次の方法で共有

Windows Server 2019 の新機能

  • [アーティクル]

この記事では、Windows Server 2019 の新機能の一部について説明します。 Windows Server 2019 は Windows Server 2016 の強力な基盤の上に構築されています。また、次の 4 つの主要テーマに沿って多数の技術革新が組み込まれています: ハイブリッド クラウド、セキュリティ、アプリケーション プラットフォーム、およびハイパー コンバージド インフラストラクチャ (HCI)。

全般

Windows Admin Center

Windows Admin Center は、サーバー、クラスター、ハイパーコンバージド インフラストラクチャ、Windows 10 PC を管理するための、ローカルに展開されるブラウザー ベースのアプリです。 Windows 以外の追加費用は必要なく、運用環境で使用できます。

Windows Admin Center は、Windows Server 2019、Windows 10、以前のバージョンの Windows と Windows Server にインストールすることができます。これを使うと、Windows Server 2008 R2 以降を実行しているサーバーとクラスターを管理することができます。

詳細については、Windows Admin Center に関するページを参照してください。

デスクトップ エクスペリエンス

Windows Server 2019 は長期サービス チャネル (LTSC) リリースであるため、デスクトップ エクスペリエンスが含まれています。 半期チャネル (SAC) リリースには、設計によるデスクトップ エクスペリエンスは含まれません。厳密には、Server Core と Nano Server コンテナー イメージのリリースです。 Windows Server 2016 の場合と同様、オペレーティング システムのセットアップ中には Server Core インストールまたはデスクトップ エクスペリエンス搭載サーバーのインストールを選択できます。

システム インサイト

システム インサイトは、ローカルの予測分析機能を Windows Server にネイティブに導入する、Windows Server 2019 で利用可能な新機能です。 これらの予測機能は、それぞれ機械学習モデルに支えられており、パフォーマンス カウンターやイベントなどの Windows Server システム データをローカルで分析するために使用できます。 システム インサイトを使うと、サーバーがどのように機能しているかを理解できます。また、Windows Server デプロイの問題を事後対応で管理することに関連する運用コストを削減できます。

ハイブリッド クラウド

サーバー コア アプリ互換性オンデマンド機能

Server Core アプリ互換性オンデマンド機能 (FOD) を使って、Windows Server のバイナリとコンポーネントのサブセットをデスクトップ エクスペリエンスに含めることで、アプリの互換性を大幅に高めることができます。 Server Core は、Windows Server デスクトップ エクスペリエンスのグラフィカル環境自体を追加しないことで、可能な限り無駄を省き、機能と互換性を高めています。

このオプションのオンデマンド機能は、独立した ISO で提供され、DISM を使用して Windows Server Core インストールとイメージのみに追加できます。

Server Core に追加された Windows 展開サービス (WDS) トランスポート サーバー ロール

トランスポート サーバーには、WDS のコア ネットワーク部分のみが含まれます。 Server Core とトランスポート サーバー ロールを使って、スタンドアロン サーバーからデータ (オペレーティング システム イメージを含む) を送信するマルチキャスト名前空間を作成できるようになりました。 また、クライアントが PXE ブートし、独自のカスタム セットアップ アプリケーションをダウンロードできるようにする PXE サーバーを用意する必要がある場合にも使用できます。

リモート デスクトップ サービスと Azure AD の統合

Azure AD と統合されたので、条件付きアクセス ポリシー、多要素認証、Azure AD を使用した他の SaaS アプリとの統合認証などを使用できます。 詳細については、RDS 展開と Azure AD Domain Services との統合に関するページをご覧ください。

ネットワーク

TCP Fast Open (TFO)、受信ウィンドウの自動調整、IPv6 など、コア ネットワーク スタックにいくつかの機能強化を加えました。 詳細については、コア ネットワーク スタック機能の機能強化に関する投稿を参照してください。

セキュリティ

Windows Defender Advanced Threat Protection (ATP)

ATP のディープ プラットフォーム センサーおよび対応アクションは、メモリとカーネル レベルの攻撃を検出したうえで、対応として悪意のあるファイルを抑制し、悪意のあるプロセスを終了します。

Windows Defender ATP Exploit Guard は、セキュリティ リスクと生産性の要件のバランスを取ることができる、新しい一連のホスト侵入防止機能です。 Windows Defender Exploit Guard は、さまざまな攻撃ベクトルに対してデバイスをロック ダウンし、マルウェアの攻撃でよく使われる動作をブロックするように設計されています。 コンポーネントは次のとおりです。

  • 攻撃面の減少 (ASR): ASR は一連のコントロールです。企業は、これを有効にして悪意のある疑わしいファイルをブロックすることで、マルウェアがマシンに侵入するのを防ぐことができます。 たとえば、Office ファイル、スクリプト、横移動、ランサムウェアの動作、メールベースの脅威などです。

  • ネットワーク保護では、Windows Defender SmartScreen によって、信頼されていないホスト/IP アドレスへの送信プロセスをデバイスでブロックすることにより、Web ベースの脅威からエンドポイントを保護します。

  • フォルダー アクセスの制御では、信頼されていないプロセスから保護されたフォルダーへのアクセスをブロックすることで、機密データをランサムウェアから保護します。

  • Exploit Protection は、脆弱性の悪用に対する軽減策のセット (EMET を置き換える機能) で、システムおよびアプリケーションの保護のために簡単に構成できます。

  • Windows Defender アプリケーション制御 はコード整合性 (CI) ポリシーとも呼ばれており、Windows Server 2016 でリリースされた機能です。 既定の CI ポリシーを含めることで、デプロイが容易になりました。 既定のポリシーでは、すべての Windows インボックス ファイルと Microsoft アプリケーション (SQL Server など) を許可し、CI をバイパスできる既知の実行可能ファイルをブロックしています。

ソフトウェア定義ネットワーク (SDN) によるセキュリティ

SDN のセキュリティでは、オンプレミスまたはクラウドのサービス プロバイダーとして、ワークロードの実行に対するお客様の信頼度を向上するための多数の機能が提供されています。

これらのセキュリティ強化機能は、Windows Server 2016 で導入された包括的な SDN プラットフォームに統合されています。

SDN の新機能の完全な一覧については、「Windows Server 2019 の SDN の新機能」を参照してください。

シールドされた仮想マシンの機能強化

  • ブランチ オフィスの機能強化

    新しいフォールバック HGS 機能とオフライン モード機能を利用することにより、ホスト ガーディアン サービスへの接続が断続的なコンピューターで、シールドされた仮想マシンを実行できるようになりました。 フォールバック HGS を使用すると、プライマリ HGS サーバーにアクセスできない場合に試すことができるように、Hyper-V の URL のセカンダリ セットを構成できます。

    HGS にアクセスできない場合でも、オフライン モードを使うと、シールドされた VM を引き続き起動できます。 VM が一度正常に起動し、ホストのセキュリティ構成が変更されていない限り、オフライン モードで VM を起動できます。

  • トラブルシューティングの機能強化

    VMConnect 拡張セッション モードと PowerShell ダイレクトのサポートが有効になり、シールドされた仮想マシンのトラブルシューティングも容易になりました。 これらのツールは、VM へのネットワーク接続が失われたため構成を更新してアクセスを復元する必要がある場合に役立ちます。

    これらの機能は構成する必要がなく、Windows Server Version 1803 以降を実行している Hyper-V ホストにシールドされた VM が配置されると、自動的に利用可能になります。

  • Linux のサポート

    OS が混在する環境を使用している場合、Windows Server 2019 では、シールドされた仮想マシンでの Ubuntu、Red Hat Enterprise Linux、および SUSE Linux Enterprise Server の実行がサポートされるようになりました。

HTTP/2 による高速かつ安全な Web

  • 接続の結合機能の強化により、正しく暗号化された中断のない閲覧エクスペリエンスを実現します。

  • 接続エラーの自動軽減と展開の容易さを目的として、HTTP/2 サーバー側暗号スイートのネゴシエーションがアップグレードされました。

  • 高いスループットを提供するために、既定の TCP 輻輳プロバイダーが Cubic に変更されました。

暗号化されたネットワーク

仮想ネットワークの暗号化では、[暗号化有効] のラベルが付いたサブネット内の仮想マシン間の仮想ネットワーク トラフィックが暗号化されます。 暗号化されたネットワークでは、仮想サブネット上のデータグラム トランスポート層セキュリティ (DTLS) も使用され、パケットが暗号化されます。 DTLS は、物理ネットワークにアクセスできるユーザーによる盗聴、改ざん、偽造からデータを保護します。

詳細については、「暗号化されたネットワーク」を参照してください。

ファイアウォールの監査

ファイアウォールの監査は、SDN ファイアウォール規則によって処理されたすべてのフローと、ログ記録が有効になっているアクセス制御リスト (ACL) を記録する SDN ファイアウォールの新機能です。

仮想ネットワーク ピアリング

仮想ネットワーク ピアリングを使用すると、2 つの仮想ネットワークをシームレスに接続できます。 ピアリングされた仮想ネットワークは、監視で 1 つのネットワークとして表示されます。

Egress測定

エグレス測定 では、送信データ転送の使用状況メーターが提供されます。 ネットワーク コントローラーでは、この機能を使用して、仮想ネットワークごとに SDN 内で使用されるすべての IP 範囲の許可リストを保持します。 これらのリストでは、一覧に記載されている IP 範囲に含まれていない宛先へのパケット ヘッダーは、送信データ転送として課金されると見なされます。

Storage

Windows Server 2019 でストレージに行った変更の一部を次に示します。 詳細については、「記憶域の新機能」を参照してください。

データ重複除去

  • データ重複除去が ReFS をサポートするようになりました: ReFS を有効にできる場所であればどこでもデータ重複除去を有効にできるようになりました。ReFS を使うと、ストレージ効率が最大で 95% 向上します。

  • 重複除去されたボリュームへの最適化されたイングレスまたはエグレスのための DataPort API: 開発者は、データ重複除去によって効率的にデータを保存する方法に関する知識を活用して、ボリューム、サーバー、クラスター間で効率的にデータを移動することができます。

File Server Resource Manager

ファイル サーバー リソース マネージャー サービスの起動時に、すべてのボリュームで変更ジャーナル (USN ジャーナルとも呼ばれます) を作成しないようにできるようになりました。 変更体験の作成を防ぐことで、各ボリューム上の領域を節約できますが、リアルタイムのファイル分類は無効になります。 詳細については、「ファイル サーバー リソース マネージャーの概要」を参照してください。

SMB

記憶域移行サービス

記憶域移行サービスでは、Windows Server の新しいバージョンにサーバーを簡単に移行できます。 このグラフィカル ツールは、サーバー上のデータのインベントリを作成し、データと構成を新しいサーバーに転送します。 記憶域移行サービスでは、古いサーバーの ID を新しいサーバーに移動することもできるため、ユーザーはプロファイルとアプリを再構成する必要がありません。 詳細については、「記憶域移行サービス」をご覧ください。

Windows Admin Center バージョン 1910 では、Azure 仮想マシンを展開する機能が追加されています。 この更新により、Azure VM の展開が記憶域移行サービスに統合されます。 詳細については、「Azure VM の移行」を参照してください。

また、KB5001384 がインストールされた Windows Server 2019 または Windows Server 2022 で記憶域移行サーバー オーケストレーターを実行すると、次の post-release-to-manufacturing (RTM) 機能にアクセスできます。

  • 新しいサーバーにローカル ユーザーとグループを移行する。
  • フェールオーバー クラスターからの記憶域の移行、フェールオーバー クラスターへの移行、スタンドアロン サーバーとフェールオーバークラスター間での移行を行う。
  • Samba を使用する Linux サーバーから記憶域を移行する。
  • Azure File Sync を使用して、移行された共有をより簡単に Azure に同期する。
  • Azure などの新しいネットワークに移行する。
  • NetApp 共通インターネット ファイル システム (CIFS) サーバーを NetApp Federated Authentication Service (FAS) 配列から Windows サーバーおよびクラスターに移行します。

記憶域スペース ダイレクト

記憶域スペース ダイレクトの新機能の一覧を次に示します。 詳細については、「記憶域スペース ダイレクトの新機能」を参照してください。 また、検証済みの記憶域スペース ダイレクト システムを取得する方法については、Azure Stack HCI に関するページを参照してください。

  • ReFS ボリュームの重複除去と圧縮
  • 永続メモリのネイティブ サポート
  • エッジの 2 ノード ハイパーコンバージド インフラストラクチャに対する入れ子の回復性
  • 監視として USB フラッシュ ドライブを使用した 2 つのサーバー クラスター
  • Windows Admin Center サポート
  • パフォーマンス履歴
  • クラスターごとに 4 PB まで拡張可能
  • ミラーリングによって高速化されたパリティで 2 倍の速度を実現
  • ドライブの待機時間に関する外れ値の検出
  • フォールト トレランスを向上するボリュームの割り当てを手動で区切る

記憶域レプリカ

記憶域レプリカの新機能は次のとおりです。 詳細については、「記憶域レプリカの新機能」を参照してください。

  • 記憶域レプリカは、Windows Server 2019 Standard Edition で利用可能になりました。
  • テスト フェールオーバーは、レプリケーションまたはバックアップ データを検証するために、宛先の記憶域のマウントを許可する新しい機能です。 詳細については、「記憶域レプリカについてよく寄せられる質問」をご覧ください。
  • 記憶域レプリカのログのパフォーマンスの向上
  • Windows Admin Center サポート

データ重複除去

Windows Server 2019 では、回復性のあるファイル システム (ReFS) がサポートされるようになりました。 ReFS を使用すると、ReFS ファイルシステムの重複除去と圧縮を使用して、同じボリュームに最大 10 倍のデータを格納できます。 可変サイズのチャンク ストアには、節約率を最大化できるオプションの圧縮機能が付属していますが、マルチスレッドの後処理アーキテクチャはパフォーマンスへの影響を最小限に抑えます。 ReFS では、最大 64 TB のボリュームがサポートされ、各ファイルの最初の 4 TB が重複除去されます。 詳細については、「 Windows Admin Center で重複除去と圧縮を有効にする方法 簡単なビデオ デモを参照してください。

フェールオーバー クラスタリング

Windows Server 2019 のフェールオーバー クラスタリングに次の機能を追加しました。

  • クラスター セットは、複数のクラスターをグループ化して、コンピューティング、ストレージ、ハイパーコンバージドの 3 種類の複数のフェールオーバー クラスターを疎結合でグループ化します。 このグループ化により、1 つのソフトウェア定義データセンター (SDDC) ソリューション内のサーバーの数が、クラスターの現在の制限を超えて増加します。 クラスター セットを使用すると、クラスター セット内のクラスター間でオンライン仮想マシンを移動できます。 詳細については、「 クラスター セットのデプロイを参照してください。

  • クラスターは既定で Azure 対応になりました。 Azure 対応クラスターは、Azure IaaS 仮想マシンで実行されているタイミングを自動的に検出し、その構成を最適化して最高レベルの可用性を実現します。 これらの最適化には、Azure の計画メンテナンス イベントのプロアクティブ フェールオーバーとログ記録が含まれます。 自動化された最適化により、クラスター名に分散ネットワーク名を使用してロード バランサーを構成する必要がなくなるため、デプロイが簡単になります。

  • クロスドメイン クラスター移行を使用すると、フェールオーバー クラスターを Active Directory ドメイン間で動的に移動できるため、ドメインの統合が簡略化され、ハードウェア パートナーはクラスターを作成して、後で顧客のドメインに参加できるようになります。

  • USB 監視機能を使用すると、クラスターのクォーラムを決定する際に、ネットワーク スイッチに接続されている USB ドライブを監視として使用できます。 この機能には、SMB2 準拠デバイスの拡張ファイル共有監視サポートが含まれます。

  • 仮想マシンのパフォーマンスを大幅に向上させるために、CSV キャッシュが既定で有効化されるようになりました。 MSDTC では、SQL Server など、記憶域スペース ダイレクトに MSDTC ワークロードをデプロイできるように、クラスター共有ボリュームがサポートされるようになりました。 ロジックが強化され、パーティション分割されたノードを検出して、自動修復でノードをクラスター メンバーシップに戻すことができるようになりました。 クラスター ネットワーク ルート検出と自動修復機能が強化されています。

  • クラスター対応更新 (CAU) が記憶域スペース ダイレクトに対応して統合され、データ再同期の検証と確認が各ノードで完了するようになりました。 クラスター対応更新は、必要な場合にのみインテリジェントに再起動するように更新を検査します。 この機能を使用すると、計画メンテナンスのためにクラスター内のすべてのサーバーを再起動できます。

  • 次のシナリオでファイル共有の証人を使用できるようになりました。

    • 離れた場所にあるためにインターネットにアクセスできない、またはインターネット アクセスが遅く、クラウド ミラーリング監視の使用が妨げられています。

    • ディスクのミラーリング監視用の共有ドライブが不足しています。 たとえば、共有ディスクを使用しない構成 (記憶域スペース ダイレクトハイパーコンバージド構成、SQL Server Always On 可用性グループ (AG)、Exchange Database 可用性グループ (DAG) など)。

    • DMZ の背後にあるクラスターが原因でドメイン コントローラー接続が不足しています。

    • Active Directory クラスター名オブジェクト (CNO) がないワークグループまたはクロスドメイン クラスター。 Windows Server では、DFS 名前空間共有を場所として使用することもブロックされるようになりました。 ファイル共有監視を DFS 共有に追加すると、クラスターの安定性の問題が発生し、この構成がサポートされなくなることがあります。 共有が DFS 名前空間を使用しているかどうかを検出するロジックを追加しました。 DFS 名前空間が検出された場合、フェールオーバー クラスター マネージャーはミラーリング監視の作成をブロックし、サポートされていないことを通知するエラー メッセージを表示します。

  • クラスター共有ボリュームと記憶域スペース ダイレクトのサーバー メッセージ ブロック (SMB) を介したクラスター内通信のセキュリティを強化するクラスター強化機能が実装されています。 この機能では、証明書を利用して、可能な限り最も安全なプラットフォームを提供します。 これにより、フェールオーバー クラスターを NTLM に依存せずに動作できるようになり、セキュリティ ベースラインを確立できるようになります。

  • フェールオーバー クラスターでは、NTLM 認証が使用されなくなりました。 代わりに、Windows Server 2019 クラスターでは Kerberos と証明書ベースの認証のみが使用されるようになりました。 ユーザーは、このセキュリティ強化を利用するために変更を加えたり、何かをデプロイしたりする必要はありません。 この変更により、NTLM が無効になっている環境にフェールオーバー クラスターをデプロイすることもできます。

アプリケーション プラットフォーム

Windows 上の Linux コンテナー

同じコンテナー ホストで同じ Docker デーモンを使用して、Windows および Linux ベースのコンテナーを実行できるようになりました。 アプリケーション開発者に柔軟性を提供して、異種コンテナーのホスト環境を持つことができるようになりました。

Kubernetes の組み込みサポート

Windows Server 2019 では、Windows で Kubernetes をサポートするために必要な半期チャネル リリースから、計算、ネットワーク、および記憶域への機能強化が続行されます。 詳細は、今後の Kubernetes リリースで公開されます。

  • Windows Server 2019 の Container Networking を使うと、Windows 上の Kubernetes の使いやすさが大幅に向上します。 プラットフォーム ネットワークの回復性とコンテナー ネットワーク プラグインのサポートを拡張しました。

  • Kubernetes に展開されたワークロードでは、ネットワーク セキュリティを使用して、埋め込みツールにより Linux と Windows の両方のサービスを保護できます。

コンテナーの機能強化

  • 統合された ID 機能強化

    Windows Server の以前のバージョンにあったいくつかの制限に対処し、コンテナー内の統合 Windows 認証の容易さと信頼性が向上しました。

  • アプリケーション互換性の向上

    Windows ベースのアプリケーションのコンテナー化が簡単になりました。既存の windowsservercore イメージに対するアプリの互換性が向上しました。 その他の API 依存関係があるアプリケーション用に、windows という 3 つ目の基本イメージが用意されました。

  • サイズの縮小とパフォーマンスの向上

    基本コンテナー イメージのダウンロード サイズ、ディスク上のサイズ、起動時間が向上し、コンテナー ワークフローが高速化しました。

  • Windows Admin Center を使用した管理エクスペリエンス (プレビュー)

    Windows Admin Center の新しい拡張機能により、これまでより簡単にコンピューターで実行しているコンテナーを表示し、個々のコンテナーを管理できるようになりました。 Windows Admin Center パブリック フィードで "Containers" 拡張機能を探してください。

コンピューティングの機能強化

  • VM スタート順序指定: VM スタート順序指定も、OS とアプリケーションの対応により機能が向上しており、次の VM を起動する前に VM が起動したと見なされるときのトリガーが強化されました。

  • VM の記憶域クラス メモリのサポートにより、NTFS フォーマットの直接アクセス ボリュームを、不揮発性 DIMM 上に作成し、Hyper-V VM に公開できるようになりました。 Hyper-V VM が、ストレージクラス メモリ デバイスの低待機時間パフォーマンスの恩恵を受けられるようになりました。

  • Hyper-V VM の永続メモリ サポート: 仮想マシンで永続メモリ (ストレージ クラス メモリとも呼ばれる) の高スループットと低待機時間を利用するために、VM に直接投影できるようになりました。 永続メモリにより、データベース トランザクションの待機時間を大幅に短縮し、低待機時間メモリ内データベースの障害時に復旧までの時間を短縮できます。

  • コンテナー記憶域 - 永続データ ボリューム: アプリケーション コンテナーからボリュームに永続的にアクセスできるようになりました。 詳細については、クラスター共有ボリューム (CSV)、記憶域スペース ダイレクト (S2D)、SMB グローバル マッピングによるコンテナー記憶域のサポートに関するブログの記事をご覧ください。

  • 仮想マシン構成ファイル形式 (更新): 構成バージョンが 8.2 以降の仮想マシン用に VM ゲスト状態ファイル (.vmgs) が追加されました。 VM ゲスト状態ファイルには、これまで VM ランタイム状態ファイルの一部であったデバイス状態情報が含まれています。

暗号化されたネットワーク

暗号化されたネットワーク - 仮想ネットワークの暗号化を使用すると、"暗号化有効" とマークされているサブネット内で相互に通信する仮想マシン間で、仮想ネットワーク トラフィックの暗号化が有効になります。 また、この機能は、仮想サブネットのデータグラム トランスポート層セキュリティ (DTLS) を利用して、パケットを暗号化します。 DTLS は、物理ネットワークへのアクセスを持つユーザーによる盗聴、改ざん、偽造に対する保護を提供します。

仮想ワークロードに関するネットワーク パフォーマンスの向上

仮想ワークロードに関するネットワーク パフォーマンスの改善により、仮想マシンへのネットワーク スループットが最大限に向上します。ホストの継続的な調整や過度のプロビジョニングは必要ありません。 パフォーマンスが向上したことで、利用可能なホストの密度を高めながら、運用コストとメンテナンス コストを削減できます。 これらの新機能の名前は次のとおりです。

  • 動的仮想マシン マルチキュー (d.VMMQ: Dynamic Virtual Machine Multi-Queue)

  • vSwitch の Receive Segment Coalescing

Low Extra Delay Background Transport

Low Extra Delay Background Transport (LEDBAT) は、ユーザーとアプリケーションに帯域を自動的に割り当てるように設計された、待機時間を最適化するネットワーク輻輳制御プロバイダーです。 ネットワークが使われていない間、LEDBAT は使用できる帯域幅を使います。 このテクノロジは、お客様が直接使用するサービスや関連する帯域幅に影響を与えることなく、重要で大規模な更新プログラムを IT 環境全体に展開する場合に使用することを目的としています。

Windows タイム サービス

Windows タイム サービスには、UTC に厳密に準拠したうるう秒サポート、PTP (Precision Time Protocol) と呼ばれる新しい時刻プロトコル、エンド ツー エンドのトレーサビリティが含まれています。

ハイパフォーマンス SDN ゲートウェイ

Windows Server 2019 のハイ パフォーマンス SDN ゲートウェイにより、IPsec および GRE 接続のパフォーマンスが大幅に向上し、従来よりずっと低い CPU 使用率での超高性能スループットを提供しています。

SDN の新しい展開 UI と Windows Admin Center 拡張機能

Windows Server 2019 では、新しい展開 UI と Windows Admin Center 拡張機能により、だれもが SDN の機能を活用して、簡単に展開および管理できるようになりました。

Windows Subsystem for Linux (WSL)

WSL によって、サーバーの管理者は Windows Server の Linux から既存のツールとスクリプトを使用することができます。 コマンド ラインに関するブログで紹介された、バックグラウンド タスク、DriveFS、WSLPath などの多くの機能強化は、Windows Server の一部として含まれるようになりました。

Active Directory フェデレーション サービス (AD FS)

Windows Server 2019 の Active Directory フェデレーション サービス (AD FS) (AD FS) には、次の変更が含まれています。

保護されたサインイン

AD FS での保護されたサインインに、次の更新プログラムが含まれるようになりました。

  • ユーザーは、パスワードを公開することなく、第 1 の要素としてサード パーティの認証製品を使用できるようになりました。 外部認証プロバイダーが 2 つの要素を証明できる場合は、多要素認証 (MFA) を使用できます。

  • パスワード以外のオプションを最初の要素として使用した後、ユーザーはパスワードを追加要素として使用できるようになりました。 このインボックス サポートにより、GitHub アダプターのダウンロードが必要な AD FS 2016 の全体的なエクスペリエンスが向上します。

  • ユーザーは、事前認証段階で特定の種類の要求をブロックするために、独自のプラグイン リスク評価モジュールを構築できるようになりました。 この機能により、ID 保護などのクラウド インテリジェンスを簡単に使用して、危険なユーザーやトランザクションをブロックできます。 詳細については、「AD FS 2019 のリスク評価モデルを使用してプラグインをビルドする」を参照してください。

  • 次の機能を追加することで、エクストラネット スマート ロックアウト (ESL) クイック修正エンジニアリング (QFE) を改善します。

    • 従来のエクストラネット ロックアウト機能によって保護されている状態で監査モードを使用できるようになりました。

    • ユーザーは、使い慣れた場所に独立したロックアウトしきい値を使用できるようになりました。 この機能を使用すると、共通のサービス アカウント内でアプリの複数のインスタンスを実行して、中断を最小限に抑えてパスワードをロールオーバーできます。

その他のセキュリティの強化

AD FS 2019 には、次のセキュリティ強化が含まれています。

  • SmartCard サインインを使用したリモート PowerShell を使用すると、ユーザーは PowerShell コマンドを実行して SmartCard を使用して AD FS にリモート接続できます。 ユーザーは、このメソッドを使用して、マルチノード コマンドレットを含むすべての PowerShell 関数を管理することもできます。

  • HTTP ヘッダーのカスタマイズにより、ユーザーは AD FS 応答中に作成された HTTP ヘッダーをカスタマイズできます。 ヘッダーのカスタマイズには、次の種類のヘッダーが含まれます。

    • HSTS。準拠しているブラウザーの HTTPS エンドポイントでのみ AD FS エンドポイントを使用して適用できます。

    • X フレーム オプション。AD FS 管理者は、特定の証明書利用者が AD FS 対話型サインイン ページ用の iFrame を埋め込むことができます。 このヘッダーは HTTPS ホストでのみ使用してください。

    • 将来のヘッダー。 複数の将来のヘッダーを構成することもできます。

    詳細については、「AD FS 2019 で HTTP セキュリティ応答ヘッダーをカスタマイズする」を参照してください。

認証とポリシーの機能

AD FS 2019 には、次の認証とポリシーの機能が含まれています。

  • ユーザーは、追加認証のためにデプロイによって呼び出される認証プロバイダーを指定する規則を作成できるようになりました。 この機能は、認証プロバイダー間の移行と、追加の認証プロバイダーに対する特別な要件を持つ特定のアプリのセキュリティ保護に役立ちます。

  • TLS を必要とするアプリケーションのみが使用できるように、トランスポート層セキュリティ (TLS) ベースのデバイス認証に関するオプションの制限。 ユーザーは、デバイス ベースの条件付きアクセスを実行しているアプリケーションのみが使用できるように、クライアント TLS ベースのデバイス認証を制限できます。 この機能により、TLS ベースのデバイス認証を必要としないアプリケーションに対するデバイス認証の不要なプロンプトが表示されないようにします。

  • AD FS では、第 2 要素資格情報の鮮度に基づく第 2 要素資格情報の再実行がサポートされるようになりました。 この機能を使用すると、ユーザーは最初のトランザクションに対して TFA のみを要求し、その後、定期的に 2 番目の要素のみを必要とすることができます。 この機能は、AD FS で構成可能な設定ではないため、要求に追加のパラメーターを指定できるアプリケーションでのみ使用できます。 Microsoft Entra ID は、Microsoft Entra ID フェデレーション ドメイン信頼設定で Remember my MFA for X Days 設定を supportsMFATrue に設定するように構成した場合に、このパラメーターをサポートします。

シングル サインオンの機能強化

AD FS 2019 には、次のシングル サインオン (SSO) の機能強化も含まれています。

  • AD FS では、 の UX フローと ユーザーにスムーズなサインイン エクスペリエンスを提供する中央のユーザー インターフェイス (UI) が使用されるようになりました。 この変更は、Azure AD で提供される機能を反映しています。 新しい UI に合わせて、組織のロゴと背景画像を更新することが必要な場合があります。

  • Windows 10 デバイスでプライマリ更新トークン (PRT) 認証を使用するときに MFA 状態が保持されない問題を修正しました。 ユーザーは、第 2 要素資格情報の入力を求められる頻度が低くなります。 クライアント TLS と PRT 認証でデバイス認証が成功した場合、エクスペリエンスは一貫している必要があります。

最新の基幹業務アプリを構築するためのサポート

AD FS 2019 には、最新の基幹業務 (LOB) アプリの構築をサポートするための次の機能が含まれています。

  • AD FS には、豊富なサインイン エクスペリエンスをサポートするために、UI サーフェス領域のないデバイスを使用してサインインするための OAuth デバイス フロー プロファイルのサポートが含まれるようになりました。 この機能を使用すると、ユーザーは別のデバイスでのサインインを完了できます。 Azure Stack の Azure コマンド ライン インターフェイス (CLI) エクスペリエンスにはこの機能が必要であり、他のシナリオでも使用できます。

  • 現在の OAUth 仕様に沿った AD FS を使用するために、 Resource パラメーターは不要です。 クライアントは、要求されたアクセス許可を持つスコープ パラメーター long として証明書利用者信頼識別子のみを指定する必要があります。

  • AD FS 応答では、クロスオリジン リソース共有 (CORS) ヘッダーを使用できます。 これらの新しい見出しを使用すると、ユーザーは、クライアント側の JavaScript ライブラリが AD FS の Open ID Connect (OIDC) 検出ドキュメントから署名キーのクエリを実行して、 id_token 署名を検証できるシングルページ アプリケーションを構築できます。

  • AD FS には、OAuth 内のセキュリティで保護された認証コード フロー用の Proof Key for Code Exchange (PKCE) サポートが含まれています。 この追加のセキュリティ層により、悪意のあるアクターがコードをハイジャックして別のクライアントから再生することを防ぐことができます。

  • AD FS が x5t 要求のみを送信する原因となった軽微な問題を修正しました。 AD FS では、署名検証のキー ID ヒントを示す子要求も送信されるようになりました。

サポート性の向上

管理者は、ユーザーがエラー レポートを送信し、ログをトラブルシューティング用の ZIP ファイルとしてデバッグできるように AD FS を構成できるようになりました。 管理者は、簡易メール転送プロトコル (SMTP) 接続を構成して、ZIP ファイルをトリアージメール アカウントに自動的に送信することもできます。 別の設定では、管理者は、そのメールに基づいてサポート システムのチケットを自動的に作成できます。

デプロイの更新

AD FS 2019 には、次のデプロイの更新が追加されました。

SAML の更新

AD FS 2019 には、次のセキュリティ アサーション マークアップ言語 (SAML) 更新プログラムが含まれています。

  • 次の領域で、InCommon などの集計フェデレーション サポートの問題を修正しました。

    • 集計されたフェデレーション メタデータ ドキュメント内の多くのエンティティのスケーリングが改善されました。 以前は、これらのエンティティのスケーリングは失敗し、ADMIN0017エラー メッセージが返されます。

    • Get-AdfsRelyingPartyTrustsGroup PowerShell コマンドレットを実行して、ScopeGroupID パラメーターを使用してクエリを実行できるようになりました。

    • 重複する entityID 値のエラー条件の処理が改善されました。

スコープ パラメーターの Azure AD スタイル リソース仕様

以前は、AD FS では、認証要求の別のパラメーターに目的のリソースとスコープが必要でした。 たとえば、次の OAuth 要求の例にはスコープ パラメーターが含まれています。

https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login

Windows Server 2019 の AD FS では、リソース値をスコープ パラメーターに埋め込んで渡すことができます。 この変更は、Microsoft Entra ID に対する認証と一致します。

スコープ パラメーターは、各エンティティをリソースまたはスコープとして構造化するスペース区切りのリストとして編成できるようになりました。

Note

認証要求で指定できるリソースは 1 つだけです。 要求に複数のリソースを含める場合、AD FS はエラーを返し、認証は成功しません。