Windows 10 Enterprise LTSC 2015 の新機能
適用対象
- Windows 10 Enterprise LTSC 2015
この記事では、WINDOWS 10 ENTERPRISE LTSC 2015 (LTSB) の IT 担当者が関心を持つ新機能と更新された機能とコンテンツの一覧を示します。 LTSC サービス チャネルの簡単な説明については、「WINDOWS 10 ENTERPRISE LTSC」を参照してください。
展開
Windows イメージングおよび構成デザイナー (ICD) を使用するプロビジョニング デバイス
Windows 10 では、新しいイメージをインストールすることなく、すばやく効率的にデバイスを構成できるプロビジョニング パッケージを作成できます。 Windows プロビジョニングを使用する IT 管理者は、ウィザード駆動型ユーザー インターフェイスを使用して管理にデバイスを登録するために必要な構成と設定を簡単に指定し、この構成をターゲット デバイスに数分で適用できます。 およそ数十から数百台のパソコンを配置している中小企業に最適です。
セキュリティ
AppLocker
AppLocker はWindows 8.1で使用でき、Windows 10で改善されました。 オペレーティング システムの要件の一覧については、「 AppLocker を使用するための 要件」を参照してください。
Windows 10での AppLocker の機能強化は次のとおりです。
- 新しいパラメーターが新 AppLocker ポリシー Windows PowerShell cmdlet へ追加され、実行可能ファイルおよび DLL ルールコレクションが非対話型プロセスに適用するかを選択することができます。 このパラメーターを有効にするには、ServiceEnforcement を Enabled に設定します。
- MDM サーバーを使用して AppLocker ルールを有効にできるように、新しい AppLocker 構成サービス プロバイダーが追加されました。
組織内で AppLocker を管理する方法をご確認ください。
BitLocker
Windows 10での AppLocker の機能強化は次のとおりです。
- Azure Active Directory を使ったデバイスの暗号化と回復。 Microsoft アカウントを使うことに加えて、自動的な デバイスの暗号化 によって、Azure Active Directory ドメインに参加しているデバイスを暗号化できるようになりました。 デバイスを暗号化すると、BitLocker 回復キーが自動的に Azure Active Directory にエスクローされます。 このエスクローにより、BitLocker キーをオンラインで容易に回復できます。
- DMA ポートの保護。 デバイスを起動するときに、 DataProtection/AllowDirectMemoryAccess MDM ポリシーを使って DMA ポートをブロックすることができます。 また、デバイスがロックされたときに、すべての未使用の DMA ポートは無効になりますが、DMA ポートに既に接続されているデバイスは引き続き機能します。 デバイスのロックが解除されると、すべての DMA ポートが再び有効になります。
- プリブート回復を設定するための新しいグループ ポリシー。 プリブート回復メッセージを構成し、プリブート回復画面に表示される URL を回復できるようになりました。 詳しくは、「BitLocker グループ ポリシー設定」の「プリブート回復メッセージと URL を構成する」セクションをご覧ください。
組織内で BitLocker を展開および管理する方法をご確認ください。
証明書の管理
Windows 10 をベースにしたデバイスについては、エンタープライズ内のWindows Hello for Business 有効化の証明書を含めたSimple Certificate Enrollment Protocol(SCEP)を使った登録に加えて、MDM サーバーを使ってPersonal Information Exchange (PFX) を使うクライアント認証証明書を直接配置することができます。 MDM を使って証明書の登録、更新、および削除ができるようになります。
Microsoft Passport
Windows 10 では、Microsoft Passport によりパスワードが、強固な 2 要素認証に置き換えられます。この認証は、登録済みのデバイスと、Windows Hello (生体認証) または PIN から構成されます。
Microsoft Passport では、Microsoft アカウント、Active Directory アカウント、Microsoft Azure Active Directory (AD) アカウント、または、 Fast ID Online (FIDO) 認証をサポートする Microsoft 以外のサービスでユーザーが認証できます。 Microsoft Passport の登録時の 2 段階の初期検証の後、Microsoft Passport が、ユーザーのデバイスにセットアップされ、ユーザーがジェスチャ (Windows Hello または PIN) を設定します。 ユーザーは、身元を確認するジェスチャを提供します。次に、Windows が Microsoft Passport を使ってユーザーを認証し、ユーザーが保護されたリソースやサービスにアクセスできるようにします。
セキュリティ監査
Windows 10 では、セキュリティ監査は次の点で改善されました。
新しい監査サブカテゴリ
Windows 10 では、"監査ポリシーの詳細な構成" に、2 つの新しい監査サブカテゴリが追加され、監査イベントをより細かく管理できます。
- グループ メンバーシップの監査: ログ オン/ログ オフ監査カテゴリにある "グループ メンバーシップの監査" サブカテゴリを使用すると、ユーザーのログ オン トークン内のグループ メンバーシップ情報を監査できます。 このサブカテゴリのイベントは、サインイン セッションが作成された PC 上で、グループのメンバーシップが列挙または照会されたときに生成されます。 対話型ログオンの場合は、ユーザーがログオンしている PC でセキュリティ監査イベントが生成されます。 ネットワーク上の共有フォルダーへのアクセスなどのネットワーク ログオンの場合は、リソースをホストしている PC でセキュリティ監査イベントが生成されます。 この設定を構成すると、成功した各サインインについて、1 つ以上のセキュリティ監査イベントが生成されます。 [詳細な監査ポリシーの構成]\[システム監査ポリシー]\[ログオン/ログオフ] の [監査ログオン] 設定も有効にする必要があります。 グループ メンバーシップ情報が 1 つのセキュリティ監査イベントに収まらない場合は、複数のイベントが生成されます。
- PNP アクティビティの監査: "詳細追跡" カテゴリにある "PNP アクティビティの監査" サブカテゴリを使用すると、プラグ アンド プレイによる外部デバイスの検出を監査できます。 このカテゴリでは、成功の監査のみが記録されます。 このポリシー設定を構成しない場合、プラグ アンド プレイによって外部デバイスが検出されたときに監査イベントは生成されません。 PnP 監査イベントは、システム ハードウェアの変更を追跡するために使用でき、変更が行われた PC でログに記録されます。 イベントには、ハードウェア ベンダー ID の一覧が含まれています。
既存の監査イベントに追加された詳細情報
Windows 10 バージョン 1507 では、既存の監査イベントに詳細情報が追加され、完全な監査証跡をまとめて、お客様の会社を保護するために必要な情報を容易に準備できるようになりました。 次の監査イベントが強化されました。
- カーネルの既定の監査ポリシーの変更
- LSASS.exe への既定のプロセスの SACL の追加
- ログオン イベントの新しいフィールドの追加
- プロセス作成イベントの新しいフィールドの追加
- 新しいセキュリティ アカウント マネージャー イベントの追加
- 新しい BCD イベントの追加
- 新しい PNP イベントの追加
カーネルの既定の監査ポリシーの変更
以前のリリースでは、カーネルはローカル セキュリティ機関 (LSA) に依存して、一部のイベントの情報を取得しました。 Windows 10 では、実際の監査ポリシーを LSA から受け取るまで、プロセス作成イベントの監査ポリシーは自動的に有効になっています。 この設定により、LSA が開始する前に開始するサービスの監査が向上しています。
LSASS.exe への既定のプロセスの SACL の追加
Windows 10 では、既定プロセス SACL が LSASS.exe に追加され、LSASS.exe へのアクセスを試行するプロセスがログに記録されます。 SACL は L"S:(AU;SAFA;0x0010;;;WD)" です。 このプロセスは、 高度な監査ポリシー構成\オブジェクト アクセス\監査カーネル オブジェクトで有効にすることができます。
このプロセスを有効にすると、プロセスのメモリから資格情報を盗む攻撃を特定するのに役立ちます。
サインイン イベントの新しいフィールド
サインイン イベント ID 4624 が更新され、分析を容易にするために、より詳細な情報が含まれるようになりました。 次のフィールドがイベント 4624 に追加されました。
- MachineLogon 文字列: はいまたはいいえ PC にサインインしたアカウントがコンピューター アカウントの場合、このフィールドは [はい] になります。 それ以外の場合、このフィールドは no です。
- ElevatedToken 文字列: はいまたはいいえ アカウントが "管理サインイン" メソッドを使用して PC にサインインした場合、このフィールドははいになります。 それ以外の場合、このフィールドは no です。 さらに、このフィールドが分割トークンの一部である場合は、リンクされたサインイン ID (LSAP_LOGON_SESSION) も表示されます。
- TargetOutboundUserName 文字列。TargetOutboundUserDomain 文字列。送信トラフィック用に LogonUser メソッドによって作成された ID のユーザー名とドメイン。
- VirtualAccount 文字列: yes または no。PC にログオンしているアカウントが仮想アカウントである場合、このフィールドは yes になります。 それ以外の場合、このフィールドは no です。
- GroupMembership 文字列。ユーザーのトークンに含まれるすべてのグループの一覧。
- RestrictedAdminMode 文字列: yes または no。ユーザーがリモート デスクトップを使って制限付き管理モードで PC にログオンしている場合、このフィールドは yes になります。 制限付き管理モードについて詳しくは、 RDP の制限付き管理モードに関するページをご覧ください。
プロセス作成イベントの新しいフィールド
サインイン イベント ID 4688 が更新され、分析を容易にするために、より詳細な情報が含まれるようになりました。 次のフィールドがイベント 4688 に追加されました。
- TargetUserSid 文字列。対象プリンシパルの SID です。
- TargetUserName 文字列。対象ユーザーのアカウント名。
- TargetDomainName String ターゲット ユーザーのドメイン。
- TargetLogonId 文字列。対象ユーザーのサインイン ID。
- ParentProcessName 文字列。作成元プロセスの名前。
- ParentProcessId 文字列。作成元プロセスと異なる場合、実際の親プロセスへのポインター。
新しいセキュリティ アカウント マネージャー イベント
Windows 10 では、読み取り/クエリ操作を実行する SAM API に対応するために、新しい SAM イベントが追加されました。 以前のバージョンの Windows では、書き込み操作のみが監査の対象でした。 新しいイベントは、イベント ID 4798 とイベント ID 4799 です。 次の API がサポートされるようになりました。
- SamrEnumerateGroupsInDomain
- SamrEnumerateUsersInDomain
- SamrEnumerateAliasesInDomain
- SamrGetAliasMembership
- SamrLookupNamesInDomain
- SamrLookupIdsInDomain
- SamrQueryInformationUser
- SamrQueryInformationGroup
- SamrQueryInformationUserAlias
- SamrGetMembersInGroup
- SamrGetMembersInAlias
- SamrGetUserDomainPasswordInformation
新しい BCD イベント
ブート構成データベース (BCD) に対する以下の変更を追跡するために、イベント ID 4826 が追加されました。
- DEP/NEX 設定
- テスト署名
- PCAT SB シミュレーション。
- デバッグ
- ブート デバッグ
- 整合性サービス
- Winload デバッグ メニューの無効化
新しい PNP イベント
プラグ アンド プレイを通じて外部デバイスが検出されたことを追跡するために、イベント ID 6416 が追加されました。 1 つの重要なシナリオは、ドメイン コントローラーなど、この種類の動作が予期されない重要度の高いコンピューターに、マルウェアを含む外部デバイスが挿入されたかどうかです。
organization内でセキュリティ監査ポリシーを管理する方法について説明します
トラステッド プラットフォーム モジュール
Windows 10の新しい TPM 機能
以下のセクションでは、Windows 10 の TPM の新機能や変更された機能について説明します。
- デバイス正常性構成証明
- Microsoft Passport のサポート
- Device Guard のサポート
- Credential Guard のサポート
デバイス正常性構成証明
デバイス正常性構成証明によって、企業は管理対象デバイスのハードウェアおよびソフトウェア コンポーネントに基づいて信頼を確立できます。 デバイス正常性構成証明を使って、管理対象のデバイスにセキュリティで保護されたリソースへのアクセスを許可または拒否する正常性構成証明サービスに照会するよう MDM サーバーを構成できます。 デバイスについて次のようなことを確認できます。
- データ実行防止がサポートされており、有効になっているか。
- BitLocker ドライブの暗号化はサポートされていますか? また、有効ですか?
- セキュア ブートがサポートされており、有効になっているか。
注
デバイスは、Windows 10 を実行している必要があり、TPM 2.0 以上をサポートしている必要があります。
組織内で TPM を展開および管理する方法をご確認ください。
ユーザー アカウント制御
ユーザー アカウント制御 (UAC) は、マルウェアによるコンピューター損傷を防いだり、適切に管理されたデスクトップ環境を組織が展開できるように支援します。
このような設定は、Windows 10を実行しているデバイスをサポートしていないため、UAC をオフにしないでください。 UAC をオフにすると、すべてのユニバーサル Windows プラットフォーム アプリは動作を停止します。 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA レジストリ値は常に 1 に設定する必要があります。 プログラムによるアクセスまたはインストールの自動昇格を指定する必要がある場合は、UAC スライダーの [通知なし] の設定と同じ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin レジストリ値を 0 に設定できます。 この設定は、Windows 10 を実行しているデバイスにはお勧めしません。
UAC の管理方法の詳細については、「UAC グループ ポリシー設定」と「レジストリ キー設定」を参照してください。
Windows 10では、ユーザー アカウント制御によっていくつかの機能強化が追加されました。
- マルウェア対策スキャン インターフェイスとの統合 (AMSI)。 AMSI はすべてのマルウェアに対する UAC 昇格リクエストをスキャンします。 マルウェアが検出されると、管理者特権はブロックされます。
組織内のユーザー アカウント制御の管理方法をご確認ください。
VPN プロファイル オプション
Windows 10 には、企業のセキュリティを強化すると同時にユーザー エクスペリエンスを改善する、次のような一連の VPN 機能が備わっています。
- 常時有効な自動接続動作
- アプリ トリガー VPN
- VPN トラフィック フィルター
- ロックダウン VPN
- Microsoft Passport for Work との統合
Windows 10 の VPN オプションについてご確認ください。
管理
Windows 10 では、PC、ノート PC、タブレット、および電話の一貫性のあるモバイル デバイス管理 (MDM) 機能が提供されているため、企業が所有するデバイスと個人用デバイスのエンタープライズ レベルの管理が実現されます。
MDM サポート
Windows 10 の MDM ポリシーは、Windows 8.1 でサポートされているポリシーと整合しており、Microsoft Azure Active Directory (Azure AD) アカウントを持つ複数のユーザーの管理、Microsoft Store に対する完全なコントロール、VPN の構成など、さらに多くのエンタープライズ シナリオに対応するよう拡張されています。
Windows 10 での MDM サポートは、Open Mobile Alliance (OMA)Device Management (DM) プロトコル 1.2.1 の仕様に基づいています。
企業が所有するデバイスは、Azure AD を使用して自動的に企業に登録できます。 Windows 10 のモバイル デバイス管理の参照
登録解除
ユーザーが組織を辞め、そのユーザー アカウントやデバイスが管理から登録解除されると、企業が管理する構成とアプリがデバイスから削除されます。 リモートでデバイスを登録解除することも、ユーザーが手動でデバイスからアカウントを削除して登録解除することもできます。
個人用デバイスが登録解除されると、ユーザーのデータとアプリは、そのまま残りますが、証明書、VPN プロファイル、およびエンタープライズ アプリなどの企業の情報は削除されます。
インフラストラクチャ
企業には、次のような ID と管理の選択肢があります。
| 分野 | 選択肢 |
|---|---|
| ID | Active Directory; Azure AD |
| グループ化 | ドメインへの参加; ワークグループ; Azure AD への参加 |
| デバイス管理 | グループ ポリシー。Microsoft Configuration Manager。Microsoft Intune;その他の MDM ソリューション。Exchange ActiveSync。Windows PowerShell。Windows 管理インストルメンテーション (WMI) |
注:
Windows Server 2012 R2 のリリースに伴い、ネットワーク アクセス保護 (NAP) は推奨されなくなっており、NAP クライアントは Windows 10 では削除されています。 サポート ライフサイクルの詳細については、「 マイクロソフト サポート ライフサイクル」をご覧ください。
デバイスのロックダウン
1 種類の作業のみを実行できるコンピューターが必要ですか。 次に、例を示します。
- ロビーに置いてあり、顧客が製品カタログを表示するために使用できるデバイス。
- 自動車の運転時に地図上のルートを確認するために使用できるポータブル デバイス。
- 臨時の作業者がデータ入力に使用するデバイス。
キオスク タイプのデバイスの作成 を行うために、永続的なロックダウン状態を設定することができます。 ロックダウンされたアカウントにログオンすると、選択したアプリのみがデバイスに表示されます。
特定のユーザー アカウントにログオンしたときに有効になるロックダウン状態を設定 することもできます。 ロックダウンにより、ユーザーが使用できるアプリは、管理者が指定したもののみに制限されます。
ロックダウンの設定は、テーマや スタート画面でのカスタム レイアウト など、デバイスの外観や操作感に関して設定することもできます。
スタート画面のレイアウト
複数のユーザーに共通するデバイスや、特定の用途向けにロックダウンされているデバイスに、標準のスタート画面のレイアウトを用意するために便利です。 Windows 10 バージョン 1511 で起動すれば、管理者は部分的にスタート画面レイアウトを設定できます。これにより、ユーザーがそれぞれタイル グループの作成およびカスタム設定ができる一方で、特定タイル グループにも適用されます。 スタート画面レイアウトをカスタム設定し、エキスポートする方法をご確認ください。
管理者は Windows Spotlight on the lock screen の使用を無効化するために、モバイル デバイス管理 (MDM) またはグループ ポリシーも使用できます。
アップデート
ビジネス向け Windows Update は、システムを直接 Microsoft Windows Update サービスへ接続することで、最新セキュリティ防御および Windows 機能など、組織内の Windows 10 ベースのデバイスを常に最新状態に保ち、情報テクノロジー管理を実現します。
グループ ポリシー オブジェクトを使って、Windows Update for Businesse はシステムを簡単に確立し実装することができ、組織および管理者は、以下の機能によって Windows 10 ベースのデバイスの更新方法を制御できます。
展開および検証グループ。管理者は、更新が可能になったとき、どのデバイスを最初に更新し、どのデバイスを後で更新するかを指定できます (品質基準を満たすため)。
ピア ツー ピア配信。管理者は、帯域幅が制限されたブランチ オフィスとリモート サイトに更新プログラムを効率的に配信できます。
Microsoft Intuneや Enterprise Mobility Suite などの既存のツールで使用します。
これらの Windows Update for Business の機能を組み合わせることで、デバイス管理コストを削減し、更新プログラムの展開を制御し、セキュリティ更新プログラムにすばやくアクセスし、Microsoft から継続的に最新の革新的機能を入手するのに役立ちます。 Windows Update for Business は、Windows 10 Pro、Enterprise、Education のすべてのエディション向けの無料サービスであり、Windows Server Update Services (WSUS) や Microsoft などの既存のデバイス管理ソリューションとは独立して、または組み合わせて使用できますConfiguration Manager。
Windows Update for Business について詳しくは、こちらをご覧ください。
Windows 10 のアップデートに関する情報については、更新プログラムおよびアップグレードについてのWindows 10 サービス オプション をご覧ください。
Microsoft Edge
新しいクロムベースの Microsoft Edge は、Windows 10の LTSC リリースには含まれていません。 ただし、 ここでは個別にダウンロードしてインストールできます。
関連項目
Windows 10 Enterprise LTSC: 各リリースに関する情報へのリンクを含む LTSC サービス チャネルの説明。