Windows 10 バージョン 1507 および 1511の新着情報

Windows 10 (バージョン 1507) の最初のリリースと、バージョン 1511 への Windows 10 アップデート プログラムに含まれている、新規機能と更新された機能の一部の一覧を以下に示します。

注意

各バージョンのリリース日とサービス オプションについては、「Windows 10 のリリース情報」を参照してください。

展開

Windows イメージングおよび構成デザイナー (ICD) を使用するプロビジョニング デバイス

Windows 10 があれば、新しい画像をインストールする必要なく、迅速かつ効率よくデバイスを設定できるプロビジョニング パッケージを作成することができます。 Windows プロビジョニングによって、IT管理者はイメージングすることなく簡単にエンドユーザー デバイスを設定できます。 Windows プロビジョニングを使えば、IT管理者は(ウィザード型ユーザー インターフェイスを介して)デバイスの管理登録に必要な希望通りの構成と設定を簡単に指定することができ、ものの数分でその設定をターゲット デバイスへ適用します。 およそ数十から数百台のパソコンを配置している中小企業に最適です。

Windows 10 のプロビジョニングに関する情報をご覧ください。

セキュリティ

AppLocker

Windows 10 バージョン 1507 の AppLocker 新機能

  • 新しいパラメーターが新 AppLocker ポリシー Windows PowerShell cmdlet へ追加され、実行可能ファイルおよび DLL ルールコレクションが非対話型プロセスに適用するかを選択することができます。 これを有効にするには、ServiceEnforcementEnabledに設定します。
  • 新しい AppLocker 構成サービス プロバイダーが追加され、MDM サーバーを使って AppLocker 規則を有効にできるようになりました。
  • 新しい AppLocker CSP を使って Windows 10 Mobile を管理することができます。

組織内で AppLocker を管理する方法をご確認ください

BitLocker

Windows 10 バージョン 1511の BitLocker 新機能

  • XTS-AES 暗号化アルゴリズム。 BitLocker は XTS-AES 暗号化アルゴリズムをサポートしています。 XTS-AES は、暗号テキストを操作してプレーンテキストに予測可能な変更を発生させるという種類の攻撃からも暗号を保護します。 BitLocker は、XTS-AES キーとして 128 ビットと 256 ビットの両方をサポートしています。 次の利点があります。
    • アルゴリズムが FIPS に準拠しています。
    • 管理が容易です。 BitLocker Wizard、manage-bde、グループ ポリシー、MDM ポリシー、Windows PowerShell、または WMI を使って、組織のデバイス上の BitLocker を管理できます。 >注: XTS-AES を使って暗号化されたドライブは、以前のバージョンの Windows ではアクセスできません。 この機能を使うのは、固定ドライブのオペレーティング システム ドライブのみとすることをお勧めします。 リムーバブル ドライブでは、AES-CBC 128 ビットまたは AES-CBC 256 ビットのアルゴリズムを使い続ける必要があります。

Windows 10 バージョン 1507 の BitLocker 新機能

  • Azure Active Directory を使ったデバイスの暗号化と回復。 Microsoft アカウントを使うことに加えて、自動的な デバイスの暗号化 によって、Azure Active Directory ドメインに参加しているデバイスを暗号化できるようになりました。 デバイスを暗号化すると、BitLocker 回復キーが自動的に Azure Active Directory にエスクローされます。 これにより、BitLocker キーをオンラインで容易に回復できます。
  • DMA ポートの保護。 デバイスを起動するときに、 DataProtection/AllowDirectMemoryAccess MDM ポリシーを使って DMA ポートをブロックすることができます。 また、デバイスがロックされたときに、すべての未使用の DMA ポートは無効になりますが、DMA ポートに既に接続されているデバイスは引き続き機能します。 デバイスのロックが解除されると、すべての DMA ポートが再び有効になります。
  • プリブート回復を設定するための新しいグループ ポリシー。 プリブート回復メッセージを構成し、プリブート回復画面に表示される URL を回復できるようになりました。 詳しくは、「BitLocker グループ ポリシー設定」の「プリブート回復メッセージと URL を構成する」セクションをご覧ください。

組織内で BitLocker を展開および管理する方法をご確認ください

Credential Guard

Windows 10 バージョン 1511 の Credential Guard 新機能

  • 認証情報マネージャーのサポート。 認証情報マネージャーで保存されている認証情報は、ドメイン認証情報を含めて、次の内容を考慮をした上で Credential Guard によって保護されています。
    • リモート デスクトップ プロトコルによって保存される認証情報は使用できません。 組織の従業員は、汎用の資格情報として、手動で資格情報を資格情報マネージャーに格納できます。
    • 文書化されていない API を使って認証情報マネージャーからドメインの派生認証情報を抽出するアプリケーションは、保存された派生認証情報を使用できなくなります。
    • Credential Guard が有効になっている PC から資格情報がバックアップされている場合は、資格情報マネージャーのコントロール パネルを使って資格情報を復元することができません。 資格情報をバックアップする必要がある場合は、Credential Guard を有効にする前に行う必要があります。 そうしないと、それらの資格情報を復元できません。
  • UEFI ロックなしでの Credential Guard の有効化。 レジストリを使って Credential Guard を有効にできます。 これにより、リモートで Credential Guard を無効にすることができます。 ただし、Credential Guard では UEFI ロックを有効にすることをお勧めします。 これは、グループ ポリシーを使って構成できます。
  • CredSSP/TsPkg 資格情報の委任。 CredSSP/TsPkg は、Credential Guard を有効にすると、既定の資格情報を委任できません。

組織内で Credential Guard を展開および管理する方法をご確認ください

より簡単な証明書の管理

Windows 10 をベースにしたデバイスについては、エンタープライズ内のWindows Hello for Business 有効化の証明書を含めたSimple Certificate Enrollment Protocol(SCEP)を使った登録に加えて、MDM サーバーを使ってPersonal Information Exchange (PFX) を使うクライアント認証証明書を直接配置することができます。 MDM を使って証明書の登録、更新、および削除ができるようになります。 Windows Phone 8.1 のように、証明書アプリ を使ってデバイスの証明書の詳細を確認することができます。 Windows 10 Mobile のデジタル証明書のインストール方法をご確認ください。

Microsoft Passport

Windows 10 では、Microsoft Passport によりパスワードが、強固な 2 要素認証に置き換えられます。この認証は、登録済みのデバイスと、Windows Hello (生体認証) または PIN から構成されます。

Microsoft Passport では、Microsoft アカウント、Active Directory アカウント、Microsoft Azure Active Directory (AD) アカウント、または、 Fast ID Online (FIDO) 認証をサポートする Microsoft 以外のサービスでユーザーが認証できます。 Microsoft Passport の登録時の 2 段階の初期検証の後、Microsoft Passport が、ユーザーのデバイスにセットアップされ、ユーザーがジェスチャ (Windows Hello または PIN) を設定します。 ユーザーは、身元を確認するジェスチャを提供します。次に、Windows が Microsoft Passport を使ってユーザーを認証し、ユーザーが保護されたリソースやサービスにアクセスできるようにします。

セキュリティ監査

Windows 10 バージョン 1511 のセキュリティ監査 新機能

Windows 10 バージョン 1507 の新機能

Windows 10 では、セキュリティ監査は次の点で改善されました。

新しい監査サブカテゴリ

Windows 10 では、"監査ポリシーの詳細な構成" に、2 つの新しい監査サブカテゴリが追加され、監査イベントをより細かく管理できます。

  • グループ メンバーシップの監査: ログ オン/ログ オフ監査カテゴリにある "グループ メンバーシップの監査" サブカテゴリを使用すると、ユーザーのログ オン トークン内のグループ メンバーシップ情報を監査できます。 このサブカテゴリのイベントは、ログ オン セッションが作成された PC 上で、グループのメンバーシップが列挙または照会されたときに生成されます。 対話型ログオンの場合は、ユーザーがログオンしている PC でセキュリティ監査イベントが生成されます。 ネットワーク上の共有フォルダーへのアクセスなどのネットワーク ログオンの場合は、リソースをホストしている PC でセキュリティ監査イベントが生成されます。 この設定を構成すると、成功した各ログオンについて、1 つ以上のセキュリティ監査イベントが生成されます。 Advanced Audit Policy Configuration\System Audit Policies\ログ オン/ログ オフログ オンを監査設定も有効にする必要があります。 グループ メンバーシップ情報がシングル セキュリティ監査イベントに適合できない場合は、複数のイベントが生成されます。
  • PNP アクティビティの監査: "詳細追跡" カテゴリにある "PNP アクティビティの監査" サブカテゴリを使用すると、プラグ アンド プレイによる外部デバイスの検出を監査できます。 このカテゴリでは、成功の監査のみが記録されます。 このポリシー設定を構成しない場合は、プラグ アンド プレイによって外部デバイスが検出されたときに監査イベントは生成されません。 PnP 監査イベントは、システム ハードウェアの変更を追跡するために使用でき、変更が行われた PC でログに記録されます。 ハードウェア ベンダー ID 一覧はこのイベントに含まれています。
既存の監査イベントに追加された詳細情報

Windows 10 バージョン 1507 では、既存の監査イベントに詳細情報が追加され、完全な監査証跡をまとめて、お客様の会社を保護するために必要な情報を容易に準備できるようになりました。 次の監査イベントが強化されました。

カーネルの既定の監査ポリシーの変更

以前のリリースでは、カーネルはローカル セキュリティ機関 (LSA) に依存して、そのイベントのいくつかの情報を取得していました。 Windows 10 では、実際の監査ポリシーを LSA から受け取るまで、プロセス作成イベントの監査ポリシーは自動的に有効になっています。 これにより、LSA が開始する前に開始するサービスの監査が向上しています。

LSASS.exe への既定のプロセスの SACL の追加

Windows 10 では、既定プロセス SACL が LSASS.exe に追加され、LSASS.exe へのアクセスを試行するプロセスがログに記録されます。 SACL は L"S:(AU;SAFA;0x0010;;;WD)" です。 Advanced Audit Policy Configuration\Object Access\Audit Kernel Objectで有効化できます。 これにより、プロセスのメモリから資格情報を盗む攻撃を特定することができます。

ログオン イベントの新しいフィールド

ログオン イベント ID 4624 が更新され、分析を容易にするために、より詳細な情報が含まれるようになりました。 次のフィールドがイベント 4624 に追加されました。

  1. MachineLogon 文字列: yes または no。PC にログオンしているアカウントがコンピューター アカウントである場合、このフィールドは yes になります。 それ以外の場合、このフィールドは no です。
  2. ElevatedToken 文字列: yes または no。PC にログオンしているアカウントが管理ログオンである場合、このフィールドは yes になります。 それ以外の場合、このフィールドは no です。 また、これが分割トークンの一部である場合、リンクされたログイン ID (LSAP_LOGON_SESSION) も表示されます。
  3. TargetOutboundUserName 文字列。TargetOutboundUserDomain 文字列。送信トラフィック用に LogonUser メソッドによって作成された ID のユーザー名とドメイン。
  4. VirtualAccount 文字列: yes または no。PC にログオンしているアカウントが仮想アカウントである場合、このフィールドは yes になります。 それ以外の場合、このフィールドは no です。
  5. GroupMembership 文字列。ユーザーのトークンに含まれるすべてのグループの一覧。
  6. RestrictedAdminMode 文字列: yes または no。ユーザーがリモート デスクトップを使って制限付き管理モードで PC にログオンしている場合、このフィールドは yes になります。 制限付き管理モードについて詳しくは、 RDP の制限付き管理モードに関するページをご覧ください。
プロセス作成イベントの新しいフィールド

ログオン イベント ID 4688 が更新され、分析を容易にするために、より詳細な情報が含まれるようになりました。 次のフィールドがイベント 4688 に追加されました。

  1. TargetUserSid 文字列。対象プリンシパルの SID です。
  2. TargetUserName 文字列。対象ユーザーのアカウント名。
  3. TargetDomainName 文字列。対象ユーザーのドメイン。
  4. TargetLogonId 文字列。対象ユーザーのログオン ID。
  5. ParentProcessName 文字列。作成元プロセスの名前。
  6. ParentProcessId 文字列。作成元プロセスと異なる場合、実際の親プロセスへのポインター。
新しいセキュリティ アカウント マネージャー イベント

Windows 10 では、読み取り/クエリ操作を実行する SAM API に対応するために、新しい SAM イベントが追加されました。 以前のバージョンの Windows では、書き込み操作のみが監査の対象でした。 新しいイベントは、イベント ID 4798 とイベント ID 4799 です。 次の API がサポートされるようになりました。

  • SamrEnumerateGroupsInDomain
  • SamrEnumerateUsersInDomain
  • SamrEnumerateAliasesInDomain
  • SamrGetAliasMembership
  • SamrLookupNamesInDomain
  • SamrLookupIdsInDomain
  • SamrQueryInformationUser
  • SamrQueryInformationGroup
  • SamrQueryInformationUserAlias
  • SamrGetMembersInGroup
  • SamrGetMembersInAlias
  • SamrGetUserDomainPasswordInformation
新しい BCD イベント

ブート構成データベース (BCD) に対する以下の変更を追跡するために、イベント ID 4826 が追加されました。

  • DEP/NEX 設定
  • テスト署名
  • PCAT SB シミュレーション。
  • デバッグ
  • ブート デバッグ
  • 整合性サービス
  • Winload デバッグ メニューの無効化
新しい PNP イベント

プラグ アンド プレイを通じて外部デバイスが検出されたことを追跡するために、イベント ID 6416 が追加されました。 1 つの重要なシナリオは、ドメイン コントローラーなど、この種類の動作が予期されない重要度の高いコンピューターに、マルウェアを含む外部デバイスが挿入されたかどうかです。

組織内でセキュリティ監査ポリシーを管理する方法をご確認ください

トラステッド プラットフォーム モジュール

Windows 10 バージョン 1511 のTPM新機能

  • キー格納プロバイダー (KSP) と srvcrypt は、楕円曲線暗号 (ECC) をサポートします。

Windows 10 バージョン 1507 のTPM 新機能

以下のセクションでは、Windows 10 の TPM の新機能や変更された機能について説明します。

デバイス正常性構成証明

デバイス正常性構成証明によって、企業は管理対象デバイスのハードウェアおよびソフトウェア コンポーネントに基づいて信頼を確立できます。 デバイスの正常性の認証を使って、管理対象のデバイスにセキュリティで保護されたリソースへのアクセスを許可または拒否する正常性の認証サービスに照会するよう MDM サーバーを構成できます。 デバイスについて次のようなことを確認できます。

  • データ実行防止がサポートされており、有効になっているか。
  • BitLocker ドライブの暗号化はサポートされていますか? また、有効ですか?
  • SecureBoot はサポートされていますか? また、有効ですか?

注: デバイスは、Windows 10 を実行している必要があり、TPM 2.0 以上をサポートしている必要があります。

組織内で TPM を展開および管理する方法をご確認ください

ユーザー アカウント制御

ユーザー アカウント制御 (UAC) は、マルウェアによるコンピューター損傷を防いだり、適切に管理されたデスクトップ環境を組織が展開できるように支援します。

これらは、Windows 10 を実行しているデバイスについてサポートされていないシナリオであるため、UAC はオフにしないでください。 もし UAC をオフにしてしまった場合は、すべての Windows プラットフォーム アプリは動作を停止します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA は常に登録値を 1 に設定する必要があります。 もしプログラムアクセスまたはインストールの自動昇格をする必要がある場合は、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin の登録値を 0 に設定することができます。これは、UAC スライダーを Never Notify (通知しない) に設定するのと同じです。 これは、Windows 10 を実行しているデバイスにはお勧めしません。

UAC の管理関連の詳細情報については、UAC グループ ポリシー設定と登録キー設定 をご覧ください。

Windows 10 では、ユーザー アカウント制御はいくつかの点において改善されました。

Windows 10 バージョン 1507 のユーザー アカウント制御の新機能

  • マルウェア対策スキャン インターフェイスとの統合 (AMSI)AMSI はすべてのマルウェアに対する UAC 昇格リクエストをスキャンします。 マルウェアが検出されると、管理者特権はブロックされます。

組織内のユーザー アカウント制御の管理方法をご確認ください

VPN プロファイル オプション

Windows 10 には、企業のセキュリティを強化すると同時にユーザー エクスペリエンスを改善する、次のような一連の VPN 機能が備わっています。

  • 常時有効な自動接続動作
  • アプリ トリガー VPN
  • VPN トラフィック フィルター
  • ロックダウン VPN
  • Microsoft Passport for Work との統合

Windows 10 の VPN オプションについてご確認ください。

管理

Windows 10 では、PC、ノート PC、タブレット、および電話の一貫性のあるモバイル デバイス管理 (MDM) 機能が提供されているため、企業が所有するデバイスと個人用デバイスのエンタープライズ レベルの管理が実現されます。

MDM サポート

Windows 10 の MDM ポリシーは、Windows 8.1 でサポートされているポリシーと整合しており、Microsoft Azure Active Directory (Azure AD) アカウントを持つ複数のユーザーの管理、Windows ストアに対する完全なコントロール、VPN の構成など、さらに多くのエンタープライズ シナリオに対応するよう拡張されています。

Windows 10 での MDM サポートは、Open Mobile Alliance (OMA)Device Management (DM) プロトコル 1.2.1 の仕様に基づいています。

企業が所有するデバイスは、Azure AD を使用して自動的に企業に登録できます。 Windows 10 のモバイル デバイス管理の参照

登録解除

ユーザーが組織を辞め、そのユーザー アカウントやデバイスが管理から登録解除されると、企業が管理する構成とアプリがデバイスから削除されます。 リモートでデバイスを登録解除することも、ユーザーが手動でデバイスからアカウントを削除して登録解除することもできます。

個人用デバイスが登録解除されると、ユーザーのデータとアプリは、そのまま残りますが、証明書、VPN プロファイル、およびエンタープライズ アプリなどの企業の情報は削除されます。

インフラストラクチャ

企業には、次のような ID と管理の選択肢があります。

エリア 選択肢
ID Active Directory; Azure AD
グループ化 ドメインへの参加; ワークグループ; Azure AD への参加
デバイス管理 グループ ポリシー; システム センター 構成マネージャー; Microsoft Intune; その他の MDM ソリューション; Exchange ActiveSync; Windows PowerShell; Windows Management Instrumentation (WMI)

注:
Windows Server 2012 R2 のリリースに伴い、ネットワーク アクセス保護 (NAP) は推奨されなくなっており、NAP クライアントは Windows 10 では削除されています。 サポート ライフサイクルの詳細については、「 マイクロソフト サポート ライフサイクル」をご覧ください。

デバイスのロックダウン

1 種類の作業のみを実行できるコンピューターが必要ですか。 たとえば、次のようなものです。

  • ロビーに置いてあり、顧客が製品カタログを表示するために使用できるデバイス。

  • 自動車の運転時に地図上のルートを確認するために使用できるポータブル デバイス。

  • 臨時の作業者がデータ入力に使用するデバイス。

キオスク タイプのデバイスの作成 を行うために、永続的なロックダウン状態を設定することができます。 ロックダウンされたアカウントにログオンすると、選択したアプリのみがデバイスに表示されます。

特定のユーザー アカウントにログオンしたときに有効になるロックダウン状態を設定 することもできます。 ロックダウンにより、ユーザーが使用できるアプリは、管理者が指定したもののみに制限されます。

ロックダウンの設定は、テーマや スタート画面でのカスタム レイアウト など、デバイスの外観や操作感に関して設定することもできます。

カスタム設定されたスタート画面レイアウト

標準的なカスタム設定のスタート画面レイアウトは、特定の目的のためにロックダウンされた複数のユーザーやデバイスに共通のデバイスにおいて有効です。 Windows 10 バージョン 1511 で起動すれば、管理者は部分的にスタート画面レイアウトを設定できます。これにより、ユーザーがそれぞれタイル グループの作成およびカスタム設定ができる一方で、特定タイル グループにも適用されます。 スタート画面レイアウトをカスタム設定し、エキスポートする方法をご確認ください。

管理者は Windows Spotlight on the lock screen の使用を無効化するために、モバイル デバイス管理 (MDM) またはグループ ポリシーも使用できます。

ビジネス向け Windows ストア

Windows 10 バージョン 1511 の新着情報

ビジネス向け Windows ストアがあれば、組織で Windows アプリの一括購入ができます。 ビジネス向けストアには、組織のアイデンティティ、柔軟な流通オプション、およびライセンスを返還または再利用する能力に基づくアプリ購入をご用意しています。 また、ビジネス向けストアを利用して、ストア アプリのほかにプライベートな基幹業務 (LOB) アプリを入手できる従業員向けのプライベート ストアを作成することもできます。

詳しくは、ビジネス向け Windows ストア 概要 をご覧ください。

アップデート

ビジネス向け Windows Update は、システムを直接 Microsoft Windows Update サービスへ接続することで、最新セキュリティ防御および Windows 機能など、組織内の Windows 10 ベースのデバイスを常に最新状態に保ち、情報テクノロジー管理を実現します。

グループ ポリシー オブジェクトを使って、Windows Update for Businesse は簡単に確立し実装することができ、組織および管理者は、以下の機能によって Windows 10 ベースのデバイスの更新方法を制御できます。

  • 展開および検証グループ。管理者は、更新が可能になったとき、どのデバイスを最初に更新し、どのデバイスを後で更新するかを指定できます (品質基準を満たすため)。

  • ピア ツー ピア配信。管理者は、帯域幅が制限されたブランチ オフィスとリモート サイトに更新プログラムを非常に効率的に配信できます。

  • 既存ツールの利用。System Center Configuration Manager や Enterprise Mobility Suite を利用できます。

これら Windows Update for Business の機能は、あわせて、デバイス管理コストを削減し、更新プログラムの展開を制御し、セキュリティ更新プログラムにすばやくアクセスし、さらに Microsoft から継続的に最新の革新的機能を入手するのに役立ちます。 ビジネス向け Windows Update は、すべての Windows 10 Pro、Enterprise および Education エディションについて無料で提供され、Windows Server Update Services (WSUS) および System Center Configuration Manager などの既存のデバイス管理ソリューションから独立して、または共同して利用することができます。

ビジネス向け Windows Update についてご確認ください。

Windows 10 のアップデートに関する情報については、更新プログラムおよびアップグレードについてのWindows 10 サービス オプション をご覧ください。

Microsoft Edge

Microsoft Edge は、単なる閲覧を超えたエクスペリエンスを提供します。Web ノート、読み取りビュー、Cortana などの機能により、Web を積極的に活用できます。

  • Web Note。 Microsoft Edge では、直接 Web ページでコメント、ハイライト、イベント招集などを行うことができます。
  • 読み取りビュー。 Microsoft Edge は、画面サイズに最適化された見やすいレイアウトで、オンライン記事を読んだり印刷したりできます。 読み取りビューではさらに、Web ページまたは PDF ファイルをリーディング リストに保存でき、後で読むことができます。
  • Cortana。 Microsoft Edge では、Cortana が自動的に起動します。 Microsoft Edge では、わざわざ Web ページを離れなくても、文字をハイライトすることでより多くの情報を検索できたり、ワンクリックでレストランの予約やレビューにアクセスすることができます。
  • 互換性とセキュリティ。 Microsoft Edge は、企業イントラネットにあるサイトまたはエンタープライズ モード サイト一覧にあるサイトについては IE 11 を継続して使用します。 ActiveX コントロールなど、従来型でセキュリティレベルの低いテクノロジーを実行するには、IE 11 を使用する必要があります。

エンタープライズ ガイダンス

Microsoft Edge は、Windows 10 および Windows 10 Mobile 用の既定ブラウザー エクスペリエンスです。 しかし、ActiveX コントロールの必要な Web アプリを実行している場合は、Internet Explorer 11 を引き続き使用することをお勧めします。 IE11 がインストールされていない場合、Windows ストアまたは Internet Explorer 11 ダウンロード ページ からダウンロードすることができます。

また、以前のバージョンの Internet Explorer を実行している場合は、IE11 にアップグレードすることをお勧めします。 IE11 はWindows 7、Windows 8.1、および Windows 10 でサポートされています。 IE11 と連動するレガシー アプリについては、Windows 10 に移行しても引き続き動作します。

エンタープライズでの Microsoft Edge の使用について詳しく知る

詳細情報