Windows 10 Version 1903 の新機能 (IT 技術者向けコンテンツ)

適用対象

  • Windows 10 Version 1903

この記事では、Windows 10 Version 1903 (別名 Windows 10 May 2019 Update) の新機能および更新された機能のほか、IT 技術者に役立つコンテンツを紹介します。 この更新プログラムには、Windows 10 Version 1809 の以前の累積的な更新プログラムに含まれているすべての機能と修正プログラムも含まれています。

注意

Windows 10 Version 1903 の新しいディスク領域要件は、OEM での新しい PC の製造のみに適用されます。 この新しい要件は、既存のデバイスには適用されません。 新しいディスク領域要件を満たしていない PC でも引き続き更新プログラムを受信できますが、1903 の更新プログラムでも以前の更新プログラムとほぼ同じ容量の空きディスク領域が必要になります。 詳しくは、「予約済みストレージ」をご覧ください。

展開

Windows Autopilot

Windows Autopilot は、新しいデバイスのセットアップと事前構成に使用されるテクノロジのコレクションで、生産性の高い使用ができるようにデバイスを準備するためのものです。 次の Windows Autopilot 機能は、Windows 10 Version 1903 以降で使用できます。

  • White Glove 展開用 Windows Autopilot は、このバージョンの Windows の新機能です。 White Glove 展開を使用すると、デバイスを完全に構成してユーザーがビジネスに使用できる状態になるように、パートナーまたは IT スタッフがデバイスの事前プロビジョニングを行うことができます。
  • Intune の 登録ステータス ページ (ESP) で、Intune 管理拡張機能を追跡できるようになりました。
  • Cortana ボイスオーバーおよび音声認識は、Windows 10 Pro Education および Enterprise のすべての SKU において、OOBE 中は既定で無効になっています。
  • Windows Autopilot は、OOBE 中に自己更新を実行します。 Windows 10 Version 1903 から、Autopilot の機能更新プログラムおよび緊急更新プログラムのダウンロードが OOBE 中に自動的に開始されるようになりました。
  • Windows 10 Version 1903 以降では、Windows Autopilot によって OOBE 中に診断データ レベルが "完全" に設定されます。

Windows 10 サブスクリプションのライセンス認証

Windows 10 サブスクリプションのライセンス認証に、Windows 10 Education のサポートが追加されました。

Windows 10 Version 1903 では、Windows 10 Pro Education から教育機関向けのエンタープライズ グレード エディションである Windows 10 Education にステップアップできます。 詳しくは、「Windows 10 サブスクリプションのライセンス認証」をご覧ください。

SetupDiag

SetupDiag Version 1.4.1 が使用可能です。

SetupDiag は、Windows 10 の更新が失敗した理由を診断するのに役立つコマンド ライン ツールです。 SetupDiag は、Windows セットアップのログ ファイルを検索することで動作します。 ログ ファイルを検索する際に、SetupDiag は一連のルールを使用して既知の問題と照合します。 最新バージョンの SetupDiag では、rules.xml ファイルに 53 のルールが含まれており、SetupDiag の実行時に抽出されます。 rules.xml ファイルは、SetupDiag の新しいバージョンが提供されるときに更新されます。

予約済みストレージ

予約済みストレージ: 予約済みストレージでは、更新プログラム、アプリ、一時ファイル、システム キャッシュ用にディスク領域が確保されています。 これにより、重要な OS 機能が常にディスク領域にアクセスできる状態になるため、PC の日常的な機能が向上します。 Windows 10 Version 1903 がプレインストールまたはクリーン インストールされた新しい PC では、予約済みストレージが自動的に有効になります。 以前のバージョンの Windows 10 から更新した場合、予約済みストレージは有効になりません。

サービス

  • 配信の最適化: 新しいポリシーにより、複雑なネットワークを持つ企業やおよび教育機関用にピアの効率が向上しています。 現在は Office 365 ProPlus の更新プログラムもサポートされており、Intune コンテンツおよび System Center Configuration Manager コンテンツも間もなく提供されます。
  • 自動再起動サインオン (ARSO): 更新を完了するために、Windows がユーザーとして自動的にログオンし、デバイスをロックします。ユーザーがデバイスのロックを解除すると更新が完了しています。
  • Windows Update for Business: 段階的展開には、共通で単一の開始日が使用されるようになります (SAC-T 指定が廃止されます)。 これに加えて、エンド ユーザーに対する通知および再起動のスケジュール設定エクスペリエンスが新しくなり、更新プログラムのインストールと再起動の期限を適用できるようになります。また、特定の期間にはエンド ユーザーが再起動を制御できるようになります。
  • 更新プログラムのロールバックの機能強化: 最近実行したドライバーの更新プログラムまたは品質更新プログラムのインストール後に、起動エラーが発生するようになった場合は、更新プログラムを削除することで、起動エラーから自動的に回復できるようになりました。 最近実行した品質更新プログラムまたはドライバーの更新プログラムのインストール後にデバイスが正常に起動しなくなった場合は、デバイスが元の正常な状態に戻るように、Windows によってこれらの更新プログラムが自動的にアンインストールされます。
  • 更新の一時停止: 機能更新プログラムと月例更新プログラムの両方について、更新の一時停止機能が拡張されました。 この拡張機能は、Home を含むすべての Windows 10 エディションが対象になっています。 機能更新プログラムと月例更新プログラムの両方を最長で 35 日間 (7 日間ずつ、5 回まで) 一時停止できます。 35 日の一時停止期限に達した場合、もう一度一時停止するには、デバイスを更新する必要があります。
  • 更新通知の機能強化: デバイスの再起動を要する更新プログラムが存在する場合は、スタート メニューの電源ボタンとタスク バーの Windows アイコンに色付きのドットが表示されます。
  • アクティブ時間のインテリジェント調整: アクティブ時間をさらに強化するために、ユーザーは Windows Update でデバイス固有の使用パターンに基づいてアクティブ時間をインテリジェントに調整するオプションを選択できるようになりました。 システムによってデバイス固有の使用パターンを自動予測するには、アクティブ時間のインテリジェント調整機能を有効にしておく必要があります。
  • 更新オーケストレーションによるシステム応答性の向上: Windows の更新と Microsoft Store の更新をインテリジェントに調整することで、システム パフォーマンスを向上します。作業の中断を最小限に抑えるために、ユーザーがデバイスから離れている間に更新プロセスが実行されます。

セキュリティ

Windows 情報保護

このリリースでは、機密情報の検出および保護を行う Windows Defender ATP の機能が自動ラベル付けによって拡張されています。

セキュリティ構成フレームワーク

このリリースの Windows 10 では、セキュリティ構成の新しい分類 が Microsoft によって導入されています。5 種類のデバイス セキュリティ構成から成り、SECCON フレームワークと呼ばれるものです。

Windows 10 と Windows Server のセキュリティ基本計画

Windows 10 Version 1903 および Windows Server Version 1903 で、セキュリティ構成基本計画設定のドラフト リリースが使用可能になっています。

Intune セキュリティ基本計画

Intune セキュリティ基本計画 (プレビュー): Intune でサポートされ、ユーザーとデバイスの安全性保護に役立つ多数の設定が追加されています。 これらの設定は、セキュリティ チームが推奨する値に自動的に設定できます。

Microsoft Defender Advanced Threat Protection (ATP):

  • 攻撃対象領域の縮小 – IT 管理者は、高度な Web 保護機能を使用してデバイスを構成できます。これにより、特定の URL および IP アドレスに対する許可リストと拒否リストの定義が可能になります。
  • 次世代の保護 – 制御機能が拡張され、ランサムウェア、資格情報の悪用、リムーバブル記憶域経由の攻撃からの保護が可能になりました。
    • 整合性適用機能 – Windows 10 プラットフォームのリモート ランタイム構成証明を有効にします。
    • 改ざん証明機能 – 仮想化ベースのセキュリティを使用して、重要な ATP セキュリティ機能を OS および攻撃者から分離します。
  • プラットフォーム サポート – Windows 10 だけでなく Windows Defender ATP の機能も拡張され、Endpoint Detection (EDR) および Endpoint Protection Platform (EPP) の機能により、Windows 7 および Windows 8.1 のクライアント、macOS、Linux、Windows Server がサポート対象になっています。

Microsoft Defender ATP の次世代保護テクノロジ:

  • 高度な機械学習: 高度な機械学習モデルおよび AI モデルで強化されており、脆弱性を悪用した革新的なテクノロジ、ツール、マルウェアを使用する高度な攻撃者からの保護に対応します。
  • 緊急事態に対する保護: 緊急事態の発生に対応して保護を提供し、新たな緊急事態の発生が検出された場合に、新しいインテリジェンス機能でデバイスを自動的に更新します。
  • 認証済みの ISO 27001 対応: 脅威、脆弱性、各種の影響が分析済みであり、リスク管理とセキュリティ制御が配備されている状態でクラウド サービスを提供します。
  • 地理位置情報のサポート: サンプル データの地理位置情報、データ主権、構成可能なデータ保持ポリシーをサポートします。

脅威の防止

  • Windows サンドボックス: 分離されたデスクトップ環境で、信頼されていないソフトウェアを実行できます。デバイスへの影響が残ることを心配する必要がありません。
  • マイクのプライバシー設定: どのアプリでマイクが使用されているかがわかるように、マイク アイコンが通知領域に表示されます。

  • Windows Defender Application Guard の機能強化:

    • スタンドアロン ユーザーが、Windows Defender Application Guard をインストールして設定を構成できます。レジストリ キー設定を変更する必要はありません。 Enterprise ユーザーは、使用中のコンピューターが管理者によってどのように構成されているか、設定を調べることで確認できるため、コンピューターの動作がわかりやすくなります。
    • WDAG は、Google Chrome と Mozilla Firefox の拡張機能になっています。 多数のユーザーがハイブリッド ブラウザー環境を使用しており、WDAG のブラウザー分離テクノロジが Microsoft Edge 以外へ拡張されることを求めています。 最新のリリースでは、ユーザーが WDAG 拡張機能を Chrome ブラウザーまたは Firefox ブラウザーにインストールできます。 この拡張機能では、信頼されていないナビゲーションが WDAG Edge ブラウザーにリダイレクトされます。 Microsoft Store には、この機能を有効にするコンパニオン アプリもあります。 このアプリを使用すると、デスクトップから WDAG をすばやく起動できます。 この機能は、最新の更新プログラムが適用された Windows 10 Version 1803 以降でも利用可能です。

      この拡張機能を試すには、次の操作を行います。

      1. デバイスで、WDAG ポリシーを構成します。
      2. Chrome ウェブ ストアまたは Firefox Add-ons に移動し、Application Guard を検索します。 この拡張機能をインストールします。
      3. 拡張機能のセットアップ ページに表示される、追加の構成手順を実行します。
      4. デバイスを再起動します。
      5. Chrome および Firefox で、信頼されていないサイトに移動します。
    • WDAG では、動的ナビゲーションが可能: Application Guard では、ユーザーが WDAG Microsoft Edge から既定のホスト ブラウザーに戻れるようになりました。 以前は、WDAG Edge 内で閲覧中のユーザーがコンテナー ブラウザー内で信頼されるサイトへの移動を試みると、エラー ページが表示されました。 この新しい機能により、ユーザーが WDAG Edge 内で信頼されるサイトを開いたときまたはクリックしたときに、自動的に既定のホスト ブラウザーにリダイレクトされます。 この機能は、最新の更新プログラムが適用された Windows 10 Version 1803 以降でも利用可能です。

  • Windows Defender アプリケーション制御 (WDAC): Windows 10 Version 1903 の WDAC では、各種の主要シナリオを支援するための多数の新機能が追加され、AppLocker と同等の機能性が提供されています。

    • 複数のポリシー: WDAC では、同一デバイス上で複数のコード整合性ポリシーの同時使用がサポートされるようになりました。これにより、1) サイド バイ サイドの実施と監査、2) スコープ/インテントが異なるポリシーに対するターゲット設定の単純化、3) 新しい補足ポリシーの使用によるポリシーの拡張、などのシナリオが可能になります。
    • パス ベースの規則: パス条件では、署名者やハッシュ識別子の代わりに、コンピューターのファイル システム内またはネットワーク上の場所によって、アプリを特定します。 さらに WDAC には、ユーザーが書き込むことのできないパスにあるコードのみを実行可能とするオプションがあり、これを管理者が実行時に適用できます。 実行時にコードが実行を試行すると、ディレクトリのスキャンが行われ、既知の管理者以外へのに書き込みアクセス許可がファイルに設定されていないか確認が行われます。 ユーザーによる書き込みが可能なファイルであることが検出された場合、署名やハッシュ規則など、パス規則以外での承認がなければ、この実行可能ファイルについては実行がブロックされます。
      このファイル パス規則のサポートという点では、WDAC の機能は AppLocker と同等です。 ただし WDAC では、ユーザーの書き込みアクセス許可チェックを実行時に実施することで、ファイル パス規則に基づくポリシーのセキュリティを強化しています。これは、AppLocker にはない機能です。
    • COM オブジェクトの登録の許可: 以前は、WDAC では COM オブジェクトの登録時に組み込みの許可リストが適用されていました。 このメカニズムは、ほとんどの一般的なアプリケーション使用シナリオに使用できるものの、追加の COM オブジェクトを許可する必要が生じるケースがあるというフィードバックがお客様から寄せられていました。 これを受け、Windows 10 の 1903 更新プログラムでは、許可対象の COM オブジェクトを GUID で WDAC ポリシーに指定できるようになりました。

System Guard

System Guard では、このバージョンの Windows で SMM ファームウェア測定という新しい機能を追加しました。 この機能は、System Guard セキュア起動 に基づいて構築され、デバイス上のシステム管理モード (SMM) ファームウェアが正常な状態で動作していることを確認します (具体的には、OS メモリとシークレットは SMM から保護されます)。 互換性のあるハードウェアを搭載したデバイスは現在は存在しませんが、今後数か月にリリースされる予定です。

この新機能は、正しく構成されている場合、Device Security ページの下に “お使いのデバイスは、拡張ハードウェア セキュリティの要件を上回っています。” という文字列と共に表示されます。

System Guard

ID 保護

  • Windows Hello FIDO2 証明書: Windows Hello が FIDO2 認定の認証システムとなっています。これを使用すると、Microsoft アカウントや Azure AD などの FIDO2 認証をサポートする Web サイトで、パスワード不要ログインが可能になります。
  • スムーズな Windows Hello PIN リセット エクスペリエンス: Microsoft アカウント ユーザーは、Web でのサインインと同じ使用感で、リニューアルされた Windows Hello PIN リセット エクスペリエンスを使用できます。
  • Microsoft アカウントによるパスワード不要のサインイン: Windows 10 に、電話番号アカウントでサインインできます。 次に Windows Hello を使用して、さらに簡単にサインインを行うことができます。
  • 生体認証を使用したリモート デスクトップ: Windows Hello for Business を使用している Azure Active Directory と Active Directory のユーザーは、生体認証を使用してリモート デスクトップ セッションの認証を受けることができます。

セキュリティの管理

  • Windows Defender ファイアウォールに追加された Windows Subsystem for Linux (WSL) のサポート: Windows プロセスと同じように、WSL プロセスに関する規則を追加できます。
  • Windows セキュリティ アプリの機能強化で、保護の履歴が追加されました。これには、脅威と実行可能なアクションに関するわかりやすい詳細情報が含まれています。また、フォルダー アクセスの制御ブロックが、保護の履歴、Windows Defender オフライン スキャン ツール アクションのほか、保留中の推奨事項すべてに含まれるようになりました。
  • 改ざん防止機能を使用すると、重要なセキュリティ機能が第三者によって改ざんされる危険性を回避できます。

Microsoft Edge

次のバージョンの Edge には、いくつかの新しい機能がさらに追加されます。 詳しくは、ビルド 2019 に関する最新情報をご覧ください。

参照

Windows Server Version 1903 の新機能: Windows Server の新機能と更新された機能。
Windows 10 の機能: Windows 10 に関する一般的な情報を確認できます。
Windows 10 の新機能: Windows 10 の他のバージョンの新機能を紹介しています。
Windows 10 の新機能: Windows 10 ハードウェアの新機能を紹介しています。
Windows 10 の開発者向け新着情報: 開発者に役立つ、Windows 10 の新機能と更新された機能。