エンタープライズ環境: 企業向けに Linux 用 Windows サブシステムを設定する

管理者またはマネージャーという立場で、すべての開発者に対して、同じ承認済みソフトウェアを使用することを必須にする場合があります。 このような一貫性があると、適切に定義された作業環境を作成するために役立ちます。 Linux 用 Windows サブシステムを使用すると、カスタムの WSL イメージをあるマシンから次のマシンにインポートおよびエクスポートできるので、この一貫性に役立ちます。 詳細については、以下のガイドを参照してください。

• カスタムの WSL イメージを作成する
• WSL イメージの配布
• Linux のディストリビューションとパッケージの更新およびパッチ
• エンタープライズのセキュリティと制御のオプション

カスタムの WSL イメージを作成する

一般に "イメージ" と呼ばれるものは、簡単に説明すると、ファイルに保存されたソフトウェアとそのコンポーネントのスナップショットです。 Linux 用 Windows サブシステムの場合、イメージは、サブシステム、そのディストリビューション、そのディストリビューションにインストールされているすべてのソフトウェアとパッケージで構成されます。

WSL イメージの作成を開始するには、まず Linux 用 Windows サブシステムをインストールします。

インストールしたら、ビジネス向け Microsoft Store を使用して適切な Linux ディストリビューションをダウンロードし、インストールします。 ビジネス向け Microsoft Storeを使用してアカウントを作成します。

WSL イメージのエクスポート

カスタムの WSL イメージをエクスポートするには、wsl --export <Distro> <FileName> を実行します。これにより、イメージは tar ファイルにラップされ、他のマシンに配布できるようになります。

WSL イメージの配布

共有デバイスまたはストレージ デバイスから WSL イメージを配布するには、wsl --import <Distro> <InstallLocation> <FileName> を実行します。これにより、指定した tar ファイルが新しい配布としてインポートされます。

Linux のディストリビューションとパッケージの更新およびパッチ

Linux ユーザー領域の監視と管理には、Linux 構成マネージャー ツールを使用することを強くお勧めします。 選択できる Linux 構成マネージャーは多数あります。 WSL 2 に Puppet をインストールする方法については、このブログ投稿を参照してください。

エンタープライズのセキュリティと制御のオプション

現在、WSL には、エンタープライズ シナリオでのユーザー エクスペリエンスの変更について限られた制御メカニズムが用意されています。 エンタープライズ機能は現在も開発中ですが、サポートされている機能とサポートされていない機能の領域を次に示します。 この一覧に含まれていない新機能をリクエストするには、GitHub リポジトリで問題を報告してください。

WSL ファイアウォール規則の構成

Microsoft では、セキュリティを維持し、ローカル デバイスとの間で送受信される未承認のネットワーク トラフィックをブロックするために Windows によって使用されるファイアウォール プロトコルを実装しています。 ネットワーク内のデバイスの保護を最適化するには、 ベスト プラクティスに基づいて Windows ファイアウォールを構成します。

WSL に関して、 ローカル ポリシーのマージ ファイアウォール ポリシーが "いいえ" に設定されている場合、WSL ネットワークは機能しません。 (詳細については、「 ローカル ポリシーのマージとアプリケーション ルールの確立」を参照してください)。

この構成を変更するには、Windows ファイアウォール設定に次を追加します。

• アクション許可、方向受信、プロトコル UDP、LocalPort 53、プログラム: %Systemroot%\System32\svchost.exe、サービス SharedAccess

また、 WSL には、職場のコンピューターまたはエンタープライズ環境にネットワーク接続がありません。

サポートされています

• wsl --import と wsl --export を使用して承認済みのイメージを内部で共有する
• WSL Distro Launcher リポジトリを使用して自社向けに独自の WSL ディストリビューションを作成する

まだサポートされていませんが、調査中である機能の一覧を次に示します。

現在はサポートされていません

WSL 内で現在サポートされていない、一般的な機能の一覧を次に示します。 Microsoft ではこれらの要求を把握しており、追加方法を調査しています。

• WSL 内のユーザーとホスト マシン上の Windows ユーザーとの同期
• Windows ツールを使用した Linux ディストリビューションとパッケージの更新とパッチの管理
• Windows Update を使用して WSL ディストリビューションのコンテンツも更新する
• 自社内のユーザーがアクセスできるディストリビューションの制御
• WSL 内での必須サービス (ログまたは監視) の実行
• SCCM や Intune などの Windows 構成マネージャー ツールを使用した Linux インスタンスの監視
• McAfee のサポート