Windows 10 Version 1809 の IT 担当者向けの新機能
適用対象: Windows 10 Version 1809
この記事では、Windows 10 Version 1809 の IT 担当者にとって重要な新機能と更新された機能について説明します。 この更新プログラムには、Windows 10 Version 1803 の以前の累積的な更新プログラムに含まれているすべての機能と修正プログラムも含まれています。
展開
Windows Autopilot の自己展開モード
Windows Autopilot の自己展開モードでは、ゼロ タッチ デバイスのプロビジョニング エクスペリエンスが実現されます。 デバイスの電源を入れ、イーサネットに接続するだけで、デバイスが Windows Autopilot によって自動的に完全構成されます。
この自己展開機能によって、展開プロセス中に [次へ] ボタンを押すことでエンド ユーザーが操作するという現在の必要性がなくなります。
Windows Autopilot の自己展開モードを利用してデバイスを Azure Active Directory テナントに登録し、組織の MDM プロバイダーに登録し、ポリシーとアプリケーションをプロビジョニングすることができます。すべてユーザー認証やユーザー操作は不要です。
Autopilot の自己展開モードの詳細、およびそのような展開を実行するための詳しい手順を確認するには、Windows Autopilot の自己展開モードに関するページをご覧ください。
SetupDiag
SetupDiag バージョン 1.4 がリリースされています。 SetupDiag は、Windows 10 のアップグレードが正常に行われない場合に問題をトラブルシューティングするために使用できるスタンドアロンの診断ツールです。
セキュリティ
ウイルス脅威保護の [現在の脅威] 領域に&引き続き取り組み、アクションが必要なすべての脅威が表示されるようになりました。 この画面から脅威に対してすばやく処置を実行できます。
フォルダー アクセスの制御によって、ランサムウェアやその他の破壊的なマルウェアが個人用ファイルを変更するのを防止できます。 場合によっては、通常使用するアプリが、[ドキュメント] や [ピクチャ] などの一般的なフォルダーに変更を行うことができないようにブロックされている可能性があります。 機能を完全に無効にすることなくデバイスを引き続き使用できるように、最近ブロックされたアプリを簡単に追加できるようにしました。
アプリがブロックされると、最近ブロックされたアプリの一覧に表示されます。この一覧は [ランサムウェア防止] 見出しの [設定の管理] をクリックすることで表示できます。 [Allow an app through Controlled folder access] (フォルダー アクセスの制御を通じてアプリを許可する) をクリックします。 指示に従って、+ ボタンをクリックし、[最近ブロックされたアプリ] を選択します。 いずれかのアプリを選択して許可リストに追加します。 このページからアプリを参照することもできます。
Windows タイム サービスの新しい評価を [ デバイス パフォーマンス & 正常性 ] セクションに追加しました。 デバイスの時間がタイム サーバーと正しく同期されておらず、時刻同期サービスが無効になっていることが検出された場合は、サービスをもう一度有効にするためのオプションが提供されます。
インストールしたその他のセキュリティ アプリが Windows セキュリティ アプリに表示される方法に関して作業を継続する予定です。 アプリの [設定] セクションに [セキュリティ プロバイダー] という新しいページがあります。 [プロバイダーの管理] をクリックして、デバイスで実行されているその他すべてのセキュリティ プロバイダー (ウイルス対策、ファイアウォール、Web 保護を含む) の一覧を表示します。 ここでは、プロバイダーのアプリを簡単に開いたり、Windows セキュリティで報告された問題を解決する方法に関する詳細情報を取得したりできます。
また、この機能により Windows セキュリティ内でその他のセキュリティ アプリへのリンクがさらに表示されます。 たとえば、[ ファイアウォール & ネットワーク保護 ] セクションを開くと、各ファイアウォールの種類 (ドメイン、プライベート、パブリック ネットワークを含む) の下に、デバイスで実行されているファイアウォール アプリが表示されます。
BitLocker
固定ドライブでのサイレントの適用
最新のデバイス管理 (MDM) ポリシーを使って、BitLocker を標準の Azure Active Directory (AAD) に参加しているユーザーに対して警告なしに有効にすることができます。 Windows 10 バージョン 1803 では、BitLocker の自動暗号化が標準の Azure AD ユーザーに対して有効になっていましたが、暗号化のこの効果には、ハードウェア セキュリティ テスト インターフェイス (HSTI) に合格した最新のハードウェアが依然として必要でした。 この新機能では、HSTI に合格していないデバイス上であっても、ポリシーを使用して BitLocker を有効します。
この新しい機能は BitLocker CSP の更新であり、Windows 10 Version 1703 で導入され、Intune などによって使用されています。
この機能は、オプション機能として株式会社オリンピアでまもなく有効になります。
OOBE 中の Autopilot デバイスへの BitLocker ポリシーの配信
BitLocker 暗号化対応デバイスでは、既定のアルゴリズムを使ってデバイスに自動的に自身を暗号化させるのではなく、デバイスに適用する暗号化アルゴリズムを選択することができます。 このオプションにより、BitLocker 暗号化の開始前に、暗号化アルゴリズム (および暗号化の前に適用する必要のあるその他の BitLocker ポリシー) を配信できます。
たとえば、XTS-AES 256 暗号化アルゴリズムを選択し、通常は OOBE 中に既定の XTS-AES 128 アルゴリズムで自動的に自身を暗号化するデバイスに適用することができます。
この設定を実現するには、次の操作を行います:
Windows 10 の Endpoint Protection プロファイルで暗号化方法の設定を構成して、目的の暗号化アルゴリズムを選択します。
Autopilot デバイス グループにポリシーを割り当てます。
重要
暗号化ポリシーは、ユーザーではなくグループ内のデバイスに割り当てる必要があります。
これらのデバイスについて、Autopilot の登録ステータス ページ (ESP) を有効にします。
重要
ESP が有効になっていないと、ポリシーは暗号化の開始前に適用されません。
詳細については、「Setting the BitLocker encryption algorithm for Autopilot devices (Autopilot デバイスに BitLocker 暗号化アルゴリズムを設定する)」を参照してください。
Windows Defender Application Guard の機能強化
このリリースでは、Windows Defender Application Guard (WDAG) で Windows セキュリティ内に新しいユーザー インターフェイスが導入されました。 スタンドアロン ユーザーは、レジストリ キー設定の変更を必要とせず、Windows セキュリティの Windows Defender Application Guard の設定をインストールして構成できるようになりました。
さらに、エンタープライズ ポリシーによって管理されているユーザーは、各自の設定を確認して管理者がコンピューターに構成した内容を見ることができるため、Windows Defender Application Guard の動作をよりよく理解できます。 この新しい UI により、ユーザーの Windows Defender Application Guard 設定を管理および確認しながら、ユーザーの全体的なエクスペリエンスが向上します。 デバイスが最小要件を満たしている限り、これらの設定は、Windows セキュリティに表示されます。 詳しくは、Windows セキュリティ アプリ内の Windows Defender Application Guard に関するページをご覧ください。
この設定管理を試すには、次の手順に従います:
Windows セキュリティに移動し、[アプリ & ブラウザー コントロール] を選択します。
[分離されたブラウズ] で、[Windows Defender Application Guard のインストール] を選択し、デバイスをインストールして再起動します。
[Application Guard の設定を変更します] を選択します。
Application Guard の設定を構成または確認します。
次の例を参照してください。
Windows セキュリティ センター
Windows Defender セキュリティ センターは Windows セキュリティ センターと呼ばれるようになりました。
いつもどおりの方法で引き続きアプリにアクセスできます。Windows セキュリティ センター (WSC) を開くか、タスクバー アイコンを操作するよう Cortana に指示します。 WSC では、Microsoft Defender ウイルス対策やWindows Defender ファイアウォールなど、すべてのセキュリティ ニーズを管理できます。
WSC サービスでは、保護されたプロセスとして実行するウイルス対策製品を登録する必要があります。 まだこの実行を実装していない製品は、Windows セキュリティ センターのユーザー インターフェイスに表示されず、Microsoft Defender ウイルス対策はこれらの製品と並列して引き続き有効になります。
WSC に、おなじみの Fluent Design System 要素が追加されました。 アプリの周囲のスペースとパディングが調整されていることもわかります。 追加の情報のためにさらに領域が必要な場合は、メイン ページのカテゴリが動的にサイズ変更されます。 [色] の設定でオプションを有効にしている場合、タイトル バーでアクセント カラーが使用されるように、タイトル バーも更新しました。
Windows Defender ファイアウォールでは、Windows Subsystem for Linux (WSL) プロセスをサポートするようになりました。
Windows Defender ファイアウォールに WSL プロセスの特定のルールを追加できます。これは、任意の Windows プロセスの場合と同様です。 また、Windows Defender ファイアウォールが WSL プロセスの通知をサポートするようになりました。 たとえば、Linux ツールで外部からのポートへのアクセスを許可する必要がある場合 (SSH または Nginx のような Web サーバーなど)、Windows Defender ファイアウォールは、ポートが接続の受け入れを開始したときに、Windows プロセスの場合と同様にアクセスを許可するためのメッセージを表示します。 このサポートは、ビルド 17627 で初めて導入されました。
Microsoft Edge のグループ ポリシー
Microsoft Edge を管理するための最新のデバイス管理の設定と新しいグループ ポリシーが導入されました。 新しいポリシーには、全画面表示モード、印刷、お気に入りバー、履歴の保存の有効化と無効化、証明書エラーのオーバーライドの禁止、[ホーム] ボタンとスタートアップ オプションの構成、[新しいタブ] ページと [ホーム] ボタンの URL の設定、拡張機能の管理が含まれています。 詳しくは、新しい Microsoft Edge ポリシーに関するページをご覧ください。
Azure Active Directory に参加している 10S デバイスで既定でサポートされる Windows Defender Credential Guard
Windows Defender Credential Guard は、Active Directory (AD) ドメインの資格情報がユーザーのコンピューターでマルウェアによって盗まれたり悪用されたりしないように資格情報を保護するために構築された Windows 10 のセキュリティ サービスです。 Pass-the-Hash や資格情報の収集などの、既知の脅威から保護するように設計されています。
Windows Defender Credential Guard は常にオプションの機能でしたが、コンピューターが Azure Active Directory に参加している場合、Windows 10-S はこの機能を既定で有効にします。 この機能により、通常 10-S デバイスに存在しないドメイン リソースに接続するときに、より高いレベルのセキュリティが提供されます。 Windows Defender Credential Guard は、S モードのデバイスまたは Enterprise と Education エディションでのみ利用可能です。
Windows 10 Pro S モードには、ネットワーク接続が必要です。
新しいデバイスをセットアップするには、ネットワーク接続が必要になりました。 その結果、Out Of Box Experience (OOBE) のネットワーク設定のページの [skip for now] (今はスキップする) オプションが削除されました。
Microsoft Defender for Endpoint
Microsoft Defender for Endpoint は、多くの新しい機能で強化されています。 詳しくは、次のトピックをご覧ください。
脅威の分析
脅威の分析は、新種の脅威と感染が特定されるとすぐに、Microsoft Defender for Endpoint リサーチ チームによって公開された対話型レポートのセットです。 レポートでは、セキュリティ オペレーション チームが各自の環境への影響を評価できるようにします。また、脅威を抑制し、組織の復元性を高め、特定の脅威を防止するための推奨されるアクションを提供します。カスタム検出
カスタム検出によって、疑わしい脅威または新たな脅威など、すべての種類の動作のイベントを監視するためのカスタム クエリを作成できます。 このクエリの作成は、カスタム検出ルールの作成によって高度な捜索機能を使用することにより実現されます。管理されているセキュリティ サービス プロバイダー (MSSP) のサポート
Microsoft Defender for Endpoint は、MSSP との統合によってこのシナリオのサポートを追加します。 この統合によって MSSP は次のアクションを実行することができます。MSSP のユーザーの Windows Defender セキュリティ センター ポータルにアクセスする、メール通知を取得する、セキュリティ情報とイベント管理 (SIEM) ツールによってアラートを取得する。Azure Defender との統合
Microsoft Defender for Endpoint は Azure Defender と統合され、包括的なサーバー保護ソリューションを提供します。 この統合 Azure Defender では、Microsoft Defender for Endpoint の機能を使用して、Windows サーバーの脅威検出を改善することができます。Microsoft Cloud App Security との統合
Microsoft Cloud App Security は、Microsoft Defender for Endpoint シグナルを使用して、すべての Microsoft Defender for Endpoint 監視対象コンピューターからのサポートされていないクラウド サービス (シャドーIT) の使用を含む、クラウド アプリケーションの使用状況を直接可視化します。Windows Server 2019 のオンボーディング
Microsoft Defender for Endpoint で、Windows Server 2019 のサポートが追加されるようになりました。 Windows 10 クライアント コンピューターで利用できるのと同じ方法で Windows Server 2019 をオンボードすることができます。以前のバージョンの Windows のオンボーディング
Microsoft Defender for Endpoint センサーにセンサー データを送信できるように、オンボードでサポートされている Windows コンピューターのバージョン。
クラウド クリップボード
クラウド クリップボードは、ユーザーがデバイス間でコンテンツをコピーするのに役立ちます。 また、クリップボードの履歴を管理して、コピーした古いデータを貼り付けることもできます。 クラウド クリップボードには、Windows + V キーを使用してアクセスできます。 クラウド クリップボードを設定する:
[Windows の設定] に移動し、[システム] を選択します。
左側のメニューで、[クリップボード] をクリックします。
[クリップボードの履歴] をオンにします。
[デバイス間で同期する] をオンにします。 コピーしたテキストをデバイス間で自動的に同期するかどうかを選択します。
キオスクのセットアップ エクスペリエンス
[設定] に、簡素化された割り当て済みアクセスの構成環境が導入され、これによりデバイスの管理者が PC をキオスクまたはデジタル サイネージとして簡単に設定することができます。 ウィザード エクスペリエンスにより、デバイスの起動時に自動的にサインインするキオスク アカウントの作成など、キオスクのセットアップを段階的に実行できます。
この機能を使用するには、[設定] に移動し、割り当てられたアクセスを探し、キオスクの設定ページを開きます。
シングル アプリの割り当てられたアクセスで実行される Microsoft Edge キオスク モードには 2 つのキオスクの種類があります。
デジタル / 対話型サイネージ: 特定の Web サイトを全画面表示し、InPrivate モードを実行します。
パブリック閲覧: 複数タブによる閲覧をサポートし、利用できる最小限の機能で InPrivate モードを実行します。 ユーザーは新しい Microsoft Edge ウィンドウを最小化したり、閉じたり、開いたりすることはできません。また、Microsoft Edge の設定を使用してカスタマイズすることはできません。 ユーザーは閲覧データとダウンロードをクリアし、[セッションの終了] をクリックして Microsoft Edge を再起動することができます。 管理者は、非アクティブの期間が一定の時間続いた後で Microsoft Edge が再起動するように構成できます。
複数アプリの割り当てられたアクセスで実行されている Microsoft Edge キオスク モードには、2 つのキオスクの種類があります。
注
次の Microsoft Edge キオスク モードの種類は、Windows 10 の設定の新しい簡素化された割り当て済みアクセスの構成ウィザードを使用して設定することはできません。
パブリック閲覧: 複数タブによる閲覧をサポートし、利用できる最小限の機能で InPrivate モードを実行します。 この構成では、Microsoft Edge は利用可能な多くのアプリのいずれかを指定できます。 ユーザーは、複数の InPrivate モード ウィンドウを閉じて開くことができます。
通常モード: Microsoft Edge の通常版を実行しますが、割り当てられたアクセスで構成されているアプリに応じて、一部の機能が動作しない可能性があります。 たとえば、Microsoft Store が設定されていない場合、ユーザーは書籍を取得できません。
詳しくは、Microsoft Edge キオスク モードに関するページをご覧ください。
レジストリ エディターの機能強化
パスの次の部分を完了するために役立つように入力時に表示されるドロップダウンを追加しました。 Ctrl + Backspace キーを押して最後の単語を削除し、Ctrl + Delete キーを押して次の単語を削除することもできます。
Windows 10 の共有 PC への迅速なサインイン
職場に共有されたデバイスが展開されている場合、 迅速なサインインにより、ユーザーは共有された Windows 10 PC に瞬時にサインインできます。
迅速なサインインを有効にするには、次の操作を行います。
Windows 10 Version 1809 で共有デバイスまたはゲスト デバイスをセットアップします。
Policy CSP、Authentication および EnableFastFirstSignIn ポリシーを設定し迅速なサインインを有効にします。
お使いのアカウントで共有 PC にサインインします。 違いにお気付きでしょう。
注
これはプライベート プレビュー機能であるため、運用環境での使用を目的としたものではなく、推奨もされません。 この設定は現時点ではサポートされていません。
Windows 10 への Web サインイン
重要
これはプライベート プレビュー機能であるため、運用環境での使用を目的としたものではなく、推奨もされません。 この設定は現時点ではサポートされていません。
これまで、Windows サインインは、ADFS または WS-Fed プロトコルをサポートするその他のプロバイダーにフェデレーションされている ID の使用のみをサポートしていました。 Microsoft では、Windows PC への新しいサインイン方法である Web サインイン を導入しています。 Web サインインは、Windows で利用できない資格情報による Windows へのサインインをサポートします。 Web サインインは、Azure AD の一時的なアクセス パスのみをサポートするように制限されます。
Web サインインを試すには、次の操作を行います。
お使いの Windows 10 PC を Azure AD に参加させます (Web サインインは Azure AD に参加している PC でのみサポートされます)。
ポリシー CSP と認証ポリシーと EnableWebSignIn ポリシーを設定して、Web サインインを有効にします。
ロック画面で、サインイン オプションの中から Web サインインを選択します。
[サインイン] ボタンをクリックして続行します。
注
これはプライベート プレビュー機能であるため、運用環境での使用を目的としたものではなく、推奨もされません。
スマホ同期アプリ
Android フォン ユーザーは、自分宛てに写真をメール送信する必要はもうありません。 同期電話を使うと、PC で Android の最新の写真にすばやくアクセスできます。 電話から PC に写真をドラッグ アンド ドロップし、写真のコピー、編集、または手書き入力ができます。 同期電話アプリを開いて試してみましょう。 Microsoft から電話にアプリをダウンロードするためのリンクを含むテキスト メッセージが送信されます。 非従量制課金ネットワークでイーサネットや Wi-Fi を使用する Android 7.0+ デバイスは同期電話アプリと互換性があります。 中国地域に関連付けられている PC では、同期電話アプリ サービスは、今後有効になります。
iPhone ユーザーの場合は、同期電話アプリは電話を PC にリンクするためにも役立ちます。 電話で Web を閲覧し、コンピューターに Web ページを瞬時に送信して、大画面のすべての利点を活用して読んだり、視聴したり、閲覧したりする作業を継続できます。
デスクトップの PIN によって直接同期電話アプリに移動し、電話のコンテンツにすばやくアクセスできます。 スタート画面のすべてのアプリの一覧を調べるか、または Windows キーを使用して同期電話を検索することもできます。
ワイヤレス プロジェクション エクスペリエンス
ご報告いただいたことの 1 つとして、いつワイヤレス プロジェクションを実行しているか、またエクスプローラーやアプリから起動したときにセッションを切断する方法がわかりづらいということがあります。 Windows 10 Version 1809 では、セッション内にいるときに画面の上部にコントロール バナーが表示されます (リモート デスクトップの使用時に表示されるのと同様です)。 バナーによって接続の状態を常に把握でき、すばやく切断したり、同じシンクに再接続したりすることができます。また、作業内容に基づいて接続を調整することができます。 この調整は [設定] で行います。これにより次の 3 つのモードのいずれかに基づいて画面間の待機時間が最適化されます。
- ゲーム モードは画面間の待機時間を最適化し、ワイヤレス接続経由でのゲームを可能にします
- ビデオ モードは画面間の待機時間を増やし、大画面でビデオがスムーズに再生されるようにします
- 生産性モードはゲーム モードとビデオ モードを両立させます。画面間の待機時間は入力が自然に感じられる程度に応答性がある一方で、ビデオのエラーが頻繁に発生しないようにします。
生体認証を使用したリモート デスクトップ
Windows Hello for Businessは、Windows Hello for Business コンテナーに展開された証明書を指定された資格情報として使用して、サーバーまたは別のデバイスへのリモート デスクトップ接続を確立することをサポートします。 この機能は、リモート デスクトップ プロトコルのリダイレクトされたスマート カード機能を利用します。 以前のバージョンのWindows 10を使用しているユーザーは、Windows Hello for Businessを使用してリモート デスクトップに対して認証できますが、認証ジェスチャとして PIN を使用することに制限されていました。 Windows 10 Version 1809では、ユーザーがWindows Hello for Business生体認証ジェスチャを使用してリモート デスクトップ セッションに対して認証する機能が導入されています。
証明書信頼モデルでWindows Hello for Businessを使用する Azure Active Directory ユーザーと Active Directory ユーザーは、生体認証を使用してリモート デスクトップ セッションに対する認証を行うことができます。
開始するには、Windows Hello for Business を使用してデバイスにサインインします。 リモート デスクトップ接続 (mstsc.exe) を起動し、接続先のデバイスの名前を入力して、[接続] を選択します。 Windows では、ユーザーが Windows Hello for Business を使用して署名したことが記憶されるので、RDP セッションに対する認証を行うために自動的に Windows Hello for Business を選択します。 [その他] を選択して別の資格情報を選択することもできます。 Windows では、生体認証を使用して、Windows デバイスへの RDP セッションを認証します。 リモート セッションでは引き続きWindows Hello for Businessを使用できますが、リモート セッションでは PIN を使用する必要があります。
次の例を参照してください。
