Windows 10 Enterprise LTSC 2021 の新機能

この記事では、IT プロフェッショナルの関心が高い Windows 10 Enterprise LTSC 2021 の新規および更新された機能とコンテンツを、Windows 10 Enterprise LTSC 2019 (LTSB) と比較して示します。 LTSC サービス チャネルと関連するサポートの簡単な説明については、「Windows 10 Enterprise LTSC」を参照してください。

Windows 10 Enterprise LTSC 2021 は、2021 年 11 月 16 日に初めて提供されました。 Windows 10 Enterprise LTSC 2021 の機能は、Windows 10 バージョン 21H2 と同等です。

LTSC リリースは、特殊用途デバイスを対象とします。 Windows 10の一般提供チャネル リリース用に設計されたアプリとツールによる LTSC のサポートが制限される場合があります。

Windows 10 Enterprise LTSC 2021 は Windows 10 Enterprise LTSC 2019 を基に構築され、最新のセキュリティ脅威に対する高度な保護、包括的なデバイス管理、アプリ管理、および制御機能などのプレミアム機能が追加されています。

Windows 10 Enterprise LTSC 2021リリースには、Windows 10 バージョン1903、1909、2004、21H1、および 21H2 で提供される累積的な拡張機能が含まれています。 これらの機能強化の詳細について、以下に示します。

ライフサイクル

重要

WINDOWS 10 ENTERPRISE LTSC 2021 には、5 年間のライフサイクルがあります。 (IoT Enterprise LTSC は引き続き 10 年間のライフサイクルを持ちます)。 したがって、LTSC 2021 リリースは、10 年間のライフサイクルを持つ LTSC 2019 の直接の置き換えではありません。

このリリースのライフサイクルの詳細については、「次のWindows 10長期サービス チャネル (LTSC) リリース」を参照してください。

ハードウェアのセキュリティ

System Guard

System Guard では、このバージョンの Windows で SMM ファームウェア測定という新しい機能を追加しました。 この機能は、System Guard セキュア起動 に基づいて構築され、デバイス上のシステム管理モード (SMM) ファームウェアが正常な状態で動作していることを確認します。具体的には、SMM コードが OS メモリとシークレットにアクセスできないようにします。

このリリースでは、Windows Defender System Guard を使用することで、システム管理モード (SMM)より高いレベルにすることが可能です。ファームウェア保護機能は、OS のメモリや秘密情報だけでなく、レジスタや IO などのその他のリソースまでチェックすることができます。

この機能が改善され、OS がより高いレベルの SMM コンプライアンスを検出することが可能です。これにより、デバイスが SMM の悪用や脆弱性に対してさらに強固になります。 プラットフォーム、基になるハードウェアとファームウェアに基づいて、SMM ファームウェア保護の 3 つのバージョン (1、2、3) があります。以降の各バージョンでは、前のバージョンよりも強力な保護が提供されます。

現在、SMM ファームウェア保護バージョン 1 と 2 を提供するデバイスが市場に存在しています。 [SMM ファームウェア保護バージョン 3] この機能は現在、将来を見越した機能であり、近日利用可能になる新しいハードウェアが必要です。

オペレーティング システムのセキュリティ

システムのセキュリティ

Windows セキュリティ アプリの機能強化で、保護の履歴が追加されました。これには、脅威と実行可能なアクションに関するわかりやすい詳細情報が含まれています。また、フォルダー アクセスの制御ブロックが、保護の履歴、Windows Defender オフライン スキャン ツール アクションのほか、保留中の推奨事項すべてに含まれるようになりました。

暗号化とデータ保護

BitLocker とモバイル デバイス管理 (MDM) とMicrosoft Entra ID連携して、誤ったパスワードの漏洩からデバイスを保護します。 新しいキーのローリング機能によって、MDM で管理されたデバイスで回復パスワードを安全に回転できるようになりました。 この機能は、BitLocker 保護されたドライブのロックを解除するために Microsoft Intune/MDM ツールまたは回復パスワードを使用するたびにアクティブになります。 その結果、ユーザーが BitLocker ドライブのロックを手動で解除したときに、回復パスワードの保護が強化されます。

ネットワークのセキュリティ

Windows Defender ファイアウォール

Windows Defender ファイアウォールには、次の利点があります。

リスクを軽減する: Windows Defender ファイアウォールは、IP アドレス、ポート、プログラム パスなど、多くのプロパティによるトラフィックを制限または許可するルールを持つデバイスの攻撃対象領域を減らします。 デバイスの攻撃表面を減らすと、管理性が向上し、攻撃が成功する可能性が低下します。

データの保護: 統合されたインターネット プロトコル セキュリティ (IPsec) を使用すると、Windows Defender ファイアウォールは、認証されたエンドツーエンドのネットワーク通信を適用する簡単な方法を提供します。 信頼できるネットワーク リソースへのスケーラブルで階層化されたアクセスを提供し、データの整合性を強制し、必要に応じてデータの機密性を保護します。

値の拡張: Windows Defender ファイアウォールは、オペレーティング システムに含まれるホスト ベースのファイアウォールなので、その他のハードウェアやソフトウェアは必要ありません。 Windows Defender ファイアウォールは、文書化されたアプリケーション プログラミング インターフェイス (API) を通じて既存の Microsoft 以外のネットワーク セキュリティ ソリューションを補完するようにも設計されています。

Windows Defender ファイアウォールも、分析とデバッグが容易になりました。 IPsecの動作は、Windows 用のインボックス クロス コンポーネント ネットワーク診断ツールである Packet Monitor (pktmon) と統合されています。

さらに、Windows Defender ファイアウォール イベント ログが強化され、監査で特定のイベントを担当した特定のフィルターを特定できます。 この機能拡張により、他のツールに依存することなく、ファイアウォールの動作とリッチ パケット キャプチャの分析が可能になります。

Windows Defender Firewall は、Windows Subsystem for Linux (WSL) もサポートするようになりました。 Windows プロセスの場合と同様に、WSL プロセスのルールを追加できます。 詳細情報については、「Windows Defender ファイアウォールでは、Windows Subsystem for Linux (WSL) プロセスをサポートするようになりました。」をご覧ください。

ウイルスと脅威の防止

攻撃領域の縮小 - IT 管理者は、特定の URL と IP アドレスの許可リストとブロックリストを定義できるようにする高度な Web 保護を備えたデバイスを構成できます。 次世代の保護 - リムーバブル ストレージを介して送信されるランサムウェア、資格情報の誤用、攻撃からの保護に制御が拡張されました。

  • 整合性の適用機能 - Windows 10 プラットフォームのリモート ランタイム構成証明を有効にします。
  • 改ざん防止機能 - 仮想化ベースのセキュリティを使用して、重要なMicrosoft Defender for Endpointセキュリティ機能を OS や攻撃者から分離します。 プラットフォームのサポート - Windows 10に加えて、Microsoft Defender for Endpointの機能が拡張され、Windows 7 クライアントとWindows 8.1 クライアント、macOS、Linux、Windows Server がエンドポイント検出 (EDR) と Endpoint Protection Platform (EPP) の両方の機能をサポートするようになりました。

高度な機械学習: 高度な機械学習モデルおよび AI モデルで強化されており、脆弱性を悪用した革新的なテクノロジ、ツール、マルウェアを使用する高度な攻撃者からの保護に対応します。

緊急事態に対する保護: 緊急事態の発生に対応して保護を提供し、新たな緊急事態の発生が検出された場合に、新しいインテリジェンス機能でデバイスを自動的に更新します。

認証済みの ISO 27001 対応: 脅威、脆弱性、各種の影響が分析済みであり、リスク管理とセキュリティ制御が配備されている状態でクラウド サービスを提供します。

地理位置情報のサポート: サンプル データの地理位置情報、データ主権、構成可能なデータ保持ポリシーをサポートします。

Microsoft Defender Advanced Threat Protection (ATP) 自動インシデント対応 (IR) の非 ASCII 文字を含むファイル パスのサポートが改善されました。

このリリースでは、DisableAntiSpyware パラメーターは廃止になりました。

アプリケーション のセキュリティ

アプリの分離

Windows サンドボックス: 分離されたデスクトップ環境で、信頼されていないソフトウェアを実行できます。デバイスへの影響が残ることを心配する必要がありません。

Microsoft Defender Application Guard

Microsoft Defender Application Guard 機能拡張には、次のものが含まれます。

  • スタンドアロン ユーザーが、Windows Defender Application Guard をインストールして設定を構成できます。レジストリ キー設定を変更する必要はありません。 Enterprise ユーザーは、使用中のコンピューターが管理者によってどのように構成されているか、設定を調べることで確認できるため、コンピューターの動作がわかりやすくなります。

  • Application Guard は、Google Chrome および Mozilla Firefox の拡張機能になりました。 多くのユーザーがハイブリッド ブラウザー環境にあり、Application Guardのブラウザー分離テクノロジを Microsoft Edge 以外に拡張したいと考えています。 最新のリリースでは、ユーザーが Application Guard 拡張機能を Chrome ブラウザーまたは Firefox ブラウザーにインストールできます。 この拡張機能では、信頼されていないナビゲーションが Application Guard Edge ブラウザーにリダイレクトされます。 Microsoft Store には、この機能を有効にするコンパニオン アプリもあります。 このアプリを使用すると、デスクトップから Application Guard をすばやく起動できます。 この機能は、最新の更新プログラムが適用された Windows 10 Version 1803 以降でも利用可能です。

    この拡張機能を試すには、次の操作を行います。

    1. デバイスで Application Guard ポリシーを構成します。
    2. Chrome ウェブ ストアまたは Firefox Add-ons に移動し、Application Guard を検索します。 この拡張機能をインストールします。
    3. 拡張機能のセットアップ ページに表示される、その他の構成手順を実行します。
    4. デバイスを再起動します。
    5. Chrome および Firefox で、信頼されていないサイトに移動します。

動的ナビゲーション: Application Guard では、ユーザーが Application Guard Microsoft Edge から既定のホスト ブラウザーに戻れるようになりました。 以前は、Application Guard Edge 内で閲覧中のユーザーがコンテナー ブラウザー内で信頼されるサイトへの移動を試みると、エラー ページが表示されました。 この新しい機能により、ユーザーが Application Guard Edge 内で信頼されるサイトを開いたときまたはクリックしたときに、自動的に既定のホスト ブラウザーにリダイレクトされます。 この機能は、最新の更新プログラムが適用された Windows 10 Version 1803 以降でも利用可能です。

ドキュメントを開く時間が最適化され、Application Guard のパフォーマンスが改善されました。

  • Microsoft Defender Application Guard (WDAG) Office ドキュメントを開く際に 1 分以上の遅延を引き起こす可能性がある問題が修正されました。 この問題は、汎用名前付け規則 (UNC) パスまたはサーバー メッセージ ブロック (SMB) 共有リンクを使用してファイルを開く場合に発生することがあります。
  • メモリの問題が修正され、コンテナーがアイドル状態のときに Application Guard コンテナーが約 1 GB のワーキング セット メモリを使用する可能性があります。
  • 400 MB を超えるサイズのファイルをコピーするときの、Robocopy のパフォーマンスが向上しました。

アプリケーションコントロール

Windows 用のアプリケーション制御: Windows 10 では、バージョン 1903 Windows Defender アプリケーション制御 (WDAC) により、主要なシナリオを照らし、AppLocker と同等の機能を提供する多くの新機能が追加されました。

  • 複数のポリシー: Windows Defenderアプリケーション制御では、次のシナリオを有効にするために、1 つのデバイスに対して複数の同時コード整合性ポリシーがサポートされるようになりました。1) を適用して並べて監査する、2) スコープ/意図が異なるポリシーのより簡単なターゲット設定、3) 新しい "補足" ポリシーを使用したポリシーの展開。
  • パス ベースの規則: パス条件では、署名者やハッシュ識別子の代わりに、コンピューターのファイル システム内またはネットワーク上の場所によって、アプリを特定します。 さらに WDAC には、ユーザーが書き込むことのできないパスにあるコードのみを実行可能とするオプションがあり、これを管理者が実行時に適用できます。 実行時にコードが実行を試行すると、ディレクトリのスキャンが行われ、既知の管理者以外へのに書き込みアクセス許可がファイルに設定されていないか確認が行われます。 ユーザーによる書き込みが可能なファイルであることが検出された場合、署名やハッシュ規則など、パス規則以外での承認がなければ、この実行可能ファイルについては実行がブロックされます。
    このファイル パス規則のサポートという点では、WDAC の機能は AppLocker と同等です。 ただし WDAC では、ユーザーの書き込みアクセス許可チェックを実行時に実施することで、ファイル パス規則に基づくポリシーのセキュリティを強化しています。これは、AppLocker にはない機能です。
  • COM オブジェクトの登録を許可する: 以前は、Windows Defender Application Control (WDAC) によって COM オブジェクト登録の組み込みの許可リストが適用されました。 このメカニズムは、ほとんどの一般的なアプリケーション使用シナリオに使用できるものの、その他の COM オブジェクトを許可する必要が生じるケースがあるというフィードバックがお客様から寄せられていました。 これを受け、Windows 10 の 1903 更新プログラムでは、許可対象の COM オブジェクトを GUID で WDAC ポリシーに指定できるようになりました。

ID とプライバシー

セキュリティで保護された ID

Windows Hello 機能拡張には、次のものが含まれます。

  • Windows Hello は、Chrome や Firefox を含むすべての主要なブラウザで、Fast Identity Online 2 (FIDO2) 認証システムとしてサポートされるようになりました。
  • Windows 10 デバイスで Microsoft アカウントのパスワードレス サインインを有効にできるようになりました。[設定アカウント>] の [サインイン オプション] >に移動し、[デバイスをパスワードレスにする] で [オン] を選択します。 パスワードなしのサインインを有効にすると、Windows 10 デバイス上のすべての Microsoft アカウントが、Windows Hello 顔認証、指紋、または PIN による最新の認証に切り替わります。
  • Windows Hello PIN サインインのサポートは、セーフモードに追加されました
  • Windows Hello for Businessハイブリッド サポートと電話番号サインイン (Microsoft アカウント) がMicrosoft Entraになりました。 FIDO2 セキュリティ キーのサポートは、Microsoft Entraハイブリッド環境に拡張され、ハイブリッド環境を持つ企業がパスワードレス認証を利用できるようになります。 詳細については、「FIDO2 プレビュー用の Azure Active Directory サポートをハイブリッド環境に拡張する」を参照してください。
  • Windows Hello では、出荷時に Windows 10 バージョン 20H2 を搭載したデバイスで専用のハードウェアおよびソフトウェア コンポーネントを使用できるため、指紋センサーと顔センサーをサポートする仮想化ベースのセキュリティがさらにサポートされます。 この機能は、ユーザーの生体認証データを分離して保護します。
  • Windows Hello マルチカメラのサポートが追加され、外部と内部の両方の Windows Hello 対応カメラが存在する場合に、ユーザーが外部カメラを優先できるようになりました。
  • WINDOWS HELLO FIDO2 認定: Windows Helloは現在、FIDO2 認定認証システムとなり、Microsoft アカウントや Entra ID などの FIDO2 認証をサポートする Web サイトのパスワードレス サインインを有効にします。
  • スムーズな Windows Hello PIN リセット エクスペリエンス: Microsoft アカウント ユーザーは、Web でのサインインと同じ使用感で、リニューアルされた Windows Hello PIN リセット エクスペリエンスを使用できます。
  • 生体認証を使用したリモート デスクトップ: Windows Hello for Businessを使用するMicrosoft Entra IDおよび Active Directory ユーザーは、生体認証を使用してリモート デスクトップ セッションに対する認証を行うことができます。

資格情報の保護

Credential Guard

資格情報ガードを ARM64 デバイスで使用できるようになりました。これにより、組織に ARM64 デバイスを展開する企業 (Surface Pro X など) の資格情報の盗難に対する保護が強化されました。

プライバシーコントロール

マイクのプライバシー設定: どのアプリでマイクが使用されているかがわかるように、マイク アイコンが通知領域に表示されます。

クラウド サービス

Microsoft Intune

Microsoft Intuneでは、次の例外Windows 10 Enterprise LTSC 2021 がサポートされています。

  • WINDOWS 10 LTSC バージョンでは機能更新プログラムが受信されないため、更新リングは機能更新プログラムに使用できません。 更新リングは、WINDOWS 10 ENTERPRISE LTSC 2021 クライアントの品質更新に使用できます。

新しい Intune リモート アクション: 診断情報の収集。エンド ユーザーを中断または待機させることなく、企業のデバイスからログを収集できます。 詳細については、「診断情報の収集リモート アクション」を参照してください。

Intune では、ロール ベースのアクセス制御 (RBAC) を行う機能も追加され、登録ステータス ページ (ESP) のプロファイル設定をより詳細に定義するために使用できます。 詳細については、「登録ステータス ページのプロファイルを作成してグループに割り当てる」を参照してください。

Microsoft Intune の新機能の一覧は、「Microsoft Intune の新機能」を参照してください。

モバイル デバイス管理

モバイル デバイス管理 (MDM) ポリシーは、グループ ポリシーで管理されるデバイスで使用できるオプションと一致する新しいローカル ユーザーとグループ設定で拡張されています。

MDM の新機能の詳細については、「モバイル デバイスの登録と管理の新機能」を参照してください。

Windows Management Instrumentation (WMI) グループ ポリシー サービス (GPSVC) で、リモート作業シナリオをサポートするパフォーマンスが向上しました。

  • Active Directory (AD) 管理者によるユーザーまたはコンピューター グループのメンバーシップへの変更の伝達が遅くなる問題が修正されました。 アクセス トークンは最終的に更新されますが、管理者が gpresult /r または gpresult /h を使用してレポートを作成するときに、これらの変更が表示されない場合があります。

キーのローリングとキーの回転

このリリースには、キーローリングとキーローテーションと呼ばれる 2 つの新機能も含まれており、Microsoft Intune/MDM ツールから必要に応じて MDM で管理されるMicrosoft Entra ID デバイスで回復パスワードを安全にローリングできます。また、回復パスワードを使用して BitLocker で保護されたドライブのロックを解除することもできます。 この機能は、ユーザーが手動で BitLocker ドライブをロック解除するときに、誤って回復パスワードが漏えいするのを防ぎます。

展開

SetupDiag

SetupDiag は、Windows 10 の更新が失敗した理由を診断するのに役立つコマンド ライン ツールです。 SetupDiag は、Windows セットアップのログ ファイルを検索することで動作します。 ログ ファイルが検索されているとき、SetupDiag は一連のルールを使用して既知の問題と照合します。 最新バージョンの SetupDiag では、rules.xml ファイルに 53 のルールが含まれており、SetupDiag の実行時に抽出されます。 rules.xml ファイルは、SetupDiag の新しいバージョンが提供されるときに更新されます。

予約済みストレージ

予約ストレージ: 予約ストレージは、更新プログラム、アプリ、一時ファイル、システム キャッシュで使用されるディスク領域を確保します。 これにより、重要な OS 機能が常にディスク領域にアクセスできる状態になるため、PC の日常的な機能が向上します。 Windows 10 Version 1903 がプレインストールまたはクリーン インストールされた新しい PC では、予約済みストレージが自動的に有効になります。 以前のバージョンの Windows 10 から更新した場合、予約済みストレージは有効になりません。

Windows アセスメント & デプロイメント ツールキット (ADK)

新しい Windows ADK は、Windows 10 バージョン 21H2 もサポートする Windows 11 で利用できます。

Microsoft Deployment Toolkit (MDT)

MDT の最新情報については、「 MDT のリリースノート」を参照してください。

Windows セットアップ

Windows セットアップの 応答ファイル (unattend.xml) の言語処理が改善されました。

今回のリリースでは、次のような Windows セットアップの改善も含まれています。

  • 機能更新中のオフライン時間の削減
  • 予約済みストレージ制御の改善
  • 制御と診断の改善
  • 新しい回復オプション

詳しくは、Windows IT Pro Blogの「Windows セットアップの機能強化」を参照してください。

Microsoft Edge

Microsoft Edge ブラウザーのサポートが同梱されています。

Microsoft Edge キオスク モード

Microsoft Edge キオスクモードは、Windows 10 Enterprise 2021 LTSC および Windows10 IoT Enterprise 2021 LTSC 以降の LTSC リリースで使用できます。

Microsoft Edge キオスク モードは、ブラウザーの 2 つのロックダウン エクスペリエンスを提供し、組織が顧客に最高のエクスペリエンスを作成し、管理し、提供できるようにします。 次のロックダウン エクスペリエンスを利用できます。

  • デジタル/対話型サイネージ エクスペリエンスでは、全画面表示モードで特定のサイトを表示します。
  • パブリック ブラウジング エクスペリエンスでは、Microsoft Edge の限定的な複数タブのバージョンを実行します。
  • どちらのエクスペリエンスでも、ユーザー データを保護する Microsoft Edge InPrivate セッションを実行します。

Windows Subsystem for Linux

Linux 用 Windows サブシステム (WSL) は、ボックス内で利用可能です。

ネットワーク

WPA3 H2E 標準は、Wi-Fi セキュリティを強化するためにサポートされています。

関連項目

Windows 10 Enterprise LTSC: LTSC サービス チャネルの簡単な説明と、各リリースに関する情報へのリンク。