Windows 10 Enterprise E3 in CSP

2016 年 9 月 1 日、クラウド ソリューション プロバイダー (CSP) チャネルで Windows 10 Enterprise E3 がリリースされました。 Windows 10 Enterprise E3 in CSP は、Windows 10 Enterprise エディションだけに予約されている機能をサブスクリプションによって配布する、新しいサービスです。 これは、オンライン サービスとしてパートナー センターを通じてクラウド ソリューション プロバイダー (CSP) チャネルで利用可能なサービスです。 CSP の windows 10 EnterpriseE3 は、小規模および中規模の組織 (1 人から数百のユーザー) 向けの柔軟なユーザーごとのサブスクリプションを提供します。 このサービスを利用する要件は次のとおりです。

  • アップグレード対象のデバイスに windows 10 Pro、バージョン 1607 (Windows 10 記念日更新) 以降、インストールされてライセンス認証されている。
  • ID 管理用に Azure Active Directory (Azure AD) を使用できること。

Windows 10、バージョン 1607 (Windows 10 記念日更新プログラム) 以降では、Windows 10 Pro から Windows 10 Enterprise への移行をより簡単に行うことができます。これは、キーを使用せず、再起動する必要はありません。 いずれかのユーザーが Windows 10 Enterprise E3 ライセンスに関連付けられた Azure AD 資格情報を入力した後、オペレーティングシステムは Windows 10 Pro から Windows 10 Enterprise に切り替え、適切な Windows 10 Enterprise 機能のロックが解除されます。 サブスクリプションライセンスの有効期限が切れた場合、または別のユーザーに転送された場合、Windows 10 Enterprise デバイスは、Windows 10 Pro にシームレスなステップバックダウンします。

以前は、Microsoft ボリュームライセンス契約を持っている組織のみが、Windows 10 Enterprise をユーザーに展開することができました。 CSP の Windows 10 EnterpriseE3 を使用すると、小規模または中規模の組織では、Windows 10 のエンタープライズ機能をより簡単に活用できます。

パートナーを通じて Windows 10 EnterpriseE3 を購入すると、次の利点が得られます。

  • Windows 10 Enterprise edition。 Windows 10 Pro、バージョン1607を実行しているデバイスでは、Windows 10 Enterprise Current Branch (CB) または現在の支店 (CBB) を取得できます。 この特典には、Long Term Service Branch (LTSB) は含まれていません。

  • 1 ユーザー~数百ユーザーのサポート。 CSP プログラムの Windows 10 Enterprise E3 には、組織が利用できるライセンスの数に制限はありませんが、そのプログラムは小規模および中規模の組織向けに設計されています。

  • 5 台までのデバイスに展開可能。 ライセンスに含まれる各ユーザーについて、Windows 10 Enterprise エディションを 5 台までのデバイスに展開できます。

  • いつでも Windows 10 Pro にロールバックします。 ユーザーのサブスクリプションの有効期限が切れた場合、または別のユーザーに転送された場合、Windows 10 Enterprise デバイスは Windows 10 Pro エディション (最大90日間の猶予期間の後) にシームレスに復帰します。

  • ユーザー単位の月額価格モデル。 これにより、あらゆる組織に適した Windows 10 Enterprise E3 が実現します。

  • ライセンスをユーザー間で切り替え可能。 1 人のユーザーから別のユーザーにライセンスを迅速に割り当て直すことができるため、変化するニーズに応じてライセンス投資を最適化できます。

CSP プログラムの Windows 10 EnterpriseE3 は、Microsoft ボリュームライセンス契約およびソフトウェアアシュアランスとどのように違いますか?

  • Microsoft ボリューム ライセンス プログラムは、対象範囲が広く、すべての Microsoft 製品のライセンスへのアクセスを組織に提供します。

  • ソフトウェア アシュアランスでは、次のカテゴリの特典が組織に提供されます。

    • 展開と管理。 このカテゴリの特典には、プランニング サービス、Microsoft Desktop Optimization (MDOP)、Windows Virtual Desktop Access Rights、Windows-To-Go Rights、Windows Roaming Use Rights、Windows Thin PC、Windows RT Companion VDA Rights などが含まれます。

    • トレーニング。 このカテゴリの特典には、トレーニング バウチャー、オンライン E ラーニング、自宅利用プログラムなどが含まれます。

    • サポート。 この特典には、年中無休の問題解決サポート、障害復旧用のバックアップ機能、System Center グローバル サービス モニター、SQL Server のパッシブ セカンダリ インスタンスが含まれます。

    • 特殊用途。 このカテゴリの特典には、ステップアップ ライセンス (ソフトウェアを以前のエディションから上位エディションに移行できる)、ライセンスとソフトウェア アシュアランスのお支払いを 3 回の年額 (同額) に分割できる権利などが含まれます。

    さらに、CSP の Windows 10 EnterpriseE3 には、パートナーが自分のライセンスを管理できます。 ソフトウェア アシュアランスでは、お客様がご自身でライセンスを管理していただきます。

要約すると、CSP プログラムの Windows 10 Enterprise E3 は、小規模または中規模の組織が、Windows 10 Enterprise edition の利点をより簡単かつ柔軟にアクセスできる、Microsoft ボリュームライセンスプログラムとソフトウェアアシュアランスは、範囲内で広く、Windows 10 Enterprise edition へのアクセス以外のメリットを提供します。

Windows 10 Pro と Enterprise エディションの比較

Windows 10 Enterprise edition には、Windows 10 Pro で利用できない機能が多数用意されています。 Table1 Windows 10 Windows 10 Pro で見つからないエンタープライズ機能の一覧を示します。 これらの多くはセキュリティ関連の機能です。それ以外に、きめ細かいデバイス管理のための機能もあります。

Table1. Windows 10 Windows 10 Pro で見つからないエンタープライズ機能

機能 説明

Credential Guard

この機能では、仮想化ベースのセキュリティを使って、特権を持つシステム ソフトウェアのみがアクセスできるようにセキュリティ シークレット (NTLM パスワード ハッシュ、Kerberos チケット保証チケットなど) を保護します。 これは、pass-the-hash 攻撃または pass-the-ticket 攻撃の回避に役立ちます。

Credential Guard には、以下の機能があります。

  • ハードウェアレベルのセキュリティ。 Credential Guard は、ハードウェアプラットフォームのセキュリティ機能 (セキュアなブートや仮想化など) を使用して、派生ドメインの資格情報やその他の機密情報を保護し ます。

  • 仮想化ベースのセキュリティ。 派生ドメイン資格情報やその他の秘密にアクセスする Windows サービスは、仮想化された、分離された環境で実行され ます。

  • 継続的な脅威に対する保護が強化されました。 Credential guard は、他の技術 (たとえば、デバイスガード) と連携して、永続的な方法にかかわらず、攻撃に対する保護をさらに強化し ます。

  • 管理性の向上。 Credential Guard は、グループポリシー、windows Management Instrumentation (WMI)、または windows PowerShell を使用して管理でき ます。

詳しくは、「Credential Guard によるドメインの派生資格情報の保護」をご覧ください。

Credential Guard を使用するには、トラスト ブート機能を備えた UEFI 2.3.1 以上、仮想化拡張機能 (Intel VT-x、AMD-V、SLAT など) の有効化、Windows の x64 バージョン、IOMMU (Intel VT-d、AMD-Vi など)、BIOS のロックダウン、デバイス正常性の認証に推奨される TPM 2.0 (TPM 2.0 がない場合はソフトウェアを使用) が必要です。

Device Guard

この機能は、ハードウェアとソフトウェアのセキュリティ機能の組み合わせで、信頼されているアプリケーションのみの実行をデバイス上で許可します。 攻撃者は、Windows カーネルの制御権を獲得しても、実行可能コードを実行できる可能性がはるかに低くなります。 デバイスガードは、Windows 10 Enterprise edition で仮想化ベースのセキュリティ (VBS) を使って、コード整合性サービスを Windows カーネル自体から分離することができます。 VBS では、ハイパーバイザーによってマルウェアのコードの実行を防止できるため、マルウェアがカーネルへのアクセスを取得したとしても、その影響を大幅に制限することができます。

Device Guard には、次の機能があります。

  • マルウェアからの保護を支援します。

  • 脆弱性やゼロ デイ攻撃に対する Windows システムの中核の保護を支援します。

  • 信頼できるアプリのみの実行を許可します。

詳しくは、「Device Guard の概要」をご覧ください。

AppLocker の管理

この機能は、ユーザーがデバイスで使用できるアプリケーションとファイルを IT 担当者が決定する ("ホワイトリスト作成" とも呼ばれます) 場合に役立ちます。 管理できるアプリケーションとファイルは、実行形式ファイル、スクリプト、Windows インストーラー ファイル、ダイナミックリンク ライブラリ (DLL)、パッケージ アプリ、パッケージ アプリのインストーラーなどです。

詳しくは、「AppLocker」をご覧ください。

Application Virtualization (APP-V)

この機能を使用すると、アプリケーションをユーザーのデバイスに直接インストールすることなく、アプリケーションをエンド ユーザーが利用できるようになります。 App-v は、インストールされていない一元管理されたサービスにアプリケーションを変換します。'は、他のアプリケーションと競合しないようにします。 また、アプリケーションに最新のセキュリティ更新プログラムが適用されるように、この機能で管理することもできます。

詳しくは、App-V for Windows 10 の概要をご覧ください。

User Experience Virtualization (UE-V)

この機能を使って、ユーザーによってカスタマイズされた Windows とアプリケーションの設定をキャプチャでき、一元管理されたネットワーク ファイル共有に保存できます。 ユーザーがログオンする際は、個人用設定はログインしているデバイスまたは仮想デスクトップ インフラストラクチャ (VDI) のセッションに関係なく、その作業セッションに適用されます。

UE-V を使用すると、次のことが可能になります。

  • ユーザー デバイス間で同期するアプリケーションと Windows 設定を指定する。

  • エンタープライズ規模で、ユーザーが作業する時間や場所を問わず、設定を提供する。

  • サード パーティ製アプリケーションまたは基幹アプリケーション用のカスタム テンプレートを作成する。

  • ハードウェアの交換またはアップグレード後、または仮想マシンを初期状態に再イメージングした後に、設定を回復する。

詳しくは、User Experience Virtualization (UE-V) for Windows 10 の概要をご覧ください。

管理されたユーザー エクスペリエンス

この機能を使用すると、Windows デバイスのユーザー インターフェイスをカスタマイズおよびロックダウンして、特定のタスクに限定できます。 たとえば、売店用や授業用のデバイスなど、管理されたシナリオに使用するデバイスを構成することができます。 ユーザーがサインオフすると、ユーザー エクスペリエンスが自動的にリセットされます。 また、Cortana や Windows ストアなどのサービスへのアクセスを制限し、スタート画面のレイアウト オプションを管理できます。次に例を示します。

  • シャットダウン、再起動、スリープ、休止コマンドを削除してアクセスを回避する

  • スタート メニューからログオフ (ユーザー タイル) を削除する

  • よく使うプログラムをスタート メニューから削除する

  • [すべてのプログラム] の一覧をスタート メニューから削除する

  • ユーザーがスタート画面をカスタマイズできないようにする

  • スタート メニューを強制的に全画面またはメニュー サイズに変更する

  • タスク バーとスタート メニューの設定を変更できないようにする

Windows 10 Enterprise E3 ライセンスの展開準備

Windows 10 Enterprise ライセンスの展開」をご覧ください。

Windows 10 Enterprise 機能の展開

デバイスで Windows 10 Enterprise エディションを実行できたら、Enterprise エディションの機能を利用するにはどうすればよいでしょうか。 表 1 に示されている各機能を使用するには、どのような手順が必要になるでしょうか。

以下のセクションでは、ユーザーが Windows 10 Enterprise edition 機能を利用できるようにするために、環境で実行する必要がある大まかなタスクについて説明します。

Credential Guard*

これらのデバイスで Credential Guard を有効にすることによって、Windows 10 Enterprise デバイスに Credential Guard を実装することができます。 Credential Guard は、Credential Guard を有効にする前に、各デバイスで有効にする必要がある Windows 10 仮想化ベースのセキュリティ機能 (Hyper-v 機能) を使用します。 Credential Guard は、次のいずれかの方法で有効化できます。

  • 自動: グループ ポリシーを使用すると、1 台または複数のデバイスで Credential Guard を自動的に有効化できます。 グループ ポリシーの設定により、管理されているデバイスで仮想化ベースのセキュリティ機能が自動的に追加され、Credential Guard のレジストリ設定が構成されます。

  • 手動: Credential Guard は、次の手順を実行することによって手動で有効化できます。

    System Center Configuration Manager などの管理ツールを使用してこれらの手動手順を自動化することもできます。

Credential Guard の実装について詳しくは、次のリソースをご覧ください。

* トラスト ブート機能を備えた UEFI 2.3.1 以上、仮想化拡張機能 (Intel VT-x、AMD-V、SLAT など) の有効化、Windows の x64 バージョン、IOMMU (Intel VT-d、AMD-Vi など)、BIOS のロックダウン、デバイス正常性の認証に推奨される TPM 2.0 (TPM 2.0 がない場合はソフトウェアを使用) が必要です。

Device Guard

デバイスに Windows 10 Enterprise が含まれるようになったため、次の手順を実行して、Windows 10 のエンタープライズデバイスにデバイスガードを実装できます。

  1. 必要に応じて、コード整合性ポリシー用のコード署名証明書を作成します。 コード整合性ポリシーを展開するとき、場合によっては、内部的にカタログ ファイルまたはコード整合性ポリシーに署名する必要があります。 そのためには、公開されているコード署名証明書 (購入したもの) または内部証明機関 (CA) が必要になります。 内部 CA を使用する場合は、コード署名証明書を作成する必要があります。

  2. "ゴールデン" コンピューターからコード整合性ポリシーを作成します。 固有の、または部分的に固有のハードウェアとソフトウェアのセットを使用する部署や役割を特定した場合、そのソフトウェアとハードウェアを含んでいる "ゴールデン" コンピューターをセットアップすることができます。 この場合、役割や部署のニーズに合わせた整合性ポリシーの作成と管理の方法は、会社のイメージを作成する場合と類似しています。 各 "ゴールデン" コンピューターから、コード整合性ポリシーを作成し、そのポリシーの管理方法を決定できます。 コード整合性ポリシーをマージして広範なポリシーやマスター ポリシーを作成したり、各ポリシーを個別に管理および展開したりすることができます。

  3. コード整合性ポリシーを監査し、ポリシーの対象外となるアプリケーションに関する情報を取得します。 "監査モード" を使用して各コード整合性ポリシーを慎重にテストしてから、ポリシーを適用することをお勧めします。 監査モードでは、どのアプリケーションもブロックされません。このポリシーでは、ポリシーの対象外となるアプリケーションが起動されるたびにイベントが記録されるだけです。 後で、必要に応じてポリシーを拡張し、これらのアプリケーションを許可することができます。

  4. 署名されていない基幹業務 (LOB) アプリケーション用の "カタログ ファイル" を作成します。 Package Inspector ツールを使用して、署名されていない LOB アプリケーション用のカタログ ファイルを作成し署名します。 この後の手順では、カタログ ファイルの署名をコード整合性ポリシーにマージできます。これにより、カタログ内のアプリケーションがポリシーによって許可されます。

  5. イベント ログから必要なポリシー情報を取得し、必要に応じてその情報を既存のポリシーにマージします。 コード整合性ポリシーを監査モードでしばらく実行すると、イベント ログには、ポリシーの対象外となるアプリケーションに関する情報が記録されます。 これらのアプリケーションが許可されるようにポリシーを拡張するには、Windows PowerShell コマンドを使用して、イベント ログから必要なポリシー情報を取得し、その情報を既存のポリシーにマージします。 他のソースからのコード整合性ポリシーをマージすることもできます。これにより、最終的なコード整合性ポリシーを柔軟に作成することができます。

  6. コード整合性ポリシーとカタログ ファイルを展開します。 上記の手順をすべて実行したことを確認したら、カタログ ファイルの展開を開始し、コード整合性ポリシーの監査モードを終了することができます。 このプロセスは、テスト ユーザー グループを使用して開始することを強くお勧めします。 これにより、カタログ ファイルとコード整合性ポリシーを広範に展開する前に、品質管理による最終的な検証が行われます。

  7. 適切なハードウェア セキュリティ機能を有効にします。 ハードウェア ベースのセキュリティ機能 (仮想化ベースのセキュリティ (VBS) とも呼ばれます) によって、コード整合性ポリシーで提供される保護が強化されます。

Device Guard の実装について詳しくは、次のリソースをご覧ください。

AppLocker の管理

グループポリシーを使って、Windows 10 Enterprise の AppLocker を管理することができます。 グループポリシーを使用するには、自分が AD DS を使用していて、Windows 10 のエンタープライズデバイスが AD DS ドメインに参加している必要があります。 グループ ポリシーを使用すると、AppLocker 規則を作成し、これらの規則の対象として適切なデバイスを指定できます。

グループ ポリシーの使用による AppLocker の管理について詳しくは、「AppLocker 展開ガイド」をご覧ください。

App-V

App-V を使用するには、App-V クライアントをサポートするための App-V サーバー インフラストラクチャが必要です。 必要になる重要な App-V コンポーネントは次のとおりです。

  • App-V サーバー。 App-V サーバーには、App-V の管理、仮想化されたアプリの公開、アプリのストリーミング、レポート サービスの機能があります。 これらのサービスを 1 台のサーバーで実行することも、複数のサーバーに分けて個別に実行することもできます。 たとえば、複数のストリーミング サーバーを設定することもできます。 App-V クライアントは App-V サーバーとやり取りして、ユーザーまたはデバイスに公開するアプリを決定し、仮想化アプリをサーバーから実行します。

  • App-V シーケンサー。 App-V シーケンサーは、アプリのシーケンス (キャプチャ) と App-V サーバーからのホスティングの準備に使用される典型的なクライアント デバイスです。 アプリを App-V シーケンサーにインストールすると、App-V シーケンサーのソフトウェアにより、アプリのインストール時に変更されたファイルとレジストリ設定が特定されます。 シーケンサーはこれらの設定をキャプチャして、仮想化アプリを作成します。

  • App-V クライアント。 App-V サーバーからのアプリを実行するクライアント デバイスでは、App-V クライアントを有効にしておく必要があります。 これらは、Windows 10 Enterprise E3 デバイスになります。

App-V サーバー、App-V シーケンサー、App-V クライアントの実装について詳しくは、次のリソースをご覧ください。

UE-V

UE-V を使用するには、サーバー側とクライアント側のコンポーネントが必要です。これらはダウンロード、インストール、アクティブ化する必要があります。 これらのコンポーネントには次のようなものが含まれます。

  • UE-V サービス。 UE-V サービスは (デバイスで有効化されると)、登録されたアプリケーションと Windows について設定の変更を監視し、これらの設定をデバイス間で同期します。

  • 設定パッケージ。 UE-V サービスによって作成される設定パッケージには、アプリケーション設定と Windows 設定が格納されます。 構築された設定パッケージはローカル保存され、設定の保存場所にコピーされます。

  • 設定の保存場所。 この保存場所は、ユーザーからアクセスできる標準的なネットワーク共有です。 UE-V サービスは、この保存場所を確認し、ユーザー設定の保存と取得に使用される隠しシステム フォルダーを作成します。

  • 設定場所テンプレート。 設定場所テンプレートは、XML ファイルです。UE-V はこれを使用して、デスクトップ アプリケーション設定と Windows デスクトップ設定を監視し、ユーザー コンピューター間で同期します。 既定では、いくつかの設定場所テンプレートが UE-V に含まれています。 UE-V テンプレート ジェネレーターを使用して、カスタムの設定場所テンプレートを作成、編集、検証できます。 Windows アプリケーションには、設定場所テンプレートは必要ありません。

  • ユニバーサル Windows アプリケーションの一覧。 UE-V は、管理されたアプリケーションの一覧を使用して、どの Windows アプリケーションが設定の同期に対応しているか特定します。 既定では、この一覧にほとんどの Windows アプリケーションが含まれています。

UE-V の展開について詳しくは、次のリソースをご覧ください。

管理されたユーザー エクスペリエンス

管理ユーザーエクスペリエンス機能は、ユーザーエクスペリエンスを管理するために使用できる Windows 10 Enterprise edition の一連の機能と対応する設定です。 表2は、Windows 10 Enterprise edition でのみ利用可能な、管理されたユーザーエクスペリエンスの設定 を示しています。 各機能を構成するために使用する管理方法は、機能によって異なります。 機能には、グループ ポリシーを使用して構成するものと、Windows PowerShell、展開イメージのサービスと管理 (DISM)、またはその他のコマンドライン ツールを使用して構成するものがあります。 グループポリシー設定の場合、Windows 10 Enterprise デバイスを AD ds ドメインに参加させるには、AD DS が必要です。

Table2. "管理されたユーザー エクスペリエンス" 機能

機能 説明
スタート画面のレイアウトのカスタマイズ カスタマイズしたスタート画面のレイアウトをドメイン内のユーザーに展開できます。 イメージを再作成することなく、レイアウトが含まれている .xml ファイルを上書きするだけで、スタート画面のレイアウトを簡単に更新できます。 これにより、スタート画面のレイアウトをさまざまな部署や組織に合わせて最小限の管理オーバーヘッドでカスタマイズできます。
これらの設定の詳細については、「グループポリシーを使用して windows 10 の開始とタスクバーをカスタマイズする」を参照してください。
ブランドではないブート Windows の起動時または再開時に Windows 要素を非表示にすることも、Windows で回復不能なエラーが発生したときのクラッシュ画面を非表示にすることもできます。
これらの設定について詳しくは、「ブランドではないブート」をご覧ください。
カスタム ログオン カスタムログオン機能を使って、ようこそ画面とシャットダウン画面に関連する Windows 10 UI 要素を非表示にすることができます。 たとえば、"ようこそ" 画面の UI のすべての要素を非表示にして、カスタムのログオン UI を指定することができます。 また、シャットダウン前にアプリケーションの終了を OS が待機する間、Blocked Shutdown Resolver (BSDR) の画面を非表示にして自動的にアプリケーションを終了することもできます。
これらの設定について詳しくは、「カスタム ログオン」をご覧ください。
シェル ランチャー 割り当てられたアクセスで従来の Windows アプリのみを実行できるように、シェル ランチャーを介してシェルを置き換えます。
これらの設定について詳しくは、「シェル ランチャー」をご覧ください。
キーボード フィルター キーボード フィルターを使用すると、望ましくないキーまたはキーの組み合わせの使用を無効にできます。 通常、ユーザーは Ctrl+Alt+Del や Ctrl+Shift+Tab など、Windows で一般的なキーの組み合わせを使用し、画面をロックしたりタスク マネージャーを使用して実行中のアプリケーションを終了するなどしてデバイスを制御します。 この動作は、特殊な用途専用のデバイスでは望ましくありません。
これらの設定について詳しくは、「キーボード フィルター」をご覧ください。
統合書き込みフィルター デバイスで統合書き込みフィルター (UWF) を使用すると、物理ハード ディスク、ソリッドステート ドライブ、内蔵 USB デバイス、外付け SATA デバイスなど、Windows でサポートされている最も標準的なタイプの書き込み可能記憶域を含む、物理的な記憶域メディアの保護に役立ちます。 UWF を使用すると、読み取り専用メディアを書き込み可能ボリュームとして OS に表示することもできます。
これらの設定について詳しくは、「統合書き込みフィルター」をご覧ください。

関連トピック

Windows 10 Enterprise サブスクリプションのライセンス認証
Windows 10 エクスペリエンスのためにドメイン参加済みデバイスを Azure AD に接続する
Windows 10 エディションの比較
ビジネス向け Windows