Windows 10 Enterprise E3 in CSP

2016 年 9 月 1 日、クラウド ソリューション プロバイダー (CSP) チャネルで Windows 10 Enterprise E3 がリリースされました。 Windows 10 Enterprise E3 in CSP は、Windows 10 Enterprise エディションだけに予約されている機能をサブスクリプションによって配布する、新しいサービスです。 これは、オンライン サービスとしてパートナー センターを通じてクラウド ソリューション プロバイダー (CSP) チャネルで利用可能なサービスです。 Windows 10 EnterpriseE3 CSP では、(1 から数百ユーザー) から小規模および中規模の組織にとって、柔軟なユーザーごとのサブスクリプションを提供します。 このサービスを利用する要件は次のとおりです。

  • Windows 10 Pro version 1607 (別名 Windows 10 Anniversary Update) 以降をアップグレードするデバイスにインストールされています。
  • ID 管理用に Azure Active Directory (Azure AD) を使用できること。

以降では、windows 10、バージョン 1607 (Windows 10 Anniversary Update) では、windows 10 Pro から Enterprise への移行 windows 10 までよりも簡単に-キーや再起動は必要ありません。 Windows 10 Enterprise E3 ライセンスに関連付けられている Azure AD の資格情報を入力したユーザーのいずれかの後、オペレーティング システムが windows 10 Pro から windows 10 Enterprise に該当するすべての windows 10 Enterprise 機能がロック解除されます。 サブスクリプションのライセンスは、有効期限が切れるか、別のユーザーに切り替えられた場合は、windows 10 Enterprise デバイス シームレス戻ります windows 10 Pro にします。

以前は、Microsoft ボリューム ライセンス契約している組織だけをユーザーに windows 10 Enterprise を展開することができます。 これで、CSP での windows 10 EnterpriseE3、小規模および中規模の組織をより簡単にいただける windows 10 Enterprise 機能を利用します。

パートナー経由で windows 10 EnterpriseE3 を購入する場合は、次の利点を取得します。

  • Windows 10 Enterprise エディションです。 現在 windows 10 Pro を実行するデバイス、バージョン 1607 を取得できます windows 10 Enterprise ・ Current Branch (CB) または Current Branch for Business (CBB)。 この特典には、Long Term Service Branch (LTSB) は含まれていません。

  • 1 ユーザー~数百ユーザーのサポート。 Windows 10 Enterprise E3 in CSP プログラムには、組織が所有できるライセンス数に制限があるなければ、プログラムは、小規模および中規模の組織の設計されています。

  • 5 台までのデバイスに展開可能。 ライセンスに含まれる各ユーザーについて、Windows 10 Enterprise エディションを 5 台までのデバイスに展開できます。

  • いつでもでも windows 10 Pro にロールバックする。 ユーザーのサブスクリプションでは、有効期限が切れるか、別のユーザーに切り替えられた場合は、windows 10 Enterprise デバイス後に戻るシームレスに windows 10 Pro エディションに (最大 90 日間の猶予期間)。

  • ユーザー単位の月額価格モデル。 これにより、windows 10 Enterprise E3 はどのような組織向けの手頃な価格。

  • ライセンスをユーザー間で切り替え可能。 1 人のユーザーから別のユーザーにライセンスを迅速に割り当て直すことができるため、変化するニーズに応じてライセンス投資を最適化できます。

Microsoft ボリューム ライセンス契約およびソフトウェア アシュアランスの CSP プログラムで windows 10 EnterpriseE3 の比較

  • Microsoft ボリューム ライセンス プログラムは、対象範囲が広く、すべての Microsoft 製品のライセンスへのアクセスを組織に提供します。

  • ソフトウェア アシュアランスでは、次のカテゴリの特典が組織に提供されます。

    • 展開と管理。 このカテゴリの特典には、プランニング サービス、Microsoft Desktop Optimization (MDOP)、Windows Virtual Desktop Access Rights、Windows-To-Go Rights、Windows Roaming Use Rights、Windows Thin PC、Windows RT Companion VDA Rights などが含まれます。

    • トレーニング。 このカテゴリの特典には、トレーニング バウチャー、オンライン E ラーニング、自宅利用プログラムなどが含まれます。

    • サポート。 この特典には、年中無休の問題解決サポート、障害復旧用のバックアップ機能、System Center グローバル サービス モニター、SQL Server のパッシブ セカンダリ インスタンスが含まれます。

    • 特殊用途。 このカテゴリの特典には、ステップアップ ライセンス (ソフトウェアを以前のエディションから上位エディションに移行できる)、ライセンスとソフトウェア アシュアランスのお支払いを 3 回の年額 (同額) に分割できる権利などが含まれます。

    さらに、CSP での windows 10 EnterpriseE3、パートナーできます、ライセンスの管理します。 ソフトウェア アシュアランスでは、お客様がご自身でライセンスを管理していただきます。

要約すると、windows 10 Enterprise E3 in CSP プログラムは提供アップグレード中規模の組織の windows 10 Enterprise エディションのメリットを簡単より柔軟なへのアクセスを提供にマイクロソフト ボリューム ライセンス プログラムとソフトウェア アシュアランスは範囲が広く、windows 10 Enterprise エディションへのアクセスにとどまらない特典も提供します。

Windows 10 Pro、Enterprise エディションを比較します。

Windows 10 Enterprise エディションには、多くの windows 10 Pro で利用できる機能です。 表 1 には、windows 10 Pro にない windows 10 Enterprise 機能が一覧表示されます。 これらの多くはセキュリティ関連の機能です。それ以外に、きめ細かいデバイス管理のための機能もあります。

表 1 です。 Windows 10 Pro にない windows 10 Enterprise 機能

機能 説明

Credential Guard*

この機能では、仮想化ベースのセキュリティを使って、特権を持つシステム ソフトウェアのみがアクセスできるようにセキュリティ シークレット (NTLM パスワード ハッシュ、Kerberos チケット保証チケットなど) を保護します。 これは、pass-the-hash 攻撃または pass-the-ticket 攻撃の回避に役立ちます。

Credential Guard には、以下の機能があります。

  • ハードウェア レベルのセキュリティ:  Credential Guard は、ハードウェア プラットフォームのセキュリティ機能 (セキュア ブートや仮想化など) を使用して、派生したドメイン資格情報やその他の機密情報の保護を支援します。

  • 仮想化ベースのセキュリティ:  派生したドメイン資格情報およびその他の機密情報にアクセスする Windows サービスは、仮想化された保護環境で実行されます。

  • 持続的な脅威に対する保護の強化:  Credential Guard は、他のテクノロジ (Device Guard など) と連携して、持続の度合いにかかわらず、攻撃に対する高度な保護を提供します。

  • 管理性の強化:  Credential Guard は、グループ ポリシー、Windows Management Instrumentation (WMI)、または Windows PowerShell を使用して管理できます。

詳しくは、「Credential Guard によるドメインの派生資格情報の保護」をご覧ください。

* Credential Guard を使用するには、トラスト ブート機能を備えた UEFI 2.3.1 以上、仮想化拡張機能 (Intel VT-x、AMD-V、SLAT など) の有効化、Windows の x64 バージョン、IOMMU (Intel VT-d、AMD-Vi など)、BIOS のロックダウン、デバイス正常性の認証に推奨される TPM 2.0 (TPM 2.0 がない場合はソフトウェアを使用) が必要です。

Device Guard

この機能は、ハードウェアとソフトウェアのセキュリティ機能の組み合わせで、信頼されているアプリケーションのみの実行をデバイス上で許可します。 攻撃者は、Windows カーネルの制御権を獲得しても、実行可能コードを実行できる可能性がはるかに低くなります。 Device Guard は、windows 10 Enterprise エディションで仮想化ベースのセキュリティ (VBS) を使用してから、Windows カーネル自体のコード整合性サービスを分離します。 VBS では、ハイパーバイザーによってマルウェアのコードの実行を防止できるため、マルウェアがカーネルへのアクセスを取得したとしても、その影響を大幅に制限することができます。

Device Guard には、次の機能があります。

  • マルウェアからの保護を支援します。

  • 脆弱性やゼロ デイ攻撃に対する Windows システムの中核の保護を支援します。

  • 信頼できるアプリのみの実行を許可します。

詳しくは、「Device Guard の概要」をご覧ください。

AppLocker の管理

この機能は、ユーザーがデバイスで使用できるアプリケーションとファイルを IT 担当者が決定する ("ホワイトリスト作成" とも呼ばれます) 場合に役立ちます。 管理できるアプリケーションとファイルは、実行形式ファイル、スクリプト、Windows インストーラー ファイル、ダイナミックリンク ライブラリ (DLL)、パッケージ アプリ、パッケージ アプリのインストーラーなどです。

詳しくは、「AppLocker」をご覧ください。

Application Virtualization (APP-V)

この機能を使用すると、アプリケーションをユーザーのデバイスに直接インストールすることなく、アプリケーションをエンド ユーザーが利用できるようになります。 App-V では、アプリケーションが一元管理型のサービスに変換されるため、アプリケーションのインストールも他のアプリケーションとの衝突も発生しません。 また、アプリケーションに最新のセキュリティ更新プログラムが適用されるように、この機能で管理することもできます。

詳しくは、App-V for Windows 10 の概要をご覧ください。

User Experience Virtualization (UE-V)

この機能を使って、ユーザーによってカスタマイズされた Windows とアプリケーションの設定をキャプチャでき、一元管理されたネットワーク ファイル共有に保存できます。 ユーザーがログオンする際は、個人用設定はログインしているデバイスまたは仮想デスクトップ インフラストラクチャ (VDI) のセッションに関係なく、その作業セッションに適用されます。

UE-V を使用すると、次のことが可能になります。

  • ユーザー デバイス間で同期するアプリケーションと Windows 設定を指定する。

  • エンタープライズ規模で、ユーザーが作業する時間や場所を問わず、設定を提供する。

  • サード パーティ製アプリケーションまたは基幹アプリケーション用のカスタム テンプレートを作成する。

  • ハードウェアの交換またはアップグレード後、または仮想マシンを初期状態に再イメージングした後に、設定を回復する。

詳しくは、User Experience Virtualization (UE-V) for Windows 10 の概要をご覧ください。

管理されたユーザー エクスペリエンス

この機能を使用すると、Windows デバイスのユーザー インターフェイスをカスタマイズおよびロックダウンして、特定のタスクに限定できます。 たとえば、売店用や授業用のデバイスなど、管理されたシナリオに使用するデバイスを構成することができます。 ユーザーがサインオフすると、ユーザー エクスペリエンスが自動的にリセットされます。 また、Cortana や Windows ストアなどのサービスへのアクセスを制限し、スタート画面のレイアウト オプションを管理できます。次に例を示します。

  • シャットダウン、再起動、スリープ、休止コマンドを削除してアクセスを回避する

  • スタート メニューからログオフ (ユーザー タイル) を削除する

  • よく使うプログラムをスタート メニューから削除する

  • [すべてのプログラム] の一覧をスタート メニューから削除する

  • ユーザーがスタート画面をカスタマイズできないようにする

  • スタート メニューを強制的に全画面またはメニュー サイズに変更する

  • タスク バーとスタート メニューの設定を変更できないようにする

Windows 10 Enterprise E3 ライセンスの展開準備

Windows 10 Enterprise ライセンスの展開」をご覧ください。

Windows 10 Enterprise 機能を展開します。

デバイスで Windows 10 Enterprise エディションを実行できたら、Enterprise エディションの機能を利用するにはどうすればよいでしょうか。 表 1 に示されている各機能を使用するには、どのような手順が必要になるでしょうか。

以下のセクションでは、ユーザーが windows 10 Enterprise エディションの機能を活用できるようにするには、環境内で実行する必要がある高度なタスクを提供します。

Credential Guard*

これらのデバイスで Credential Guard を有効にして、windows 10 Enterprise デバイスで Credential Guard を実装できます。 Credential Guard では、Credential Guard を有効にする前に、各デバイスで有効にする必要がある windows 10 仮想化ベースのセキュリティ機能 (HYPER-V 機能) を使用します。 Credential Guard は、次のいずれかの方法で有効化できます。

  • 自動: グループ ポリシーを使用すると、1 台または複数のデバイスで Credential Guard を自動的に有効化できます。 グループ ポリシーの設定により、管理されているデバイスで仮想化ベースのセキュリティ機能が自動的に追加され、Credential Guard のレジストリ設定が構成されます。

  • 手動: Credential Guard は、次の手順を実行することによって手動で有効化できます。

    System Center Configuration Manager などの管理ツールを使用してこれらの手動手順を自動化することもできます。

Credential Guard の実装について詳しくは、次のリソースをご覧ください。

* トラスト ブート機能を備えた UEFI 2.3.1 以上、仮想化拡張機能 (Intel VT-x、AMD-V、SLAT など) の有効化、Windows の x64 バージョン、IOMMU (Intel VT-d、AMD-Vi など)、BIOS のロックダウン、デバイス正常性の認証に推奨される TPM 2.0 (TPM 2.0 がない場合はソフトウェアを使用) が必要です。

Device Guard

デバイスでは、windows 10 Enterprise をしたらは、次の手順を実行することで、windows 10 Enterprise デバイスに Device Guard を実装できます。

  1. 必要に応じて、コード整合性ポリシー用のコード署名証明書を作成します。 コード整合性ポリシーを展開するとき、場合によっては、内部的にカタログ ファイルまたはコード整合性ポリシーに署名する必要があります。 そのためには、公開されているコード署名証明書 (購入したもの) または内部証明機関 (CA) が必要になります。 内部 CA を使用する場合は、コード署名証明書を作成する必要があります。

  2. "ゴールデン" コンピューターからコード整合性ポリシーを作成します。 固有の、または部分的に固有のハードウェアとソフトウェアのセットを使用する部署や役割を特定した場合、そのソフトウェアとハードウェアを含んでいる "ゴールデン" コンピューターをセットアップすることができます。 この場合、役割や部署のニーズに合わせた整合性ポリシーの作成と管理の方法は、会社のイメージを作成する場合と類似しています。 各 "ゴールデン" コンピューターから、コード整合性ポリシーを作成し、そのポリシーの管理方法を決定できます。 コード整合性ポリシーをマージして広範なポリシーやマスター ポリシーを作成したり、各ポリシーを個別に管理および展開したりすることができます。

  3. コード整合性ポリシーを監査し、ポリシーの対象外となるアプリケーションに関する情報を取得します。 "監査モード" を使用して各コード整合性ポリシーを慎重にテストしてから、ポリシーを適用することをお勧めします。 監査モードでは、どのアプリケーションもブロックされません。このポリシーでは、ポリシーの対象外となるアプリケーションが起動されるたびにイベントが記録されるだけです。 後で、必要に応じてポリシーを拡張し、これらのアプリケーションを許可することができます。

  4. 署名されていない基幹業務 (LOB) アプリケーション用の "カタログ ファイル" を作成します。 Package Inspector ツールを使用して、署名されていない LOB アプリケーション用のカタログ ファイルを作成し署名します。 この後の手順では、カタログ ファイルの署名をコード整合性ポリシーにマージできます。これにより、カタログ内のアプリケーションがポリシーによって許可されます。

  5. イベント ログから必要なポリシー情報を取得し、必要に応じてその情報を既存のポリシーにマージします。 コード整合性ポリシーを監査モードでしばらく実行すると、イベント ログには、ポリシーの対象外となるアプリケーションに関する情報が記録されます。 これらのアプリケーションが許可されるようにポリシーを拡張するには、Windows PowerShell コマンドを使用して、イベント ログから必要なポリシー情報を取得し、その情報を既存のポリシーにマージします。 他のソースからのコード整合性ポリシーをマージすることもできます。これにより、最終的なコード整合性ポリシーを柔軟に作成することができます。

  6. コード整合性ポリシーとカタログ ファイルを展開します。 上記の手順をすべて実行したことを確認したら、カタログ ファイルの展開を開始し、コード整合性ポリシーの監査モードを終了することができます。 このプロセスは、テスト ユーザー グループを使用して開始することを強くお勧めします。 これにより、カタログ ファイルとコード整合性ポリシーを広範に展開する前に、品質管理による最終的な検証が行われます。

  7. 適切なハードウェア セキュリティ機能を有効にします。 ハードウェア ベースのセキュリティ機能 (仮想化ベースのセキュリティ (VBS) とも呼ばれます) によって、コード整合性ポリシーで提供される保護が強化されます。

Device Guard の実装について詳しくは、次のリソースをご覧ください。

AppLocker の管理

グループ ポリシーを使用して windows 10 Enterprise の AppLocker を管理することができます。 グループ ポリシーは、AD DS があり、windows 10 Enterprise デバイスに参加している必要があります、AD DS ドメインです。 グループ ポリシーを使用すると、AppLocker 規則を作成し、これらの規則の対象として適切なデバイスを指定できます。

グループ ポリシーの使用による AppLocker の管理について詳しくは、「AppLocker 展開ガイド」をご覧ください。

App-V

App-V を使用するには、App-V クライアントをサポートするための App-V サーバー インフラストラクチャが必要です。 必要になる重要な App-V コンポーネントは次のとおりです。

  • App-V サーバー。 App-V サーバーには、App-V の管理、仮想化されたアプリの公開、アプリのストリーミング、レポート サービスの機能があります。 これらのサービスを 1 台のサーバーで実行することも、複数のサーバーに分けて個別に実行することもできます。 たとえば、複数のストリーミング サーバーを設定することもできます。 App-V クライアントは App-V サーバーとやり取りして、ユーザーまたはデバイスに公開するアプリを決定し、仮想化アプリをサーバーから実行します。

  • App-V シーケンサー。 App-V シーケンサーは、アプリのシーケンス (キャプチャ) と App-V サーバーからのホスティングの準備に使用される典型的なクライアント デバイスです。 アプリを App-V シーケンサーにインストールすると、App-V シーケンサーのソフトウェアにより、アプリのインストール時に変更されたファイルとレジストリ設定が特定されます。 シーケンサーはこれらの設定をキャプチャして、仮想化アプリを作成します。

  • App-V クライアント。 App-V サーバーからのアプリを実行するクライアント デバイスでは、App-V クライアントを有効にしておく必要があります。 Windows 10 Enterprise E3 デバイスこれらになります。

App-V サーバー、App-V シーケンサー、App-V クライアントの実装について詳しくは、次のリソースをご覧ください。

UE-V

UE-V を使用するには、サーバー側とクライアント側のコンポーネントが必要です。これらはダウンロード、インストール、アクティブ化する必要があります。 これらのコンポーネントには次のようなものが含まれます。

  • UE-V サービス。 UE-V サービスは (デバイスで有効化されると)、登録されたアプリケーションと Windows について設定の変更を監視し、これらの設定をデバイス間で同期します。

  • 設定パッケージ。 UE-V サービスによって作成される設定パッケージには、アプリケーション設定と Windows 設定が格納されます。 構築された設定パッケージはローカル保存され、設定の保存場所にコピーされます。

  • 設定の保存場所。 この保存場所は、ユーザーからアクセスできる標準的なネットワーク共有です。 UE-V サービスは、この保存場所を確認し、ユーザー設定の保存と取得に使用される隠しシステム フォルダーを作成します。

  • 設定場所テンプレート。 設定場所テンプレートは、XML ファイルです。UE-V はこれを使用して、デスクトップ アプリケーション設定と Windows デスクトップ設定を監視し、ユーザー コンピューター間で同期します。 既定では、いくつかの設定場所テンプレートが UE-V に含まれています。 UE-V テンプレート ジェネレーターを使用して、カスタムの設定場所テンプレートを作成、編集、検証できます。 Windows アプリケーションには、設定場所テンプレートは必要ありません。

  • ユニバーサル Windows アプリケーションの一覧。 UE-V は、管理されたアプリケーションの一覧を使用して、どの Windows アプリケーションが設定の同期に対応しているか特定します。 既定では、この一覧にほとんどの Windows アプリケーションが含まれています。

UE-V の展開について詳しくは、次のリソースをご覧ください。

管理されたユーザー エクスペリエンス

ユーザー エクスペリエンスの管理機能は、一連の windows 10 Enterprise エディションの機能に対応する設定を使ってユーザー エクスペリエンスを管理することができます。 表 2 には、管理されたユーザー エクスペリエンスの設定 (カテゴリ)、のみ windows 10 Enterprise エディションで利用できるについて説明します。 各機能を構成するために使用する管理方法は、機能によって異なります。 機能には、グループ ポリシーを使用して構成するものと、Windows PowerShell、展開イメージのサービスと管理 (DISM)、またはその他のコマンドライン ツールを使用して構成するものがあります。 グループ ポリシー設定では、AD DS ドメインに参加している windows 10 Enterprise デバイスを AD DS が必要です。

テーブル 2 です。 "管理されたユーザー エクスペリエンス" 機能

機能 説明
スタート画面のレイアウトのカスタマイズ カスタマイズしたスタート画面のレイアウトをドメイン内のユーザーに展開できます。 イメージを再作成することなく、レイアウトが含まれている .xml ファイルを上書きするだけで、スタート画面のレイアウトを簡単に更新できます。 これにより、スタート画面のレイアウトをさまざまな部署や組織に合わせて最小限の管理オーバーヘッドでカスタマイズできます。
これらの設定の詳細については、 windows 10 の起動をカスタマイズしグループ ポリシーを使ってタスク バーを参照してください。
ブランドではないブート Windows の起動時または再開時に Windows 要素を非表示にすることも、Windows で回復不能なエラーが発生したときのクラッシュ画面を非表示にすることもできます。
これらの設定について詳しくは、「ブランドではないブート」をご覧ください。
カスタム ログオン カスタム ログオン機能を使用するには、ようこそ画面とシャット ダウン画面に関連する windows 10 の UI 要素を非表示にします。 たとえば、"ようこそ" 画面の UI のすべての要素を非表示にして、カスタムのログオン UI を指定することができます。 また、シャットダウン前にアプリケーションの終了を OS が待機する間、Blocked Shutdown Resolver (BSDR) の画面を非表示にして自動的にアプリケーションを終了することもできます。
これらの設定について詳しくは、「カスタム ログオン」をご覧ください。
シェル ランチャー 割り当てられたアクセスで従来の Windows アプリのみを実行できるように、シェル ランチャーを介してシェルを置き換えます。
これらの設定について詳しくは、「シェル ランチャー」をご覧ください。
キーボード フィルター キーボード フィルターを使用すると、望ましくないキーまたはキーの組み合わせの使用を無効にできます。 通常、ユーザーは Ctrl+Alt+Del や Ctrl+Shift+Tab など、Windows で一般的なキーの組み合わせを使用し、画面をロックしたりタスク マネージャーを使用して実行中のアプリケーションを終了するなどしてデバイスを制御します。 この動作は、特殊な用途専用のデバイスでは望ましくありません。
これらの設定について詳しくは、「キーボード フィルター」をご覧ください。
統合書き込みフィルター デバイスで統合書き込みフィルター (UWF) を使用すると、物理ハード ディスク、ソリッドステート ドライブ、内蔵 USB デバイス、外付け SATA デバイスなど、Windows でサポートされている最も標準的なタイプの書き込み可能記憶域を含む、物理的な記憶域メディアの保護に役立ちます。 UWF を使用すると、読み取り専用メディアを書き込み可能ボリュームとして OS に表示することもできます。
これらの設定について詳しくは、「統合書き込みフィルター」をご覧ください。

関連トピック

Windows 10 Enterprise サブスクリプションのライセンス認証
Windows 10 エクスペリエンスのためにドメイン参加済みデバイスを Azure AD に接続する
Windows 10 エディションの比較
ビジネス向け Windows