IT 担当者向け Windows 10 Version 1703 の新機能

以下は、Windows 10 バージョン 1703 (別名 Creators Update) の情報テクノロジ (IT) 技術者向け機能の一部の新着情報の一覧です。

Windows 10 の機能の詳細については、「Windows 10 デバイスでのみ利用可能な機能」を参照してください。 Windows 10 の以前のバージョンについては、「Windows 10 の新機能」を参照してください。 また、ブログ記事「Windows 10 Creators Update の IT 管理者向けの新機能」も参照してください。

注意

Windows 10 バージョン 1703 には、Windows 10 バージョン 1607 の以前の累積的な更新プログラムに含まれているすべての修正プログラムが含まれています。 各バージョンの詳細については、「Windows 10 のリリース情報」を参照してください。 削除された機能の一覧については、「Windows 10 Creators Update で削除された機能または推奨されなくなった機能」を参照してください。

構成

Windows 構成デザイナー

Windows イメージングおよび構成デザイナー (ICD) と以前呼ばれていた、プロビジョニング パッケージを作成するためのツールの名前が、Windows 構成デザイナー に変更されました。 新しい Windows 構成デザイナーは、Microsoft Store でアプリとして入手できます。 Windows の以前のバージョンで Windows 構成デザイナーを実行するために、Windows 構成デザイナーを Windows アセスメント & デプロイメント キット (ADK) からインストールすることもできます。

Windows 10 バージョン 1703 の Windows 構成デザイナーには、プロビジョニング パッケージの作成を容易にするためのいくつかの新しいウィザードが含まれています。

デスクトップ、モバイル、キオスク、Surface Hub用のウィザード。

デスクトップとキオスクの両方のウィザードには、新しい CleanPC 構成サービス プロバイダー (CSP) に基づいて、プレインストールのソフトウェアを削除するオプションが含まれています。

プレインストールされているソフトウェア オプションを削除します。

Windows 構成デザイナーについて詳しく知る。

Azure Active Directory 一括参加

Windows 構成デザイナーの新しいウィザードを使用して、Azure Active Directory にデバイスを登録するプロビジョニング パッケージの作成を実行できます。 Azure AD 一括参加は、デスクトップ、モバイル、キオスク、および Surface Hub の各ウィザードで利用できます。

ウィザードで一括トークンアクションを取得します。

Windows スポットライト

以下の新しいグループ ポリシーとモバイル デバイス管理 (MDM) の設定が、Windows スポットライトのユーザー エクスペリエンスの構成を容易にするために追加されました。

  • アクション センターで Windows スポットライトをオフにする
  • エクスペリエンスのカスタマイズに診断データを使わない
  • [Windows へようこそ] エクスペリエンスをオフにする

Windows Spotlight について詳しく知る。

スタート画面とタスク バーのレイアウト

企業は、Windows 10 Enterprise および Education を実行しているデバイスに、カスタマイズしたスタート画面とタスク バーのレイアウトを適用できるようになりました。 Windows 10 バージョン 1703 では、カスタマイズしたスタート画面とタスク バーのレイアウトを Windows 10 Pro に適用することもできます。

以前は、カスタマイズされたタスク バーは、グループ ポリシーまたはプロビジョニング パッケージを使用してのみ展開することができました。 Windows 10 バージョン 1703 では、カスタマイズされたタスク バーのサポートが MDM に追加されました。

追加の MDM ポリシー設定を、スタート画面とタスク バーのレイアウトに使用できます。 新しい MDM ポリシー設定は次のとおりです。

職場の Cortana

Cortana は、Microsoft のパーソナル デジタル アシスタントで、ビジネスにおいても、忙しいユーザーが作業をこなすことをサポートします。 Cortana は、さまざまなビジネスに対応して最適化できる強力な構成オプションを備えています。 Azure Active Directory (Azure AD) アカウントでサインインすることにより、従業員は会社の ID で Cortana にアクセスできます。また、Cortana の仕事に関係ない機能もすべて利用できます。

また、Azure AD を使用すると、退職時などで従業員のプロフィールを削除する際、Windows 情報保護 (WIP) ポリシーに従いながら、エンタープライズ コンテンツ (メール、予定表アイテム、従業員リストなど、企業データとして指定されるもの) を無視することができます。

職場の Cortana の詳細については、「Cortana のビジネスや企業との統合」を参照してください。

展開

MBR2GPT.EXE

MBR2GPT.EXE は、Windows 10 バージョン 1703 とそれ以降のバージョンで利用できる、新しいコマンドライン ツールです。 MBR2GPT は、ディスク上のデータを変更または削除せずに、ディスクをマスター ブート レコード (MBR) から GUID パーティション テーブル (GPT) パーティション スタイルに変換します。 このツールは、Windows プレインストール環境 (Windows PE) のコマンド プロンプトから実行できるように設計されていますが、完全な Windows 10 オペレーティング システム (OS) から実行することもできます。

GPT パーティション フォーマットは新しいフォーマットであり、サイズが大きくて数の多いディスク パーティションの使用を可能にします。 また、このフォーマットは、データの信頼性を増し、追加のパーティションの種類をサポートし、起動とシャットダウンの速度を向上させることができます。 コンピューターのシステム ディスクを MBR から GPT に変換する場合、UEFI モードで起動するようにコンピューターを構成する必要があります。したがって、システム ディスクを変換する前に、使用するデバイスが UEFI をサポートすることを確認する必要があります。

UEFI モードで起動するときに有効になる Windows 10 の追加のセキュリティ機能には、セキュア ブート、起動時マルウェア対策 (ELAM) ドライバー、Windows トラスト ブート、メジャー ブート、Device Guard、Credential Guard、および BitLocker ネットワーク ロック解除が含まれます。

詳細については、MBR2GPT.EXE を参照してください。

セキュリティ

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint for Windows 10バージョン 1703 の新機能は次のとおりです。

  • 検出: 検出機能の強化の内容を以下に示します。

    • 脅威インテリジェンス API を使用してカスタム アラートを作成する - 脅威インテリジェンスの概念を理解し、脅威インテリジェンス アプリケーションを有効にして、組織のカスタムの脅威インテリジェンス アラートを作成します。
    • メモリ内およびカーネル レベルの攻撃を使用する攻撃者の検出を有効にする、OS メモリとカーネル センサーの機能強化
    • ランサムウェアおよびその他の高度な攻撃の検出のアップグレード
    • 履歴検出機能により、気付かなかった可能性のある過去の攻撃を検出するために、最大 6 か月分の保存されているデータに新しい検出規則が適用されるようになります
  • 調査: 企業ユーザーは、Microsoft Defender for Endpoint ポータルに表示される Microsoft Defender ウイルス対策の検出と、Device Guard のブロックを使用して、Windows セキュリティ スタック全体を活用できるようになりました。 調査の全体像を把握するのに役立つその他の機能が追加されました。

    その他の調査の機能強化を以下に示します。

  • 応答: 攻撃を検出すると、セキュリティ応答チームは、侵害を阻止するための迅速な行動を取ることができるようになりました。

  • その他の機能

    • センサーの正常性状態を確認する - エンドポイントの機能を確認して、センサー データを提供し、Microsoft Defender for Endpoint サービスと通信して既知の問題を解決します。

Microsoft Defender for Endpoint のランサムウェアの軽減と検出機能の詳細については、ブログ 「MicrosoftDefender for Endpoint を使用した企業ネットワークでのランサムウェアの流行を回避する」をご覧ください。

Windows 10 用 Microsoft Defender for Endpoint の概要と Windows 10 バージョン 1703 の新機能の概要については、「Microsoft Defender for Endpoint for Windows 10 Creators Update」を参照してください

Microsoft Defender ウイルス対策

Windows Defenderと呼ばれるMicrosoft Defender ウイルス対策、エンタープライズ セキュリティ管理者向けドキュメント ライブラリの幅が広がっています

新しいライブラリには、以下の情報が含まれます。

新しいライブラリの特色のいくつかを以下に示します。

バージョン 1703 の Microsoft Defender AV Windows 10機能は次のとおりです。

Windows 10 バージョン 1607 では、ランサムウェアからの保護を支援するために重点的な投資を行いました。さらに、動作の監視と常時接続リアルタイム保護の更新に関して、バージョン 1703 への投資を継続します。

ランサムウェアの軽減策と検出機能の詳細については、Microsoft Defender AV のブログMicrosoft マルウェア プロテクション センターしてください

Device Guard と Credential Guard

Device Guard と Credential Guard の追加のセキュリティ条件は、UEFI ランタイムの脆弱性の保護に役立ちます。 詳細については、「Device Guard の要件」と「Credential Guard のセキュリティに関する考慮事項」を参照してください。

グループ ポリシーのセキュリティ オプション

セキュリティ設定 [対話型ログオン: セッションがロックされているときにユーザーの情報を表示する] は更新されて、[プライバシー] 設定 ([設定] > [アカウント] > [サインイン オプション]) と連携して動作するようになりました。

Windows 10 バージョン 1703 で、新しいセキュリティ ポリシー設定 [対話型ログオン: サインイン時にユーザー名を表示しない] が導入されました。 このセキュリティ ポリシー設定は、サインイン時にユーザー名が表示されるかどうかを決定します。 この設定は、[設定] > [アカウント] > [サインイン オプション] で選択する [プライバシー] 設定と連携して動作します。 この設定は [その他のユーザー] タイルにのみ影響があります。

Windows Hello for Business

企業が管理しているデータや Microsoft Intune によって管理されているデバイス上のアプリを削除することなく、忘れた PIN をリセットできるようになりました。

Windows デスクトップの場合、ユーザーは、[設定]、[アカウント]、[サインイン オプション] を順に選択して、忘れた PIN をリセットできます。

詳細については、「PIN を忘れた場合の対処方法?」を参照してください。

Windows 情報保護 (WIP) と Azure Active Directory (Azure AD)

Microsoft Intune は、Windows 情報保護 (WIP) ポリシーの作成と展開に役立ちます。たとえば、許可されたアプリ、WIP 保護レベル、ネットワーク上のエンタープライズ データの検索方法を選択することができます。 詳しくは、「Microsoft Intune を使用して Windows 情報保護 (WIP) ポリシーを作成する」および「Microsoft Intune を使用して Windows 情報保護 (WIP) と VPN のポリシーを関連付けて展開する」を参照してください。

レポート構成サービス プロバイダー (CSP) または Windows イベント転送 (ドメインに参加している Windows デスクトップ デバイスの場合) を使って、監査イベント ログを収集できるようにもなりました。 詳しくは、新しいトピック「Windows 情報保護 (WIP) 監査イベント ログの収集方法」を参照してください。

更新

Windows Update for Business

一時停止機能は変更され、セットアップの開始日が必要になりました。 ユーザーは、ポリシーがまだ構成されていない場合は、[設定]、[更新とセキュリティ]、[Windows Update]、[詳細オプション] を順に選択することで、一時停止できるようになりました。 また、品質更新プログラムの一時停止の制限も 35 日に拡大しました。 一時停止の詳細については、「機能更新プログラムの一時停止」と「品質更新プログラムの一時停止」を参照してください。

Windows Update for Business で管理されているデバイスは、機能更新プログラムのインストールを最大 365 日間 (以前は 180 日間) 延期できるようになりました。 設定では、ユーザーはブランチ準備レベルと更新延期期間を選択できます。 詳細については、「Current Branch (CB) 用または Current Branch for Business (CBB) 用にデバイスを構成」、「デバイスが機能更新プログラムを受信したときに構成」と「デバイスが品質更新プログラムを受信したときに構成」を参照してください。

Windows Insider for Business

Azure Active Directory (AAD) の会社の資格情報を使用して Windows 10 Insider Preview ビルドをダウンロードするオプションが最近追加されました。 AAD にデバイスをご登録いただくことにより、特に特定のビジネス ニーズをサポートする機能に関して、組織内のユーザーから送られるフィードバックの可視性が向上します。 詳細については、「Windows Insider Program for Business」を参照してください。

更新プログラムの配信の最適化

Windows 10 バージョン 1703 で配信された変更によって、高速更新プログラム が、バージョン 1702 以降の Microsoft Endpoint Configuration Manager、およびこの新機能を実装したその他のサード パーティ製の更新と管理のための製品で完全にサポートされます。 これは、Windows Update、Windows Update for Business、および WSUS への現在の Express サポートに追加されます。

注意

上記の変更は、2017 年 4 月の累積的な更新プログラムをインストールすることによって、Windows 10 バージョン 1607 で利用できるようになります。

配信の最適化のポリシーを使用して、さまざまなシナリオでより正確に制御する、追加の制限を構成できるようになりました。

追加されたポリシーを以下に示します。

すべての詳細を確認するには、「Windows 10 更新プログラムの配信の最適化を構成」を参照してください。

アンインストールされたインボックス アプリは自動的に再インストールされません。

Windows 10 バージョン 1703 以降では、ユーザーがアンインストールしたインボックス アプリは、機能更新プログラムのインストール プロセスの一環として自動的に再インストールされません。

さらに、Windows 10 バージョン 1703 を実行する PC では、管理者によってプロビジョニングが解除されたアプリは、今後の機能更新プログラムのインストール後もプロビジョニングが解除されたままです。 これは、Windows 10 バージョン 1607 (以前) からバージョン 1703 への更新には適用されません。

管理

新しい MDM 機能

Windows 10 バージョン 1703 では、多く新しい構成サービス プロバイダー (CSP) が追加されました。これらの構成サービス プロバイダーは、MDM またはプロビジョニング パッケージを使用して Windows 10 デバイスを管理するための新機能を提供します。 特に、これらの CSP を使用すると、数百の最も役に立つグループ ポリシー設定を MDM 経由で構成できます (「ポリシー CSP - ADMX ベースのポリシー」参照)。

その他の新しい CSP の一部を以下に示します。

  • DynamicManagement CSP を使用すると、場所、ネットワーク、または時間に応じて、異なる方法でデバイスを管理することができます。 たとえば、管理対象デバイスは職場にいるときはカメラを無効にすることができ、国外にいるときは携帯電話サービスを無効にしてローミング料金の発生を回避することができ、デバイスが企業の建物内またはキャンパス内にないときはワイヤレス ネットワークを無効にすることができます。 いったん構成すると、場所やネットワークが変更されてデバイスが管理サーバーに到達できない場合でも、これらの設定が実施されます。 動的管理 CSP を使用すると、変更が発生する条件を設定するだけでなく、デバイスを管理する方法を変更するポリシーを構成できます。

  • CleanPC CSP を使用すると、ユーザー データを保持するためのオプションを使用して、ユーザーがインストールしたアプリケーションとプレインストール済みのアプリケーションを削除できます。

  • BitLocker CSP は、PC およびデバイスの暗号化を管理するために使用します。 たとえば、モバイル デバイスのメモリ カードの暗号化が必要な場合や、オペレーティング システムのドライブの暗号化が必要な場合があります。

  • NetworkProxy CSP は、イーサネットと Wi-Fi 接続に対してプロキシ サーバーを構成するために使用します。

  • Office CSP を使用すると、Microsoft Office クライアントを、Office 展開ツールを使用して、デバイスにインストールできます。 詳細については、「Office 展開ツールの構成オプション」を参照してください。

  • EnterpriseAppVManagement CSP は、Windows 10 PC (Enterprise エディションおよび Education エディション) 内の仮想アプリケーションを管理するために使用され、MDM によって管理されている場合でも、App-V でシーケンス処理されたアプリを PC にストリームできます。

IT 技術者は、新しい MDM 移行分析ツール (MMAT) を使用して、どのグループ ポリシー設定がユーザーまたはコンピューターに対して構成されているかを決定し、組み込みのサポートされている MDM ポリシー一覧に対してこれらの設定を相互参照します。 MMAT は、各グループ ポリシー設定と MDM 同等機能のサポートのレベルを示す、XML と HTML の両方のレポートを生成できます。

新しい MDM の機能について詳しく知る。

Windows 10 に対するモバイル アプリケーション管理のサポート

モバイル アプリケーション管理 (MAM) の Windows バージョンは、個人のデバイスでの企業データへのアクセスとセキュリティを管理するための軽量なソリューションです。 MAM サポートは、Windows 10 バージョン 1703 以降、Windows 情報保護 (WIP) の上の Windows に組み込まれます。

詳細については、「Windows へのモバイル アプリケーション管理のサーバー側サポートの実装」を参照してください。

MDM 診断

Windows 10 バージョン 1703 では、最新の管理のために、診断操作を改善する取り組みを継続します。 モバイル デバイスの自動ログを導入することで、Windows は、MDM でエラーを検出したときに自動的にログを収集します。これにより、メモリに制約のあるデバイスに対して常時ログを行う必要性がなくなります。 さらに、Microsoft Message Analyzer を追加のツールとして導入して、サポート担当者が迅速に問題を分析して根本原因を見つけるのを助け、時間とコストを節約します。

Windows 向けの Application Virtualization (App-V)

Microsoft Application Virtualization Sequencer (App-V Sequencer) の以前のバージョンでは、シーケンス処理環境を手動で作成する必要がありました。 Windows 10 バージョン 1703 では、2 つの新しい PowerShell コマンドレットである、New-AppVSequencerVM と Connect-AppvSequencerVM が導入されました。これらは、仮想マシンのプロビジョニングを含む、ユーザーのシーケンス処理環境を自動的に作成します。 さらに、App-V Sequencer が更新され、複数のアプリを同時にシーケンスまたは更新しながら、カスタマイズを App-V プロジェクト テンプレート (.appvt) ファイルとして自動的にキャプチャおよび保存し、PowerShell またはグループ ポリシー設定を使用して、デバイスの再起動後に未公開のパッケージを自動的にクリーンアップできます。

詳細については、以下のトピックを参照してください。

Windows 診断データ

"基本" レベルで収集される診断データと "完全" レベルで収集されるデータの種類の一部の例については、以下を参照してください。

グループ ポリシー スプレッドシート

Windows 10 バージョン 1703 に追加された新しいグループ ポリシーについては、以下を参照してください。

既存のワイヤレス ネットワークまたは LAN での Miracast

Windows 10 Version 1703 では、Microsoft はダイレクト ワイヤレス リンク経由ではなく、ローカル ネットワーク経由で Miracast ストリームを送信できるように機能を拡張しました。 この機能は Miracast over Infrastructure Connection Establishment Protocol (MS-MICE) に基づいています。

Miracast over Infrastructure は多くのメリットを提供します。

  • Windows では、このパスでのビデオ ストリームの送信が適用可能であることを自動的に検出します。
  • Windows では、イーサネット ネットワークまたはセキュリティで保護された Wi-Fi ネットワークを介して接続されている場合にのみ、このルートを選択します。
  • ユーザーは、Miracast レシーバーに接続する方法を変更する必要はありません。 標準の Miracast 接続の場合と同じ UX を使用します。
  • 現在のワイヤレス ドライバーまたは PC のハードウェアを変更する必要はありません。
  • Miracast over Wi-Fi Direct 用に最適化されていない以前のワイヤレス ハードウェアで正常に動作します。
  • 接続にかかる時間を短縮し、非常に安定してストリームを提供する既存の接続を活用します。

動作のしくみ

ユーザーは、従来どおり、Miracast レシーバーに接続しようとします。 Miracast レシーバーの一覧が作成されると、Windows 10 はレシーバーがインフラストラクチャ経由での接続をサポートできるかどうかを識別します。 ユーザーが Miracast レシーバーを選択すると、Windows 10 は標準的な DNS、およびマルチキャスト DNS (mDNS) によってデバイスのホスト名を解決しようとします。 名前が DNS のいずれかの方法で解決できない場合、Windows 10 は、標準的な Wi-Fi Direct 接続を使用した Miracast セッションの確立にフォールバックします。

Miracast over Infrastructure の有効化

Windows 10 Version 1703 に更新済みのデバイスがある場合、自動的にこの新しい機能が含まれています。 お客様の環境内で最大限に活用するには、展開環境で次の条件が満たされていることを確認する必要があります。

  • デバイス (PC または Surface Hub) では、Windows 10 Version 1703 が実行されている必要があります。
  • Windows PC や Surface Hub は、Miracast over Infrastructure レシーバーとして使用できます。 Windows デバイスは、Miracast over Infrastructure ソースとして使用できます。
    • Miracast レシーバーとして、PC や Surface Hub は、イーサネットまたはセキュリティで保護された Wi-Fi 接続 (WPA2-PSK と WPA2-Enterprise セキュリティのいずれかを使用して) で企業ネットワークに接続されている必要があります。 開いている Wi‑Fi 接続にハブが接続されている場合、Miracast インフラストラクチャはそれ自体を無効にします。
    • Miracast ソースとして、デバイスはイーサネットまたはセキュリティで保護された Wi‑Fi 接続で同じ企業ネットワークに接続されている必要があります。
  • デバイスの DNS ホスト名 (デバイス名) が、DNS サーバーによって解決できる必要があります。 これを実現するには、デバイスが動的 DNS によって自動的に登録することを許可するか、デバイスのホスト名の A または AAAA レコードを手動で作成します。
  • Windows 10 PC はイーサネットまたはセキュリティで保護された Wi‑Fi 接続で同じ企業ネットワークに接続されている必要があります。

Miracast over Infrastructure は標準の Miracast の代わりにではないことに注意する必要があります。 代わりに、この機能は補完的であり、企業ネットワークに接続しているユーザーにメリットをもたらします。 特定の場所でゲストである場合や、企業ネットワークへのアクセス権がない場合は、引き続き Wi-Fi Direct の接続方法を使用して接続します。

関連製品の新機能

次の新機能は Windows 10 の一部ではありませんが、Windows 10 を最大限に活用するために役に立ちます。

Upgrade Readiness

Upgrade Readiness は、Windows 10 のアップグレードに対してアプリケーションとドライバーを準備する際に役に立ちます。 このソリューションは、最新のアプリケーションとドライバーのインベントリ、既知の問題に関する情報、トラブルシューティングの指針、およびデバイスごとの準備と追跡の詳細を提供します。 Upgrade Readiness ツールは、2017 年 3 月 2 日に、パブリック プレビューから一般提供に移行しました。

Upgrade Readiness の開発は、コミュニティから提供された情報を大きく取り入れて、新機能の開発が現在進行中です。 Upgrade Readiness の使用を開始するには、それを既存の Operation Management Suite (OMS) のワークスペースに追加するか、または Upgrade Readiness ソリューションを有効にしてから、新しい OMS ワークスペースにサインアップします。

Upgrade Readiness の詳細については、次のトピックを参照してください。

準拠している更新

Update Compliance は、組織内の Windows 10 デバイスを安全かつ最新の状態に維持するために役立ちます。

準拠している更新は、OMS Log Analytics を使用して作成されたソリューションであり、毎月の品質および機能の更新プログラムのインストールの状態に関する情報を提供します。 既存の更新プログラムの展開の進行状況と今後の更新プログラムの状態に関する詳細が提供されます。 問題を解決するために注意が必要となるデバイスについての情報も提供されます。

Update Compliance について詳しくは、「Update Compliance を使った Windows 更新プログラムの監視」をご覧ください。