特別企画

Windows 10 November Update 2015のエンタープライズ向け機能

 先日公開されたWindows 10 November Update 2015(Threshold 2:以下、Windows 10 Th2)は、音声アシスタントのCortanaの日本語対応、日本語フォントの改良、Skypeビデオ アプリの追加など、コンシューマ向けの機能に注目が集まっている。

 しかし実は、コンシューマ向け以上に新しいエンタープライズ向け機能が提供されているのが、Windows 10 Th2だ。今回は、Windows 10 Th2のエンタープライズ向け機能にフォーカスを当てて紹介していく。

Windows 10 Th2のエンタープライズ向けの機能。

Windows Update for Businessが提供開始されたが…

 企業において注目されていたのが、Windows Update for Businessだろう。今年5月に米国シカゴで開催されたIT管理者向けのIgnite(Tech EDとManagement Conferenceなどを統合したカンファレンス)のキーノートで、企業向けのWindows Updateとして発表された。

 Windows 10は、1年に2~3回、Windows 10 Th2と同等のアップグレードが提供される予定と案内されている。このため企業においては、ある程度テストを行った後にWindows Update経由で企業内のPCをアップグレードしたい、というリクエストが多い。

 また企業内のPCをグループ化して、テスト向けや開発部門など最初にアップグレードを適応するPC、システムの安定性を考え数カ月遅れで適応したい営業部門で使うPC、多くのPCでトラブルがないことを確認してから最後にアップグレードを適応したい経理や工場などのPC、といったように、時期をずらしてWindows Updateでアップグレードしたいというリクエストも多く寄せられている。

 このような声に応えて開発されたのがWindows Update for Businessだ。

 Windows Update for Businessでは、社内のPCを複数のRing(グループ)に分けて、段階的にアップグレードを適応していけるような仕組みと説明されていた。

 今回、実際にWindows 10 Th2でインプリメントされたWindows Update for Businessは、Windows Updateの機能を拡張したモノとなっている。

Windows Update for Businessは、Windows Updateを改良したモノで、全く新たなビジネス向けのWindows Updateというわけではなかった

 Windows Update for Businessを利用するためには、Active Directory(AD)のグループポリシーが前提になる。グループポリシーのWindows Updateの項目に「アップグレードおよび更新を延期する」という項目が追加されており、この項目でアップグレードを適応するタイミングをコントロールする。

 アップグレードに関しては、1カ月ごとに最大8カ月まで延期できる。このためRing(グループ)に関しては、最大8つまで用意可能だ

 この項目では、毎月配布されている更新プログラムに関しても、適応を延期できる。更新の延期に関しては週単位で、最大4週間遅らせることができる(アップグレードと更新を一時停止する項目も用意されている)。

Windows Update for Businessを利用するためには、新しいグループポリシーのテンプレート(admxファイル)をADにインストールする必要がある
現在、Windows 10 Th2(1511)とオリジナルのWindows 10の2つのadmxファイルが提供されている。Windows 10 Th2を利用しているならTh2用のadmxファイルを使用する
グループポリシーのWindows Updateに「アップグレードおよび更新を延期する」という項目がある
設定できる項目としては、アップグレードを延期する期間(月)、更新を延期する期間(週)を設定できる。アップグレードを延期できる期間は最大8カ月、更新を延期できる期間は最大4週間

 実際にRingをコントロールするのは、ADのドメイン/OU(Organizational Unit:組織単位)が利用されている。つまり、ADのコンピュータやユーザーの管理をそのまま利用している。このため、ADの管理体系と異なる形でRingを組むことはできない。

 例えば、営業部には6カ月後にアップグレードを適応すると設定して、その中の特定のユーザーだけは時間差なくアップグレードしたいとすると、そのユーザーだけ別にグループ設定を行う必要がある。

 拡張されたWindows Updateでは、更新プログラムやアップグレードをインストールする時間帯の設定、インストール後の再起動を行う時間帯の設定など、細かに設定することができる。これらのグループポリシーを使えば、業務が一段落する12時ごろに更新プログラムをインストールして、夜中にPCをスリープから起こして、再起動を行うといったことが可能になる。

 更新プログラムやアップグレードプログラムの配布は、インターネット上のWindows Updateを使用することもできるが、ネットワークの負荷を考えれば、Windows Server Update Service(WSUS)を使ってイントラネット内部にアップデートファイルを用意したり、System Center Configuration Manager(SCCM)を使ったりすることになるだろう。

 現状では、Microsoftのデバイス管理サービスのIntuneは、Windows Update for Businessに対応していないが、数カ月以内にIntuneのアップデートが予定されているため、遠からずサポートされることになるだろう。

企業向けのプライベートアプリストアを構築するWindows Store for Business

 Windows 8/8.1以降で問題になったのが、Windows Storeアプリを配布するには、Microsoftのパブリックなアプリストアを利用するか、SCCMなどで社内にアプリ配布システムを構築する必要があったことだ。

 パブリックなアプリストアで社内向けアプリを公開するのは、誰でもダウンロードできるため、セキュリティ面で問題になる。また、SCCMで社内にアプリ配布システムを構築するには、コストも時間もかかる。そこで、Windows 10 Th2と同時に公開されたのが、Windows Store for Businessだ。

 Windows Store for Businessは、Microsoftのクラウド上にプライベートストアが構築されており、Azure ADでログインすると、ユーザーはプライベートストアにアクセスできる。またグループポリシーなどの設定により、Windows 10のパブリックなアプリストアへのアクセスを、Windows Store for Businessのプライベートストアにリダイレクトすることができる。

 このストアでは、社内で開発したアプリを登録するだけでなく、パブリックストアに掲載されているアプリを企業で一括契約して、自社のストアに登録することも行えるようになる予定だ。例えば、業務で使うAdobe Acrobatを100台(アカウント)分購入して、プライベートストアで提供する、といったことが可能になる。

 IT管理者にとっては、アプリのライセンスを一括で管理できるため、メリットが大きい。Microsoftでは、来年にはこうした環境を整えたいとしている。

 なお、Windows Store for BusinessはAzure ADの利用が必須となるので、Office 365などを利用している企業にとっては導入しやすいだろう。また、2016年にリリースが予定されているWindows Server 2016は、オンプレミスのADとAzure ADがより融合して利用できるようになるので、より利便性が高くなるだろう。

Windows Store for BusinessのWebサイト
Windows Store for Businessでは、個々の企業向けのプライベートストアを構築できる。また、このサイトでほかの企業のアプリを購入して、自社のプライベートストアに登録することもできる
プライベートストアを構築できるため、社内に新しいPCを導入した際などでも、Azure ADに登録すれば、ユーザー自身の手で企業の標準アプリをセルフインストールできる。将来的には、Win32アプリケーションをUniversal Windows Apps化できるブリッジツールも提供される
パブリックストアは、企業での利用には向かない
Windows Store for Businessは、企業や団体などさまざまな組織が利用できるプライベートストアだ
Windows Store for Businessは、自社のアプリだけでなく、認証された他社のアプリをプライベートストアで配布できる

このほかのエンタープライズ向け機能

 このほかWindows 10 Th2には、認証されたプログラムしか動作させないDevice Guard機能が搭載された。

 Device GuardはOSよりも下層のハードウェアに近い部分で動作することで、マルウェア攻撃やゼロデイ攻撃に対するセキュリティを強化する。ただしDevice Guardは、ハードウェアが仮想化支援機能(VT-x、AMD-V、SLAT)とIO仮想化機能(VT-d、IOMMU)、TPM 2.0、BIOSロック機能、UEFI 2.3.1以降に対応している必要がある。また、Device Guardが提供されるのは64ビットWindows OSのみになっている。

 また、認証情報をセキュアな分離コンテナ内で管理することで、ログイン情報のセキュリティを高めるCredential Guard機能も追加された。Credential Guardも、必要とするハード/ソフト環境はDevice Guardと同じだ。

 このほか、生体認証のWindows Helloを企業で利用できるようにしている。

いくつかの機能は次のアップデートに持ち越し

 今回のWindows 10 Th2ではサポートされなかったが、次回のアップグレードでの対応が予定されているものの代表が、Enterprise Data Protection(EDP)だ。EDPは、Mobile Device Management(MDM)をモバイルだけでなく、PCにも拡張したモノだ。

 EPDでは、データごとに保護レベルを決めて、セキュリティを保護することができる。例えば、PCの内部にある業務上秘密にすべきデータは、メールの添付ファイルとしてほかのユーザーに転送したり、ファイルを個人アカウントのDropboxなどのアップロードしたりできない、といった設定を行える。もちろん、監査ログも取れるため、ユーザーの挙動をトラッキングすることが可能だ。

 また、個人のデータと企業のデータをコンテナ化して分けることで、IT管理者が管理コンソールから、企業データだけを簡単に消去することもできる。

 便利なのは、アプリケーションによって個人と企業の環境が分けられるのではなく、データの部分でコンテナ化されて、個人と企業のデータが分けられること。認証されているユーザーなら、個人と企業のデータを1つのアプリケーション上で利用可能なため、利便性も損ねない。

 Enterprise Data Protectionは、スマートフォンのWindows 10 Mobileでは必須の機能だろう。スマートフォンやPCなどのデバイス別ではなく、フラットに管理が行えるので、こういった機能がPCを含めたWindows 10全体に取り入れられるのは、IT管理者からすれば非常に便利だ。

 ちなみに、EDPを利用するためには、SCCMやIntuneが必須となっている。

******

 Windows 10 Th2のエンタープライズ機能の実装度合いを見ていると、企業にとってWindows 10が完成するのは、2016年の中盤になるだろう。2016年のアップグレードでは、EDPだけでなく、多くの企業向け機能がサポートされると思われる。

 またハードウェアに関しても、Windows 10の企業向け機能をサポートしたデバイスが一般化しているだろう。管理側に関しても、現状では十分な環境とは言えない。このあたりも、Windows Server 2016やSystem Center 2016がリリースされる2016年には、環境がそろってくるのではないか。

 こういったことを考えれば、企業が本格的にWindows 10を評価するのは2016年からになるだろう。

山本 雅史