理モード」に変更されています)は、Enterpriseエディション(バージョン1803以降)およびEducationエディション(バージョン1903以降)で利用でき、事前に定義されたネットワークの分離ポリシーに従って、アクセス先のURL(ドメイン名)に応じて信頼されたサイトをChromeまたはFirefoxでそのまま開き、ニュートラルサイト(信頼できない可能性のあるサイト)をWDAGの隔離環境で開きます。
以下の画面5の例は、microsoft.comを信頼するサイト、bing.comをニュートラルサイトとしてエンタープライズモードを構成したものです。
WDAG最大の課題はPCのマシンスペック
WDAGは企業でセキュアなブラウジング環境を提供するのに有効な機能ですが、導入する上での最大の課題は要求されるPCのマシンスペックです。
- Windows Defender Application Guardのシステム要件(Windows IT Pro Center)
WDAGの最小ハードウェア要件は、仮想化ベースのセキュリティ(Virtualization Based Security:VBS)のための仮想化機能(Hyper-Vの要件と共通)に加え、4コアの64bitプロセッサ(論理プロセッサ)、8GBの物理メモリ、空きディスク容量5GB(SSDを推奨)であり、この最小システム要件を満たさない場合、WDAGの機能を追加することもできません。レジストリを編集して制限を緩和することも可能ですが、機能を評価できても、とても実用に耐えません。
Windows 10 バージョン1903からは、WDAGと同様にVBSの隔離環境を利用した新たなセキュリティ機能として、「Windowsサンドボックス」が搭載されました。こちらは、WDAGよりも低いスペックでも動作します。次回は、このWindowsサンドボックスを紹介します。
筆者紹介
山市 良(やまいち りょう)
岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(2018/7/1)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『ITプロフェッショナル向けWindowsトラブル解決 コマンド&テクニック集』(日経BP社)。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
さようならSAC-T! これまでの、これからのWindows 10の更新チャネルをざっくりと解説
2019年春にリリースされるWindows 10の新バージョンから、ブランチ準備レベル「半期チャネル(対象指定)」が廃止されることが発表されました。これにより、どのような影響があるでしょうか。Windows Update for Business(WUfB)を利用していない限り、何の影響もないでしょう。WUfBを利用しているなら、更新後に設定を確認しておきましょう。
次期Windows 10最新動向:リリース秒読みの「19H1」はこう変わる
間もなくリリースされるWindows 10の新しい機能アップデート「19H1」。それに実装される新機能をまとめてみた。また、同時に変更となるライフサイクルなどについても解説する。
複雑怪奇? Windows 10の大型更新とサポート期間を整理する
Windows 10では従来のWindows OSと異なり、年2回、大型アップデートの提供が行われるようになった。それに伴い、サポート期間もバージョンごとに設定されるなどの変更が行われており、かなり複雑なものとなっている。本稿では、アップデートの提供タイミングならびにそのサポート期間などを整理する。
Windows Update for Businessってどうなったの?
Windows 10の登場ですっかり変わってしまったWindows Update。IT管理者の多くが戸惑っているに違いありません。「Windows 10 バージョン1511 ビルド10586」に合わせ、「Windows Update for Business」が利用可能になりました。しかし、筆者を含む多くの人が想像していたのとは違い、SaaSタイプのサービスではありませんでした。
Windows 10の更新プログラム適用で地雷を踏まないためのWindows Update運用法
Windows Updateによるアップデートの適用は、場合によっては不具合を起こす可能性もある。アップデートによって不具合が発生しないことを確認してから適用するとよい。そのためのWindows Updateによる適用を延期する方法を紹介しよう。