CSP の Windows Enterprise E3

  • [アーティクル]
  • 適用対象:
    Windows 11, ✅ Windows 10

CSP の Windows Enterprise E3 では、サブスクリプション別に、Windows Enterprise エディション用に予約された排他的な機能が提供されます。 これは、オンライン サービスとしてパートナー センターを通じてクラウド ソリューション プロバイダー (CSP) チャネルで利用可能なサービスです。 CSP の Windows Enterprise E3 は、中小規模の組織 (1 人から数百人のユーザー) に柔軟なユーザーごとのサブスクリプションを提供します。 このオファリングを利用するには、次の前提条件を満たす必要があります。

  • アップグレードするデバイスにインストールおよびアクティブ化されている、現在サポートされているバージョンの Windows。
  • Microsoft Entra ID 管理に使用できます。

Windows Pro から Windows Enterprise への移行は、キーがなく、再起動も行われず、これまで以上に簡単です。 ユーザーが Windows Enterprise E3 ライセンスに関連付けられているMicrosoft Entra資格情報を入力すると、オペレーティング システムが Windows Pro から Windows Enterprise に切り替わり、適切な Enterprise 機能がすべてロック解除されます。 サブスクリプション ライセンスの有効期限が切れたり、別のユーザーに譲渡されたりすると、Enterprise デバイスは Windows Pro にシームレスに戻ります。

以前は、Microsoft ボリューム ライセンス契約を持つ組織のみがユーザーに Windows Enterprise を展開できました。 CSP の Windows Enterprise E3 では、中小規模の組織が Enterprise エディションの機能をより簡単に利用できるようになりました。

Windows Enterprise E3 をパートナー経由で購入すると、次の利点が含まれます。

  • Windows Enterprise エディション。 現在 Windows Pro を実行しているデバイスは、Windows Enterprise Current Branch (CB) または Current Branch for Business (CBB) を取得できます。 この特典には、Long Term Service Branch (LTSB) は含まれていません。
  • 1 ユーザー~数百ユーザーのサポート。 CSP プログラムの Windows Enterprise E3 には、organizationが持つライセンスの数に制限はありませんが、このプログラムは中小規模の組織向けに設計されています。
  • 5 台までのデバイスに展開可能。 ライセンスの対象となるユーザーごとに、Windows Enterprise エディションを最大 5 台のデバイスに展開できます。
  • いつでも Windows Pro にロールバックできます。 ユーザーのサブスクリプションが期限切れになったり、別のユーザーに転送されたりすると、Windows Enterprise デバイスは (最大 90 日間の猶予期間が経過した後) Windows Pro エディションにシームレスに戻ります。
  • ユーザー単位の月額価格モデル。 このモデルにより、Windows Enterprise E3 は組織にとって手頃な価格になります。
  • ライセンスをユーザー間で切り替え可能。 ライセンスは、あるユーザーから別のユーザーにすばやく簡単に再割り当てできるため、ニーズの変化に対するライセンス投資の最適化が可能になります。

CSP プログラムの Windows Enterprise E3 と Microsoft ボリューム ライセンス契約とソフトウェア アシュアランスの比較

  • Microsoft ボリューム ライセンス プログラムは、対象範囲が広く、すべての Microsoft 製品のライセンスへのアクセスを組織に提供します。

  • ソフトウェア アシュアランスでは、次のカテゴリの特典が組織に提供されます。

    • 展開と管理。 これらの利点には、計画サービスが含まれます。

      • Microsoft Desktop Optimization (MDOP)。
      • Windows Virtual Desktop のアクセス権。
      • Windows ローミング使用権限。
      • その他の利点。

    • トレーニング。 このカテゴリの特典には、トレーニング バウチャー、オンライン E ラーニング、自宅利用プログラムなどが含まれます。

    • サポート。 これらの利点は次のとおりです。

      • 24 時間 365 日の問題解決サポート。
      • ディザスター リカバリーのバックアップ機能。
      • System Center グローバル サービス モニター。
      • SQL Serverのパッシブ セカンダリ インスタンス。

    • 特殊用途。 これらの利点には、アップグレード ライセンスの可用性が含まれます。これにより、以前のエディションから上位のエディションへのソフトウェアの移行が可能になります。 また、ライセンスとソフトウェア アシュアランスの支払いを 3 つの等しい年額に分散します。

      さらに、CSP の Windows Enterprise E3 では、パートナーはorganizationのライセンスを管理できます。 ソフトウェア アシュアランスでは、organizationは独自のライセンスを管理する必要があります。

要約すると、CSP プログラムの Windows Enterprise E3 は、小規模および中規模の組織に、Windows Enterprise エディションの利点へのより簡単で柔軟なアクセスを提供するアップグレード オファリングです。 一方、Microsoft ボリューム ライセンス プログラムとソフトウェア アシュアランスの範囲は広く、Windows の Enterprise エディションへのアクセスを超えた利点を提供します。

Windows Pro エディションと Enterprise エディションを比較する

Windows Enterprise エディションには、Windows Pro で使用できない多くの機能があります。 表 1 に、Windows Pro で見つからない Windows Enterprise 機能の一部を示します。 これらの多くはセキュリティ関連の機能です。それ以外に、きめ細かいデバイス管理のための機能もあります。

表 1. Windows Pro に Windows Enterprise の機能が見つかりません

機能 説明
Credential Guard Credential Guard では、仮想化ベースのセキュリティを使用してセキュリティ シークレットを保護し、特権システム ソフトウェアのみがアクセスできるようにします。 保護できるセキュリティ シークレットの例としては、NTLM パスワード ハッシュや Kerberos チケット許可チケットなどがあります。 この保護は、Pass-the-Hash または Pass-the-Ticket 攻撃を防ぐのに役立ちます。

Credential Guard には、以下の機能があります。
  • ハードウェア レベルのセキュリティ - Credential Guard では、ハードウェア プラットフォームのセキュリティ機能 (セキュア ブートや仮想化など) を使用して、派生ドメインの資格情報やその他のシークレットを保護します。
  • 仮想化ベースのセキュリティ - 派生ドメイン資格情報やその他のシークレットにアクセスする Windows サービスは、分離された仮想化された保護された環境で実行されます。
  • 永続的な脅威に対する保護の強化 - Credential Guard は、他のテクノロジ (Device Guard など) と連携して、どんなに永続的であっても、攻撃に対するさらなる保護を提供します。
  • 管理容易性の向上 - Credential Guard は、グループ ポリシー、Windows Management Instrumentation (WMI)、またはWindows PowerShellを使用して管理できます。

    詳しくは、「Credential Guard によるドメインの派生資格情報の保護」をご覧ください。

    Credential Guard には、次が必要です
    • トラステッド ブートを使用した UEFI 2.3.1 以降
    • Intel VT-x、AMD-V、SLAT などの仮想化拡張機能を有効にする必要があります
    • x64 バージョンの Windows
    • INTEL VT-d などの IOMMU AMD-Vi
    • BIOS ロックダウン
    • デバイスの正常性構成証明に推奨される TPM 2.0 (TPM 2.0 が存在しない場合はソフトウェアを使用)
    		•
    Device Guard この機能は、ハードウェアとソフトウェアのセキュリティ機能の組み合わせで、信頼されているアプリケーションのみの実行をデバイス上で許可します。 攻撃者が Windows カーネルの制御を取得したとしても、実行可能コードを実行する可能性ははるかに低くなります。 Device Guard では、Windows Enterprise エディションの仮想化ベースのセキュリティ (VBS) を使用して、コード整合性サービスを Windows カーネル自体から分離できます。 VBS では、ハイパーバイザーによってマルウェアのコードの実行を防止できるため、マルウェアがカーネルへのアクセスを取得したとしても、その影響を大幅に制限することができます。

    Device Guard では、次の方法で保護されます。
  • マルウェアからの保護を支援します。
  • 脆弱性やゼロ デイ攻撃に対する Windows システムの中核の保護を支援します。
  • 信頼できるアプリのみの実行を許可します。

    詳しくは、「Device Guard の概要」をご覧ください。
    		•
    AppLocker の管理 この機能は、ユーザーがデバイスで実行できるアプリケーションとファイルを IT 担当者が判断するのに役立ちます。 管理できるアプリケーションとファイルは、実行形式ファイル、スクリプト、Windows インストーラー ファイル、ダイナミックリンク ライブラリ (DLL)、パッケージ アプリ、パッケージ アプリのインストーラーなどです。

    詳しくは、「AppLocker」をご覧ください。
    Application Virtualization (APP-V) この機能により、アプリケーションをユーザーのデバイスに直接インストールすることなく、エンド ユーザーがアプリケーションを使用できるようになります。 App-V では、アプリケーションが一元管理型のサービスに変換されるため、アプリケーションのインストールも他のアプリケーションとの衝突も発生しません。 また、アプリケーションに最新のセキュリティ更新プログラムが適用されるように、この機能で管理することもできます。

    詳細については、「 App-V for Windows クライアントの概要」を参照してください。
    User Experience Virtualization (UE-V) この機能を使用すると、ユーザーがカスタマイズした Windows とアプリケーションの設定をキャプチャし、一元管理されたネットワーク ファイル共有に格納できます。

    ユーザーがサインインすると、サインインするデバイスまたは仮想デスクトップ インフラストラクチャ (VDI) セッションに関係なく、個人用設定が作業セッションに適用されます。

    UE-V には、次の機能があります。
  • ユーザー デバイス間で同期するアプリケーションと Windows 設定を指定する。
  • エンタープライズ規模で、ユーザーが作業する時間や場所を問わず、設定を提供する。
  • 基幹業務アプリケーション用のカスタム テンプレートを作成する
  • ハードウェアの交換またはアップグレード後、または仮想マシンを初期状態に再イメージングした後に、設定を回復する。

    詳細については、「 User Experience Virtualization (UE-V) の概要」を参照してください。
    		•
    管理されたユーザー エクスペリエンス この機能は、Windows デバイスのユーザー インターフェイスをカスタマイズしてロックダウンして、特定のタスクに制限するのに役立ちます。 たとえば、キオスクや教室のデバイスなどの制御されたシナリオ用にデバイスを構成できます。 ユーザーがサインオフすると、ユーザー エクスペリエンスが自動的にリセットされます。 Windows ストアなどのサービスへのアクセスを制限することもできます。 Windows 10の場合は、次のようなスタート 画面レイアウト オプションを管理することもできます。
  • シャットダウン、再起動、スリープ、休止コマンドを削除してアクセスを回避する
  • スタート メニューからログオフ (ユーザー タイル) を削除する
  • よく使うプログラムをスタート メニューから削除する
  • [すべてのプログラム] の一覧をスタート メニューから削除する
  • ユーザーがスタート画面をカスタマイズできないようにする
  • スタート メニューを強制的に全画面またはメニュー サイズに変更する
  • タスク バーとスタート メニューの設定を変更できないようにする
    		•

    Windows Enterprise E3 ライセンスの展開

    「Windows Enterprise ライセンスの展開」を参照してください。

    Windows Enterprise 機能を展開する

    Windows Enterprise エディションがデバイス上で実行されたので、Enterprise エディションの機能はどのように活用されていますか? 表 1 に示されている各機能を使用するには、どのような手順が必要になるでしょうか。

    次のセクションでは、ユーザーが Windows Enterprise エディションの機能を利用するのに役立つ、環境で実行する必要がある高度なタスクについて説明します。

    Credential Guard

    トラステッド ブートで UEFI 2.3.1 以降が必要です。Intel VT-x、AMD-V、SLAT などの仮想化拡張機能を有効にする必要があります。x64 バージョンの Windows。INTEL VT-d、AMD-Vi などの IOMMU。BIOS ロックダウン。TPM 2.0 は、デバイスの正常性構成証明に推奨されます (TPM 2.0 が存在しない場合はソフトウェアが使用されます)。

    Credential Guard は、これらのデバイスで Credential Guard をオンにすることで、Windows Enterprise デバイスに実装できます。 Credential Guard は、Credential Guard を有効にする前に各デバイスで有効にする必要がある Windows 仮想化ベース (Hyper-V) セキュリティ機能を使用します。 Credential Guard を有効にするには、次のいずれかの方法を使用します。

    • 自動: グループ ポリシーを使用して、1 つ以上のデバイスに対して Credential Guard を有効にすることができます。 グループ ポリシーの設定により、管理されているデバイスで仮想化ベースのセキュリティ機能が自動的に追加され、Credential Guard のレジストリ設定が構成されます。

    • 手動: Credential Guard を手動で有効にするには、次のいずれかの操作を行います。

      • "プログラムと機能" または展開イメージのサービスと管理 (DISM) を使って仮想化ベースのセキュリティ機能を追加する。

      • レジストリ エディターまたは Device Guard および Credential Guard ハードウェア準備ツール" を使用して Credential Guard のレジストリ設定を構成する。

        これらの手動の手順は、Microsoft Configuration Managerなどの管理ツールを使用して自動化できます。

    Credential Guard の実装について詳しくは、次のリソースをご覧ください。

    Device Guard

    デバイスに Windows Enterprise がインストールされたので、次の手順を実行して、Windows Enterprise デバイスに Device Guard を実装できます。

    1. 必要に応じて、コード整合性ポリシー用のコード署名証明書を作成します。 コード整合性ポリシーがデプロイされると、カタログ ファイルまたはコード整合性ポリシーに内部的に署名する必要がある場合があります。 カタログ ファイルまたはコード整合性ポリシーに内部で署名するには、公開されているコード署名証明書 (通常は購入) または内部証明機関 (CA) が必要です。 内部 CA を選択した場合は、コード署名証明書を作成する必要があります。

    2. "ゴールデン" コンピューターからコード整合性ポリシーを作成します。 部門またはロールは、ハードウェアとソフトウェアの独特なセットまたは部分的に特徴的なセットを使用する場合があります。 このような場合、これらの部門またはロールのソフトウェアとハードウェアを含む "ゴールデン" コンピューターを設定できます。 この場合、役割や部署のニーズに合わせた整合性ポリシーの作成と管理の方法は、会社のイメージを作成する場合と類似しています。 各 "ゴールデン" コンピューターから、コード整合性ポリシーを作成し、そのポリシーを管理する方法を決定できます。 コード整合性ポリシーをマージして、より広範なポリシーまたはプライマリ ポリシーを作成することも、各ポリシーを個別に管理および展開することもできます。

    3. コード整合性ポリシーを監査し、ポリシーの対象外となるアプリケーションに関する情報を取得します。 Microsoft では、"監査モード" を使用して、各コード整合性ポリシーを適用する前に慎重にテストすることをお勧めします。 監査モードでは、アプリケーションはブロックされません。 ポリシーは、ポリシー外のアプリケーションが開始されるたびにイベントをログに記録するだけです。 後でポリシーを展開して、必要に応じてこれらのアプリケーションを許可できます。

    4. 署名されていない基幹業務 (LOB) アプリケーション用の "カタログ ファイル" を作成します。 パッケージ インスペクター ツールを使用して、署名されていない LOB アプリケーションのカタログ ファイルを作成して署名します。 以降の手順では、カタログ ファイルの署名をコード整合性ポリシーにマージして、ポリシーによってカタログ内のアプリケーションが許可されるようにすることができます。

    5. イベント ログから必要なポリシー情報を取得し、必要に応じてその情報を既存のポリシーにマージします。 コード整合性ポリシーを監査モードでしばらく実行すると、イベント ログには、ポリシーの対象外となるアプリケーションに関する情報が記録されます。 これらのアプリケーションを許可するようにポリシーを展開するには、Windows PowerShell コマンドを使用して、必要なポリシー情報をイベント ログからキャプチャします。 情報がキャプチャされたら、その情報を既存のポリシーにマージします。 コード整合性ポリシーは、他のソースからマージすることもできます。これにより、最終的なコード整合性ポリシーを柔軟に作成できます。

    6. コード整合性ポリシーとカタログ ファイルを展開します。 上記のすべての手順が完了したことを確認した後、カタログ ファイルを展開し、コード整合性ポリシーを監査モードから取り出すことができます。 Microsoft では、このプロセスをユーザーのテスト グループで開始することを強くお勧めします。 テストでは、カタログ ファイルとコード整合性ポリシーをより広範に展開する前に、最終的な品質管理検証が提供されます。

    7. 適切なハードウェア セキュリティ機能を有効にします。 ハードウェア ベースのセキュリティ機能 (仮想化ベースのセキュリティ (VBS) とも呼ばれます) によって、コード整合性ポリシーで提供される保護が強化されます。

    Device Guard の実装について詳しくは、次のリソースをご覧ください。

    AppLocker の管理

    Windows Enterprise の AppLocker は、グループ ポリシーを使用して管理できます。 グループ ポリシーには、AD DS があり、Windows Enterprise デバイスが AD DS ドメインに参加している必要があります。 AppLocker ルールは、グループ ポリシーを使用して作成できます。 その後、AppLocker 規則は、適切なデバイスを対象にすることができます。

    グループ ポリシーの使用による AppLocker の管理について詳しくは、「AppLocker 展開ガイド」をご覧ください。

    App-V

    App-V を使用するには、App-V クライアントをサポートするための App-V サーバー インフラストラクチャが必要です。 必要な主要な App-V コンポーネントは次のとおりです。

    • App-V サーバー。 App-V サーバーには、App-V の管理、仮想化されたアプリの公開、アプリのストリーミング、レポート サービスの機能があります。 これらのサービスを 1 台のサーバーで実行することも、複数のサーバーに分けて個別に実行することもできます。 たとえば、複数のストリーミング サーバーが存在する可能性があります。 App-V クライアントは App-V サーバーとやり取りして、ユーザーまたはデバイスに公開するアプリを決定し、仮想化アプリをサーバーから実行します。

    • App-V シーケンサー。 App-V シーケンサーは、アプリのシーケンス (キャプチャ) と App-V サーバーからのホスティングの準備に使用される典型的なクライアント デバイスです。 アプリは App-V シーケンサーにインストールされ、App-V シーケンサー ソフトウェアによって、アプリのインストール中に変更されるファイルとレジストリ設定が決定されます。 シーケンサーはこれらの設定をキャプチャして、仮想化アプリを作成します。

    • App-V クライアント。 App-V クライアントは、App-V サーバーからアプリを実行する必要がある任意の Windows Enterprise E3 クライアント デバイスで有効にする必要があります。

    App-V サーバー、App-V シーケンサー、App-V クライアントの実装について詳しくは、次のリソースをご覧ください。

    UE-V

    UE-V には、ダウンロード、アクティブ化、インストールが必要なサーバーおよびクライアント側のコンポーネントが必要です。 これらのコンポーネントには次のようなものが含まれます。

    • UE-V サービス。 UE-V サービスは (デバイスで有効化されると)、登録されたアプリケーションと Windows について設定の変更を監視し、これらの設定をデバイス間で同期します。

    • 設定パッケージ。 UE-V サービスによって作成される設定パッケージには、アプリケーション設定と Windows 設定が格納されます。 構築された設定パッケージはローカル保存され、設定の保存場所にコピーされます。

    • 設定の保存場所。 この場所は、ユーザーがアクセスできる標準のネットワーク共有です。 UE-V サービスは、この保存場所を確認し、ユーザー設定の保存と取得に使用される隠しシステム フォルダーを作成します。

    • 設定場所テンプレート。 設定場所テンプレートは、XML ファイルです。UE-V はこれを使用して、デスクトップ アプリケーション設定と Windows デスクトップ設定を監視し、ユーザー コンピューター間で同期します。 既定では、いくつかの設定場所テンプレートが UE-V に含まれています。 カスタム設定の場所テンプレートは、UE-V テンプレート ジェネレーターを使用して作成、編集、または検証することもできます。 Windows アプリケーションでは、設定の場所テンプレートは必要ありません。

    • ユニバーサル Windows アプリケーションの一覧。 UE-V は、管理されたアプリケーションの一覧を使用して、どの Windows アプリケーションが設定の同期に対応しているか特定します。 既定では、この一覧にほとんどの Windows アプリケーションが含まれています。

    UE-V の展開について詳しくは、次のリソースをご覧ください。

    管理されたユーザー エクスペリエンス

    マネージド ユーザー エクスペリエンス機能は、一連の Windows Enterprise エディションの機能と、ユーザー エクスペリエンスの管理に使用できる対応する設定です。 表 2 に、Windows Enterprise エディションでのみ使用できるマネージド ユーザー エクスペリエンスの設定 (カテゴリ別) について説明します。 各機能を構成するために使用する管理方法は、機能によって異なります。 機能には、グループ ポリシーを使用して構成するものと、Windows PowerShell、展開イメージのサービスと管理 (DISM)、またはその他のコマンドライン ツールを使用して構成するものがあります。 グループ ポリシー設定では、AD DS ドメインに参加している Windows Enterprise デバイスで AD DS が必要です。

    表 2. "管理されたユーザー エクスペリエンス" 機能

    機能 説明
    スタート画面のレイアウトのカスタマイズ カスタマイズしたスタート 画面レイアウトは、ドメイン内のユーザーに展開できます。 イメージを再作成することなく、レイアウトが含まれている .xml ファイルを上書きするだけで、スタート画面のレイアウトを簡単に更新できます。 XML ファイルを使用すると、管理オーバーヘッドを最小限に抑えながら、さまざまな部門または組織のスタート 画面レイアウトをカスタマイズできます。
    これらの設定について詳しくは、「グループ ポリシーによる Windows 10 のスタート画面とタスク バーのカスタマイズ」をご覧ください。
    ブランドではないブート Windows の起動時または再開時に表示される Windows 要素は抑制できます。 Windows で回復できないエラーが発生した場合のクラッシュ画面も抑制できます。
    これらの設定について詳しくは、「ブランドではないブート」をご覧ください。
    カスタム ログオン カスタム ログオン機能を使用すると、ようこそ画面とシャットダウン画面に関連する Windows UI 要素を抑制できます。 たとえば、ようこそ画面 UI のすべての要素を抑制し、カスタム ログオン UI を指定できます。 [ブロックされたシャットダウン リゾルバー (BSDR)] 画面も抑制でき、OS がシャットダウン前にアプリケーションの終了を待機している間に、アプリケーションを自動的に終了できます。
    これらの設定について詳しくは、「カスタム ログオン」をご覧ください。
    シェル ランチャー 割り当てられたアクセスで従来の Windows アプリのみを実行できるように、シェル ランチャーを介してシェルを置き換えます。
    これらの設定について詳しくは、「シェル ランチャー」をご覧ください。
    キーボード フィルター キーボード フィルターを使用すると、望ましくないキー押しやキーの組み合わせを抑制できます。 通常、ユーザーは Ctrl+Alt+Del や Ctrl+Shift+Tab など、Windows で一般的なキーの組み合わせを使用し、画面をロックしたりタスク マネージャーを使用して実行中のアプリケーションを終了するなどしてデバイスを制御します。 これらのキーボード 操作は、専用の目的を目的としたデバイスでは望ましくありません。
    これらの設定について詳しくは、「キーボード フィルター」をご覧ください。
    統合書き込みフィルター 統合書き込みフィルター (UWF) は、次のような Windows でサポートされているほとんどの標準書き込み可能なストレージの種類など、物理ストレージ メディアを保護するためにデバイスで使用できます。
    • 物理ハード ディスク
    • ソリッド ステート ドライブ
    • 内部 USB デバイス
    • 外部 SATA デバイス
      • . UWF を使用して、読み取り専用メディアを書き込み可能なボリュームとして OS に表示することもできます。
      これらの設定について詳しくは、「統合書き込みフィルター」をご覧ください。