Windows 10 Enterprise LTSC 2019 の新機能

[アーティクル]
12/18/2023
適用対象:

✅ Windows 10 Enterprise LTSC 2019

この記事では、IT プロフェッショナルの関心が高い Windows 10 Enterprise LTSC 2019 の新規および更新された機能とコンテンツを、Windows 10 Enterprise LTSC 2016 (LTSB) と比較して示します。 LTSC サービスチャネルと関連するサポートの簡単な説明については、「Windows 10 Enterprise LTSC」を参照してください。

注

Windows 10 Enterprise LTSC 2019 は、2018 年 11 月 13 日に初めて提供されました。 Windows 10 Enterprise LTSC 2019 の機能は、Windows 10 バージョン 1809 と同等です。

Windows 10 Enterprise LTSC 2019 は、Windows 10 Pro バージョン 1809 をベースに、大規模および中規模の組織 (大規模な教育機関を含む) のニーズに対応するように設計された、次のようなプレミアム機能を追加しています。

最新のセキュリティの脅威に対する高度な保護
OS 展開の完全な柔軟性
更新とサポートのオプション
包括的なデバイスとアプリの管理と制御機能

Windows 10 Enterprise LTSC 2019 リリースは、Windows 10 バージョン 1703、1709、1803、1809 で提供されている累積的な機能強化が含まれているため、LTSC ユーザーにとって重要なリリースです。これらの機能強化の詳細について、以下に示します。

重要

LTSC リリースは、特殊用途デバイスを対象とします。 Windows 10の一般提供チャネルリリース用に設計されたアプリとツールによる LTSC のサポートが制限される場合があります。

Microsoft Intune

Microsoft Intuneでは、次の例外Windows 10 Enterprise LTSC 2019 がサポートされています。

WINDOWS 10 LTSC バージョンでは機能更新プログラムが受信されないため、更新リングは機能更新プログラムに使用できません。更新リングは、WINDOWS 10 ENTERPRISE LTSC 2019 クライアントの品質更新に使用できます。

セキュリティ

このバージョンの Window 10 には、脅威の防止、情報の保護、および ID 保護のセキュリティ機能強化が含まれています。

脅威の防止

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint プラットフォームには、複数のセキュリティの柱が含まれています。このバージョンの Windows では、Defender for Endpoint に強力な分析、セキュリティスタックの統合、一元管理が含まれ、これにより、検出、防止、調査、応答、および管理が向上します。

攻撃面の縮小

攻撃面の縮小には、フォルダーアクセスの制御などのホストベースの侵入防止システムが含まれます。

この機能は、ランサムウェアや他の破壊的なマルウェアが個人用ファイルを変更するのを防ぐのに役立ちます。場合によっては、通常使用するアプリが、[ドキュメント] や [ピクチャ] などの一般的なフォルダーに変更を行うことができないようにブロックされている可能性があります。機能を完全に無効にすることなくデバイスを引き続き使用できるように、最近ブロックされたアプリを簡単に追加できるようにしました。
アプリがブロックされると、最近ブロックされたアプリの一覧に表示されます。この一覧は [ランサムウェア防止] 見出しの [設定の管理] をクリックすることで表示できます。 [アプリをコントロールされたフォルダーアクセスで許可する] を選択します。指示に従って、+ ボタンを選択し、[最近ブロックされたアプリ] を選択します。いずれかのアプリを選択して許可リストに追加します。このページからアプリを参照することもできます。

Windows Defender ファイアウォール

Windows Defender ファイアウォールでは、Windows Subsystem for Linux (WSL) プロセスをサポートするようになりました。 WSL プロセスの特定のルールを、Windows プロセスと同じ方法で追加できます。また、Windows Defender ファイアウォールでは WSL プロセスの通知をサポートするようになりました。たとえば、Linux ツールで外部からのポートへのアクセスを許可する必要がある場合 (SSH または Nginx のような Web サーバーなど)、Windows Defender ファイアウォールは、ポートが接続の受け入れを開始したときに、Windows プロセスの場合と同様にアクセスを許可するためのメッセージを表示します。この動作は、ビルド 17627 で初めて導入されました。

Windows Defender Device Guard

Device Guard は、PC をロックダウンするために組み合わせることができる次のようなテクノロジのコレクションです。

コード整合性ポリシーによって提供されるソフトウェアベースの保護
ハイパーバイザーで保護されたコード整合性 (HVCI) によって提供されるハードウェアベースの保護

ただし、これらの保護は個別に構成することもできます。また、HVCI とは異なり、コード整合性ポリシーは仮想化ベースのセキュリティ (VBS) を必要としません。これらの保護の明確な価値を強調するために、コード整合性ポリシーは Windows Defender アプリケーション制御として再ブランド化されています。

次世代保護

エンドポイントの検出と応答

エンドポイントの検出と応答が改善されました。企業ユーザーは、Microsoft Defender for Endpoint ポータルに表示される Microsoft Defender ウイルス対策の検出と、Device Guard のブロックを使用して、Windows セキュリティスタック全体を活用できるようになりました。

Windows Defender は、現在 Microsoft Defender ウイルス対策と呼ばれ、Microsoft 365 サービス間で検出状態を共有して、Microsoft Defender for Endpoint との相互運用を実現します。クラウドベースの保護を強化する他のポリシーも実装されており、緊急保護のための新しいチャネルも使用できます。詳細については、「ウイルスと脅威の防止」と「Microsoft Defender ウイルス対策で Microsoft クラウド型保護を利用する」を参照してください。

また、企業のセキュリティ管理者向けドキュメントライブラリの幅も広がっています。新しいライブラリには、以下の情報が含まれます。

新しいライブラリの主な特徴として、Microsoft Defender AV の評価ガイドと、仮想デスクトップインフラストラクチャ環境での Microsoft Defender AV の展開ガイドがあります。

Windows 10 Enterprise LTSC 2019 の Microsoft Defender AV の新機能には、以下が含まれます。

Microsoft では、ランサムウェアからの保護を支援するために重点的な投資を行ってきました。動作の監視と常時接続リアルタイム保護の更新に関しては、今後も投資を継続します。

エンドポイントの検出と応答も強化されています。新しい検出機能には、以下が含まれます。

カスタム検出。カスタム検出によって、疑わしい脅威または新たな脅威など、あらゆる種類の動作のイベントを監視するためのカスタムクエリを作成できます。カスタム検出ルールの作成によって高度な検出機能を活用できます。
メモリ内およびカーネルレベルの攻撃を使用する攻撃者の検出を有効にする、OS メモリとカーネルセンサーの機能強化。
ランサムウェアやその他の高度な攻撃のアップグレードされた検出。
履歴検出機能により、気付かれなかった可能性のある過去の攻撃を検出するために、最大 6 か月間の保存されているデータに対して新しい検出規則が適用されます。

攻撃が検出されたときの脅威への対応が改善され、セキュリティチームによる侵害の即時対応が可能になります。

コンピューターに対して対応処置を実行する - コンピューターを分離するか、調査パッケージを収集することによって、検出された攻撃に対して迅速に対応します。
ファイルに対して対応処置を実行する - ファイルを停止して検疫するか、ファイルをブロックすることによって、検出された攻撃に迅速に対応します。

他にも、調査の全体像を把握するのに役立つ次の機能が追加されました。

脅威の分析 - 脅威の分析は、新種の脅威と感染が特定されるとすぐに Microsoft Defender for Endpoint リサーチチームによって公開される、一連の対話型レポートです。このレポートは、セキュリティオペレーションチームが各自の環境への影響を評価するのに役立ちます。また、脅威を抑制し、組織の復元性を高め、特定の脅威を防止するための推奨されるアクションを提供します。
Microsoft Defender for Endpoint の高度な捜索を使用してデータをクエリする
自動調査機能を使用して脅威を調査して修復する
ユーザーアカウントの調査 - アクティブなアラートが最も多いユーザーアカウントを特定し、侵害された可能性がある資格情報を調査します。
アラートプロセスツリー - 複数の検出および関連するイベントを単一のビューに集約して、問題を解決する時間を短縮します。
REST API を使用してアラートをプルする - REST API を使用して、Microsoft Defender for Endpoint からアラートをプルします。

その他の強化されたセキュリティ機能には、以下が含まれます。

センサーの正常性状態を確認する - エンドポイントの機能を確認して、センサーデータを提供し、Microsoft Defender for Endpoint サービスと通信して既知の問題を解決します。
マネージドセキュリティサービスプロバイダー (MSSP) のサポート - Microsoft Defender for Endpoint は、MSSP 統合を提供することで、このシナリオのサポートを追加します。この統合によって MSSP は次のアクションを実行することができます。MSSP のユーザーの Windows Defender セキュリティセンターポータルにアクセスする、メール通知を取得する、セキュリティ情報とイベント管理 (SIEM) ツールによってアラートを取得する。
Azure Defender との統合 - Microsoft Defender for Endpoint は Azure Defender と統合され、包括的なサーバー保護ソリューションを提供します。この統合により、Azure Defender は Defender for Endpoint を使用して Windows サーバーの脅威検出を強化します。
Microsoft Cloud App Security との統合 - Microsoft Cloud App Security は、Microsoft Defender for Endpoint シグナルを使用して、すべての Defender for Endpoint の監視対象コンピューターからのサポートされていないクラウドサービス (シャドウ IT) の使用を含む、クラウドアプリケーションの使用状況を直接可視化します。
Windows Server 2019 のオンボード - Microsoft Defender for Endpoint に、Windows Server 2019 のサポートが追加されました。 Windows 10 クライアントコンピューターで利用可能な方法と同じ方法で、Windows Server 2019 をオンボードすることができます。
以前のバージョンの Windows のオンボード - サポートされているバージョンの Windows コンピューターをオンボードして、Microsoft Defender for Endpoint センサーにセンサーデータを送信することができます。
条件付きアクセスを有効にして、ユーザー、デバイス、データの保護を強化する

また、Windows タイムサービスの新しい評価を、[デバイスのパフォーマンスと正常性] セクションに追加しました。デバイスの時間がタイムサーバーと正しく同期されておらず、時刻同期サービスが無効になっていることが検出された場合は、サービスをもう一度有効にするためのオプションが提供されます。

インストールしたその他のセキュリティアプリが Windows セキュリティ アプリに表示される方法に関して作業を継続する予定です。アプリの [設定] セクションに [セキュリティプロバイダー] という新しいページがあります。 [プロバイダーの管理] を選択して、デバイスで実行されているその他すべてのセキュリティプロバイダー (ウイルス対策、ファイアウォール、Web 保護を含む) の一覧を表示します。ここでは、プロバイダーのアプリを簡単に開いたり、Windows セキュリティで報告された問題を解決する方法に関する詳細情報を取得したりできます。

また、この改善により Windows セキュリティ内でその他のセキュリティアプリへのリンクがさらに表示されます。たとえば、[ ファイアウォール & ネットワーク保護 ] セクションを開くと、ドメイン、プライベート、パブリックネットワークを含むファイアウォールの種類ごとに、デバイスで実行されているファイアウォールアプリが表示されます。

「エンドポイントのセキュリティの有効性と堅牢性を最大化する Microsoft Defender for Endpoint の新機能」も参照してください。

Windows 10 向け Microsoft Defender for Endpoint の簡潔かつ深耕的な概要: 「Defender for Endpoint」。

情報の保護

Windows 情報保護と BitLocker に機能強化が追加されました。

Windows 情報保護

Windows 情報保護は、Microsoft Office および Azure Information Protection と連携する設計になりました。

Microsoft Intune は、Windows 情報保護 (WIP) ポリシーの作成と展開に役立ちます。たとえば、許可されたアプリ、WIP 保護レベル、ネットワーク上のエンタープライズデータの検索方法を選択することができます。詳しくは、「Microsoft Intune を使用して Windows 情報保護 (WIP) ポリシーを作成する」および「Microsoft Intune を使用して Windows 情報保護 (WIP) と VPN のポリシーを関連付けて展開する」を参照してください。

レポート構成サービスプロバイダー (CSP) または Windows イベント転送 (ドメインに参加している Windows デスクトップデバイスの場合) を使って、監査イベントログを収集できるようにもなりました。詳細については、「Windows Information Protection (WIP) の監査イベントログを収集する方法」を参照してください。

このリリースでは、ファイルオンデマンドによる WIP のサポートが有効になっており、別のアプリでファイルを開いているときにファイルを暗号化でき、パフォーマンスも向上しています。詳細については、「企業向けの OneDrive ファイルオンデマンド」を参照してください。

BitLocker

PIN の最小桁数が 6 桁から 4 桁に変更されました。既定の桁数は 6 桁です。詳しくは、「BitLocker グループポリシー設定」を参照してください。

固定ドライブへのサイレント適用

最新のデバイス管理 (MDM) ポリシーを使用して、標準のMicrosoft Entra ID参加ユーザーに対して BitLocker をサイレントモードで有効にすることができます。 Windows 10では、標準の Entra ID ユーザーに対してバージョン 1803 の自動 BitLocker 暗号化が有効になりましたが、ハードウェアセキュリティテストインターフェイス (HSTI) に合格した最新のハードウェアが必要でした。この新機能では、HSTI に合格していないデバイス上であっても、ポリシーを使用して BitLocker を有効します。

この変更は BitLocker CSP の更新であり、Intune などによって使用されています。

ID 保護

Windows Hello for Business と Credential Guard に機能強化が追加されました。

Windows Hello for Business

Windows Hello の新機能では、新しい場所とユーザー近接信号による多要素認証のロック解除を使用して、デバイスロックエクスペリエンスを向上させます。 Bluetooth 信号を使用して、ユーザーがデバイスから離れると自動的にロックしたり、ユーザーが不在のときにデバイスへのアクセスを防いだりするように、Windows 10 デバイスを構成できます。

Windows Hello for Business の新機能には、以下が含まれます。

企業が管理しているデータや Microsoft Intune によって管理されているデバイス上のアプリを削除することなく、忘れた PIN をリセットできるようになりました。
Windows デスクトップの場合、ユーザーは設定>アカウントのサインインオプションを使用して忘れた PIN を>リセットできます。詳細については、「PIN を忘れた場合の対処方法」を参照してください。

Windows Hello for Businessでは、Entra ID 参加済み Windows 10 デバイスの FIDO 2.0 認証がサポートされるようになりました。また、「キオスクの構成」で説明されているように、共有デバイスのサポートが強化されました。

Windows Hello は、S モードでパスワードレスになりました。
Windows Hello for Business および Microsoft 以外の ID ライフサイクル管理ソリューションの API による S/MIME のサポート。
Windows Hello は、Windows Defender セキュリティセンターでのアカウント保護の柱の 1 つです。アカウント保護では、パスワードユーザーに対して、より迅速なサインインのために、Windows Hello 顔認証、指紋認証、暗証番号 (PIN) の設定が推奨されます。また、デバイスの Bluetooth がオフになっているために、動的ロックが動作を停止している場合に動的ロックユーザーに通知が送信されます。
Microsoft アカウントのロック画面から、Windows Hello を設定することができます。 Microsoft アカウントユーザーは、より迅速かつ安全なサインインのために、デバイスにWindows Helloを簡単に設定できるようになりました。以前は、Windows Hello を見つけるために、設定から深い階層まで移動する必要がありました。現在は、[サインインオプション] で [Windows Hello] タイルをクリックすることで、ロック画面から直接 Windows Hello 顔認証、指紋認証、PIN を設定できます。
特定の ID プロバイダー向けのセカンダリアカウントの SSO の新しいパブリック API。
動的ロックの設定が容易になり、動的ロックが動作しなくなった場合 (デバイスの Bluetooth がオフの場合など) の WD SC で対応可能な通知が追加されました。

詳細については、「Windows Hello と FIDO2 セキュリティキーによる共有デバイスの安全かつ簡単な認証の有効化」を参照してください。

Credential Guard

Credential Guard は、Active Directory (AD) ドメインの資格情報を保護するために構築されたWindows 10のセキュリティサービスであり、ユーザーのマシン上のマルウェアによって盗まれたり悪用されたりしないようにします。 Pass-the-Hash や資格情報の収集などの、既知の脅威から保護するように設計されています。

Credential Guard は常にオプションの機能でしたが、S モードのWindows 10は、マシンが Entra ID に参加している場合に既定でこの機能をオンにします。この機能により、Windows 10 S モードを実行しているデバイスに通常は存在しない存在しないドメインリソースに接続するときに、より高いレベルのセキュリティが提供されます。

注

Credential Guard は、S モードデバイスまたは Enterprise and Education Edition でのみ使用できます。

詳細については、「 Credential Guard の概要」を参照してください。

その他のセキュリティの機能強化

Windows セキュリティ基本計画

Microsoft は、Windows Server と Windows 10 向けの新しい Windows セキュリティ基本計画をリリースしました。セキュリティ基本計画は、Microsoft が推奨する一連の構成設定と、そのセキュリティの影響に関する説明です。詳細および Policy Analyzer ツールのダウンロードについては、「Microsoft Security Compliance Toolkit 1.0」をご覧ください。

SMBLoris の脆弱性

サービス拒否をもたらす可能性がある SMBLoris と呼ばれる問題に対処しています。

Windows セキュリティセンター

Windows Defender セキュリティセンターは Windows セキュリティセンターと呼ばれるようになりました。

いつもどおりの方法で引き続きアプリにアクセスできます。 WSC では、Microsoft Defender ウイルス対策やWindows Defender ファイアウォールなど、すべてのセキュリティニーズを管理できます。

WSC サービスでは、保護されたプロセスとして実行するウイルス対策製品を登録する必要があります。 まだこの機能を実装していない製品は、Windows セキュリティセンターのユーザーインターフェイスに表示されず、Microsoft Defender ウイルス対策はこれらの製品と並列して引き続き有効になります。

WSC に、おなじみの Fluent Design System 要素が追加されました。アプリの周囲のスペースとパディングが調整されていることもわかります。追加の情報のためにさらに領域が必要な場合は、メインページのカテゴリが動的にサイズ変更されます。 [色] の設定でオプションを有効にしている場合、タイトルバーでアクセントカラーが使用されるように、タイトルバーも更新しました。

Windows セキュリティセンターのスクリーンショット。

グループポリシーのセキュリティオプション

セキュリティ設定対話型ログオン: セッションがロックされているときにユーザー情報を表示するが、[設定>アカウント>]サインインオプションの [プライバシー] 設定を使用するように更新されました。

新しいセキュリティポリシー設定対話型ログオン: サインイン時にユーザー名を表示しないWindows 10 Enterprise LTSC 2019 で導入されました。このセキュリティポリシー設定は、サインイン時にユーザー名が表示されるかどうかを決定します。この設定は、[設定]>[アカウント]>[サインインオプション] で選択する [プライバシー] 設定と連携して動作します。この設定は、他のユーザータイルにのみ影響を及ぼしす。

Windows 10 S モード

ウイルス & 脅威保護の [現在の脅威] 領域に引き続き取り組んできました。これにより、アクションが必要なすべての脅威が表示されるようになりました。この画面から脅威に対してすばやく処置を実行できます。

Windows 10 Enterprise LTSC 2019 のウイルス & 脅威保護設定のスクリーンショット。

展開

MBR2GPT.EXE

MBR2GPT.EXEは、Windows 10 バージョン 1703 で導入された新しいコマンドラインツールであり、Windows 10 Enterprise LTSC 2019 (以降のバージョン) でも使用できます。 MBR2GPT は、ディスク上のデータを変更または削除せずに、ディスクをマスターブートレコード (MBR) から GUID パーティションテーブル (GPT) パーティションスタイルに変換します。このツールは、Windows プレインストール環境 (Windows PE) のコマンドプロンプトから実行しますが、完全な Windows 10 オペレーティングシステムから実行することもできます。

GPT パーティションフォーマットは新しいフォーマットであり、サイズが大きくて数の多いディスクパーティションの使用を可能にします。また、このフォーマットは、データの信頼性を増し、他のパーティションの種類をサポートし、起動とシャットダウンの速度を向上させることができます。コンピューターのシステムディスクを MBR から GPT に変換する場合、UEFI モードで起動するようにコンピューターを構成する必要があります。したがって、システムディスクを変換する前に、使用するデバイスが UEFI をサポートすることを確認する必要があります。

UEFI モードで起動するときに有効になる Windows 10 の他のセキュリティ機能には、セキュアブート、起動時マルウェア対策 (ELAM) ドライバー、Windows トラストブート、メジャーブート、Device Guard、Credential Guard、および BitLocker ネットワークロック解除が含まれます。

詳しくは、「MBR2GPT.EXE」をご覧ください。

DISM

機能更新プログラムを管理するために、次の新しい DISM コマンドが追加されました。

DISM /Online /Initiate-OSUninstall: OS のアンインストールを開始して、コンピューターを以前の Windows のインストールに戻します。
DISM /Online /Remove-OSUninstall: コンピューターから OS のアンインストール機能を削除します。
DISM /Online /Get-OSUninstallWindow: アンインストールを実行できるアップグレード後の日数を表示します。
DISM /Online /Set-OSUninstallWindow: アンインストールを実行できるアップグレード後の日数を設定します。

詳細については、「DISM オペレーティングシステムアンインストールのコマンドラインオプション」を参照してください。

Windows セットアップ

Windows セットアップと同時に、独自のカスタムアクションまたはスクリプトを実行できるようになりました。セットアップによって、スクリプトは次の機能リリースに移行されるため、1 回追加するだけで済みます。

前提条件:

Windows 10 バージョン 1803 または Windows 10 Enterprise LTSC 2019 以降。
Windows 10 Enterprise または Pro

詳しくは、機能更新時のカスタムアクションの実行に関するページをご覧ください。

ユーザーが PostRollback オプションを使用して Windows のバージョンをロールバックすると、スクリプトを実行できるようになりました。

/PostRollback<location> [\setuprollback.cmd] [/postrollback {system / admin}]

詳細については、「 Windows セットアップコマンドラインオプション」を参照してください。

BitLocker を制御するために使用できる新しいコマンドラインスイッチもあります。

Setup.exe /BitLocker AlwaysSuspend: アップグレード中は常に BitLocker を中断します。
Setup.exe /BitLocker TryKeepActive: BitLocker を中断せずにアップグレードを有効にします。ただし、アップグレードが機能しない場合は、BitLocker を中断してアップグレードを完了します。
Setup.exe /BitLocker ForceKeepActive: BitLocker を中断せずにアップグレードを有効にします。ただし、アップグレードが機能しない場合は、アップグレードは失敗します。

詳細については、「Windows セットアップのコマンドラインオプション」を参照してください。

機能更新プログラムの機能強化

Windows の更新プログラムのオフラインフェーズでの処理の一部が、オンラインフェーズに移動されました。この変更により、更新プログラムをインストールする際のオフライン時間が大幅に短縮されます。

SetupDiag

SetupDiag は、Windows 10 の更新が失敗した理由を診断するのに役立つ新しいコマンドラインツールです。

SetupDiag は、Windows セットアップのログファイルを検索することで動作します。ログファイルを検索するとき、SetupDiag は一連のルールを使用して既知の問題と照合します。最新バージョンの SetupDiag では、rules.xml ファイルに 53 のルールが含まれており、SetupDiag の実行時に抽出されます。 rules.xml ファイルは、SetupDiag の新しいバージョンが提供されるときに更新されます。

職場に共有デバイスが展開されている場合、迅速なサインインを使用すると、ユーザーは共有されている Windows 10 PC にすばやくサインインできます。

Windows 10 バージョン 1809 または Windows 10 Enterprise LTSC 2019 で共有デバイスまたはゲストデバイスをセットアップします。
Policy CSP、Authentication および EnableFastFirstSignIn ポリシーを設定して、迅速なサインインを有効にします。
お使いのアカウントで共有 PC にサインインします。

これまで、Windows サインインは、ADFS または WS-Fed プロトコルをサポートするその他のプロバイダーにフェデレーションされている ID の使用のみをサポートしていました。 Microsoft では、Windows PC への新しいサインイン方法である "Web サインイン" を導入しています。 Web サインインでは、ADFS にフェデレーションされているプロバイダー以外のプロバイダー (SAML など) に対する Windows ログオンのサポートを有効にしています。

Entra ID は、Windows 10 PC に参加します。 (Web サインインは、Entra ID 参加済み PC でのみサポートされます)。
ポリシー CSP と認証ポリシーと EnableWebSignIn ポリシーを設定して、Web サインインを有効にします。
ロック画面の、サインインオプションで Web サインインを選択します。
続行するには、[サインイン] を選択してください。

Update Compliance

Update Compliance は、組織内の Windows 10 デバイスを安全かつ最新の状態に維持するために役立ちます。

準拠している更新は、OMS Log Analytics を使用して作成されたソリューションであり、毎月の品質および機能の更新プログラムのインストールの状態に関する情報を提供します。既存の更新プログラムの展開の進行状況と今後の更新プログラムの状態に関する詳細が提供されます。問題を解決するために注意が必要となるデバイスについての情報も提供されます。

Update Compliance の新機能では、Windows Defender の保護状態の監視、業界基準とのコンプライアンスの比較、および更新プログラムを展開するための帯域幅の最適化を行うことができます。

アクセシビリティとプライバシー

アクセシビリティ

"そのまま利用可能な" アクセシビリティは、自動生成される画像の説明によって強化されています。アクセシビリティの詳細については、「IT プロフェッショナル向けのアクセシビリティ情報」を参照してください。「Windows 10 April 2018 Update の新機能」のアクセシビリティセクションも参照してください。

プライバシー

[プライバシー] 設定の [診断 & フィードバック] ページで、お使いのデバイスが Microsoft に送信した診断データを削除できるようになりました。この診断データは、診断データビューアーアプリを使用して表示することもできます。

構成

キオスクの構成

新しい Chromium ベースの Microsoft Edge には、キオスクを対象とした多くの機能強化が含まれます。ただし、Windows 10 の LTSC リリースには含まれていません。 Microsoft Edge を個別にダウンロードおよびインストールできます。詳細については、「ビジネス向け Microsoft Edge をダウンロードして展開する」を参照してください。

Internet Explorer の機能セットは変更されていないため、Windows 10 LTSC リリースに含まれています。Windows 10 LTSC リリースの生存期間中は、セキュリティ修正プログラムを引き続き取得します。

Microsoft Edge でキオスク機能を利用する場合は、半期リリースチャネルを使用したキオスクモードを検討してください。

共同管理

ハイブリッド Entra ID 参加認証を有効にするために、IntuneポリシーとMicrosoft Configuration Manager ポリシーが追加されました。このリリースのモバイルデバイス管理 (MDM) には、MDMWinsOverGP ポリシーなど、クラウドベースの管理への移行を容易にする 150 を超える新しいポリシーと設定が追加されました。

詳細については、「MDM の登録と管理の新機能」を参照してください。

OS のアンインストール期間

OS のアンインストール期間は、ユーザーが、必要に応じて、Windows 10 の更新プログラムをロールバックできる期間です。このリリースでは、管理者は Intune または DISM を使用して、OS のアンインストール期間の長さをカスタマイズできます。

Microsoft Entra ID結合を一括で行う

Windows Configuration Designerの新しいウィザードを使用して、デバイスを Entra ID に登録するためのプロビジョニングパッケージを作成できます。 Entra ID の一括参加は、デスクトップ、モバイル、キオスク、Surface Hub ウィザードで利用できます。

Windows スポットライト

以下の新しいグループポリシーとモバイルデバイス管理 (MDM) の設定が、Windows スポットライトのユーザーエクスペリエンスの構成を容易にするために追加されました。

アクションセンターで Windows スポットライトをオフにする
エクスペリエンスのカスタマイズに診断データを使わない
[Windows へようこそ] エクスペリエンスをオフにする

詳細については、「ロック画面の Windows スポットライトを構成する」を参照してください。

スタート画面とタスクバーのレイアウト

以前は、カスタマイズされたタスクバーは、グループポリシーまたはプロビジョニングパッケージを使用してのみ展開することができました。 Windows 10 Enterprise LTSC 2019 では、カスタマイズされたタスクバーのサポートが MDM に追加されました。

スタート画面とタスクバーのレイアウトに使用できる MDM ポリシー設定は他にもあります。新しい MDM ポリシー設定は次のとおりです。

[ユーザー] タイルの設定: Start/HideUserTile、 Start/HideSwitchAccount、 Start/HideSignOut、 Start/HideLock、 Start/HideChangeAccountSettings
Power の設定: Start/HidePowerButton、 Start/HideHibernate、 Start/HideRestart、 Start/HideShutDown、 Start/HideSleep
その他の新しい設定: Start/HideFrequentlyUsedApps、 Start/HideRecentlyAddedApps、 AllowPinnedFolder、 ImportEdgeAssets、 Start/HideRecentJumplists、 Start/NoPinningToTaskbar、 Settings/PageVisibilityList、 Start/HideAppsList。

Windows Update

Windows Insider for Business

最近、Microsoft Entra ID Windows 10企業の資格情報を使用して Insider Preview ビルドをダウンロードするオプションを追加しました。 Entra ID にデバイスを登録すると、特に特定のビジネスニーズをサポートする機能に関して、organizationでユーザーが送信したフィードバックの可視性が向上します。詳しくは、「Windows Insider Program for Business」を参照してください。

これで、Entra ID ドメインを Windows Insider Program に登録できるようになりました。詳細については、「Windows Insider Program for Business」を参照してください。

更新プログラムの配信の最適化

Windows 10 Enterprise LTSC 2019 で配信された変更により、高速更新プログラムが構成マネージャーで完全にサポートされます。また、この新機能を実装したその他のサードパーティ製の更新と管理のための製品でもサポートされます。このサポートは、現在の Windows Update、Windows Update for Business、WSUS へのエクスプレスサポートに追加されます。

注

上記の変更は、2017 年 4 月の累積的な更新プログラムをインストールすることによって、Windows 10 バージョン 1607 で利用できるようになります。

配信の最適化のポリシーを使用して、さまざまなシナリオでより正確に制御する、その他の制限を構成できるようになりました。

追加されたポリシーを以下に示します。

詳細については、「Windows Update の配信の最適化を構成する」を参照してください。

アンインストールされたインボックスアプリは自動的に再インストールされません

Windows 10 Enterprise LTSC 2019 以降では、ユーザーがアンインストールしたインボックスアプリは、機能更新プログラムのインストールプロセスの一環として自動的に再インストールされません。

さらに、Windows 10 Enterprise LTSC 2019 を実行する PC では、管理者によってプロビジョニングが解除されたアプリは、今後の機能更新プログラムのインストール後もプロビジョニングが解除されたままとなります。この動作は、Windows 10 Enterprise LTSC 2016 (以前) から Windows 10 Enterprise LTSC 2019 への更新には適用されません。

管理

新しい MDM 機能

Windows 10 Enterprise LTSC 2019 では、多く新しい構成サービスプロバイダー (CSP) が追加されました。これらの構成サービスプロバイダーは、MDM またはプロビジョニングパッケージを使用して Windows 10 デバイスを管理するための新機能を提供します。特に、これらの CSP を使用すると、数百の最も役に立つグループポリシー設定を MDM 経由で構成できます。詳細については、「ポリシー CSP - ADMX ベースのポリシー」を参照してください。

その他の新しい CSP の一部を以下に示します。

DynamicManagement CSP を使用すると、場所、ネットワーク、または時間に応じて、異なる方法でデバイスを管理することができます。たとえば、管理対象デバイスでは、職場でカメラを無効にしたり、ローミング料金を回避するために国/地域外で携帯ネットワークサービスを無効にしたり、デバイスが企業の建物内やキャンパス内にない場合にワイヤレスネットワークを無効にしたりできます。いったん構成すると、場所やネットワークが変更されてデバイスが管理サーバーに到達できない場合でも、これらの設定が実施されます。動的管理 CSP を使用すると、変更が発生する条件を設定するだけでなく、デバイスを管理する方法を変更するポリシーを構成できます。
CleanPC CSP を使用すると、ユーザーデータを保持するためのオプションを使用して、ユーザーがインストールしたアプリケーションとプレインストール済みのアプリケーションを削除できます。
BitLocker CSP は、PC およびデバイスの暗号化を管理するために使用します。たとえば、モバイルデバイスのメモリカードの暗号化が必要な場合や、オペレーティングシステムのドライブの暗号化が必要な場合があります。
NetworkProxy CSP は、イーサネットと Wi-Fi 接続に対してプロキシサーバーを構成するために使用します。
Office CSP を使用すると、Microsoft Office クライアントを、Office 展開ツールを使用して、デバイスにインストールできます。詳細については、「Office 展開ツールの構成オプション」を参照してください。
EnterpriseAppVManagement CSP は、Windows 10 PC (Enterprise エディションおよび Education エディション) 内の仮想アプリケーションを管理するために使用され、MDM によって管理されている場合でも、App-V でシーケンス処理されたアプリを PC にストリームできます。

詳細については、「モバイルデバイスの登録と管理の新機能」を参照してください。

MDM が拡張され、ドメイン参加済みデバイスとMicrosoft Entra ID登録が含まれます。 Active Directory に参加しているデバイスでグループポリシーを使用することで、MDM への自動登録をトリガーできます。詳しくは、グループポリシーを使用した Windows 10 デバイスの自動登録に関するページをご覧ください。

複数の新しい構成項目も追加されています。詳細については、「MDM の登録と管理の新機能」を参照してください。

Windows 10 に対するモバイルアプリケーション管理のサポート

モバイルアプリケーション管理 (MAM) の Windows バージョンは、個人のデバイスで企業データへのアクセスとセキュリティを管理するための軽量なソリューションです。 MAM サポートは、Windows 10 Enterprise LTSC 2019 以降、Windows 情報保護 (WIP) に加えて Windows に組み込まれます。

詳細については、「モバイルアプリケーション管理のサーバー側サポートを Windows に実装する」を参照してください。

MDM 診断

Windows 10 Enterprise LTSC 2019 では、最新の管理の診断エクスペリエンスを改善する取り組みを継続しています。モバイルデバイスの自動ログを導入することで、Windows は、MDM でエラーを検出したときに自動的にログを収集します。これにより、メモリに制約のあるデバイスに対して常時ログを行う必要性がなくなります。さらに、Microsoft Message Analyzer を別のツールとして導入して、サポート担当者が迅速に問題を分析して根本原因を見つけるのを助け、時間とコストを節約します。

Windows 向けの Application Virtualization (App-V)

Microsoft Application Virtualization Sequencer (App-V Sequencer) の以前のバージョンでは、シーケンス処理環境を手動で作成する必要がありました。 Windows 10 Enterprise LTSC 2019 では、2 つの新しい PowerShell コマンドレットである、New-AppVSequencerVM と Connect-AppvSequencerVM が導入されました。これらは、仮想マシンのプロビジョニングを含む、ユーザーのシーケンス処理環境を自動的に作成します。さらに、App-V Sequencer が更新され、複数のアプリを同時にシーケンスまたは更新しながら、カスタマイズを App-V プロジェクトテンプレート (.appvt) ファイルとして自動的にキャプチャおよび保存し、PowerShell またはグループポリシー設定を使用して、デバイスの再起動後に未公開のパッケージを自動的にクリーンアップできます。

詳細については、次の記事を参照してください。

Windows 診断データ

"基本" レベルで収集される診断データと "完全" レベルで収集されるデータの種類の一部の例については、以下を参照してください。

グループポリシースプレッドシート

Windows 10 Enterprise LTSC 2019 に追加された新しいグループポリシーについては、以下を参照してください。

Windows および Windows Server のグループポリシー設定のリファレンス

Mixed Reality アプリ

このバージョンの Windows 10 では、Windows Mixed Reality が導入されました。 WSUS を使用している組織で Windows Mixed Reality を有効にするには、そのための対応が必要になります。また、Mixed Reality ポータルのインストールをブロックすることで、Windows Mixed Reality の使用を禁止することもできます。詳細については、「企業で Windows Mixed Reality アプリを有効化またはブロックする」を参照してください。

ネットワーク

ネットワークスタック

このリリースでは、いくつかのネットワークスタック拡張機能が利用できます。これらの機能の一部は、Windows 10 バージョン 1703 でも利用できました。詳細については、「Creators Update for Windows 10 の主要ネットワークスタック機能」を参照してください。

Miracast over Infrastructure

このバージョンの Windows 10 では、Microsoft はダイレクトワイヤレスリンク経由ではなく、ローカルネットワーク経由で Miracast ストリームを送信できるように機能を拡張しました。この機能は Miracast over Infrastructure Connection Establishment Protocol (MS-MICE) に基づいています。

動作のしくみ

ユーザーは、従来どおり、Miracast レシーバーに接続しようとします。 Miracast レシーバーの一覧が作成されると、Windows 10 はレシーバーがインフラストラクチャ経由での接続をサポートできるかどうかを識別します。ユーザーが Miracast レシーバーを選択すると、Windows 10 は標準的な DNS、およびマルチキャスト DNS (mDNS) によってデバイスのホスト名を解決しようとします。名前が DNS のいずれかの方法で解決できない場合、Windows 10 は、標準的な Wi-Fi Direct 接続を使用した Miracast セッションの確立にフォールバックします。

Miracast over Infrastructure は多くのメリットを提供します。

Windows では、このパスでのビデオストリームの送信が適用可能なタイミングを自動的に検出します。
Windows では、イーサネットネットワークまたはセキュリティで保護された Wi-Fi ネットワークを介して接続されている場合にのみ、このルートを選択します。
ユーザーは、Miracast レシーバーに接続する方法を変更する必要はありません。標準の Miracast 接続の場合と同じ UX を使用します。
現在のワイヤレスドライバーまたは PC のハードウェアを変更する必要はありません。
Miracast over Wi-Fi Direct 用に最適化されていない以前のワイヤレスハードウェアで正常に動作します。
既存の接続を利用することで、接続にかかる時間が短縮され、安定したストリームが提供されます。

Miracast over Infrastructure の有効化

Windows 10 Enterprise LTSC 2019 に更新済みのデバイスがある場合、自動的にこの新しい機能が含まれています。その機能を自分の環境で最大限に活用するには、展開環境が次の条件を満たしていることを確認する必要があります。

デバイス (PC、または Surface Hub) は、Windows 10 バージョン 1703、Windows 10 Enterprise LTSC 2019 以降の OS を実行している必要があります。
Windows PC や Surface Hub は、Miracast over Infrastructure レシーバーとして使用できます。 Windows デバイスは、Miracast over Infrastructure ソースとして使用できます。
- Miracast レシーバーとして、PC や Surface Hub は、イーサネットまたはセキュリティで保護された Wi-Fi 接続で企業ネットワークに接続されている必要があります。たとえば、WPA2-PSK と WPA2-Enterprise セキュリティのいずれかを使用します。開いている Wi‑Fi 接続にハブが接続されている場合、Miracast インフラストラクチャはそれ自体を無効にします。
- Miracast ソースとして、デバイスはイーサネットまたはセキュリティで保護された Wi‑Fi 接続で同じ企業ネットワークに接続されている必要があります。
デバイスの DNS ホスト名 (デバイス名) が、DNS サーバーによって解決できる必要があります。この構成を実現するには、デバイスが動的 DNS によって自動的に登録することを許可するか、デバイスのホスト名の A または AAAA レコードを手動で作成します。
Windows 10 PC はイーサネットまたはセキュリティで保護された Wi‑Fi 接続で同じ企業ネットワークに接続されている必要があります。

重要

Miracast over Infrastructure は、標準の Miracast の代わりになるものではありません。むしろこの機能は補完的なものであり、企業ネットワークに接続しているユーザーにメリットをもたらします。特定の場所でゲストである場合や、企業ネットワークへのアクセス権がない場合は、引き続き Wi-Fi Direct の接続方法を使用して接続します。

レジストリエディターの機能強化

入力時に表示されるドロップダウンを追加しました。これは、パスの次の部分を完了するのに役立ちます。 Ctrl + Backspace キーを押して最後の単語を削除し、Ctrl + Delete キーを押して次の単語を削除することもできます。

パス補完の一覧を示すWindows 10のレジストリエディターのスクリーンショット。

生体認証を使用したリモートデスクトップ

Windows Hello for Businessを使用するMicrosoft Entra IDおよび Active Directory ユーザーは、生体認証を使用してリモートデスクトップセッションに対する認証を行うことができます。

開始するには、Windows Hello for Business を使用してデバイスにサインインします。 リモートデスクトップ接続 (mstsc.exe) を表示し、接続先のコンピューターの名前を入力し、[接続] を選択します。

Windows では、ユーザーが Windows Hello for Business を使用して署名したことが記憶されるので、RDP セッションに対する認証を行うために自動的に Windows Hello for Business を選択します。 [その他] を選択して別の資格情報を選択することもできます。
Windows は顔認識を使用して Windows Server 2016 Hyper-V サーバーに対して RDP セッションを認証します。リモートセッションで Windows Hello for Business を引き続き使用することはできますが、PIN を使用する必要があります。

次に例を示します。

資格情報を入力します。 Provide 資格情報。 Windows Hello。