Windows Server 2025 の新機能 (プレビュー)
重要
Windows Server 2025 はプレビュー段階です。 この情報はプレリリース製品に関連するものであり、リリース前に大幅に変更される可能性があります。 ここに記載された情報について、Microsoft は明示か黙示かを問わずいかなる保証をするものでもありません。
この記事では、セキュリティ、パフォーマンス、柔軟性を向上させる高度な機能を備える Windows Server 2025 の最新の開発について説明します。 より高速なストレージ オプションとハイブリッド クラウド環境と統合する機能により、インフラストラクチャの管理が効率化されました。 Windows Server 2025 は、先行の Windows Server の強力な基盤に基づいて構築され、ニーズに合わせてさまざまな革新的な機能強化が導入されています。
公式リリース前に Windows Server 2025 の最新機能を試したい場合は、「Windows Server Insiders Preview の概要」を参照してください。
新機能
次の新機能は、デスクトップ エクスペリエンス搭載の Windows Server 固有の機能です。 オペレーティング システムを実行している物理デバイスと、すぐに使用できる適切なドライバーの両方が必要です。
[Active Directory ドメイン サービス]
Active Directory Domain Services (AD DS) と Active Directory Lightweight Domain Services (AD LDS) に行われた最新の機能強化では、ドメイン管理エクスペリエンスの最適化を目的とするさまざまな新機能が導入されています。
32k データベース ページ サイズのオプション機能 - AD では、8k データベース ページ サイズを使用する Windows 2000 の導入以降、拡張記憶域エンジン (E Standard Edition) データベースが使用されます。 8k アーキテクチャ設計の決定により、AD 全体に制限が生じ、 AD の最大制限のスケーラビリティに記載されています。 この制限の例としては、サイズが 8K バイトを超えることができない単一レコード AD オブジェクトがあります。 32k データベース ページ形式への移行により、複数値属性が最大 3200 個の値を保持できるようになりました。これは 2.6 倍に増加するなど、従来の制限によって影響を受ける領域が大幅に改善されました。
新しい DC は、64 ビット Long Value ID (LID) を使用し、以前のバージョンとの互換性を保つために「8k ページ モード」で実行される 32k ページ データベースとともにインストールできます。 アップグレードされた DC は、現在のデータベース形式と 8,000 ページを引き続き使用します。 32k データベース ページへの移行はフォレスト全体で行われ、フォレスト内のすべての DC に 32k ページ対応のデータベースが必要となります。
ADスキーマの更新 - AD スキーマを拡張する 3 つの新しいログ データベース ファイル (LDF)
sch89.ldf、sch90.ldf、sch91.ldfが導入されました。 AD LDS と同等のスキーマの更新がMS-ADAM-Upgrade3.ldfに含まれています。 以前のスキーマ更新の詳細については、 Windows Server AD スキーマの更新を参照してください.AD オブジェクトの修復- AD では、エンタープライズ管理者がコア属性 SamAccountType および ObjectCategoryが欠落しているオブジェクトを修復できるようになりました。 エンタープライズ管理者は、オブジェクトの LastLogonTimeStamp 属性を現在の時刻にリセットできます。 これらの操作は、 fixupObjectStateと呼ばれる、影響を受けるオブジェクトに対する新しい RootDSE 変更操作機能を通じて実現されます。
チャネル バインド監査のサポート - Lightweight Directory Access Protocol (LDAP) チャネル バインドに対して、イベント 3074 と 3075 を有効にできるようになりました。 チャンネル バインディング ポリシーがより安全な設定に変更されると、管理者は、チャンネル バインディングの検証をサポートしていない、または失敗した環境内のデバイスを特定できます。 これらの監査イベントは、Windows Server 2022 以降でも KB4520412を介して使用できます。
DC 位置アルゴリズムの機能強化 - DC 検出アルゴリズムは、短い NetBIOS 形式のドメイン名から DNS 形式のドメイン名へのマッピングを改善する、新しい機能を提供します。 詳細については、「Active Directory DCロケーターの変更」を参照してください。
Note
Windows は、DC 検出操作中に mailslots を使用しません。マイクロソフトは、これらのレガシ テクノロジの WINS と mailslot の廃止を発表しています。
`フォレストとドメインの機能レベル - 新しい機能レベルは、一般的なサポートのために使用され、新しい 32K データベース ページ サイズ機能に必要です。 新しい機能レベルは、自動実行インストールの値
DomainLevel 10と、自動実行インストールの値ForestLevel 10にマップされます。 Microsoft には、Windows Server 2019 と Windows Server 2022 の機能レベルを新しく入れ替える予定はありません。 ドメイン コントローラー (DC) の自動昇格と降格を実行するには、「ドメイン コントローラーの自動昇格と降格に関する DCPROMO 応答ファイルの構文」を参照してください。DsGetDcName アプリケーション プログラミング インターフェイス (API) では、Windows Server 2025 を実行している DC の場所を有効にする新しいフラグ
DS_DIRECTORY_SERVICE_13_REQUIREDもサポートされています。 機能レベルの詳細については、次の記事を参照してください。Note
AD フォレストまたは AD LDS の新しい構成セットには、Windows Server 2016 以上の機能レベルを与える必要があります。 AD または AD LDS レプリカの昇格には、既存のドメインまたは構成セットが既に Windows Server 2016 以上の機能レベルで実行されていることが必要になります。
Microsoft はすべてのお客様に、次のリリースの準備として、AD サーバーと AD LDS サーバーを Windows Server 2022 にアップグレードする計画を今すぐ開始することを推奨しています。
名前/SID ルックアップのアルゴリズムの改善- マシン アカウント間のローカル セキュリティ機関 (LSA) 名と Sid ルックアップ転送では、従来の Netlogon セキュア チャネルが使用されなくなりました。 代わりに、Kerberos 認証と DC ロケーター アルゴリズムが使用されます。 従来のオペレーティング システムとの互換性を維持するために、フォールバック オプションとして Netlogon セキュア チャネルを使用することも可能です。
機密属性のセキュリティの向上 - DC インスタンスおよび AD LDS インスタンスでは、接続が暗号化されている場合にのみ、機密属性を含む LDAP の追加、検索、および変更操作が許可されます。
デフォルトのマシンアカウントパスワードのセキュリティの向上- AD は、ランダムに生成されたデフォルトのコンピューター アカウント パスワードを使用するようになりました。 Windows 2025 DC では、コンピューター アカウントのパスワードをコンピューター アカウント名の既定のパスワードに設定することがブロックされます。
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Optionsにある GPO 設定 ドメイン コントローラ: デフォルトのマシン アカウント パスワードの設定を拒否する を有効にすることで制御できます。
Active Directory 管理センター (ADAC)、Active Directory ユーザーとコンピューター (ADUC) などのユーティリティ
net computer、とdsmod新しい動作も尊重します。 ADAC と ADUC の両方で、2k 以前の Windows アカウントを作成できなくなりました。Kerberos AES SHA256 および SHA384 - Kerberosプロトコルの実装は、SHA-256と SHA-384 を追加することで、 RFC 8009 をサポートする、より強力な暗号化および署名メカニズムをサポートするように更新されています。 RC4 は非推奨となり、使用禁止暗号リストに移動されました。
暗号化の俊敏性のための Kerberos PKINIT のサポート - Kerberos PKINIT (Kerberos Public Key Cryptography for Initial Authentication in Kerberos) プロトコルの実装が更新され、より多くのアルゴリズムをサポートし、ハードコーディングされたアルゴリズムを削除することで、暗号化の俊敏性が実現しました。
LAN Manager GPO設定 - GPO 設定 ネットワーク セキュリティ: [次回のパスワード変更時に LAN Manager ハッシュ値を保存しない] は存在しなくなり、新しいバージョンの Windows にも適用されなくなりました。
デフォルトの LDAP 暗号化 - Simple Authentication and Security Layer (SASL) バインド後のすべての LDAP クライアント通信は、既定で LDAP シーリングを利用します。 SASL の詳細については、 SASL 認証に関するページを参照してください。
TLS 1.3 の LDAP サポート - LDAP は最新の SCHANNEL 実装を使用して、TLS 接続上の LDAP で TLS 1.3 をサポートします。 TLS 1.3 を使用することで、廃止された暗号アルゴリズムが排除され、以前のバージョンよりもセキュリティが強化され、できるだけ多くのハンドシェイクの暗号化が目標とされています。 詳細については、 Windows Server 2022 の TLS/SSL (Schannel SSP) および TLS 暗号スイートのプロトコルに関するページを参照してください。
従来の SAM RPC パスワードの変更動作 - ドメイン ユーザーのパスワードを変更するには、Kerberos などの安全なプロトコルを使用することをお勧めします。 DC では、AES を使用した最新の SAM RPC パスワード変更メソッド SamrUnicodeChangePasswordUser4 がリモートで呼び出されると、既定で受け入れられます。 リモートで呼び出されたとき、次のレガシ SAM RPC がブロックされます。
保護対象ユーザー グループのメンバーであるドメイン ユーザー、およびドメイン メンバー コンピューターのローカル アカウントの場合、従来の SAM RPC インターフェイスを介したすべてのリモート パスワード変更は、
SamrUnicodeChangePasswordUser4を含め、既定でブロックされます。この動作は、次のグループ ポリシー オブジェクト (GPO) 設定を使用して制御できます。
コンピューターの構成 > 管理用テンプレート > システム > セキュリティ アカウント マネージャー > SAM の構成 パスワードの変更RPC メソッド ポリシー
NUMAのサポート - AD DS は、すべてのプロセッサ グループの CPU を利用することで、Non-Uniform Memory Access (NUMA) 対応ハードウェアを利用できるようになりました。 以前は、AD はグループ 0 の CPU のみを使用していました。 Active Directory は 64 コアを超えて拡張できます。
パフォーマンス カウンター - 次のカウンターのパフォーマンスの監視とトラブルシューティングを利用できるようになりました。
DC ロケーター - クライアントおよび DC 固有のカウンターを使用できます。
LSA Lookups - Name および SID は、 LsaLookupNames、 LsaLookupSids、および同等の API を介した検索。 これらのカウンターは、クライアント SKU とサーバー SKU の両方で使用できます。
LDAP クライアント - Windows Server 2022 以降で KB 5029250 更新プログラムを使用して使用できます。
レプリケーションの優先順位 - AD を使用すると、管理者は、特定のネーミング コンテキストの特定のレプリケーション パートナーでシステムが計算したレプリケーションの優先順位を高めることができるようになりました。 この機能により、特定のシナリオに対処するため、レプリケーション順位を今までより柔軟に構成できます。
Azure Arc
既定では、Azure Arc セットアップ オンデマンド機能がインストールされています。これにより、わかりやすいウィザード インターフェイスとシステム トレイ アイコンがタスク バーに用意され、Azure Arc にサーバーを追加するプロセスが容易になります。Azure Arc により Azure プラットフォームの機能が拡張され、多様な環境で動作するアプリケーションとサービスの作成が可能になります。 これには、データ センター、エッジ、マルチクラウド環境が含まれており、柔軟性が向上します。 詳細については、「Azure Arc セットアップを使用して Windows Server マシンを Azure に接続する」を参照してください。
Bluetooth
Windows Server 2025 で Bluetooth を使用してマウス、キーボード、ヘッドセット、オーディオ デバイスなどを接続できるようになりました。
デスクトップ シェル
初めてサインインすると、デスクトップ シェル エクスペリエンスは Windows 11 のスタイルと外観に準拠します。
委任された管理サービス アカウント
この新しい種類のアカウントにより、サービス アカウントから委任された管理サービス アカウント (dMSA) への移行が可能になります。 このアカウントの種類には、マネージド キーと完全ランダム化キーが付属しており、元のサービス アカウント パスワードを無効にしながら、アプリケーションの変更を最小限に抑えます。 詳細については、 委任された管理サービスアカウントの概要を参照してください。
DTrace
Windows Server 2025 には、ネイティブ ツールとして dtrace が搭載されています。 DTrace は、ユーザーがシステム パフォーマンスをリアルタイムで監視およびトラブルシューティングできるコマンド ライン ユーティリティです。 DTrace を使用すると、ユーザーは、コード自体を変更することなく、カーネル コードとユーザー空間コードの両方を動的にインストルメント化できます。 この汎用性の高いツールは、集計、ヒストグラム、ユーザー レベルのイベントのトレースなど、さまざまなデータ収集と分析の手法をサポートします。 詳細については、コマンド ライン ヘルプの DTrace と Windows での DTrace に関する追加機能を参照してください。
電子メール & アカウント
Windows Server 2025 の 設定 > アカウント > 電子メール & アカウント で次のアカウントを追加できるようになりました。
- Microsoft Entra ID
- Microsoft アカウント
- 職場または学校アカウント
ほとんどの場合、ドメイン参加が必要であることにご注意ください。
フィードバック Hub
Windows Server 2025 の使用中に発生したフィードバックの送信または問題の報告は、Windows フィードバック Hub を使用して行えるようになりました。 問題が発生したプロセスのスクリーンショットや録画を添付していただくと、お客様の状況を理解し、Windows エクスペリエンスを向上させるための提案を共有することができます。 詳細については、 フィードバック Hubのページを参照してください。
ファイル圧縮
ビルド 26040 には、項目を圧縮するときに右クリックで実行する [圧縮] と呼ばれる新しい圧縮機能があります。 この機能では、 ZIP、 7z、 TAR の圧縮形式とそれぞれに固有の圧縮方法がサポートされています。
フライティング
フライティングは、ビルド 26010 以降の 2024 年初頭の Canary チャネル リリースでのみ使用できます。これにより、ユーザーは Windows クライアントと同様の Windows Server フライトを受け取ることができます。 デバイスでフライティングを有効にするには、 [スタート] > [設定] > [Windows Update] > [Windows Insider Program] に移動します。 そこから、必要な Insider リリースを選択できます。
ピン留めされたアプリ
最も使用されているアプリのピン留めは、 スタート メニューから行えるようになり、ニーズに合わせてカスタマイズできるようになりました。 ビルド 26085 の時点で、既定のピン留めされたアプリは次のとおりです。
- Azure Arc のセットアップ
- フィードバック Hub
- エクスプローラー
- Microsoft Edge
- サーバー マネージャー
- 設定
- ターミナル
- Windows PowerShell
サーバー メッセージ ブロック
サーバー メッセージ ブロック (SMB) は、ネットワーク上のデバイス間でファイルなどのリソースを共有する信頼性の高い方法を提供することにより、ネットワークで最も広く使用されているプロトコルの 1 つです。 Windows Server 2025 では、次の SMB 機能を利用できます。
ビルド 26090 以降では、QUIC、署名、暗号化を無効にするための S MB (メガバイト) プロトコルの変更の別のセットが導入されました。
SMB over QUIC disablement
管理者は、グループ ポリシーと PowerShell を使用して QUIC クライアント経由で SMB を無効にすることができます。 グループ ポリシーを使用して SMB over QUIC を無効にするには、これらのパスの [SMB over QUIC ポリシーを有効にする] を [無効] に設定します。
Computer Configuration\Administrative Templates\Network\Lanman Workstation
Computer Configuration\Administrative Templates\Network\Lanman Server
PowerShell を使用して SMB over QUIC を無効にするには、管理者特権の PowerShell プロンプトで次のコマンドを実行します。
Set-SmbClientConfiguration -EnableSMBQUIC $falseSMB署名と暗号化の監査
管理者は、SMB サーバーとクライアントの監査を有効にして、SMB 署名と暗号化をサポートできます。 サード パーティのクライアントまたはサーバーで SMB暗号化または署名のサポートが不足している場合は、検出できます。 サード パーティ製のデバイスまたはソフトウェアが SMB 3.1.1 をサポートしているが、SMB 署名のサポートに失敗すると、 SMB 3.1.1 認証前整合性 プロトコルの要件に違反します。
グループ ポリシーまたは PowerShell を使用して、SMB 署名と暗号化の監査設定を構成できます。 これらのポリシーは、次のグループ ポリシー パスで変更できます。
Computer Configuration\管理istrative Templates\Network\Lanman Server\Audit クライアントは暗号化をサポートしていません
Computer Configuration\管理istrative Templates\Network\Lanman Server\Audit クライアントは署名をサポートしていません
Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit サーバーは暗号化をサポートしていません
Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit サーバーは署名をサポートしていません
PowerShell を使用してこれらの変更を実行するには、管理者特権のプロンプトで次のコマンドを実行します。ここで、
$trueはこれらの設定を有効$falseまたは無効にします。Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $trueこれらの変更のイベント ログは、指定されたイベント ID を持つ次のイベント視聴者パスに格納されます。
Path イベント ID Applications and Services Logs\Microsoft\Windows\SMBClient\Audit 31998
31999Applications and Services Logs\Microsoft\Windows\SMBServer\Audit 3021
3022SMB over QUIC 監査
SMB over QUIC クライアント接続監査では、QUIC トランスポートをイベント ビューアーに含めるためにイベント ログに書き込まれたイベントがキャプチャされます。 これらのログは、指定されたイベント ID を持つ次のパスに格納されます。
Path イベント ID Applications and Services Logs\Microsoft\Windows\SMBClient\Connectivity 30832 Applications and Services Logs\Microsoft\Windows\SMBServer\Connectivity 1913 SMB over QUIC サーバー機能が、Windows Server Standard バージョンと Windows Server Datacenter バージョンの両方で使用できるようになりました。 SMB over QUIC には、低遅延の暗号化された接続を提供するという QUIC のメリットが追加されています。
これまで、Windows の SMB サーバーでは IANA に登録されているポート TCP/445 を使用することを受信接続に要求し、SMB TCP クライアントでは同じ TCP ポートへの送信接続のみを許可していました。 現在、SMB over QUIC では、QUIC で義務付けられている UDP/443 ポートをサーバー デバイスとクライアント デバイスの両方で使用できる、 SMB 代替ポート を使用できます。 詳細については、「代替 SMB ポートの構成」を参照してください。
SMB over QUIC に導入されるもう 1 つの機能は、 クライアント アクセスの制御です。これは、信頼されていないネットワーク経由でセキュア接続をエッジ ファイル サーバーに提供する TCP と RDMA の代替手段です。 詳細については、「クライアント アクセス制御のしくみ」を参照してください。
以前は、共有が作成されると、関連するファイアウォール プロファイルに対して "ファイルとプリンターの共有" グループを有効にする SMB ファイアウォール規則 が自動的に構成されていました。 現在は、Windows で SMB 共有を作成すると、新しい "ファイルとプリンターの共有 (制限付き)" グループが自動的に構成されます。これにより、受信 NetBIOS ポート 137 から 139 が許可されなくなりました。 詳細については、「更新したファイアウォール規則」を参照してください。
ビルド 25997 以降では、すべての送信 SMB クライアント接続に SMB 暗号化を適用する 更新が行われます。 この更新により、管理者は、すべての接続先サーバーが SMB 3.x と暗号化をサポートすることを義務付けることができます。 サーバーにこれらの機能がない場合、クライアントは接続を確立できません。
またビルド 25997 では、特定の期間内に実行できる認証試行回数を制限する SMB 認証レート制限機能が既定で有効になっています。 詳細については、「SMB 認証レート制限機能のしくみ」を参照してください。
ビルド 25951 以降では、SMB クライアントはリモート送信接続の NTLM ブロック機能 をサポートしています。 これまで、Windows Simple and Protected GSSAPI Negotiation Mechanism (SPNEGO) では、Kerberos、NTLM、およびその他のメカニズムを接続先サーバーとネゴシエートして、サポートされるセキュリティ パッケージを決定していました。 詳細については、「SMB で NTLM 接続をブロックする」を参照してください。
ビルド 25951 の新機能は、SMB サーバーが、最上位の言語にのみ一致する以前の動作と比較して、ネゴシエートする SMB 2 と SMB 3 の言語を制御できる Windows の SMB 言語管理機能です。
ビルド 25931 以降では、すべての SMB 送信接続に対して既定で SMB 署名 が必要になりました。以前は、AD ドメイン コントローラー上で SYSVOL および NETLOGON という名前の共有に接続する場合にのみ必要とされていました。 詳しくは、「署名のしくみ」を参照してください。
Remote Mailslot プロトコルは、ビルド 25314 以降では既定で無効になっており、後のリリースで削除される可能性があります。 詳しくは、「開発の終了した機能」を参照してください。
SMB 圧縮では、XPRESS (LZ77)、XPRESS Huffman (LZ77+Huffman)、LZNT1、PATTERN_V1 に対する既存のサポートに加えて、業界標準の LZ4 圧縮アルゴリズムのサポートが追加されます。
記憶域レプリカ拡張ログ
拡張ログは、記憶域レプリカ ログの実装に役立ち、ファイル システムの抽象化に関連するパフォーマンス コストを排除し、ブロック レプリケーションのパフォーマンスを向上させます。 詳細については、「記憶域レプリカ拡張ログ」を参照してください。
タスク マネージャ
ビルド 26040 は、Windows 11 のスタイルに準拠するマイカ素材を使用して、モダン タスク マネージャー アプリをサポートできるようになりました。
Wi-Fi
ワイヤレス LAN サービス機能が既定でインストールされるようになったため、ワイヤレス機能を簡単に有効化できるようになりました。 ワイヤレス スタートアップ サービスは手動に設定されており、コマンド プロンプト、Windows ターミナル、または PowerShell で net start wlansvc を実行することによって有効化できます。
Windows コンテナーの移植性
移植性はコンテナー管理の重要な側面であり、Windows でコンテナーの柔軟性と互換性を強化することでアップグレードを簡略化する機能を備えます。 移植性は、コンテナー ホストの Windows Server 年間チャネルの機能です。これにより、ユーザーは、変更を必要とせずに、異なるホストまたは環境間でコンテナー イメージとそれに関連するデータを移動できます。 ユーザーは、互換性の問題を気にすることなく、1 つのホストにコンテナー イメージを作成し、別のホストにデプロイできます。 詳細については、「コンテナーの移植性」を参照してください。
Windows Insider Program
Windows Insider Program では、参加者のコミュニティ向けに最新の Windows OS リリースへの早期アクセスを提供します。 メンバーとして、マイクロソフトが開発している新しいアイデアや概念をいち早く試すことができます。 メンバーとして登録した後は、 [スタート] > [設定] > [Windows Update] > [Windows Insider Program] に移動して、さまざまなリリース チャネルに参加できます。
Windows ローカル管理者パスワード ソリューション (LAPS)
Windows LAPS は、組織が自分のドメインに参加しているコンピューターでローカル管理者のパスワードを管理するのに役立ちます。 Windows LAPS により、各コンピューターのローカル管理者アカウントに対して一意のパスワードが自動的に生成され、AD に安全に保存され、定期的に更新されます。 これにより、侵害されたパスワードや推測しやすいパスワードを攻撃者が使用して機密性の高いシステムにアクセスするリスクを軽減することで、セキュリティを向上させることができます。
Microsoft LAPS には、次のような改善を実現する機能が導入されています。
新しい自動アカウント管理機能
最新の更新プログラムを使用すると、IT 管理者はマネージド ローカル アカウントを簡単に作成できます。 この機能を使用すると、アカウント名をカスタマイズしたり、アカウントを有効または無効にしたり、アカウント名をランダム化してセキュリティを強化したりできます。 さらに、この更新プログラムでは、Microsoft の既存のローカル アカウント管理ポリシーとの統合が強化されています。 この機能の詳細については、 Windows LAPS アカウント管理モードに関するページを参照してください。
新しい画像ロールバック検出機能
Windows LAPS は、イメージのロールバックが発生したときにそれを検出するようになりました。 ロールバックが行われると、AD に格納されているパスワードが、デバイスにローカルに格納されているパスワードと一致しなくなる場合があります。 ロールバックにより、永続化された Windows LAPS パスワードを使用して IT 管理者がデバイスにサインインできない "破損状態" が発生する可能性があります。
この問題に対処するために、 msLAPS-CurrentPasswordVersionという AD 属性を含む新しい機能が追加されました。 この属性には、新しいパスワードが AD に永続化され、ローカルに保存されるたびに、Windows LAPS によって書き込まれたランダムな GUID が含まれます。 すべての処理サイクル中に、 msLAPS-CurrentPasswordVersion に保存された GUID が照会され、ローカルに永続化されたコピーと比較されます。 それらが異なる場合、パスワードはすぐにローテーションされます。
この機能を有効にするには、最新バージョンの
Update-LapsADSchemaコマンドレットを実行する必要があります。 完了すると、Windows LAPS は新しい属性を認識し、その使用を開始します。 更新されたバージョンのUpdate-LapsADSchemaコマンドレットを実行しない場合、Windows LAPS はイベント ログに 10108 警告イベントを記録しますが、他のすべての点で正常に機能し続けます。この機能を有効化または構成するためにポリシー設定は使用されません。 この機能は、新しいスキーマ属性が追加されると常に有効になります。
新しいパスフレーズ機能
IT 管理者は Windows LAPS の新機能を利用できるようになりました。これにより、複雑でないパスフレーズの生成が可能になります。 例として "EatYummyCaramelCandy" などのパスフレーズがあり、これは "V3r_b4tim#963?" のような従来のパスワードと比較して、読みやすく、覚えやすく、入力しやすくなります。
この新機能では、 PasswordComplexity ポリシー設定を構成して、3 つの異なるパスフレーズ ワード リストのいずれかを選択することもできます。これらのリストはすべて、個別のダウンロードを必要とせずに Windows に含まれています。 PassphraseLength という新しいポリシー設定は、パスフレーズで使用される単語の数を制御します。
パスフレーズを作成すると、選択した単語リストから指定した単語数がランダムに選択され、連結されます。 各単語の最初の文字は、読みやすくするために大文字になります。 この機能では、Windows Server AD または Microsoft Entra ID へのパスワードのバックアップも完全にサポートされています。
3 つの新しい PasswordComplexity パスフレーズ設定で使用されるパスフレーズ ワード リストは、Electronic Frontier Foundation の記事「Deep Dive: EFF'S New Wordlists for Random Passphrases」から採られています。 Windows LAPS パスフレーズ Word リスト は CC-BY-3.0 属性ライセンスの下でライセンスされており、ダウンロードできます。
Note
Windows LAPS では、組み込みの単語リストのカスタマイズや、顧客が構成した単語リストの使用はできません。
読みやすさの向上したパスワード ディクショナリ
Windows LAPS では、IT 管理者が複雑でないパスワードを作成できる新しい PasswordComplexity 設定が導入されています。 この機能を使用すると、LAPS をカスタマイズして、既存の複雑さ設定の 4 と同様に、4 つの文字カテゴリ (大文字、小文字、数字、特殊文字) をすべて使用できます。 ただし、新しい設定である 5 を使用した場合、パスワードの読みやすさを高め、混乱を最小限に抑えるために、複雑な文字が除外されます。 たとえば、数字 "1" と文字 "I" は、新しい設定では使用されません。
PasswordComplexity を 5 に構成すると、既定のパスワード ディクショナリ文字セットに次の変更が加えられます。
- 'I'、'O'、'Q'、'l'、'o' の文字は使用しない。
- '0'、'1' の数値を使用しない。
- ',', '.', '&', '{', '}', '[', ']', '(', ')', ';'の "特殊文字" を使用しない。
- ':'、'='、'?'、'*' の "特殊文字" の使用を開始する。
Active Directory ユーザーとコンピューター スナップイン (Microsoft 管理コンソール経由) の Windows LAPS タブが強化されました。Windows LAPS パスワードが新しいフォントで表示され、プレーン テキストで表示される際の読みやすさが向上しました。
個々のプロセスを終了するための PostAuthenticationAction のサポート
新しいオプションが、PostAuthenticationActions (PAA) グループ ポリシー設定に追加されました。"パスワードのリセット、マネージド アカウントのサインアウト、および残存プロセスの終了" で、 コンピューターの構成 > 管理テンプレート > システム > LAPS > 認証後アクションにあります。
この新しいオプションは、以前の "パスワードをリセットしてマネージド アカウントをサインアウトする" オプションの拡張機能です。 構成が完了すると、PAA は対話型サインイン セッションを通知して終了します。 Windows LAPS で管理されているローカル アカウント ID でまだ実行されている、残存プロセスを列挙して終了します。 この終了の前に通知がないことに注意してください。
さらに、認証後のアクションの実行中にイベント記録が拡張され、操作に関するより深い分析情報が得られます。
Windows LAPS の詳細については、「Windows LAPS とは」を参照してください。
Windows ターミナル
このビルドでは、コマンド ライン ユーザー向けの強力かつ効率的なマルチシェル アプリケーションである Windows ターミナル を使用できます。 検索バーで "ターミナル" を検索します。
Winget
Winget は既定でインストールされ、Windows デバイスにアプリケーションをインストールするための包括的なパッケージ マネージャー ソリューションを提供するコマンド ライン Windows パッケージ マネージャー ツールです。 詳細については、「winget ツールを使用したアプリケーションのインストールと管理」を参照してください。