Windows 10 Insider Preview ビルドのビジネス向け新機能

Windows Defender Application Guard Google Chrome および Mozilla Firefox のブラウザー拡張機能

コンテナーテクノロジを他のブラウザーに拡張し、ブラウザーベースの攻撃を分離するための包括的なソリューションを提供するために、microsoft は、Google Chrome および Mozilla 向けの Windows Defender Application Guard 拡張機能を設計し、開発しました。Firefox.

Application Guard 拡張機能

動作の仕組み

Google Chrome および Mozilla Firefox 用の拡張機能は、信頼されていないナビゲーションを Microsoft Edge 向け Windows Defender Application Guard に自動的にリダイレクトします。 この拡張機能は、ブラウザーとデバイスのApplication Guard 設定間の通信をサポートするために構築されたネイティブアプリケーションに依存します。

ユーザーがサイトに移動すると、拡張機能によって、エンタープライズ管理者によって定義された信頼済みサイトのリストに対して URL がチェックされます。 サイトが信頼されていないと判断された場合、ユーザーは独立した Microsoft Edge セッションにリダイレクトされます。 分離された Microsoft Edge セッションでは、ユーザーは、システムの他の部分に対してリスクを負うことなく、組織によって信頼されていると明示的に定義されていないサイトに自由に移動できます。 今後の動的な切り替え機能により、ユーザーが独立した Microsoft Edge セッションで信頼済みサイトにアクセスしようとした場合、ユーザーは既定のブラウザーに戻ります。

管理モードで Application Guard 拡張機能を構成するには、エンタープライズ管理者は次の推奨手順に従うことができます。

  1. デバイスが要件を満たしていることを確認します。
  2. Windows Defender Application Guard を有効にします。
  3. ネットワーク分離設定を定義して、信頼済みサイトのセットが適切な場所にあることを確認します。
  4. Microsoft Store から新しい Windows Defender アプリケーションガードコンパニオンアプリケーションをインストールします。
  5. Microsoft から提供されている Google Chrome または Mozilla Firefox ブラウザーの拡張機能をインストールします。
  6. デバイスを再起動します。

直感的なユーザーエクスペリエンス

Windows Defender Application Guard がデバイスにインストールされ、その動作についてユーザーに対して透過的なユーザーインターフェイスを設計しました。 ここでは、信頼されていないナビゲーションが分離される理由とその理由について、ユーザーが十分に理解している必要があります。

  1. 拡張機能を展開して適切に構成した後、ユーザーが Google Chrome または Mozilla Firefox を初めて開いたときには、Windows Defender Application Guard のランディングページが表示されます。

Application Guard 拡張機能

  1. 構成に問題がある場合は、構成エラーを解決するための手順がユーザーに表示されます。

Application Guard 拡張機能

  1. ユーザーは、URL を入力したり、リンクをクリックしなくても、ブラウザーのメニューバーで拡張機能アイコンをクリックして、アプリケーションガードセッションを開始できます。

Application Guard 拡張機能

入手先

Google Chrome および Mozilla Firefox 向けの Windows Defender Application Guard extension は、現在 Windows Insider にロールアウトされており、通常は間もなく利用可能になります。 この機能は、1803以降で Win 10 Enterprise および Pro Sku を使用しているユーザーが利用できます。

ここにフィードバックを送信してください。 質問がある場合は、チームにお問い合わせください。

Windows 10 を最新の状態に保つためのディスク領域の予約 (ビルド 18312)

2017 H1 では、Windows 10 によってディスク領域がどのように管理されるかについて、いくつかの変更が加えられています。 予約済み記憶域では、更新、アプリ、一時ファイル、システムキャッシュによって使用されるように、一部のディスク領域が確保されます。 Skype の目標は、クリティカルな OS 機能が常にディスク領域にアクセスできるようにすることで、PC の日常の機能を向上させることです。 予約済み記憶域、更新プログラム、アプリ、一時ファイル、キャッシュを使用すると、貴重な空き領域がなくなり、予期したとおりに動作する可能性が低くなります。 保存済みのストレージは、19H1 がプレインストールされている Pc、または19H1 がクリーンインストールされている Pc に自動的に導入されます。 この機能を今すぐ試す必要がある Windows Insider の場合は、このクエストを実行してください。 クエストを完了した後、予約済みストレージは次のフライトで開始されます。 (ビルド18312をインストールする前に quest をお持ちの場合は、予約済みストレージはこのフライトで開始する必要があります)。19H1 の予約済みストレージについて詳しくは、こちらのブログ投稿をご覧ください。

この PC の UI の改善をリセットする (ビルド 18312)

設定の一部としてこの PC をリセットするための新しい UI を追加しました。セキュリティ > 回復 & > 更新します。 新しい UI では、さまざまな構成のデバイス間でより一貫性のあるエクスペリエンスを提供します。また、完了までに数回のクリックが必要になります。

この PC の UI をリセットする

Windows Subsystem for Linux コマンドラインツールの改善 (ビルド 18312)

Wsl コマンドラインツール (wsl) に新しいコマンドラインオプションを追加しました。これにより、WSL の管理が簡単になり、フィードバックに基づいて機能が追加されます。 以下に変更の概要を示します。 詳細については、リリースノートコマンドラインのブログをご覧ください。

  • 統合されたコマンドラインオプション– wsl コマンドラインツールには、wslconfig コマンドラインツールに含まれる WSL distros を管理するためのオプションが含まれています。 最新の管理オプションを前進させて、wsl ツールのみを更新することを意図しています。
  • システム以外のドライブなど、サイドローディングを簡単にするために、ディストリビューションをインポートする– tar ファイルを新しい配布としてインポートするには、"– import" オプションを使用します。 システムドライブ以外のドライブを含む、任意の場所に配布レジストリを指定できます。
  • より簡素化された環境管理のために WSL 分布をエクスポートする–配布を tar ファイルにエクスポートするには、"— export" オプションを使います。 お使いのディストリビューションは、デフォルトのダウンロード場所にエクスポートされます。

合理化された Windows Hello PIN リセットエクスペリエンス (ビルド 18309)

PIN を思い出すことは難しい場合があるため、Microsoft アカウントのユーザーに、web 上でのサインインと同じ外観の Windows Hello PIN リセットエクスペリエンスを提供する必要があります。 PIN を使って Windows にサインインするときに、[自分の PIN を忘れています] リンクをクリックして、今日のビルドで確認できます。 Insider は、すべての Windows 10 エディションで試してみることができます。

Windows のサンドボックス

パスワードを使用しない Microsoft アカウントで Windows にサインインする (ビルド 18309)

パスワードを削除して、別の便利な機能を使用してアカウントを保護するために、お客様のアカウントの安全性を確保しています ビルド18305を使用すると、windows 10 Home edition を使用して Insider のパスワードを作成したり、使用したりすることなく、電話番号アカウントで Windows 10 へのセットアップとサインインをサポートすることができました。 現在、サポートはすべての Windows 10 エディションに拡張されています。 電話番号の Microsoft アカウントをお持ちの場合は、SMS コードを使ってサインインし、Windows 10 でアカウントを設定することができます。 アカウントのセットアップが完了したら、Windows Hello Face、指紋、または PIN (デバイスの機能によって異なります) を使用して、Windows 10 にサインインすることができます。 どこにもパスワードは必要ありません。

パスワードが少なくなった Microsoft アカウント

パスワードを持たない電話番号のアカウントを作成する

パスワードを使用していない電話番号のアカウントをまだ持っていない場合は、iOS または Android デバイスの Word などのモバイルアプリで作成して、試してみることができます。Word に移動して、「サインインするか無料でサインアップしてください」に電話番号を入力して、電話番号でサインアップしてください。

Windows にパスワードを使用しない電話番号のアカウントを追加する

これでパスワードのない電話番号のアカウントが作成されました。これを使用して、次の手順で Windows にサインインすることができます。

  1. アカウントを Windows に追加するには、[設定] の [アカウント > 家族 & 他のユーザーを追加する] > 「この PC に他のユーザーを追加する」を > します。
  2. Windows サインイン画面からデバイスをロックして、電話番号のアカウントを選択します。
  3. アカウントにパスワードが設定されていないため、[サインインオプション] を選択し、代替の [ピン] タイルをクリックして、[サインイン] をクリックします。
  4. Web サインインと Windows Hello のセットアップを行います (以降のサインインでアカウントにサインインするために使用します)。

パスワードを使用しない電話番号アカウントで Windows にサインインすることができるようになりました。

Windows サンドボックスの概要! (ビルド 18305)

Windows のサンドボックスは、アプリケーションを分離して安全に実行するためにカスタマイズされた、新しい軽量デスクトップ環境です。 実行可能ファイルは何度ダウンロードしましたが、実行しても問題はありませんでしたか? Windows のクリーンインストールが必要だが、仮想マシンをセットアップしたくない場合は、どうしたらよいでしょうか。

Microsoft では、このような状況に応じて、Windows サンドボックスを開発しました。これは、デバイスへの影響を及ぼすことなく、信頼されていないソフトウェアを実行できる独立したデスクトップ環境です。 Windows サンドボックスにインストールされているソフトウェアは、サンドボックスのみにとどまり、ホストには影響しません。 Windows サンドボックスが閉じられると、そのすべてのファイルと状態を含むすべてのソフトウェアが完全に削除されます。

Windows のサンドボックスには、次のプロパティがあります。

  • Windows の一部–この機能に必要なものはすべて、Windows 10 Pro と Enterprise に同梱されています。 VHD をダウンロードする必要はありません。
  • Pristine – Windows サンドボックスが実行されるたびに、windows のブランド新規インストールとしてクリーンな状態になります。
  • __廃棄__可能–デバイスには何も残っていません。アプリケーションを閉じると、すべての情報が破棄されます。
  • セキュリティで保護–ハードウェアベースの仮想化機能を使って、カーネル分離に対応します。この機能は、Microsoft ハイパーバイザに依存して、ホストから Windows サンドボックスを分離する個別のカーネルを実行します。
  • 効率的–統合されたカーネルスケジューラ、スマートメモリ管理、仮想 GPU を使用します。

Windows のサンドボックスをインストールするには、[設定] に移動して、[__アプリ > アプリ & 機能を > し > プログラムと > 機能を有効または無効__にします。次に、[Windows の機能を__有効__または無効にする] を選びます。 Windows サンドボックスを起動するには、[スタート] メニューを開き、「Windows サンドボックス」と入力して、それを選びます。

Windows サンドボックスは、ホスト診断データの設定を尊重します。 その他のすべてのプライバシー設定は、既定値に設定されています。 詳細については、windows カーネルの内部でWindows サンドボックスを参照してください。

Windows サンドボックスの使用方法についてご説明します。 引き続き新しい機能を追加していくため、お客様のフィードバックはこの機能の方向性を整えるために重要であるため、フィードバック Hubで意見をお聞かせください。

Windows のサンドボックス

既知の問題

  • Windows サンドボックスが初めてインストールされ、すべてのサービスイベントに設定されている場合、セットアッププロセスが実行され、CPU とディスクのアクティビティが1分間トリガーされます。
  • Windows サンドボックスで [スタート] メニューを開くと、少し時間がかかることがあり、一部のスタートメニューアプリは実行されません。
  • タイムゾーンが Windows のサンドボックスとホストの間で同期されていない。
  • Windows サンドボックスでは、再起動が必要なインストーラーはサポートされていません。
  • Windows のサンドボックスでは、Microsoft ストアはサポートされていません。
  • Windows サンドボックスでは、高 dpi 表示が適切にサポートされていません。
  • Windows サンドボックスでは、マルチモニター構成は完全にサポートされていません。

Windows セキュリティアプリの改善 (ビルド 18305)

新しい保護履歴のエクスペリエンス: Skype では、ユーザからの歴史経験についてのご意見やご感想をいただいております。 お客様が受け取った推奨事項とフィードバックに基づき、Windows セキュリティの保護履歴のエクスペリエンスは完全に一新されました。 新しい保護履歴のエクスペリエンスでは、Windows Defender ウイルス対策によって検出されたことが示されますが、これは、脅威や使用可能な操作に関する情報をより詳しく理解できるようになりました。 また、管理されたフォルダーアクセスブロックも履歴に追加されました。これらのブロックと共に、攻撃面の削減ルールの組織的構成を通じて作成されます。 Windows Defender オフラインスキャンツールを使用すると、検出されたすべての検出が、履歴にも表示されるようになります。 さらに、[履歴] リストに保留中の推奨事項 (アプリ全体で赤または黄色の状態) が表示されます。 ご意見をお待ちしております。

新しい保護履歴

改ざん防止の導入 改ざん防止は、windows セキュリティアプリで利用可能な新しい設定であり、オンになっている場合には、これらのセキュリティ機能に対する変更に対する追加の保護を提供します。Windows セキュリティアプリ。 この設定は、「Windows セキュリティ > ウイルス & 脅威の保護 > ウイルス & 脅威保護の設定」で確認できます。

改ざん防止

企業向けに自動的に再起動してサインインする (ARSO) (ビルド 18305)

各アップデートの後に、この点滅している画面を見てしまいますか?

ARSO1 ARSO2

ARSO は、更新後に自動的にユーザーにサインインして、PC をロックした後でロックする機能です。 この機能は、Windows 向けのシームレスな更新プログラムの一部であり、お客様の更新に関する顧客の問題点を削減することを目標としています。これには、ポストログオン設定の時間や、中断した場所を取得できないことなどが含まれます。 この機能は、特定のセキュリティ要件を満たすクラウドドメインに参加しているデバイスで有効になります。

  • BitLocker が有効になっていて、アップグレード中に中断されていない
  • TPM 2.0
  • セキュア

デバイスが使用できるかどうかを確認するには、[設定] に移動し > アカウント > サインインオプション > プライバシー:

ARSO2

トグルが "オン" になっていて、灰色表示されていない場合は、デバイスは ARSO のセキュリティ要件を満たしており、既定で有効になっています。 トグルが淡色表示になっていて有効になっている場合は、デバイスのセキュリティ要件に関係なく、IT 管理者が ARSO を明示的に有効にしていることを意味します。 トグルが淡色表示になっている場合は、Enterprise ARSO 最小セキュリティ要件を満たしていないことを意味します。または、IT 管理者が、デバイスのセキュリティ要件に関係なく、明示的に無効にしていることを意味します。

Windows セキュリティは、追加の Windows Defender アプリケーションガード設定を取得します (ビルド 18277)

Insider は、Microsoft Edge で Application Guard の使用を参照しているときに、ユーザーがカメラやマイクへのアクセスを管理できるようにする追加のトグルが含まれていることにご注意ください。 エンタープライズ管理者によって管理されている場合、ユーザーはこの設定の構成を確認できます。 この機能が Microsoft Edge の Application Guard で有効になるようにするには、[> 設定] の [プライバシー] > [マイク] & 設定 > プライバシー > カメラに対して、カメラとマイクの設定がオンになっている必要があります。

Application Guard の設定

キオスクのセットアップエクスペリエンスの向上 (ビルド 17723)

デバイス管理者が PC をキオスクまたはデジタル署名として簡単に設定できるように、[設定] に [シンプルに割り当てられたアクセスの構成] ページが導入されました。 この新しいページでは、デバイスの起動時に自動的にサインインするキオスクアカウントの作成を含む、キオスクのセットアップフローの手順を説明しています。

[設定] に移動して、割り当てられているアクセスを検索し、[自動設定] ページを開いて試してみてください。 ご意見をお寄せください。 フィードバック Hubでお知らせします。

キオスクの設定

Microsoft Edge が割り当てられたアクセスに対応するようになりました。これにより、IT 管理者は、キオスクデバイス向けに設計された閲覧環境をカスタマイズできます。 Microsoft Edge キオスクモードでは、次の4種類がサポートされています。

1つのアプリで割り当てられた access で実行されている Microsoft Edge キオスクモードの場合は、次の2つのキオスクの種類があります。

  1. 特定の web サイトの全画面 InPrivate を表示する__デジタル/対話型__の表示機能。
  2. __パブリック閲覧__では、複数のタブでの閲覧がサポートされ、最小限の機能で InPrivate ブラウズが実行されます。 ユーザーは、新しい Microsoft Edge windows を最小化、終了、または開くことができません。また、Microsoft Edge の [設定] を使ってカスタマイズすることもできません。 ユーザーは、[終了セッション] をクリックして、データの閲覧、ダウンロード、Microsoft Edge の再起動を行うことができます。 管理者は、非アクティブの期間が一定の時間続いた後で Microsoft Edge が再起動するように構成できます。

シングル アプリの割り当てられたアクセス

複数のアプリで割り当てられた access で実行されている Microsoft Edge キオスクモードの場合は、2種類のキオスクがあります (注: Windows 10 の設定で、次の Microsoft edge キオスクモードの構成ページを設定することはできません)。

  1. パブリック閲覧: 複数タブによる閲覧をサポートし、利用できる最小限の機能で InPrivate モードを実行します。 この構成では、Microsoft Edge は利用可能な多くのアプリのいずれかを指定できます。 ユーザーは、複数の InPrivate ウィンドウを閉じて開くことができます。 複数アプリの割り当てられたアクセス
  2. 通常モード: Microsoft Edge の通常版を実行しますが、割り当てられたアクセスで構成されているアプリに応じて、一部の機能が動作しない可能性があります。 たとえば、Microsoft Store が設定されていない場合、ユーザーは書籍を取得できません。 通常モード

新しい Microsoft Edge グループポリシー (ビルド 17723)

Microsoft Edge チームは、Microsoft Edge を管理するために IT 管理者向けの新しいグループポリシーと MDM 設定を導入しました。 新しいポリシーには、全画面モードの有効化/無効化、印刷、お気に入りバー、履歴の保存などが含まれています。証明書エラーの上書きを防止するホームボタンとスタートアップオプションを構成する新しいタブページとホームボタンの URL を設定し、拡張機能を管理します。 詳しくは、新しい Microsoft Edge ポリシーに関するページをご覧ください。

Microsoft Edge キオスクモード (ビルド 17713)

Microsoft Edge キオスクモードは、割り当てられたアクセスと連携して、IT 管理者がキオスクデバイス向けに設計された、カスタマイズされた参照エクスペリエンスを作成できるようにします。 割り当てられているアクセスで Microsoft Edge キオスクモードを構成すると、1つのアプリのキオスクデバイスでデジタル/対話型のメッセージが表示された場合に、フルスクリーンで1つの URL のみが表示されるように設定できます。 Microsoft Edge でパブリック参照を制限することができます (単一および複数のアプリのキオスクデバイスでは、機能が制限された複数のタブがある InPrivate バージョンの InPrivate を実行します)。 また、複数のアプリのキオスクデバイスを構成して、Microsoft Edge のフルバージョンまたは標準バージョンを実行することもできます。 詳しくは、Microsoft Edge キオスク モードに関するページをご覧ください

Windows 10 への Web サインイン (ビルド 17713)

これまで、Windows ログオンは、ADFS または WS-Fed プロトコルをサポートするその他のプロバイダーにフェデレーションされている ID の使用のみをサポートしていました。 Windows PC への新しいサインイン方法である “Web サインイン” が導入されています。 Web サインインは、ADFS 以外のフェデレーションプロバイダー (SAML など) に対して Windows ログオンサポートを有効にします。

web サインイン

Web サインインを試すには、次の操作を行います。

  1. お使いの Windows 10 PC を Azure AD に参加させます (Web サインインは Azure AD に参加している PC でのみサポートされます)。
  2. Web サインインを有効にするには、ポリシー CSP/Authentication/EnableWebSignIn ポリシーを設定します。
  3. ロック画面の、サインイン オプションで Web サインインを選択します。
  4. 続行するには、[サインイン] ボタンをクリックします。

Windows 10 共有 pc への迅速なサインイン (ビルド 17713)

作業場所には共有 Pc が展開されていますか? "クイックサインイン" を導入することで、ユーザーは flash で共有されている Windows 10 PC にサインインすることができます。 迅速なサインイン

高速サインインを有効にするには、

  1. Windows 10 での共有またはゲスト PC の設定
  2. Policy/Authentication/EnableFastFirstSignIn を設定して高速サインインを有効にする
  3. ポリシーが有効になっている状態で、アカウントで共有 PC にサインインして、違いを確認します。

Windows Defender Application Guard の改善 (ビルド 17713)

Windows Defender Application Guard では、このリリースの Windows セキュリティ内に新しいユーザーインターフェイスが導入されました。 スタンドアロンユーザーは、レジストリキーの設定を変更せずに、windows セキュリティで Windows Defender アプリケーションガード設定をインストールして構成できるようになりました。

さらに、エンタープライズ ポリシーによって管理されているユーザーは、各自の設定を確認して管理者がコンピューターに構成した内容を見ることができるため、Windows Defender Application Guard の動作をよりよく理解できます。 この新しい UI は、ユーザーが Windows Defender Application Guard の設定を管理および確認するための全体的なエクスペリエンスを向上させることを目的としています。 デバイスが最小要件を満たしている限り、これらの設定は Windows セキュリティに表示されます。詳細については、ここをクリックしてください。

これを確認するには、

  1. [Windows セキュリティ] に移動して、[アプリ & ブラウザーコントロール] を選択します。 セキュリティの概要
  2. [分離ブラウズ] で [Windows Defender アプリケーションガードのインストール] を選び、デバイスをインストールして再起動します (スタンドアロンユーザーの場合のみ)。 分離されたブラウザー
  3. [Application Guard の設定を変更します] を選択します。 WDAG 設定の変更
  4. アプリケーションガードの設定を構成または確認します。 WDAG 設定の表示

生体認証を使用するリモートデスクトップ (ビルド 17713)

このビルドでは、windows 10、Azure Active Directory、および Windows Hello for Business を使用している Active Directory ユーザーは、生体認証を使用してリモートデスクトップセッションを認証することができます。

資格情報の入力

開始するには、リモートデスクトップ接続 (mstsc.exe) を起動して、接続先のコンピューターの名前を入力し、[接続] をタップまたはクリックします。

Windows Hello for Business を使用して署名したため、windows はサインインした方法を記憶しており、windows Hello for Business を自動的に選択することで RDP セッションが認証されます。ただし、[その他の選択肢] をクリックすると、別の資格情報を選ぶことができます。

資格情報の入力

この例では、Windows は顔認識を使用して Windows Server 2016 Hyper-V サーバーに対して RDP セッションを認証します。 リモート セッションで Windows Hello for Business を引き続き使用することはできますが、PIN を使用する必要があります。

Microsoft Hyper-V Server 2016

##Windows 10 Pro S モードにはネットワーク接続が必要 (ビルド 17712)

Windows 10 Pro S モードビルド17712以降では、新しいデバイスをセットアップするためにネットワーク接続が必要になりました。 その結果、OOBE の [ネットワークセットアップ] ページで [今すぐスキップ] オプションが削除されました。

レジストリエディターの改善 (ビルド 17711)

Regedit のアドレスバーに入力したことがあり、軌跡の次の部分は自分のものではありますが、覚えておくことはできません。 ビルド17711以降では、パスの次の部分を完了するために入力すると、ドロップダウンが表示されます。 Ctrl キーを押しながら Backspace キーを押して最後の "単語" を削除することもできます。これを使用すると、作業の効率が大幅に向上します (Ctrl + Delete キーを押すと、次の単語が削除されます)。

レジストリ エディターのドロップダウン

セキュリティ更新プログラム (ビルド 17704)

Microsoft ではウイルスと脅威の防止[現在の脅威] 領域に関して作業を継続しています。現在はアクションが必要なすべての脅威がここに表示されます。 この画面から直接脅威について簡単に対処できます。

ウイルスと脅威の防止の設定

新しい保護設定 [疑わしい動作をブロックする] を有効にすることができます。これにより、Windows Defender Exploit Guard 攻撃表面の縮小テクノロジをすべてのユーザーが利用できます。 この設定を有効にするには、次のスクリーンショットのように [ウイルスと脅威の防止] セクションに移動し、[設定の管理] をクリックします。

疑わしい動作をブロックする

コントロールフォルダーにアクセスすると、ランサムウェアやその他の破壊的なマルウェアによって個人用ファイルが変更されるのを防ぐことができます。 場合によっては、通常使用するアプリが、[ドキュメント] や [ピクチャ] などの一般的なフォルダーに変更を行うことができないようにブロックされている可能性があります。 機能を完全に無効にすることなくデバイスを引き続き使用できるように、最近ブロックされたアプリを簡単に追加できるようにしました。

アプリがブロックされると、最近ブロックされたアプリの一覧に表示されます。この一覧は、ランサムウェア対策の見出しの下にある [設定の管理] をクリックして、アクセス許可のあるフォルダーアクセスを使ってアプリを許可することができます。 プロンプトが表示されたら、プラス記号をクリックし、[最近ブロックされたアプリ] を選択します。 いずれかのアプリを選択して許可リストに追加します。 このページからアプリを参照することもできます。

デバイスパフォーマンス & の正常性に関するセクションに、Windows タイムサービスの新しい評価が追加されました。 デバイスの時間がタイム サーバーと正しく同期されておらず、時刻同期サービスが無効になっていることが検出された場合は、サービスをもう一度有効にするためのオプションが提供されます。

インストールしたその他のセキュリティ アプリが Windows セキュリティ アプリに表示される方法に関して作業を継続する予定です。 アプリの [設定] セクションに [セキュリティ プロバイダー] という新しいページがあります。 [プロバイダーの管理] をクリックして、デバイスで実行されているその他すべてのセキュリティ プロバイダー (ウイルス対策、ファイアウォール、Web 保護を含む) の一覧を表示します。 ここでは、プロバイダーのアプリを簡単に開くことができます。また、Windows セキュリティアプリによって報告された問題を解決する方法についての詳細情報を参照することもできます。

これは、Windows セキュリティアプリ内の他のセキュリティアプリへのその他のリンクも表示されることを意味します。 たとえば、[ネットワーク保護] セクション & [ファイアウォール] を開くと、デバイスで実行されているファイアウォールアプリが、各ファイアウォールの種類 (ドメイン、プライベート、パブリックネットワーク) の下に表示されます。

Windows セキュリティセンター (WSC) サービスでは、ウイルス対策製品を、登録する保護されたプロセスとして実行する必要があります。まだ実装されていない製品は、Windows セキュリティ UI には表示されず、Windows Defender ウイルス対策はこれらの製品と並行して有効なままになります。 テストのために、次のレジストリキーを作成し、デバイスを再起動することで、Windows Insider ビルドでこの新しい動作を無効にすることができます。 このキーは、リリースに近づいているため削除されます。

HKLM\SOFTWARE\Microsoft\Security Center\Feature 
DisableAvCheck (DWORD) = 1 

Windows Defender セキュリティセンターが Windows セキュリティ (ビルド 17661) と呼ばれるようになりました

通常の方法でアプリを利用することもできます。 Cortana に Windows セキュリティを開くか、タスクバーアイコンを操作するように指示します。 Windows セキュリティを利用すると、Windows Defender ウイルス対策や Windows Defender ファイアウォールなど、すべてのセキュリティニーズを管理することができます。

Windows セキュリティセンターで Fluent デザインの更新 (ビルド 17650) が取得される

お客様のフィードバックを聞き、Windows セキュリティセンター (WSC) を更新して、使い慣れた Fluent デザイン要素を追加しました。 また、アプリの周囲の間隔とパディングを調整して、追加情報のためにより多くの領域を必要とする場合に、メインページでカテゴリのサイズを動的に変更することになります。 最後に、少なくとも、アプリのタイトルバーが更新され、[色の設定] でそのオプションを有効にしている場合は、[WDSC] タブにこの色が表示されます。

代替テキスト

Windows Defender ファイアウォールで、Windows Subsystem for Linux (WSL) プロセス (ビルド 17627) がサポートされるようになりました

Windows Defender ファイアウォールに WSL プロセスの特定のルールを追加できます。これは、任意の Windows プロセスの場合と同様です。 また、Windows Defender ファイアウォールが WSL プロセスの通知をサポートするようになりました。 たとえば、Linux ツールで外部からのポートへのアクセスを許可する必要がある場合 (たとえば、SSH や nginx などの web サーバー)、Windows Defender ファイアウォールは、ポートが接続の受け入れを開始したときの Windows プロセスの場合と同様に、アクセスを許可するように求めます。 これは ビルド 17627 で初めて導入されました。

Windows 自動操縦自動配置モード (ビルド 17672)

Windows 自動操縦には、RS5 での自己展開モードがあります。このモードでは、ゼロタッチデバイスプロビジョニングエクスペリエンスを実現します。 デバイスの電源を入れ、イーサネットに接続するだけで、デバイスが Windows Autopilot によって自動的に完全構成されます。

この自己展開機能は、展開プロセス中に [次へ] ボタンを押すことによってエンドユーザーが対話する必要がある現在のニーズを削除します。 また、OOBE のアクティビティのオプトインページも、すべての Insider プレビュービルドから削除されています。

Windows Autopilots の自己展開モードを使用して、デバイスを AAD テナントに完全に登録し、組織の MDM プロバイダーに登録します。すべてのポリシー、アプリケーションなどは、ユーザー認証またはユーザーなしでデバイスに正しくプロビジョニングされていることを確認します。操作が必要。エンドユーザーがログインする前に、操作が必要です。

自動操縦による自己展開機能の詳細については、こちらをクリックしてください。

AAD に参加している 10S デバイスで既定でサポートされる Windows Defender Credential Guard

Windows Defender Credential Guard は、Active Directory ドメイン (AD) の資格情報を保護するために構築された Windows 10 のセキュリティサービスであり、ユーザーのコンピューターのマルウェアによって盗まれたり、誤用されたりすることはありません。 Pass-the-Hash や資格情報獲得など、よく知られている脅威から保護するように設計されています。

Windows Defender Credential Guard は、常にオプションの機能となっていますが、Windows 10-S は、コンピューターが AAD に参加しているときに、既定でこの機能を有効にします。 これにより、通常 10-S デバイスに存在しないドメイン リソースに接続するときに、より高いレベルのセキュリティが提供されます。 Windows Defender Credential Guard は S モードのデバイスまたは Enterprise Edition と Education Edition のみで利用可能であることに注意してください。

評価のために、windows Defender Credential Guard は、 enterprise 向け Windows Insider Labの S モードとエンタープライズエディションの両方で事前構成され、有効になっています。 自分のラボ環境で手動で構成するには、次の操作を行います。

  1. Intune をセットアップして、デバイスを登録します。 Intune の試用版をリクエストします。
  2. Azure ポータルに移動し、Intune 管理者アカウントでサインインします。
  3. 左側のナビゲーションバーで、[すべてのサービス] をクリックし、[Intune の検索] をクリックします。
  4. Intune で、[デバイス構成>プロファイル] をクリックし、[ + プロファイルの作成] をクリックします。
  5. "Platform" で、[ __Windows 10__以降] を選びます。
  6. [プロファイルの種類] で、[ Endpoint Protection] を選びます。
  7. [設定] で、[ Windows Defender 資格情報ガード] をクリックし、[ UEFI ロックで有効化] を選択します。

固定ドライブでの BitLocker サイレント強制

MDM ポリシーを通じて、標準の AAD 参加ユーザーに対しては、暗黙的に BitLocker を有効にすることができます。 RS4 (Windows 10 ビルド 1803) では、標準の AADJ ユーザーに対して、自動 BitLocker 暗号化が有効になっていましたが、ハードウェアセキュリティテストインターフェイス (HSTI) に合格した先進ハードウェアが必要です。 この新機能の機能によって、HSTI に合格しないデバイスでも、ポリシーを通じて BitLocker を有効にすることができます。

これは、Windows 10 ビルド1703で導入され、Intune および他のユーザーが使用したBITLOCKER CSPの更新です。 この機能は、オプション機能として株式会社オリンピアでまもなく有効になります。

OOBE 中の AutoPilot デバイスへの BitLocker ポリシーの提供

IT 管理者として、自動 BitLocker 暗号化対応デバイスのデバイスに適用する暗号化アルゴリズムを選ぶことができます。これらのデバイスは、自動的に既定のアルゴリズムで暗号化されます。 この新しい機能を使用すると、暗号化アルゴリズム、および暗号化を開始する前に適用する必要があるその他の BitLocker ポリシーを、自動的な BitLocker 暗号化の開始前に配信することができます。

たとえば、組織の IT 管理者は、XTS-AES 256 暗号化アルゴリズムを選ぶことができます。これは、通常、OOBE 中に既定の XTS と AES の128アルゴリズムで自動的に暗号化されるデバイスに対しても適用されます。

評価するには: この機能は、 Enterprise 用の Windows Insider Labで事前に構成されています。 Bitlocker ポリシーを使用してデバイスを自動的に展開するために必要な手順については、クライアントデバイスを Olympia Corp に接続し、自動操縦クエストに従います。