LTSC 2021 Windows 10 Enterprise新機能

適用対象

  • Windows 10 Enterprise LTSC 2021

この記事では、Windows 10 Enterprise LTSC 2019 (LTSB) と比較して、IT Pros for Windows 10 Enterprise LTSC 202 Windows 10 Enterprise 1 の新機能と更新された機能とコンテンツを一覧表示します。 LTSC サービス チャネルと関連するサポートの簡単な説明については、「Windows 10 Enterprise LTSC」を参照してください。

注意

LTSC 2021 Windows 10 Enterprise機能は、バージョン 21H2 Windows 10と同じです。
LTSC リリースは、特殊用途デバイスを対象とします。 Windows 10 の半期チャネル リリース用に設計されたアプリとツールによる LTSC のサポートは制限される場合があります。

Windows 10 Enterprise LTSC 2021 は Windows 10 Enterprise LTSC 2019 上に構築され、最新のセキュリティ脅威に対する高度な保護、包括的なデバイス管理、アプリ管理、および制御機能などのプレミアム機能が追加されています。

LTSC 2021 Windows 10 Enterpriseには、Windows 10 バージョン 1903、1909、2004、21H1、および 21H2 で提供される累積的な機能強化が含まれています。 これらの機能強化の詳細について、以下に示します。

ライフサイクル

重要

Windows 10 Enterprise LTSC 2021 のライフサイクルは 5 年です(IoTは 10 年間のライフサイクルを継続しています)。 したがって、LTSC 2021 リリースは、10 年間のライフサイクルを持つ LTSC 2019 の直接の置き換えではありません。

このリリースのライフサイクルの詳細については、「Next Windows 10 長期サービス チャネル(LTSC) リリース」を参照してください

ハードウェアのセキュリティ

System Guard

System Guard は、SMM ファームウェア保護と呼ばれるこのバージョンWindows機能を改善しました。 この機能は 、System Guard Secure Launch の上に構築され、ファームウェア攻撃の表面を減らし、デバイス上のシステム管理モード (SMM) ファームウェアが正常に動作しているか確認します 。具体的には、SMM コードは OS メモリとシークレットにアクセスできません。

このリリースでは、Windows Defender System Guardを使用すると**、OS メモリやシークレットをレジスタや IO などの他のリソースに対してチェックする以外にも、より高いレベルのシステム管理モード (SMM) ファームウェア保護が有効になります。

この機能が改善され、OS がより高いレベルの SMM コンプライアンスを検出することが可能です。これにより、デバイスが SMM の悪用や脆弱性に対してさらに強固になります。 プラットフォーム、基になるハードウェアとファームウェアに基づいて、SMM ファームウェア保護の 3 つのバージョン (1、2、3) があります。以降の各バージョンでは、前のバージョンよりも強力な保護が提供されます。

現在、SMM ファームウェア保護バージョン 1 と 2 を提供するデバイスが市場に存在しています。 SMM ファームウェア保護バージョン 3 この機能は現在、将来を見越した機能であり、近日利用可能になる新しいハードウェアが必要です。

オペレーティング システムのセキュリティ

システムのセキュリティ

Windows セキュリティ アプリの機能強化で、保護の履歴が追加されました。これには、脅威と実行可能なアクションに関するわかりやすい詳細情報が含まれています。また、フォルダー アクセスの制御ブロックが、保護の履歴、Windows Defender オフライン スキャン ツール アクションのほか、保留中の推奨事項すべてに含まれるようになりました。

暗号化とデータ保護

Azure Active Directory を使用した BitLocker とモバイル デバイス管理 (MDM) は、偶発的なパスワード漏えいからデバイスを保護するために連携して機能します。 これで、新しいキーローリング機能により、MDM で管理されるデバイスで回復パスワードが安全にローテーションされます。 この機能は、BitLocker 保護されたドライブのロックを解除するために Microsoft Intune/MDM ツールまたは回復パスワードを使用するたびにアクティブになります。 その結果、ユーザーが BitLocker ドライブのロックを手動で解除したときに、回復パスワードの保護が強化されます。

ネットワークのセキュリティ

Windows Defender ファイアウォール

Windows Defenderファイアウォールには、次の利点があります。

リスクを軽減する: Windows Defender ファイアウォールは、IP アドレス、ポート、プログラム パスなど、多くのプロパティによるトラフィックを制限または許可するルールを持つデバイスの攻撃表面を減らします。 デバイスの攻撃表面を減らすと、管理性が向上し、攻撃が成功する可能性が低下します。

データの保護: 統合されたインターネット プロトコル セキュリティ (IPsec) を使用すると、Windows Defender ファイアウォールは、認証されたエンドツーエンドのネットワーク通信を簡単に適用できます。 信頼できるネットワーク リソースへのスケーラブルで階層化されたアクセスを提供し、データの整合性を強制し、必要に応じてデータの機密性を保護します。

拡張値: Windows Defenderファイアウォールはオペレーティング システムに含まれるホスト ベースのファイアウォールなので、追加のハードウェアやソフトウェアは必要ありません。 Windows Defenderファイアウォールは、文書化されたアプリケーション プログラミング インターフェイス (API) を通じて既存の Microsoft 以外のネットワーク セキュリティ ソリューションを補完するようにも設計されています。

ファイアウォールWindows Defender分析とデバッグも簡単になりました。 IPsec の動作は、パケット モニター (pktmon Windows) と統合されています。

さらに、Windows Defenderファイアウォール イベント ログが強化され、監査で特定のイベントを担当した特定のフィルターを特定できます。 これにより、他のツールに依存することなく、ファイアウォールの動作とリッチ パケット キャプチャの分析が可能になります。

Windows Defender ファイアウォールでは、Linux 用 Windows サブシステム(WSL) もサポートされています。WSL プロセスのルールは、他のプロセスと同様にWindowsできます。 詳細については、「ファイアウォールが現在サポートWindows Defender (WSL) Linux 用 Windows サブシステムを参照してください

ウイルスと脅威の防止

攻撃対象領域の縮小 – IT 管理者は、高度な Web 保護機能を使用してデバイスを構成できます。これにより、特定の URL および IP アドレスに対する許可リストと拒否リストの定義が可能になります。 次世代の保護 – 制御機能が拡張され、ランサムウェア、資格情報の悪用、リムーバブル記憶域経由の攻撃からの保護が可能になりました。

  • 整合性適用機能 – Windows 10 プラットフォームのリモート ランタイム構成証明を有効にします。
  • 改ざん防止機能 – 仮想化ベースのセキュリティを使用して、重要な Microsoft Defender for Endpoint セキュリティ機能を OS や攻撃者から分離します。 プラットフォーム サポート – Windows 10 だけでなく Microsoft Defender for Endpoint の機能も拡張され、Endpoint Detection (EDR) および Endpoint Protection Platform (EPP) の機能により、Windows 7 および Windows 8.1 のクライアント、macOS、Linux、Windows Server がサポート対象になっています。

高度な機械学習: 高度な機械学習モデルおよび AI モデルで強化されており、脆弱性を悪用した革新的なテクノロジ、ツール、マルウェアを使用する高度な攻撃者からの保護に対応します。

緊急事態に対する保護: 緊急事態の発生に対応して保護を提供し、新たな緊急事態の発生が検出された場合に、新しいインテリジェンス機能でデバイスを自動的に更新します。

認証済みの ISO 27001 対応: 脅威、脆弱性、各種の影響が分析済みであり、リスク管理とセキュリティ制御が配備されている状態でクラウド サービスを提供します。

地理位置情報のサポート: サンプル データの地理位置情報、データ主権、構成可能なデータ保持ポリシーをサポートします。

**** Microsoft Defender Advanced Threat Protection (ATP) Auto Incident Response (IR) の ASCII 以外のファイル パスのサポートが強化されました。

注意

このリリースでは、DisableAntiSpyware パラメーターは廃止になりました。

アプリケーション のセキュリティ

アプリの分離

Windows サンドボックス: 分離されたデスクトップ環境で、信頼されていないソフトウェアを実行できます。デバイスへの影響が残ることを心配する必要がありません。

Microsoft Defender Application Guard

Microsoft Defender Application Guard機能拡張には、次のものが含まれます。

  • スタンドアロン ユーザーは、レジストリ キーの設定を変更Windows Defender Application Guard、ユーザー設定をインストールして構成できます。 Enterprise ユーザーは、使用中のコンピューターが管理者によってどのように構成されているか、設定を調べることで確認できるため、コンピューターの動作がわかりやすくなります。

  • Application Guard は Google Chrome と Mozilla Firefox の拡張機能です。 多くのユーザーがハイブリッド ブラウザー環境にいて、Application Guard のブラウザー分離テクノロジを拡張する必要Microsoft Edge。 最新のリリースでは、ユーザーは Chrome または Firefox ブラウザーに Application Guard 拡張機能をインストールできます。 この拡張機能は、信頼されていないナビゲーションを Application Guard Edge ブラウザーにリダイレクトします。 Microsoft Store には、この機能を有効にするコンパニオン アプリもあります。 ユーザーは、このアプリを使用してデスクトップから Application Guard をすばやく起動できます。 この機能は、最新の更新プログラムが適用された Windows 10 Version 1803 以降でも利用可能です。

    この拡張機能を試すには、次の操作を行います。

    1. デバイスで Application Guard ポリシーを構成します。
    2. Chrome ウェブ ストアまたは Firefox Add-ons に移動し、Application Guard を検索します。 この拡張機能をインストールします。
    3. 拡張機能のセットアップ ページに表示される、追加の構成手順を実行します。
    4. デバイスを再起動します。
    5. Chrome および Firefox で、信頼されていないサイトに移動します。

動的ナビゲーション: Application Guard を使用すると、ユーザーは Application Guard サーバーから既定のホスト ブラウザーに戻Microsoft Edge。 以前は、Application Guard Edge で参照しているユーザーは、コンテナー ブラウザー内の信頼できるサイトに移動しようとするときにエラー ページが表示されました。 この新機能により、Application Guard Edge で信頼できるサイトを入力またはクリックすると、ユーザーはホストの既定のブラウザーに自動的にリダイレクトされます。 この機能は、最新の更新プログラムが適用された Windows 10 Version 1803 以降でも利用可能です。

Application Guard のパフォーマンスは、ドキュメントの開く時間が最適化された場合に改善されます。

  • ドキュメントを開く際に 1 分以上の遅延が発生するMicrosoft Defender Application Guard修正されています(Application Guard) Officeです。 これは、汎用名前付け規則 (UNC) パスまたはサーバー メッセージ ブロック (SMB) 共有リンクを使用してファイルを開く場合に発生することがあります。
  • メモリの問題が修正され、コンテナーがアイドル状態のときに Application Guard コンテナーが約 1 GB のワーキング セット メモリを使用する可能性があります。
  • 400 MB を超えるサイズのファイルをコピーするときの、Robocopy のパフォーマンスが向上しました。

2020 Microsoft Defender Application Guardのエッジ サポートは、2020 Chromiumベースの Edge で利用できます。

Application Guardは Office をサポートしています: Office 用の Microsoft Defender Application Guardを使用すると、悪意のあるコンテンツが侵害される可能性を防ぐために、信頼されていない Office ドキュメント (Enterprise の外部から) を分離コンテナーで起動できます。デバイスを使用します。

アプリケーションコントロール

Windowsのアプリケーション制御: Windows 10 では、バージョン 1903 WDAC には、主要なシナリオを照らして AppLocker の機能パリティを提供する多数の新機能が追加されました。

  • 複数のポリシー: WDAC では、1 つのデバイスに対して複数の同時コード整合性ポリシーがサポートされ、1) スコープ/意図が異なるポリシーのターゲット設定を簡単に行い、2) 新しい "補足" ポリシーを使用してポリシーを展開する、1) を並べて強制および監査できます。
  • パス ベースの規則: パス条件では、署名者やハッシュ識別子の代わりに、コンピューターのファイル システム内またはネットワーク上の場所によって、アプリを特定します。 さらに WDAC には、ユーザーが書き込むことのできないパスにあるコードのみを実行可能とするオプションがあり、これを管理者が実行時に適用できます。 実行時にコードが実行を試行すると、ディレクトリのスキャンが行われ、既知の管理者以外へのに書き込みアクセス許可がファイルに設定されていないか確認が行われます。 ユーザーによる書き込みが可能なファイルであることが検出された場合、署名やハッシュ規則など、パス規則以外での承認がなければ、この実行可能ファイルについては実行がブロックされます。
    このファイル パス規則のサポートという点では、WDAC の機能は AppLocker と同等です。 ただし WDAC では、ユーザーの書き込みアクセス許可チェックを実行時に実施することで、ファイル パス規則に基づくポリシーのセキュリティを強化しています。これは、AppLocker にはない機能です。
  • COM オブジェクトの登録の許可: 以前は、WDAC では COM オブジェクトの登録時に組み込みの許可リストが適用されていました。 このメカニズムは、ほとんどの一般的なアプリケーション使用シナリオに使用できるものの、追加の COM オブジェクトを許可する必要が生じるケースがあるというフィードバックがお客様から寄せられていました。 これを受け、Windows 10 の 1903 更新プログラムでは、許可対象の COM オブジェクトを GUID で WDAC ポリシーに指定できるようになりました。

ID とプライバシー

セキュリティで保護された ID

Windows Hello機能拡張には、次のものが含まれます。

  • Windows Hello は、Chrome や Firefox を含むすべての主要なブラウザで、Fast Identity Online 2 (FIDO2) 認証システムとしてサポートされるようになりました。
  • [設定] > [アカウント] > [サインイン オプション] に移動し、[デバイスをパスワード不要にする] で [オン] を選択することにより、Windows 10 デバイスの Microsoft アカウントでパスワードなしのサインインを有効にできるようになりました。 パスワードなしのサインインを有効にすると、Windows 10 デバイス上のすべての Microsoft アカウントが、Windows Hello 顔認証、指紋、または PIN による最新の認証に切り替わります。
  • Windows Hello PIN サインインのサポートは、セーフモードに追加されました
  • Windows Hello for Business に Hybrid Azure Active Directory のサポートと電話番号のサインイン (MSA) が用意されています。 FIDO2 セキュリティ キーのサポートは、Azure Active Directory のハイブリッド環境に拡大されます。ハイブリッド環境にある企業はパスワードレス認証を活用できるようになりました。 詳細については、「FIDO2 プレビュー用の Azure Active Directory サポートをハイブリッド環境に拡張する」を参照してください。
  • Windows Hello では、出荷時に Windows 10 バージョン 20H2 を搭載したデバイスで専用のハードウェアおよびソフトウェア コンポーネントを使用できるため、指紋センサーと顔センサーをサポートする仮想化ベースのセキュリティがさらにサポートされます。 この機能は、ユーザーの生体認証データを分離して保護します。
  • Windows Hello マルチカメラのサポートが追加され、外部と内部の両方の Windows Hello 対応カメラが存在する場合に、ユーザーが外部カメラを優先できるようになりました。
  • Windows Hello FIDO2 証明書: Windows Hello が FIDO2 認定の認証システムとなっています。これを使用すると、Microsoft アカウントや Azure AD などの FIDO2 認証をサポートする Web サイトで、パスワード不要ログインが可能になります。
  • スムーズな Windows Hello PIN リセット エクスペリエンス: Microsoft アカウント ユーザーは、Web でのサインインと同じ使用感で、リニューアルされた Windows Hello PIN リセット エクスペリエンスを使用できます。
  • 生体認証を使用したリモート デスクトップ: Windows Hello for Business を使用している Azure Active Directory と Active Directory のユーザーは、生体認証を使用してリモート デスクトップ セッションの認証を受けることができます。

資格情報の保護

Windows Defender Credential Guard

組織内に Surface Pro X などの ARM64 デバイスを展開しているエンタープライズで資格情報の盗難に備えて追加の保護を提供するために、ARM64 デバイス向け Windows Defender Credential Guard が利用可能になりました。

プライバシーコントロール

マイクのプライバシー設定: どのアプリでマイクが使用されているかがわかるように、マイク アイコンが通知領域に表示されます。

クラウド サービス

Microsoft エンドポイント マネージャー

構成マネージャー、Intune、Desktop Analytics、共同管理、デバイス管理コンソールが、Microsoft エンドポイント マネージャーになりました。 2019 年 11 月 4 日のお知らせをご覧ください。 また、Microsoft エンドポイント マネージャーのビジョンを推進する最新の管理機能とセキュリティの基本原則に関するページもご覧ください。

Configuration Manager

インプレース アップグレード ウィザードは、構成マネージャーで使用できます。 詳細については、「構成マネージャーで Windows 10 の展開を簡素化する」を参照してください。

Microsoft Intune

Microsoft Intune LTSC 2021 Windows 10 Enterpriseサポートします。ただし、デバイス プロファイルの更新Windowsリングを除く)。

新しい Intune リモート アクション: 診断情報の収集。エンド ユーザーを中断または待機させることなく、企業のデバイスからログを収集できます。 詳細については、「診断情報の収集リモート アクション」を参照してください。

Intune では、ロール ベースのアクセス制御 (RBAC) を行う機能も追加され、登録ステータス ページ (ESP) のプロファイル設定をより詳細に定義するために使用できます。 詳細については、「登録ステータス ページのプロファイルを作成してグループに割り当てる」を参照してください。

Microsoft Intune の新機能の一覧は、「Microsoft Intune の新機能」を参照してください。

モバイル デバイス管理

モバイル デバイス管理 (MDM) ポリシーは、グループ ポリシーで管理されるデバイスで使用可能なオプションと一致する新しいローカル ユーザーとグループの設定で拡張されます。

MDM の新機能の詳細については、「モバイル デバイスの登録と管理の新機能」を参照してください。

Windows Management Instrumentation (WMI) グループ ポリシー サービス (GPSVC) で、リモート作業シナリオをサポートするパフォーマンスが向上しました。

  • Active Directory (AD) 管理者によるユーザーまたはコンピューター グループのメンバーシップへの変更の伝達が遅くなる問題が修正されました。 アクセス トークンは最終的に更新されますが、管理者が gpresult /r または gpresult /h を使用してレポートを作成するときに、これらの変更が表示されない場合があります。

キーのローリングとキーの回転

このリリースには、Microsoft Intune/MDM ツールからの MDM 管理 AAD デバイスでの回復パスワードの安全なローリング、または BitLocker 保護ドライブのロック解除に回復パスワードを使用する場合に、キーローリングとキーローテーションという 2 つの新機能も含まれています。 この機能は、ユーザーが手動で BitLocker ドライブをロック解除するときに、誤って回復パスワードが漏えいするのを防ぎます。

展開

SetupDiag

SetupDiag は、Windows 10 の更新が失敗した理由を診断するのに役立つコマンド ライン ツールです。 SetupDiag は、Windows セットアップのログ ファイルを検索することで動作します。 ログ ファイルを検索する際に、SetupDiag は一連のルールを使用して既知の問題と照合します。 最新バージョンの SetupDiag では、rules.xml ファイルに 53 のルールが含まれており、SetupDiag の実行時に抽出されます。 rules.xml ファイルは、SetupDiag の新しいバージョンが提供されるときに更新されます。

予約済みストレージ

予約済みストレージ: 予約済みストレージでは、更新プログラム、アプリ、一時ファイル、システム キャッシュ用にディスク領域が確保されています。 これにより、重要な OS 機能が常にディスク領域にアクセスできる状態になるため、PC の日常的な機能が向上します。 Windows 10 Version 1903 がプレインストールまたはクリーン インストールされた新しい PC では、予約済みストレージが自動的に有効になります。 以前のバージョンの Windows 10 から更新した場合、予約済みストレージは有効になりません。

Windows アセスメント & デプロイメント ツールキット (ADK)

ADKはWindowsバージョン 21H2 もサポートWindows 11 Windows 10使用できます。

Microsoft Deployment Toolkit (MDT)

MDT の最新情報については、「 MDT のリリースノート」を参照してください。

Windows セットアップ

Windowsセットアップ応答ファイル (unattend.xml)の言語処理が改善されました。

今回のリリースでは、次のような Windows セットアップの改善も含まれています。

  • 機能更新中のオフライン時間の削減
  • 予約済みストレージ制御の改善
  • 制御と診断の改善
  • 新しい回復オプション

詳しくは、Windows IT Pro Blogの「Windows セットアップの機能強化」を参照してください。

Microsoft Edge

Microsoft Edgeブラウザーのサポートがボックスに含まれる。

Microsoft Edge キオスク モード

Microsoft Edgeキオスク モードは、2021 LTSC および 2021 LTSC Windows 10 Enterpriseおよび2021 LTSCから始まる LTSC リリースWindows 10 IoT Enterprise使用できます。

Microsoft Edge キオスク モードは、ブラウザーの 2 つのロックダウン エクスペリエンスを提供し、組織が顧客に最高のエクスペリエンスを作成し、管理し、提供できるようにします。 次のロックダウン エクスペリエンスを利用できます。

  • デジタル/対話型サイネージ エクスペリエンスでは、全画面表示モードで特定のサイトを表示します。
  • パブリック ブラウジング エクスペリエンスでは、Microsoft Edge の限定的な複数タブのバージョンを実行します。
  • どちらのエクスペリエンスでも、ユーザー データを保護する Microsoft Edge InPrivate セッションを実行します。

Windows Subsystem for Linux

Linux 用 Windows サブシステム (WSL) は、ボックス内で使用できます。

ネットワーク

WPA3 H2E 標準は、セキュリティの強化のためにWi-Fiされています。

関連項目

Windows 10 Enterprise LTSC: LTSC サービス チャネルの簡単な説明と、各リリースに関する情報へのリンク。