Windows 10 Enterprise E3 in CSP

2016 年 9 月 1 日、クラウド ソリューション プロバイダー (CSP) チャネルで Windows 10 Enterprise E3 がリリースされました。 Windows 10 Enterprise E3 in CSP は、Windows 10 Enterprise エディションだけに予約されている機能をサブスクリプションによって配布する、新しいサービスです。 これは、オンライン サービスとしてパートナー センターを通じてクラウド ソリューション プロバイダー (CSP) チャネルで利用可能なサービスです。 Windows 10 Enterprise E3 in CSP は、中小規模 (1 ユーザー~数百ユーザー) の組織を対象として、ユーザー単位の柔軟なサブスクリプションを提供します。 このサービスを利用する要件は次のとおりです。

  • Windows 10 Pro バージョン 1607 (Windows 10 Anniversary Update) 以降が、アップグレード対象のデバイスにインストールされていること。
  • ID 管理用に Azure Active Directory (Azure AD) を使用できること。

Windows 10 バージョン 1607 (Windows 10 Anniversary Update) 以降では、従来より簡単に Windows 10 Pro から Windows 10 Enterprise に移行できます。キーもリブートも必要ありません。 Windows 10 Enterprise E3 ライセンスに関連付けられている Azure AD 資格情報を 1 人のユーザーが入力した後、オペレーティング システムが Windows 10 Pro から Windows 10 Enterprise に切り替わり、適切な Windows 10 Enterprise 機能がすべて、ロック解除されます。 サブスクリプション ライセンスが期限切れになった場合または別のユーザーに切り替えられた場合、Windows 10 Enterprise デバイスはシームレスに Windows 10 Pro に戻ります。

以前は、Windows 10 Enterprise をユーザーに展開できるのは、Microsoft ボリューム ライセンス契約のある組織だけでした。 Windows 10 Enterprise E3 in CSP では、中小規模のお客様に簡単に Windows 10 Enterprise 機能をご利用いただけるようになりました。

Windows 10 Enterprise E3 をパートナーからご購入いただいた場合は、次の特典があります。

  • Windows 10 Enterprise エディション。 現在 Windows 10 Pro バージョン 1607 を実行しているデバイスでは、Windows 10 Enterprise Current Branch (CB) または Current Branch for Business (CBB) を入手できます。 この特典には、Long Term Service Branch (LTSB) は含まれていません。

  • 1 ユーザー~数百ユーザーのサポート。 Windows 10 Enterprise E3 in CSP プログラムでは、1 つの組織が所有できるライセンス数に制限はありませんが、このプログラムは中小規模の組織用に設計されています。

  • 5 台までのデバイスに展開可能。 ライセンスに含まれる各ユーザーについて、Windows 10 Enterprise エディションを 5 台までのデバイスに展開できます。

  • いつでも Windows 10 Pro にロールバック可能。 ユーザーのサブスクリプションが期限切れになった場合または別のユーザーに切り替えられた場合、Windows 10 Enterprise デバイスは (最大 90 日間の猶予期間後) シームレスに Windows 10 Pro エディションに戻ります。

  • ユーザー単位の月額価格モデル。 このモデルにより、中小規模のお客様にも手頃な価格で Windows 10 Enterprise E3 をご利用いただけます。

  • ライセンスをユーザー間で切り替え可能。 1 人のユーザーから別のユーザーにライセンスを迅速に割り当て直すことができるため、変化するニーズに応じてライセンス投資を最適化できます。

Windows 10 Enterprise E3 in CSP プログラムは、Microsoft ボリューム ライセンス契約およびソフトウェア アシュアランスと次のように比較できます。

  • Microsoft ボリューム ライセンス プログラムは、対象範囲が広く、すべての Microsoft 製品のライセンスへのアクセスを組織に提供します。

  • ソフトウェア アシュアランスでは、次のカテゴリの特典が組織に提供されます。

    • 展開と管理。 このカテゴリの特典には、プランニング サービス、Microsoft Desktop Optimization (MDOP)、Windows Virtual Desktop Access Rights、Windows-To-Go Rights、Windows Roaming Use Rights、Windows Thin PC、Windows RT Companion VDA Rights などが含まれます。

    • トレーニング。 このカテゴリの特典には、トレーニング バウチャー、オンライン E ラーニング、自宅利用プログラムなどが含まれます。

    • サポート。 この特典には、年中無休の問題解決サポート、障害復旧用のバックアップ機能、System Center グローバル サービス モニター、SQL Server のパッシブ セカンダリ インスタンスが含まれます。

    • 特殊用途。 このカテゴリの特典には、ステップアップ ライセンス (ソフトウェアを以前のエディションから上位エディションに移行できる)、ライセンスとソフトウェア アシュアランスのお支払いを 3 回の年額 (同額) に分割できる権利などが含まれます。

    さらに、Windows 10 Enterprise E3 in CSP では、ライセンスの管理をパートナーに任せることもできます。 ソフトウェア アシュアランスでは、お客様がご自身でライセンスを管理していただきます。

つまり、マイクロソフト ボリューム ライセンスサービス プログラムとソフトウェア アシュアランスでは対象範囲が広く、Windows 10 Enterprise エディションへのアクセスにとどまらない特典も提供されます。これに対して Windows 10 Enterprise E3 in CSP プログラムは、中小規模のお客様に Windows 10 Enterprise エディションのメリットを柔軟かつ容易にお使いいただけるアップグレード サービスです。

Windows 10 Pro エディションと Enterprise エディションの比較

Windows 10 Enterprise エディションには、Windows 10 Pro にない機能が多数あります。 表 1 には、Windows 10 Pro にない Windows 10 Enterprise の機能を示します。 これらの多くはセキュリティ関連の機能です。それ以外に、きめ細かいデバイス管理のための機能もあります。

表 1. Windows 10 Pro にない Windows 10 Enterprise の機能

機能 説明

Credential Guard*

この機能では、仮想化ベースのセキュリティを使って、特権を持つシステム ソフトウェアのみがアクセスできるようにセキュリティ シークレット (NTLM パスワード ハッシュ、Kerberos チケット保証チケットなど) を保護します。 これは、pass-the-hash 攻撃または pass-the-ticket 攻撃の回避に役立ちます。

Credential Guard には、以下の機能があります。

  • ハードウェア レベルのセキュリティ:  Credential Guard は、ハードウェア プラットフォームのセキュリティ機能 (セキュア ブートや仮想化など) を使用して、派生したドメイン資格情報やその他の機密情報の保護を支援します。

  • 仮想化ベースのセキュリティ:  派生したドメイン資格情報およびその他の機密情報にアクセスする Windows サービスは、仮想化された保護環境で実行されます。

  • 持続的な脅威に対する保護の強化:  Credential Guard は、他のテクノロジ (Device Guard など) と連携して、持続の度合いにかかわらず、攻撃に対する高度な保護を提供します。

  • 管理性の強化:  Credential Guard は、グループ ポリシー、Windows Management Instrumentation (WMI)、または Windows PowerShell を使用して管理できます。

詳しくは、「Credential Guard によるドメインの派生資格情報の保護」をご覧ください。

* Credential Guard を使用するには、トラスト ブート機能を備えた UEFI 2.3.1 以上、仮想化拡張機能 (Intel VT-x、AMD-V、SLAT など) の有効化、Windows の x64 バージョン、IOMMU (Intel VT-d、AMD-Vi など)、BIOS のロックダウン、デバイス正常性の認証に推奨される TPM 2.0 (TPM 2.0 がない場合はソフトウェアを使用) が必要です。

Device Guard

この機能は、ハードウェアとソフトウェアのセキュリティ機能の組み合わせで、信頼されているアプリケーションのみの実行をデバイス上で許可します。 攻撃者は、Windows カーネルの制御権を獲得しても、実行可能コードを実行できる可能性がはるかに低くなります。 Device Guard は、Windows 10 Enterprise エディションの仮想化ベースのセキュリティ (VBS) を使用して、Windows カーネル自体のコード整合性サービスを分離できます。 VBS では、ハイパーバイザーによってマルウェアのコードの実行を防止できるため、マルウェアがカーネルへのアクセスを取得したとしても、その影響を大幅に制限することができます。

Device Guard には、次の機能があります。

  • マルウェアからの保護を支援します。

  • 脆弱性やゼロ デイ攻撃に対する Windows システムの中核の保護を支援します。

  • 信頼できるアプリのみの実行を許可します。

詳しくは、「Device Guard の概要」をご覧ください。

AppLocker の管理

この機能は、ユーザーがデバイスで使用できるアプリケーションとファイルを IT 担当者が決定する ("ホワイトリスト作成" とも呼ばれます) 場合に役立ちます。 管理できるアプリケーションとファイルは、実行形式ファイル、スクリプト、Windows インストーラー ファイル、ダイナミックリンク ライブラリ (DLL)、パッケージ アプリ、パッケージ アプリのインストーラーなどです。

詳しくは、「AppLocker」をご覧ください。

Application Virtualization (APP-V)

この機能を使用すると、アプリケーションをユーザーのデバイスに直接インストールすることなく、アプリケーションをエンド ユーザーが利用できるようになります。 App-V では、アプリケーションが一元管理型のサービスに変換されるため、アプリケーションのインストールも他のアプリケーションとの衝突も発生しません。 また、アプリケーションに最新のセキュリティ更新プログラムが適用されるように、この機能で管理することもできます。

詳しくは、App-V for Windows 10 の概要をご覧ください。

User Experience Virtualization (UE-V)

この機能を使って、ユーザーによってカスタマイズされた Windows とアプリケーションの設定をキャプチャでき、一元管理されたネットワーク ファイル共有に保存できます。 ユーザーがログオンする際は、個人用設定はログインしているデバイスまたは仮想デスクトップ インフラストラクチャ (VDI) のセッションに関係なく、その作業セッションに適用されます。

UE-V を使用すると、次のことが可能になります。

  • ユーザー デバイス間で同期するアプリケーションと Windows 設定を指定する。

  • エンタープライズ規模で、ユーザーが作業する時間や場所を問わず、設定を提供する。

  • サード パーティ製アプリケーションまたは基幹アプリケーション用のカスタム テンプレートを作成する。

  • ハードウェアの交換またはアップグレード後、または仮想マシンを初期状態に再イメージングした後に、設定を回復する。

詳しくは、User Experience Virtualization (UE-V) for Windows 10 の概要をご覧ください。

管理されたユーザー エクスペリエンス

この機能を使用すると、Windows デバイスのユーザー インターフェイスをカスタマイズおよびロックダウンして、特定のタスクに限定できます。 たとえば、売店用や授業用のデバイスなど、管理されたシナリオに使用するデバイスを構成することができます。 ユーザーがサインオフすると、ユーザー エクスペリエンスが自動的にリセットされます。 また、Cortana や Windows ストアなどのサービスへのアクセスを制限し、スタート画面のレイアウト オプションを管理できます。次に例を示します。

  • シャットダウン、再起動、スリープ、休止コマンドを削除してアクセスを回避する

  • スタート メニューからログオフ (ユーザー タイル) を削除する

  • よく使うプログラムをスタート メニューから削除する

  • [すべてのプログラム] の一覧をスタート メニューから削除する

  • ユーザーがスタート画面をカスタマイズできないようにする

  • スタート メニューを強制的に全画面またはメニュー サイズに変更する

  • タスク バーとスタート メニューの設定を変更できないようにする

Windows 10 Enterprise E3 ライセンスの展開準備

Windows 10 Enterprise ライセンスの展開」をご覧ください。

Windows 10 Enterprise 機能の展開

デバイスで Windows 10 Enterprise エディションを実行できたら、Enterprise エディションの機能を利用するにはどうすればよいでしょうか。 表 1 に示されている各機能を使用するには、どのような手順が必要になるでしょうか。

以下の各セクションでは、Windows 10 Enterprise エディションの機能をユーザーが利用できるようにするために、環境内で実行する必要のある重要なタスクを示します。

Credential Guard*

Windows 10 Enterprise デバイスに Credential Guard を実装するには、デバイスで Credential Guard を有効化します。 Credential Guard では、Windows 10 仮想化ベースのセキュリティ機能 (Hyper-V 機能) が使用されます。Credential Guard を有効化するには、先にこれらを各デバイスで有効化しておく必要があります。 Credential Guard は、次のいずれかの方法で有効化できます。

  • 自動: グループ ポリシーを使用すると、1 台または複数のデバイスで Credential Guard を自動的に有効化できます。 グループ ポリシーの設定により、管理されているデバイスで仮想化ベースのセキュリティ機能が自動的に追加され、Credential Guard のレジストリ設定が構成されます。

  • 手動: Credential Guard は、次の手順を実行することによって手動で有効化できます。

    System Center Configuration Manager などの管理ツールを使用してこれらの手動手順を自動化することもできます。

Credential Guard の実装について詳しくは、次のリソースをご覧ください。

* トラスト ブート機能を備えた UEFI 2.3.1 以上、仮想化拡張機能 (Intel VT-x、AMD-V、SLAT など) の有効化、Windows の x64 バージョン、IOMMU (Intel VT-d、AMD-Vi など)、BIOS のロックダウン、デバイス正常性の認証に推奨される TPM 2.0 (TPM 2.0 がない場合はソフトウェアを使用) が必要です。

Device Guard

デバイスに Windows 10 Enterprise が展開されたため、次の手順を実行して Windows 10 Enterprise デバイスに Device Guard を実装できます。

  1. 必要に応じて、コード整合性ポリシー用のコード署名証明書を作成します。 コード整合性ポリシーを展開するとき、場合によっては、内部的にカタログ ファイルまたはコード整合性ポリシーに署名する必要があります。 そのためには、公開されているコード署名証明書 (購入したもの) または内部証明機関 (CA) が必要になります。 内部 CA を使用する場合は、コード署名証明書を作成する必要があります。

  2. "ゴールデン" コンピューターからコード整合性ポリシーを作成します。 固有の、または部分的に固有のハードウェアとソフトウェアのセットを使用する部署や役割を特定した場合、そのソフトウェアとハードウェアを含んでいる "ゴールデン" コンピューターをセットアップすることができます。 この場合、役割や部署のニーズに合わせた整合性ポリシーの作成と管理の方法は、会社のイメージを作成する場合と類似しています。 各 "ゴールデン" コンピューターから、コード整合性ポリシーを作成し、そのポリシーの管理方法を決定できます。 コード整合性ポリシーをマージして広範なポリシーやマスター ポリシーを作成したり、各ポリシーを個別に管理および展開したりすることができます。

  3. コード整合性ポリシーを監査し、ポリシーの対象外となるアプリケーションに関する情報を取得します。 "監査モード" を使用して各コード整合性ポリシーを慎重にテストしてから、ポリシーを適用することをお勧めします。 監査モードでは、どのアプリケーションもブロックされません。このポリシーでは、ポリシーの対象外となるアプリケーションが起動されるたびにイベントが記録されるだけです。 後で、必要に応じてポリシーを拡張し、これらのアプリケーションを許可することができます。

  4. 署名されていない基幹業務 (LOB) アプリケーション用の "カタログ ファイル" を作成します。 Package Inspector ツールを使用して、署名されていない LOB アプリケーション用のカタログ ファイルを作成し署名します。 この後の手順では、カタログ ファイルの署名をコード整合性ポリシーにマージできます。これにより、カタログ内のアプリケーションがポリシーによって許可されます。

  5. イベント ログから必要なポリシー情報を取得し、必要に応じてその情報を既存のポリシーにマージします。 コード整合性ポリシーを監査モードでしばらく実行すると、イベント ログには、ポリシーの対象外となるアプリケーションに関する情報が記録されます。 これらのアプリケーションが許可されるようにポリシーを拡張するには、Windows PowerShell コマンドを使用して、イベント ログから必要なポリシー情報を取得し、その情報を既存のポリシーにマージします。 他のソースからのコード整合性ポリシーをマージすることもできます。これにより、最終的なコード整合性ポリシーを柔軟に作成することができます。

  6. コード整合性ポリシーとカタログ ファイルを展開します。 上記の手順をすべて実行したことを確認したら、カタログ ファイルの展開を開始し、コード整合性ポリシーの監査モードを終了することができます。 このプロセスは、テスト ユーザー グループを使用して開始することを強くお勧めします。 これにより、カタログ ファイルとコード整合性ポリシーを広範に展開する前に、品質管理による最終的な検証が行われます。

  7. 適切なハードウェア セキュリティ機能を有効にします。 ハードウェア ベースのセキュリティ機能 (仮想化ベースのセキュリティ (VBS) とも呼ばれます) によって、コード整合性ポリシーで提供される保護が強化されます。

Device Guard の実装について詳しくは、次のリソースをご覧ください。

AppLocker の管理

Windows 10 Enterprise の AppLocker は、グループ ポリシーを使用して管理できます。 グループ ポリシーを使用するには、AD DS を使用していることと、Windows 10 Enterprise デバイスが AD DS ドメインに参加していることが必要になります。 グループ ポリシーを使用すると、AppLocker 規則を作成し、これらの規則の対象として適切なデバイスを指定できます。

グループ ポリシーの使用による AppLocker の管理について詳しくは、「AppLocker 展開ガイド」をご覧ください。

App-V

App-V を使用するには、App-V クライアントをサポートするための App-V サーバー インフラストラクチャが必要です。 必要になる重要な App-V コンポーネントは次のとおりです。

  • App-V サーバー。 App-V サーバーには、App-V の管理、仮想化されたアプリの公開、アプリのストリーミング、レポート サービスの機能があります。 これらのサービスを 1 台のサーバーで実行することも、複数のサーバーに分けて個別に実行することもできます。 たとえば、複数のストリーミング サーバーを設定することもできます。 App-V クライアントは App-V サーバーとやり取りして、ユーザーまたはデバイスに公開するアプリを決定し、仮想化アプリをサーバーから実行します。

  • App-V シーケンサー。 App-V シーケンサーは、アプリのシーケンス (キャプチャ) と App-V サーバーからのホスティングの準備に使用される典型的なクライアント デバイスです。 アプリを App-V シーケンサーにインストールすると、App-V シーケンサーのソフトウェアにより、アプリのインストール時に変更されたファイルとレジストリ設定が特定されます。 シーケンサーはこれらの設定をキャプチャして、仮想化アプリを作成します。

  • App-V クライアント。 App-V サーバーからのアプリを実行するクライアント デバイスでは、App-V クライアントを有効にしておく必要があります。 これらが Windows 10 Enterprise E3 デバイスです。

App-V サーバー、App-V シーケンサー、App-V クライアントの実装について詳しくは、次のリソースをご覧ください。

UE-V

UE-V を使用するには、サーバー側とクライアント側のコンポーネントが必要です。これらはダウンロード、インストール、アクティブ化する必要があります。 これらのコンポーネントには次のようなものが含まれます。

  • UE-V サービス。 UE-V サービスは (デバイスで有効化されると)、登録されたアプリケーションと Windows について設定の変更を監視し、これらの設定をデバイス間で同期します。

  • 設定パッケージ。 UE-V サービスによって作成される設定パッケージには、アプリケーション設定と Windows 設定が格納されます。 構築された設定パッケージはローカル保存され、設定の保存場所にコピーされます。

  • 設定の保存場所。 この保存場所は、ユーザーからアクセスできる標準的なネットワーク共有です。 UE-V サービスは、この保存場所を確認し、ユーザー設定の保存と取得に使用される隠しシステム フォルダーを作成します。

  • 設定場所テンプレート。 設定場所テンプレートは、XML ファイルです。UE-V はこれを使用して、デスクトップ アプリケーション設定と Windows デスクトップ設定を監視し、ユーザー コンピューター間で同期します。 既定では、いくつかの設定場所テンプレートが UE-V に含まれています。 UE-V テンプレート ジェネレーターを使用して、カスタムの設定場所テンプレートを作成、編集、検証できます。 Windows アプリケーションには、設定場所テンプレートは必要ありません。

  • ユニバーサル Windows アプリケーションの一覧。 UE-V は、管理されたアプリケーションの一覧を使用して、どの Windows アプリケーションが設定の同期に対応しているか特定します。 既定では、この一覧にほとんどの Windows アプリケーションが含まれています。

UE-V の展開について詳しくは、次のリソースをご覧ください。

管理されたユーザー エクスペリエンス

"管理されたユーザー エクスペリエンス" とは、ユーザー エクスペリエンスの管理に使用できる Windows 10 Enterprise エディションの機能および対応する設定の組み合わせです。 表 2 は、管理されたユーザー エクスペリエンスの設定 (カテゴリ別) を示します。これらは Windows 10 Enterprise エディションでのみ使用できるものです。 各機能を構成するために使用する管理方法は、機能によって異なります。 機能には、グループ ポリシーを使用して構成するものと、Windows PowerShell、展開イメージのサービスと管理 (DISM)、またはその他のコマンドライン ツールを使用して構成するものがあります。 グループ ポリシー設定を使用するには、AD DS を使用していることと、Windows 10 Enterprise デバイスが AD DS ドメインに参加していることが必要になります。

表 2. "管理されたユーザー エクスペリエンス" 機能

機能 説明
スタート画面のレイアウトのカスタマイズ カスタマイズしたスタート画面のレイアウトをドメイン内のユーザーに展開できます。 イメージを再作成することなく、レイアウトが含まれている .xml ファイルを上書きするだけで、スタート画面のレイアウトを簡単に更新できます。 これにより、スタート画面のレイアウトをさまざまな部署や組織に合わせて最小限の管理オーバーヘッドでカスタマイズできます。
これらの設定について詳しくは、「グループ ポリシーによる Windows 10 のスタート画面とタスク バーのカスタマイズ」をご覧ください。
ブランドではないブート Windows の起動時または再開時に Windows 要素を非表示にすることも、Windows で回復不能なエラーが発生したときのクラッシュ画面を非表示にすることもできます。
これらの設定について詳しくは、「ブランドではないブート」をご覧ください。
カスタム ログオン カスタム ログオン機能を使用すると、"ようこそ" 画面やシャットダウン画面に関連する Windows 10 の UI 要素を非表示にすることができます。 たとえば、"ようこそ" 画面の UI のすべての要素を非表示にして、カスタムのログオン UI を指定することができます。 また、シャットダウン前にアプリケーションの終了を OS が待機する間、Blocked Shutdown Resolver (BSDR) の画面を非表示にして自動的にアプリケーションを終了することもできます。
これらの設定について詳しくは、「カスタム ログオン」をご覧ください。
シェル ランチャー 割り当てられたアクセスで従来の Windows アプリのみを実行できるように、シェル ランチャーを介してシェルを置き換えます。
これらの設定について詳しくは、「シェル ランチャー」をご覧ください。
キーボード フィルター キーボード フィルターを使用すると、望ましくないキーまたはキーの組み合わせの使用を無効にできます。 通常、ユーザーは Ctrl+Alt+Del や Ctrl+Shift+Tab など、Windows で一般的なキーの組み合わせを使用し、画面をロックしたりタスク マネージャーを使用して実行中のアプリケーションを終了するなどしてデバイスを制御します。 この動作は、特殊な用途専用のデバイスでは望ましくありません。
これらの設定について詳しくは、「キーボード フィルター」をご覧ください。
統合書き込みフィルター デバイスで統合書き込みフィルター (UWF) を使用すると、物理ハード ディスク、ソリッドステート ドライブ、内蔵 USB デバイス、外付け SATA デバイスなど、Windows でサポートされている最も標準的なタイプの書き込み可能記憶域を含む、物理的な記憶域メディアの保護に役立ちます。 UWF を使用すると、読み取り専用メディアを書き込み可能ボリュームとして OS に表示することもできます。
これらの設定について詳しくは、「統合書き込みフィルター」をご覧ください。

関連トピック

Windows 10 Enterprise サブスクリプションのライセンス認証
Windows 10 エクスペリエンスのためにドメイン参加済みデバイスを Azure AD に接続する
Windows 10 エディションの比較
ビジネス向け Windows