Windows 10 Version 1809 の IT 担当者向けの新機能

適用対象: Windows 10 Version 1809

この記事では、Windows 10 Version 1809 の IT 担当者にとって重要な新機能と更新された機能について説明します。 この更新プログラムには、Windows 10 Version 1803 の以前の累積的な更新プログラムに含まれているすべての機能と修正プログラムも含まれています。

次の 3 分間の動画は、このリリースで IT 技術者が利用できる新機能のいくつかをまとめたものです。

 

展開

Windows Autopilot の自己展開モード

Windows Autopilot の自己展開モードでは、ゼロ タッチ デバイスのプロビジョニング エクスペリエンスが実現されます。 デバイスの電源を入れ、イーサネットに接続するだけで、デバイスが Windows Autopilot によって自動的に完全構成されます。

この自己展開機能によって、展開プロセス中に [次へ] ボタンを押すことでエンド ユーザーが操作するという現在の必要性がなくなります。

Windows Autopilot の自己展開モードを利用してデバイスを AAD テナントに登録し、組織の MDM プロバイダーに登録し、ポリシーとアプリケーションをプロビジョニングすることができます。すべてユーザー認証やユーザー操作は不要です。

Autopilot の自己展開モードの詳細、およびそのような展開を実行するための詳しい手順を確認するには、Windows Autopilot の自己展開モードに関するページをご覧ください。

SetupDiag

SetupDiag バージョン 1.4 がリリースされています。 SetupDiag は、Windows 10 のアップグレードが正常に行われない場合に問題をトラブルシューティングするために使用できるスタンドアロンの診断ツールです。

セキュリティ

Microsoft ではウイルスと脅威の防止[現在の脅威] 領域に関して作業を継続しています。現在はアクションが必要なすべての脅威がここに表示されます。 この画面から脅威に対してすばやくアクションを実行できます。

ウイルスと脅威の防止の設定

フォルダー アクセスの制御によって、ランサムウェアやその他の破壊的なマルウェアが個人用ファイルを変更するのを防止できます。 場合によっては、通常使用するアプリが、[ドキュメント][ピクチャ] などの一般的なフォルダーに変更を行うことができないようにブロックされている可能性があります。 機能を完全に無効にすることなくデバイスを引き続き使用できるように、最近ブロックされたアプリを簡単に追加できるようにしました。

アプリがブロックされると、最近ブロックされたアプリの一覧に表示されます。この一覧は [ランサムウェアの防止] 見出しの [設定の管理] をクリックすることで表示できます。 [Allow an app through Controlled folder access] (フォルダー アクセスの制御を通じてアプリを許可する) をクリックします。 指示に従って、+ ボタンをクリックし、[最近ブロックされたアプリ] を選択します。 いずれかのアプリを選択して許可リストに追加します。 このページからアプリを参照することもできます。

Windows タイム サービスの新しい評価を、[デバイスのパフォーマンスと正常性] セクションに追加しました。 デバイスの時間がタイム サーバーと正しく同期されておらず、時刻同期サービスが無効になっていることが検出された場合は、サービスをもう一度有効にするためのオプションが提供されます。

インストールしたその他のセキュリティ アプリが Windows セキュリティ アプリに表示される方法に関して作業を継続する予定です。 アプリの [設定] セクションに [セキュリティ プロバイダー] という新しいページがあります。 [プロバイダーの管理] をクリックして、デバイスで実行されているその他すべてのセキュリティ プロバイダー (ウイルス対策、ファイアウォール、Web 保護を含む) の一覧を表示します。 ここでは、プロバイダーのアプリを簡単に開いたり、Windows セキュリティで報告された問題を解決する方法に関する詳細情報を取得したりできます。

これは、Windows セキュリティ内でその他のセキュリティ アプリへのリンクがさらに表示されることも意味します。 たとえば、[ファイアウォールとネットワーク保護] セクションを開くと、各ファイアウォールの種類の下にデバイスで実行されているファイアウォール アプリが表示されます。これにはドメイン、プライベート、およびパブリック ネットワークが含まれます。

BitLocker

固定ドライブでのサイレントの適用

最新のデバイス管理 (MDM) ポリシーを使って、BitLocker を標準の Azure Active Directory (AAD) に参加しているユーザーに対して警告なしに有効にすることができます。 Windows 10 Version 1803 では、BitLocker の自動暗号化が標準の AAD ユーザーに対して有効になっていましたが、これにはハードウェア セキュリティ テスト インターフェイス (HSTI) に合格した最新のハードウェアが依然として必要でした。 この新機能では、HSTI に合格していないデバイス上であっても、ポリシーを使用して BitLocker を有効します。

これは BitLocker CSP の更新であり、Windows 10 Version 1703 で導入され、Intune などによって活用されています。

この機能は、オプション機能として株式会社オリンピアでまもなく有効になります。

OOBE 中の AutoPilot デバイスへの BitLocker ポリシーの提供

BitLocker 暗号化対応デバイスでは、既定のアルゴリズムを使ってデバイスに自動的に自身を暗号化させるのではなく、デバイスに適用する暗号化アルゴリズムを選択することができます。 これにより、BitLocker 暗号化の開始前に、暗号化アルゴリズム (および暗号化の前に適用する必要のあるその他の BitLocker ポリシー) を配信できます。

たとえば、XTS-AES 256 暗号化アルゴリズムを選択し、通常は OOBE 中に既定の XTS-AES 128 アルゴリズムで自動的に自身を暗号化するデバイスに適用することができます。

これを実現するには、次の操作を行います。

  1. Windows 10 の Endpoint Protection プロファイルで暗号化方法の設定を構成して、目的の暗号化アルゴリズムを選択します。
  2. Autopilot デバイス グループにポリシーを割り当てます
    • 重要: 暗号化ポリシーは、ユーザーではなくグループ内のデバイスに割り当てる必要があります。
  3. これらのデバイスについて、Autopilot の登録ステータス ページ (ESP) を有効にします。
    • 重要: ESP が有効になっていないと、暗号化の開始前にポリシーが適用されません。

詳細については、Autopilot デバイスの BitLocker 暗号化アルゴリズムの設定に関するページを参照してください。

Windows Defender Application Guard の機能強化

このリリースでは、Windows Defender Application Guard (WDAG) で Windows セキュリティ内に新しいユーザー インターフェイスが導入されました。 スタンドアロン ユーザーは、レジストリ キー設定の変更を必要とせず、Windows セキュリティの Windows Defender Application Guard の設定をインストールして構成できるようになりました。

さらに、エンタープライズ ポリシーによって管理されているユーザーは、各自の設定を確認して管理者がコンピューターに構成した内容を見ることができるため、Windows Defender Application Guard の動作をよりよく理解できます。 この新しい UI により、ユーザーの Windows Defender Application Guard 設定を管理および確認しながら、ユーザーの全体的なエクスペリエンスが向上します。 デバイスが最小要件を満たしている限り、これらの設定は、Windows セキュリティに表示されます。 詳しくは、Windows セキュリティ アプリ内の Windows Defender Application Guard に関するページをご覧ください。

これを試してみるには、次の操作を行います。

  1. [Windows セキュリティ] に移動し、[アプリとブラウザーの制御 ] を選択します。
  2. [分離されたブラウズ] で、[Windows Defender Application Guard のインストール] を選択し、デバイスをインストールして再起動します。
  3. [Application Guard の設定を変更します] を選択します。
  4. Application Guard の設定を構成または確認します。

次に例を示します。

セキュリティの概要 分離されたブラウザー WDAG 設定の変更 WDAG 設定の表示

Windows セキュリティ センター

Windows Defender セキュリティ センターは Windows セキュリティ センターと呼ばれるようになりました。

いつもどおりの方法で引き続きアプリにアクセスできます。Windows セキュリティ センター (WSC) を開くか、タスクバー アイコンを操作するよう Cortana に指示するだけです。 WSC では、Windows Defender ウイルス対策Windows Defender ファイアウォールなど、すべてのセキュリティ ニーズを管理できます。

WSC サービスでは、保護されたプロセスとして実行するウイルス対策製品を登録する必要があります。まだこれを実装していない製品は Windows セキュリティ センターのユーザー インターフェイスに表示されず、Windows Defender ウイルス対策はこれらの製品と並列して引き続き有効になります。

WSC に、おなじみの Fluent Design System 要素が追加されました。 アプリの周囲のスペースとパディングが調整されていることもわかります。 追加の情報のためにさらに領域が必要な場合は、メイン ページのカテゴリが動的にサイズ変更されます。 [カラー設定] でオプションを有効にしている場合に、タイトル バーでアクセント カラーが使用されるように、タイトル バーも更新しました。

代替テキスト

Windows Defender ファイアウォールでは、Windows Subsystem for Linux (WSL) プロセスをサポートするようになりました。

Windows Defender ファイアウォールに WSL プロセスの特定のルールを追加できます。これは、任意の Windows プロセスの場合と同様です。 また、Windows Defender ファイアウォールが WSL プロセスの通知をサポートするようになりました。 たとえば、Linux ツールで外部からのポートへのアクセスを許可する必要がある場合 (SSH または Nginx のような Web サーバーなど)、Windows Defender ファイアウォールは、ポートが接続の受け入れを開始したときに、Windows プロセスの場合と同様にアクセスを許可するためのメッセージを表示します。 これは ビルド 17627 で初めて導入されました。

Microsoft Edge のグループ ポリシー

Microsoft Edge を管理するための最新のデバイス管理の設定と新しいグループ ポリシーが導入されました。 新しいポリシーには、全画面表示モード、印刷、お気に入りバー、履歴の保存の有効化と無効化、証明書エラーのオーバーライドの禁止、[ホーム] ボタンとスタートアップ オプションの構成、[新しいタブ] ページと [ホーム] ボタンの URL の設定、拡張機能の管理が含まれています。 詳しくは、新しい Microsoft Edge ポリシーに関するページをご覧ください。

AAD に参加している 10S デバイスで既定でサポートされる Windows Defender Credential Guard

Windows Defender Credential Guard は、Active Directory (AD) ドメインの資格情報がユーザーのコンピューターでマルウェアによって盗まれたり悪用されたりしないように資格情報を保護するために構築された Windows 10 のセキュリティ サービスです。 Pass-the-Hash や資格情報獲得など、よく知られている脅威から保護するように設計されています。

Windows Defender Credential Guard は常にオプションの機能でしたが、コンピューターが Azure Active Directory に参加している場合、Windows 10-S はこの機能を既定で有効にします。 これにより、通常 10-S デバイスに存在しないドメイン リソースに接続するときに、より高いレベルのセキュリティが提供されます。 Windows Defender Credential Guard は S モードのデバイスまたは Enterprise Edition と Education Edition のみで利用可能であることに注意してください。

Windows 10 Pro S モードには、ネットワーク接続が必要です。

新しいデバイスをセットアップするには、ネットワーク接続が必要になりました。 その結果、Out Of Box Experience (OOBE) のネットワーク設定のページの skip for now オプションが削除されました。

Windows Defender ATP

Windows Defender ATP は多くの新機能によって強化されています。 詳しくは、次のトピックをご覧ください。

  • 脅威の分析
    脅威の分析は、新たな脅威と大規模感染が特定されるとすぐに Windows Defender ATP 調査チームが発行する一連のインタラクティブなレポートです。 レポートでは、セキュリティ オペレーション チームが各自の環境への影響を評価できるようにします。また、脅威を抑制し、組織の復元性を高め、特定の脅威を防止するための推奨されるアクションを提供します。

  • カスタム検出
    カスタム検出によって、疑わしい脅威または新たな脅威など、すべての種類の動作のイベントを監視するためのカスタム クエリを作成できます。 これはカスタム検出ルールの作成によって高度な検出機能を活用して行うことができます。

  • 管理されているセキュリティ サービス プロバイダー (MSSP) のサポート
    Windows Defender ATP は、MSSP 統合を提供することで、このシナリオのサポートを追加します。 この統合によって MSSP は次のアクションを実行することができます。MSSP のユーザーの Windows Defender セキュリティ センター ポータルにアクセスする、メール通知を取得する、セキュリティ情報とイベント管理 (SIEM) ツールによってアラートを取得する。

  • Azure Security Center との統合
    Windows Defender ATP は、包括的なサーバー保護ソリューションを提供する Azure Security Center と統合します。 この統合により、Azure Security Center は Windows サーバーの強化された脅威の検出を提供する Windows Defender ATP の機能を活用できます。

  • Microsoft Cloud App Security との統合
    Microsoft Cloud App Security では、Windows Defender ATP エンドポイント シグナルを活用し、すべての Windows Defender ATP で監視されたコンピューターからのサポートされていないクラウド サービス (シャドウ IT) の使用など、クラウド アプリケーションの使用状況を直接把握できます。

  • Windows Server 2019 のオンボーディング
    Windows Defender ATP では、Windows Server 2019 のサポートが追加されました。 Windows 10 クライアント コンピューターで利用できるのと同じ方法で Windows Server 2019 をオンボードすることができます。

  • 以前のバージョンの Windows のオンボーディング
    Windows Defender ATP センサーにセンサー データを送信できるように、サポートされるバージョンの Windows コンピューターをオンボードします。

クラウド クリップボード

クラウド クリップボードは、ユーザーがデバイス間でコンテンツをコピーするのに役立ちます。 また、クリップボードの履歴を管理して、コピーした古いデータを貼り付けることもできます。 クラウド クリップボードには、Windows + V キーを使用してアクセスできます。 クラウド クリップボードを設定する:

  1. [Windows の設定] に移動し、[システム] を選択します。
  2. 左側のメニューで、[クリップボード] をクリックします。
  3. [クリップボードの履歴] をオンにします。
  4. [デバイス間で同期する] をオンにします。 コピーしたテキストをデバイス間で自動的に同期するかどうかを選択します。

キオスクのセットアップ エクスペリエンス

[設定] に、簡素化された割り当て済みアクセスの構成環境が導入され、これによりデバイスの管理者が PC をキオスクまたはデジタル サイネージとして簡単に設定することができます。 ウィザード エクスペリエンスにより、デバイスの起動時に自動的にサインインするキオスク アカウントの作成など、キオスクのセットアップを段階的に実行できます。

この機能を使用するには、[設定] に移動し、割り当てられたアクセスを探し、キオスクの設定ページを開きます。

キオスクの設定

シングル アプリの割り当てられたアクセスで実行される Microsoft Edge キオスク モードには 2 つのキオスクの種類があります。

  1. デジタル / 対話型サイネージ: 特定の Web サイトを全画面表示し、InPrivate モードを実行します。
  2. パブリック閲覧: 複数タブによる閲覧をサポートし、利用できる最小限の機能で InPrivate モードを実行します。 ユーザーは新しい Microsoft Edge ウィンドウを最小化したり、閉じたり、開いたりすることはできません。また、Microsoft Edge の設定を使用してカスタマイズすることはできません。 ユーザーは閲覧データとダウンロードをクリアし、[セッションの終了] をクリックして Microsoft Edge を再起動することができます。 管理者は、非アクティブの期間が一定の時間続いた後で Microsoft Edge が再起動するように構成できます。

シングル アプリの割り当てられたアクセス

複数アプリの割り当てられたアクセスで実行されている Microsoft Edge キオスク モードには、2 つのキオスクの種類があります。

注意

次の Microsoft Edge キオスク モードの種類は、Windows 10 の設定の新しい簡素化された割り当て済みアクセスの構成ウィザードを使用して設定することはできません。

パブリック閲覧: 複数タブによる閲覧をサポートし、利用できる最小限の機能で InPrivate モードを実行します。 この構成では、Microsoft Edge は利用可能な多くのアプリのいずれかを指定できます。 ユーザーは、複数の InPrivate モード ウィンドウを閉じて開くことができます。

複数アプリの割り当てられたアクセス

通常モード: Microsoft Edge の通常版を実行しますが、割り当てられたアクセスで構成されているアプリに応じて、一部の機能が動作しない可能性があります。 たとえば、Microsoft Store が設定されていない場合、ユーザーは書籍を取得できません。

通常モード

詳しくは、Microsoft Edge キオスク モードに関するページをご覧ください

レジストリ エディターの機能強化

パスの次の部分を完了するために役立つように入力時に表示されるドロップダウンを追加しました。 Ctrl + Backspace キーを押して最後の単語を削除し、Ctrl + Delete キーを押して次の単語を削除することもできます。

レジストリ エディターのドロップダウン

Windows 10 の共有 PC への高速なサインイン

職場に共有されたデバイスが展開されている場合、 迅速なサインインにより、ユーザーは共有された Windows 10 PC に瞬時にサインインできます。

迅速なサインインを有効にするには、次の操作を行います。

  1. Windows 10 Version 1809 で共有デバイスまたはゲスト デバイスをセットアップします。
  2. Policy CSP、Authentication および EnableFastFirstSignIn ポリシーを設定し迅速なサインインを有効にします。
  3. お使いのアカウントで共有 PC にサインインします。 違いにお気付きでしょう。

    迅速なサインイン

注意

これはプレビュー機能であるため、運用環境での使用を目的としたものではなく、推奨もされません。

Windows 10 への Web サインイン

これまで、Windows ログオンは、ADFS または WS-Fed プロトコルをサポートするその他のプロバイダーにフェデレーションされている ID の使用のみをサポートしていました。 Windows PC への新しいサインイン方法である “Web サインイン” が導入されています。 Web サインインでは、ADFS にフェデレーションされているプロバイダー以外のプロバイダー (SAML など) に対する Windows ログオンのサポートを有効にしています。

Web サインインを試すには、次の操作を行います。

  1. お使いの Windows 10 PC を Azure AD に参加させます (Web サインインは Azure AD に参加している PC でのみサポートされます)。
  2. Policy CSP、Authentication および EnableWebSignIn ポリシーを設定して Web サインインを有効にします。
  3. ロック画面の、サインイン オプションで Web サインインを選択します。
  4. 続行するには、[サインイン] ボタンをクリックします。

    Web サインイン

注意

これはプレビュー機能であるため、運用環境での使用を目的としたものではなく、推奨もされません。

スマホ同期アプリ

Android フォン ユーザーは、自分宛てに写真をメール送信する必要はもうありません。 同期電話を使うと、PC で Android の最新の写真にすばやくアクセスできます。 電話から PC に写真をドラッグ アンド ドロップし、写真のコピー、編集、または手書き入力ができます。 同期電話アプリを開いて試してみましょう。 Microsoft から電話にアプリをダウンロードするためのリンクを含むテキスト メッセージが送信されます。 非従量制課金ネットワークでイーサネットや Wi-Fi を使用する Android 7.0+ デバイスは同期電話アプリと互換性があります。 中国地域に関連付けられている PC では、同期電話アプリ サービスは、今後有効になります。

iPhone ユーザーの場合は、同期電話アプリは電話を PC にリンクするためにも役立ちます。 電話で Web を閲覧し、コンピューターに Web ページを瞬時に送信して、大画面のすべての利点を活用して読んだり、視聴したり、閲覧したりする作業を継続できます。

同期電話

デスクトップの PIN によって直接同期電話アプリに移動し、電話のコンテンツにすばやくアクセスできます。 スタート画面のすべてのアプリの一覧を調べるか、または Windows キーを使用して同期電話を検索することもできます。

ワイヤレス プロジェクション エクスペリエンス

ご報告いただいたことの 1 つとして、いつワイヤレス プロジェクションを実行しているか、またエクスプローラーやアプリから起動したときにセッションを切断する方法がわかりづらいということがあります。 Windows 10 Version 1809 では、セッション内にいるときに画面の上部にコントロール バナーが表示されます (リモート デスクトップの使用時に表示されるのと同様です)。 バナーによって接続の状態を常に把握でき、すばやく切断したり、同じシンクに再接続したりすることができます。また、作業内容に基づいて接続を調整することができます。 この調整は [設定] で行います。これにより次の 3 つのモードのいずれかに基づいて画面間の待機時間が最適化されます。

  • ゲーム モードは画面間の待機時間を最適化し、ワイヤレス接続経由でのゲームを可能にします
  • ビデオ モードは画面間の待機時間を増やし、大画面でビデオがスムーズに再生されるようにします
  • 生産性モードはゲーム モードとビデオ モードを両立させます。画面間の待機時間は入力が自然に感じられる程度に応答性がある一方で、ビデオのエラーが頻繁に発生しないようにします。

ワイヤレス プロジェクション バナー

生体認証を使用したリモート デスクトップ

Windows Hello for Business を使用している Azure Active Directory と Active Directory のユーザーは、生体認証を使用してリモート デスクトップ セッションの認証を受けることができます。

開始するには、Windows Hello for Business を使用してデバイスにサインインします。 リモート デスクトップ接続 (mstsc.exe) を表示し、接続先のコンピューターの名前を入力し、[接続] をクリックします。 Windows では、ユーザーが Windows Hello for Business を使用して署名したことが記憶されるので、RDP セッションに対する認証を行うために自動的に Windows Hello for Business を選択します。 [その他] をクリックして別の資格情報を選択することもできます。 Windows は顔認識を使用して Windows Server 2016 Hyper-V サーバーに対して RDP セッションを認証します。 リモート セッションで Windows Hello for Business を引き続き使用することはできますが、PIN を使用する必要があります。

次に例を示します。

資格情報の入力 資格情報の入力 Microsoft Hyper-V Server 2016