Windows 10 November Update 2015のエンタープライズ向け機能

　先日公開されたWindows 10 November Update 2015（Threshold 2：以下、Windows 10 Th2）は、音声アシスタントのCortanaの日本語対応、日本語フォントの改良、Skypeビデオ アプリの追加など、コンシューマ向けの機能に注目が集まっている。

　しかし実は、コンシューマ向け以上に新しいエンタープライズ向け機能が提供されているのが、Windows 10 Th2だ。今回は、Windows 10 Th2のエンタープライズ向け機能にフォーカスを当てて紹介していく。

Windows Update for Businessが提供開始されたが…

　企業において注目されていたのが、Windows Update for Businessだろう。今年5月に米国シカゴで開催されたIT管理者向けのIgnite（Tech EDとManagement Conferenceなどを統合したカンファレンス）のキーノートで、企業向けのWindows Updateとして発表された。

　Windows 10は、1年に2〜3回、Windows 10 Th2と同等のアップグレードが提供される予定と案内されている。このため企業においては、ある程度テストを行った後にWindows Update経由で企業内のPCをアップグレードしたい、というリクエストが多い。

　また企業内のPCをグループ化して、テスト向けや開発部門など最初にアップグレードを適応するPC、システムの安定性を考え数カ月遅れで適応したい営業部門で使うPC、多くのPCでトラブルがないことを確認してから最後にアップグレードを適応したい経理や工場などのPC、といったように、時期をずらしてWindows Updateでアップグレードしたいというリクエストも多く寄せられている。

　このような声に応えて開発されたのがWindows Update for Businessだ。

　Windows Update for Businessでは、社内のPCを複数のRing（グループ）に分けて、段階的にアップグレードを適応していけるような仕組みと説明されていた。

　今回、実際にWindows 10 Th2でインプリメントされたWindows Update for Businessは、Windows Updateの機能を拡張したモノとなっている。

　Windows Update for Businessを利用するためには、Active Directory（AD）のグループポリシーが前提になる。グループポリシーのWindows Updateの項目に「アップグレードおよび更新を延期する」という項目が追加されており、この項目でアップグレードを適応するタイミングをコントロールする。

　アップグレードに関しては、1カ月ごとに最大8カ月まで延期できる。このためRing（グループ）に関しては、最大8つまで用意可能だ

　この項目では、毎月配布されている更新プログラムに関しても、適応を延期できる。更新の延期に関しては週単位で、最大4週間遅らせることができる（アップグレードと更新を一時停止する項目も用意されている）。

　実際にRingをコントロールするのは、ADのドメイン/OU（Organizational Unit：組織単位）が利用されている。つまり、ADのコンピュータやユーザーの管理をそのまま利用している。このため、ADの管理体系と異なる形でRingを組むことはできない。

　例えば、営業部には6カ月後にアップグレードを適応すると設定して、その中の特定のユーザーだけは時間差なくアップグレードしたいとすると、そのユーザーだけ別にグループ設定を行う必要がある。

　拡張されたWindows Updateでは、更新プログラムやアップグレードをインストールする時間帯の設定、インストール後の再起動を行う時間帯の設定など、細かに設定することができる。これらのグループポリシーを使えば、業務が一段落する12時ごろに更新プログラムをインストールして、夜中にPCをスリープから起こして、再起動を行うといったことが可能になる。

　更新プログラムやアップグレードプログラムの配布は、インターネット上のWindows Updateを使用することもできるが、ネットワークの負荷を考えれば、Windows Server Update Service（WSUS）を使ってイントラネット内部にアップデートファイルを用意したり、System Center Configuration Manager（SCCM）を使ったりすることになるだろう。

　現状では、Microsoftのデバイス管理サービスのIntuneは、Windows Update for Businessに対応していないが、数カ月以内にIntuneのアップデートが予定されているため、遠からずサポートされることになるだろう。

企業向けのプライベートアプリストアを構築するWindows Store for Business

　Windows 8/8.1以降で問題になったのが、Windows Storeアプリを配布するには、Microsoftのパブリックなアプリストアを利用するか、SCCMなどで社内にアプリ配布システムを構築する必要があったことだ。

　パブリックなアプリストアで社内向けアプリを公開するのは、誰でもダウンロードできるため、セキュリティ面で問題になる。また、SCCMで社内にアプリ配布システムを構築するには、コストも時間もかかる。そこで、Windows 10 Th2と同時に公開されたのが、Windows Store for Businessだ。

　Windows Store for Businessは、Microsoftのクラウド上にプライベートストアが構築されており、Azure ADでログインすると、ユーザーはプライベートストアにアクセスできる。またグループポリシーなどの設定により、Windows 10のパブリックなアプリストアへのアクセスを、Windows Store for Businessのプライベートストアにリダイレクトすることができる。

　このストアでは、社内で開発したアプリを登録するだけでなく、パブリックストアに掲載されているアプリを企業で一括契約して、自社のストアに登録することも行えるようになる予定だ。例えば、業務で使うAdobe Acrobatを100台（アカウント）分購入して、プライベートストアで提供する、といったことが可能になる。

　IT管理者にとっては、アプリのライセンスを一括で管理できるため、メリットが大きい。Microsoftでは、来年にはこうした環境を整えたいとしている。

　なお、Windows Store for BusinessはAzure ADの利用が必須となるので、Office 365などを利用している企業にとっては導入しやすいだろう。また、2016年にリリースが予定されているWindows Server 2016は、オンプレミスのADとAzure ADがより融合して利用できるようになるので、より利便性が高くなるだろう。

このほかのエンタープライズ向け機能

　このほかWindows 10 Th2には、認証されたプログラムしか動作させないDevice Guard機能が搭載された。

　Device GuardはOSよりも下層のハードウェアに近い部分で動作することで、マルウェア攻撃やゼロデイ攻撃に対するセキュリティを強化する。ただしDevice Guardは、ハードウェアが仮想化支援機能（VT-x、AMD-V、SLAT）とIO仮想化機能（VT-d、IOMMU）、TPM 2.0、BIOSロック機能、UEFI 2.3.1以降に対応している必要がある。また、Device Guardが提供されるのは64ビットWindows OSのみになっている。

　また、認証情報をセキュアな分離コンテナ内で管理することで、ログイン情報のセキュリティを高めるCredential Guard機能も追加された。Credential Guardも、必要とするハード/ソフト環境はDevice Guardと同じだ。

　このほか、生体認証のWindows Helloを企業で利用できるようにしている。

いくつかの機能は次のアップデートに持ち越し

　今回のWindows 10 Th2ではサポートされなかったが、次回のアップグレードでの対応が予定されているものの代表が、Enterprise Data Protection（EDP）だ。EDPは、Mobile Device Management（MDM）をモバイルだけでなく、PCにも拡張したモノだ。

　EPDでは、データごとに保護レベルを決めて、セキュリティを保護することができる。例えば、PCの内部にある業務上秘密にすべきデータは、メールの添付ファイルとしてほかのユーザーに転送したり、ファイルを個人アカウントのDropboxなどのアップロードしたりできない、といった設定を行える。もちろん、監査ログも取れるため、ユーザーの挙動をトラッキングすることが可能だ。

　また、個人のデータと企業のデータをコンテナ化して分けることで、IT管理者が管理コンソールから、企業データだけを簡単に消去することもできる。

　便利なのは、アプリケーションによって個人と企業の環境が分けられるのではなく、データの部分でコンテナ化されて、個人と企業のデータが分けられること。認証されているユーザーなら、個人と企業のデータを1つのアプリケーション上で利用可能なため、利便性も損ねない。

　Enterprise Data Protectionは、スマートフォンのWindows 10 Mobileでは必須の機能だろう。スマートフォンやPCなどのデバイス別ではなく、フラットに管理が行えるので、こういった機能がPCを含めたWindows 10全体に取り入れられるのは、IT管理者からすれば非常に便利だ。

　ちなみに、EDPを利用するためには、SCCMやIntuneが必須となっている。

＊＊＊＊＊＊

　Windows 10 Th2のエンタープライズ機能の実装度合いを見ていると、企業にとってWindows 10が完成するのは、2016年の中盤になるだろう。2016年のアップグレードでは、EDPだけでなく、多くの企業向け機能がサポートされると思われる。

　またハードウェアに関しても、Windows 10の企業向け機能をサポートしたデバイスが一般化しているだろう。管理側に関しても、現状では十分な環境とは言えない。このあたりも、Windows Server 2016やSystem Center 2016がリリースされる2016年には、環境がそろってくるのではないか。

　こういったことを考えれば、企業が本格的にWindows 10を評価するのは2016年からになるだろう。