Windows 10の新しいバージョン：システム管理者の見解

本日、Windows 10 Creators Updateが正式にリリースされたことをご存知でしょう。 この記事では、Windows 10（1703）の次の更新でシステム管理者向けの新機能について説明します。

構成

Windows構成デザイナー

このコンポーネントは、以前はWindows Imaging and Configuration Designer （ICD）と呼ばれ、トレーニングパッケージの作成に使用されていました。 このバージョンでは、彼は新しい名前Windows Configuration Designerを受け取りました。 以前のバージョンのWindowsでは、Windows ADK展開および評価ツールキットの一部としてインストールできます。



Windows 10バージョン1703のWindows Designer Designerでトレーニングパッケージの作成を簡素化するために、いくつかの新しいウィザードがあります。







ウィザードの両方のバージョン（デスクトップおよびキオスク用）には、 CleanPC構成サービスプロバイダーを使用して、プリインストールされたソフトウェアを削除するオプションがあります。

Azure Active Directoryへの一括接続

Windows Configuration Designerの新しいウィザードを使用すると、デバイスをAzure Active Directoryに接続するためのプロビジョニングパッケージを作成できます。 デスクトップ、モバイルデバイス、キオスク、およびSurface Hubデバイスのウィザードを使用して、Azure Active Directoryへの一括接続を利用できます。

Windowsスポットライト

新しいグループポリシーとモバイルデバイス管理（MDM）オプションが追加されました。

• アクションセンターでWindowsスポットライトをオフにします。
• カスタマイズされたエクスペリエンスに診断データを使用しないでください。
• Windows Welcomeエクスペリエンスをオフにします。

Windows Spotlightの詳細をご覧ください。

スタートメニュー、スタート画面、タスクバー構造

エンタープライズは、Windows 10エディションのEnterprise and Educationを実行しているコンピューターのスタートメニュー、ホーム画面、タスクバーの外観を変更できることをご存じでしょう。 バージョン1703では、これらの変更はProエディションにも適用できます。



以前は、カスタムタスクバーはグループポリシーまたはトレーニングパッケージを使用してのみ展開できました。 新しいバージョンでは、モバイルデバイス管理（MDM）ツールにカスタムパネルのサポートが登場しました 。



[スタート]メニューとスタート画面とタスクバーの構造を管理するための新しい MDMポリシー設定が表示されました。 MDMポリシー設定：

• ユーザータイルのパラメーター： Start / HideUserTile 、 Start / HideSwitchAccount 、 Start / HideSignOut 、 Start / HideLockおよびStart / HideChangeAccountSettings ;
• Power要素を制御するためのパラメーター： Start / HidePowerButton 、 Start / HideHibernate 、 Start / HideRestart 、 Start / HideShutDownおよびStart / HideSleep ;
• 追加の新しいオプション： Start / HideFrequentlyUsedApps 、 Start / HideRecentlyAddedApps 、AllowPinnedFolder、ImportEdgeAssets、 Start / HideRecentJumplists 、 Start / NoPinningToTaskbar 、 Settings / PageVisibilityListおよびStart / HideAppsList 。

展開

MBR2GPT.EXEユーティリティ

MBR2GPT.EXEは新しいコマンドラインツールです。 ディスク上のデータを変更または削除することなく、MBRディスク（マスターブートレコード）をGPT（GUIDパーティションテーブル）セクションに変換します。 このユーティリティは、Windowsプレインストール環境（Windows PE）のコマンドラインでの使用を目的としていますが、完全に機能するWindows 10オペレーティングシステムでも使用できます。



GPTパーティション形式はより新しく、より大きなパーティションを作成できます。 また、データの信頼性が向上し、追加のタイプのパーティションがサポートされ、ダウンロードとシャットダウンの速度が向上します。 システムディスクをMBRからGPTに変換した後、UEFIモードで起動するようにコンピューターを再構成する必要があるため、システムディスクを変換する前に、デバイスがUEFIをサポートしていることを確認する必要があります。



Windows 10でUEFIモードで読み込んだ後、次のセキュリティ機能が利用可能になります：セーフブート、ELAMドライバーの早期起動（Early Launch Anti-malware）、信頼性の高いWindowsブート、測定ブート、Device Guard、Credential Guard、BitLockerネットワークロック解除

安全性

Windows Defender Advanced Threat Protection

Windows 10バージョン1703向けWindows Defender Advanced Threat Protection（ATP）の新機能。ところで、最近、HabréでATP機能の説明を共有したことを思い出します。



攻撃検知



攻撃検出の主な改善点は次のとおりです。

• 脅威分析APIを使用してカスタムアラートを作成する機能。
• メモリおよびカーネルレベルでの攻撃の検出をサポートするための、メモリおよびカーネルのOSセンサーの改善。
• 恐mail者やその他の複雑な攻撃を検出するための更新メカニズム。
• レトロスペクティブ検出機能。これにより、以前は気付かなかった攻撃を検出するために、最大6か月の深さでアーカイブデータの攻撃を検出するための新しいルールを適用できます。

攻撃調査



エンタープライズクライアントは、Windows Defender ATPポータルに攻撃およびDevice Guardユニットの検出に関するWindows Defenderアンチウイルス情報が表示されるため、Windowsのすべてのセキュリティ機能を利用できるようになりました。



調査の全体像を提供するために、他の機能が追加されました。 攻撃調査のその他の改善点は次のとおりです。

• ユーザーアカウントの調査 -アラートが最も多いユーザーアカウントを識別し、資格情報の侵害の可能性があるケースを調査する機能。
• アラートプロセスツリー -複数の検出イベントと関連イベントを1つのビューに集約して、解決時間を短縮します。
• APIレストを使用してアラートを受信する-REST APIを使用して、Windows Defender ATPからアラートを受信します。

攻撃応答



攻撃が検出された場合、対応チームは緊急の対策を講じてセキュリティ侵害を隔離できます。

• ホストで応答対策を講じる -マシンを分離するか、分析パッケージを収集することにより、検出された攻撃に迅速に対応します。
• ファイルに対して報復措置を講じる -検出された攻撃に迅速に対応するには、ファイルを停止し、検疫またはブロックに移動します。

その他の機能



センサーの正常性状態の確認 -センサーデータを提供し、Windows Defender ATPサービスと対話し、既知の問題を排除するエンドポイントの機能を確認します。

Windows Defenderアンチウイルス

Windows Defenderに新しい名前が付けられました-Windows Defender Antivirus。 その新機能：

• 最初の外観でブロック機能を構成する方法に関する情報を更新します（一目でブロック）。
• クラウド保護のレベルを決定する能力;
• Windows Defender セキュリティセンターの Windows Defenderアンチウイルス保護。

動作のリアルタイム監視とリアルタイムのリアルタイム保護により、恐mailに対する保護の可能性も拡大しました。

グループポリシーのセキュリティ設定

セキュリティパラメータ対話型ログオン：セッションがロックされているときにユーザー情報を表示する（対話型ログオン：セッションがロックされているときにユーザー情報を表示する）が更新され、 [設定]> [アカウント]> [ログインパラメーター]セクションのプライバシーパラメーターと連動するようになりました。



新しいセキュリティポリシー設定が表示されました - 対話型ログオン：サインイン時にユーザー名を表示しません 。 このパラメーターは、ログイン中にユーザー名を表示するかどうかを決定し、 [設定]> [アカウント]> [ログイン設定]セクションのプライバシー設定と連動します。 このパラメーターは、 その他のユーザータイルにのみ影響します 。

Windows Hello for Business

Microsoft Intuneが管理する企業データやアプリケーションを削除せずに、忘れたPINをリセットできるようになりました。 管理者は、IntuneポータルからPINを実行しているデバイスのリモートPINリセットを開始できます。



デスクトップPCでは、ユーザーは[設定]> [アカウント]> [ログイン設定]で忘れたPINをリセットできます。

更新する

ビジネス向けWindows Update

更新を一時停止する機能が変更されました。現在、インストールの開始日を指定する必要があります。 対応するポリシーが構成されていない場合、ユーザーはWindows設定→更新とセキュリティ→Windows Update→詳細オプションの設定で更新を延期することができます 。 また、修正を延期できる時間を最大35日間延長しました。



Windows Update for Businessで管理されているデバイスの更新は、最大365日間遅延できるようになりました（以前は、更新は180日間しか遅延できませんでした）。 ユーザーは、パラメータでブランチの準備レベルと更新を延期する時間を指定できます。

Windows Insider for Business

Azure Active Directory（AAD）企業資格情報を使用して、Windows 10 Insider Previewの予備バージョンのビルドをダウンロードする機能を追加しました。

更新配信の最適化

新しいバージョンの変更により、この製品のバージョン1702以降のSystem Center Configuration Managerでの高速更新 、およびこの機能を実装するサードパーティ製品の更新と管理を完全にサポートできるようになりました。 彼女は、Windows Update、Windows Update for Business、およびWSUSの高速更新の既存のサポートを補完しました。



ご注意 これらの変更は、2017年4月の更新プログラムをインストールした後、Windows 10バージョン1607で利用できます。



更新配信の最適化ポリシーにより、追加の制限を設定できるようになり、さまざまな更新シナリオをより適切に管理できるようになりました。



新しいポリシーは次のとおりです。

• デバイスがバッテリ電源で実行されている場合、特定の充電レベルでのロードをサポート。
• VPN経由でデバイスを接続するときのピアツーピアキャッシュのサポート。
• ピアツーピアキャッシングに使用できるメモリの定義（包括的）。
• ピアツーピアキャッシングに使用できる最小ディスク容量。
• ピアツーピアキャッシングコンテンツの最小ファイルサイズ。

以前にインストールしたアプリケーションは自動的に更新されなくなりました

Windows 10バージョン1703にアップグレードする場合、ユーザーが以前にアンインストールしたWindowsに含まれているアプリケーションは、アップグレードプロセスの一部として自動的にインストールされません。

運営管理

新しいMDM機能

新しいバージョンには、モバイルデバイス管理ツール（MDM）またはトレーニングパッケージを使用してWindows 10を管理するための多くの新しい構成サービスプロバイダー（CSP）が含まれています。 とりわけ、これらのCSPを使用すると、MDMを介して何百もの最も有用なグループポリシーを管理できます。



新しいCSPプロバイダー：

• DynamicManagement CSPを使用すると、場所、ネットワーク接続、および時間に応じてデバイスを異なる方法で管理できます。 たとえば、管理対象デバイスでは、職場にいるときにカメラをオフにしたり、出国時のモバイル通信をサポートして、高いローミングコストを防止したりできます。 またはワイヤレスネットワーク-デバイスが組織またはキャンパスの建物内にない場合。 構成後、これらのパラメーターは、場所またはネットワークの変更により管理サーバーとの通信がない場合でも適用できます。 動的管理CSPを使用すると、このような変更が発生する条件を構成することに加えて、デバイス管理の順序を変更するポリシーを構成できます。
• CleanPC CSPを使用すると、ユーザーデータを維持しながら、プリインストールアプリケーションおよびユーザーインストールアプリケーションを削除できます。
• BitLocker CSPは 、デスクトップコンピューターおよびデバイスの暗号化を管理するために使用されます。 たとえば、オペレーティングシステムを搭載したデバイスまたはディスクのメモリカードでデータ暗号化を提供できます。
• NetworkProxy CSPは、イーサネットまたはWi-Fi経由で接続するようにプロキシサーバーを構成するために使用されます。
• Office CSPでは、Office展開ツールを使用してデバイスにMicrosoft Officeクライアントをインストールできます。
• EnterpriseAppVManagement CSPは、Windows 10（EnterpriseおよびEducationのエディション）を実行するデスクトップコンピューター上の仮想アプリケーションを管理するために使用され、仮想化されたApp-VアプリケーションをMDMによって制御されている場合でもコンピューターに転送できます。

MDM移行分析ツール （MMAT）を使用して、ユーザーまたはコンピューターに構成されているグループポリシーを決定し、これらの設定をサポートされているMDMポリシーの組み込みリストと相互リンクします。 このツールを使用すると、すべてのグループポリシー設定とMDMでの同等の設定のサポートレベルを示すXMLおよびHTML形式のレポートを受信できます。

Windows 10でモバイルアプリを管理する

Windows用のモバイルアプリケーション管理（MAM）バージョンは、個人データの企業データおよびセキュリティへのアクセスを管理するための軽量なソリューションです。 Windows 10バージョン1703以降、MAMサポートはWIP（Windows Information Protection）の上にあるWindowsに組み込まれています。

MDM診断

現代の管理の要件を満たす診断ツールの改善に関する作業が継続されました。 モバイルデバイスの自動ジャーナリングの出現により、WindowsはMDMログにエラーを自動的に記録できるようになり、メモリが少ないデバイスに常にログオンする必要がなくなりました。 また、Microsoft Message Analyzerが導入されました。これは、サポートスタッフが問題の原因を迅速に特定し、時間と費用を節約するのに役立つ追加ツールです。

Windows 10のモバイルデバイス

ロックダウンデザイナー

Lockdown Designerアプリケーションは、Windows 10を実行しているデバイスに適用するXMLロックファイルを構成および作成するのに役立ちます。また、スタートメニューおよびスタート画面でタイル構成を定義できるリモートモデリング機能も含まれています。 Lockdown Designerの使用は、 XMLロックファイルを手動で作成するよりも簡単です 。

その他の改善

次の改善点も登場しました。

• SDカード暗号化
• Azure Active DirectoryアカウントのPINのリモートリセット
• SMSテキストメッセージのアーカイブ。
• Wi-Fiダイレクト管理。
• 連続表示コントロール。
• アクティビティがない場合のモニター画面または電話の個々のシャットダウン。
• 画面タイムアウトの個々の定義。
• 連続ドッキングソリューション
• イーサネットポートプロパティの定義。
• イーサネットポートのプロキシプロパティを定義します。

ブログだけでなく有用な資料

• Windows Defender Advanced Threat Protectionサービス
• 初心者向けのログの収集と分析
• Windows Server 2016およびHyper-V統合サービス
• 平易な言語のAzure [ベビーベッド]
• Microsoftの無料イベント： ハイブリッドインフラストラクチャ 、 DevConスクール：モダンアーキテクチャ 、 Azure Stack TP3技術概要

UPD：Windows 10 Creators Updateの更新については、会社のブログにあります。