高度な設定

誰でも一度や二度は、USBメモリを紛失したことがあると思います。そこに入っていたのが、取るに足らない販促資料だとしても、英国女王が空港を使うときのルートが入ったセキュリティーの機密情報だとしても、私たちはときにUSBメモリをどこかに置き忘れ、大切な情報が悪者の手に渡らないように祈るしかないという事態に陥ります。そんなときは、あらかじめUSBメモリを暗号化しておくことで、情報を不正に奪われる危険をなくすことができます。

Macユーザー:Finderで暗号化する

MacでUSBメモリを暗号化するには、事前にUSBメモリに変更を加える必要があります。Appleはリムーバブルメディアの暗号化に「HFS+ファイルシステム」を使いますので、このファイルシステムでUSBメモリをフォーマットしておく必要があります。「ディスクユーティリティー」を開き、USBメモリを選択して、消去ボタンを押します。フォーマットでMac OS拡張(ジャーナリング)を選び、消去ボタンをクリックすると、適切なファイルシステムでフォーマットしてくれます。

これで、USBメモリを暗号化する準備が整いました。あとは、FinderでUSBメモリを右クリックして「暗号化」を選択、パスワードを入力すればOKです。USBメモリの容量にもよりますが、数分で暗号化が完了します。これで、安全なUSBメモリを手に入れることができました。

Windowsユーザー:BitLockerかVeracryptを使う

WindowsにはBitLockerとよばれる独自のファイル暗号化ソフトウェアが組み込まれています。 BitLockerは、Windows Vista以降のPro、Ultimate、Enterpriseバージョン(Windows 10を含む)に標準で搭載されています。BitLockerはNTFS、FAT、FAT32のフィイルシステムで動作します。USBメモリを右クリックして「フォーマット」を選択し、好きなファイルシステムを選んでください。

ここからUSBメモリを暗号化するのは簡単です。エクスプローラでUSBメモリを選択し、上部の「管理」タブをクリックし「BitLocker」>「BitLockerを有効にする」をクリックします。パスワードを2回入力するか、スマートカードがあればスマートカードを使ってもOKです。最後に、回復キーをMacrosoftアカウントかパソコンにファイルとして保存するか、紙に印刷して保管しておきましょう(パスワードを忘れたときのため)。

別のバージョンのWindowsを使用している場合や、何らかの理由でBitLockerを使いたくない場合は、VeraCryptという暗号化アプリが使えますよ。

 

 

関連記事】

「Windows 10」、障がい者支援技術ユーザーへの無償アップグレードが終了へ

Windows 10「Fall Creators Update」のビジネス向け新機能まとめ

Microsoftの障がい者向け支援技術製品の利用者を対象とした「Windows 10」への無償アップグレードが、2017年12月31日に終了することを、同社が米国版ウェブページ上で通知した。

Microsoftはサポート対象のWindows旧版の一般利用者に対してWindows 10への無償アップグレードを提供していたが、同キャンペーンは2016年7月29日をもって終了している。

だが、Microsoftの支援技術製品を利用している個人に対しては、無償アップグレード期間が自動的に延長されており、これが無償アップグレードの「抜け道」として利用される例がみられた。この時、Microsoftの広報担当者は次のように説明していた。

「無償アップグレードの提供は、特定の支援技術のみに限定されるわけではない。Windowsで支援技術を利用しているユーザーは、無償アップグレードを受けることができる。しかしながら、支援技術を利用していないユーザーや無償アップグレードが受けられる提供期間を過ぎてしまったユーザーのための救済策として用意したものではない」

Microsoftはここ1週間の間に無償アップグレードに関するページを改訂した。このページのFAQには、キャンペーンの終了日に関しては事前に発表すると記載されていたが、現在米国版では「2017年12月31日で終了する」と改訂されている。

Twitterではあるユーザーが、この終了日はMicrosoftのアクセシビリティチームのアカウント「@MSFTEnable」による10月17日のツイートで最初に発表されたと指摘している。

支援技術を利用しているユーザーへの無償アップグレード期間が延長された理由の一端は、Microsoftが2016年8月の「Windows 10 Anniversary Update」の一部として提供を予定し、変更点について強調していたWindows 10のアクセシビリティオプションに、当時まだ取り組んでいたためとみられる。

 

 

関連記事】

Windows 10「Fall Creators Update」のビジネス向け新機能まとめ

いよいよ10月17日「Windows 10」秋の大型アップデートで何が変わる?

Windows 10大型アップデート「Fall Creators Update(1709)」の配信が10月17日に始まった。

Fall Creators Updateの新機能を企業向けという視点で見たとき、「クラウド経由のセットアップと監視」「アップデートの負荷軽減とプライバシー設定」「セキュリティ対策」という3つのポイントで強化が行われている。

●セットアップと管理の負担を軽減

企業のシステム管理担当者にとって頭の痛い問題は昔から変わらず、社内PCの管理にある。デバイスの稼働状況を把握し、アップデートが意図した形で適用されているか確認するなど、組織内にあるPCの一元管理を省力化するために、リモート管理のソリューションが以前よりさまざまな形で提供されてきた。

Microsoftの最新ソリューションでは、同社のクラウドサービスとして最新のツール群が用意されており、管理者はクラウドを通じてデバイス制御が可能だ。

Fall Creators Updateのタイミングで提供される新ツールは、セットアップを自動化する「Windows AutoPilot」と、デバイスの状態を監視する「Windows Analytics」の2つとなる。

Windows AutoPilotでは、管理者があらかじめ初期セットアップのポリシーを設定しておくことで、Azure ADへの接続を通じて、各種設定内容の自動セットアップが行われ、必要な設定が済んだ状態ですぐにPCの利用を開始できる。この作業の進行状況はユーザーが確認可能だ。

そしてセットアップが完了したPCはIntune MDMを介した管理に対応し、Windows Analyticsを通じてリアルタイムでの監視や制御が行える。

Windows Analyticsには幾つかの機能があり、「Update Compliance」では各デバイスのバージョン情報や更新プログラム適用状況の把握、「Device Health」ではデバイスの稼働状況、正常性チェックが可能だ。

●アップデート作業の負担も軽減

Windows 10のアップデートに関して今後重要になるのが「Unified Update Platform(UUP)」と「Windows Update Agent」という2つの仕組みだ。

UUPは2017年春配信の大型アップデート「Creators Update(1703)」で導入された機能だが、Fall Creators Update以降で実質的に有効化される。

UUPは、この手の大型アップデートのサイズが「3GB前後」と非常に大きい問題を解決する。フルサイズのアップデートファイルをインターネット経由でダウンロードするのではなく、デバイス環境ごとに必要最低限のファイルのみを差分ダウンロードすることで、そのサイズを平均して1GB程度と3分の1まで圧縮することが可能だ。

一方、こうした大型アップデートではなく、通常のアップデート時でも「操作不能な時間が長い」ことにストレスを感じていたユーザーは少なくないはずだ。Fall Creators UpdateではWindows Update Agentに改良が加えられ、アップデート作業中に操作不能となる時間が短縮されているという。

●強化されたセキュリティ

セキュリティ機能の強化もFall Creators Updateでの大きなポイントだ。昨今はWannaCryのようにあるタイミングで一気に拡散するタイプの脅威が増えており、必要な脅威情報をリアルタイムで共有することで被害拡大を防ぐのが重要になっている。

先ほど管理面でクラウドの果たす役割が増していることに触れたが、セキュリティにおいても同様にクラウド経由でのデバイス管理が行われることになる。

Microsoftのセキュリティ製品はここ最近になり「Windows Defender」の名称でリブランディングが行われており、企業向けには「Windows Defender Advanced Threat Protection(ATP)」のような形でクラウドサービスが提供される。

Windows Defender ATPは「Windows 10 Enterprise E5」サブスクリプションの機能の1つとして提供されるもので、攻撃の検知、侵入範囲の把握、履歴データの追跡、対応と修正といったセキュリティ関連の統合管理が可能だ。

Fall Creators Updateが適用されたPCではこれに加え、EMETに代わり脅威情報を収集して事前に保護する「Windows Defender Exploit Guard」、Edgeで閲覧している信頼されていないサイトの実行を別のプロセスとしてサンドボックス化する「Windows Defender Application Guard」といった機能が利用可能になる。

●クラウドへのシフトが進むWindows

以上のように、Fall Creators Updateにおける法人向けの機能強化点はクラウドを前提にした部分が大きい。また、Azure ADを用いるメリットとして、従来のActive Directoryとは異なり、社外のPCも管理しやすいという点が挙げられる。

近年は「Surface」のようにタブレットPCやモバイルPCを導入する企業が多いと思うが、同時にAndroidやiOSなどのスマートデバイスを活用する企業が増えており、従業員はデバイスとともに社内外の好きな場所で作業できる環境が整いつつある。

以前のレポートでも触れたが、ビジネス利用を見込みながらもAzure ADにしか接続できない「Windows 10 S」のようなOSも登場しており、今後はさらに「Office 365」や「Microsoft 365」を組み合わせた企業システムへの提案も増えてくるだろう。

かつてはオンプレミスの代表的な存在と考えられていたWindowsだが、その実は徐々にクラウドへのシフトと新しいビジネススタイルへの適合が進んでいると言える。

●Semi-Annual Channel(SAC)が適用される初のアップデート

Microsoftは2017年以降、Windows 10の大型アップデートの提供サイクルを3月(実際は4月)と9月(実際は10月)の年2回に固定し、特に企業ユーザーが計画的なアップデートを可能にする方針を打ち出している。

また、大型アップデートの適用タイミングについて「当該アップデートが提供されてから12カ月以内」というサポートに関する縛りを緩和し、「18カ月以内」にまで延長している。これの効果は「年2回の決められたタイミングでのアップデート提供」というルールと合わせて、「新しいアップデートが提供される度に必ず適用する必要がなく、1回スキップすることも可能」ということにある。

そうした中、Microsoftは2017年8月に製品のサポートポリシー変更を発表するとともに、従来は「Current Branch(CB)」「Current Branch for Business(CBB)」と呼んでいたアップデート適用モデルを「Semi-Annual Channel(SAC)」に1本化する方針)を打ち出した。

Semi-Annual Channelとは「年2回更新」を意味しており、18カ月期限の更新サイクルさえ守っていれば、ユーザー企業に好きなタイミングでのアップデートを許可する仕組みとなっている。これにより、クライアント数が数千から数万単位といった大規模な組織や、利用するアプリケーション等の理由により頻繁な更新が難しいという企業に、できるだけ負荷をかけずにアップデートを促す施策となっている。

もう少しだけ詳しく見ていく。「Windowsライフサイクルのファクトシート」というページによれば、Windows 10のサポート期限は、November Update(1511)が2017年10月10日に終了しており、Anniversary Update(1607)が2018年3月(仮)に迫っている。以後はCreators Update(1703)が2018年9月(仮)、Fall Creators Update(1709)が2019年3月(仮)だ。

リリース開始からサポート終了までの期間を比べれば分かるように、Creators Update以降は18カ月ルールが適用されているのに対し、Anniversary Updateは若干長い。これは以前までの「2世代後の大型アップデートが提供されてから、その移行期間(CBB)終了まで」というルールをある程度引き継いでいるからだろう。

またSACにも「Broad」と「Targeted」の2種類があり、これらが交互にやってくる。今回の例では、Creators Update(1703)が「Broad(または“表記なし”)」、Fall Creators Update(1709)が「Targeted(日本語では“対象”)」となっている。

Microsoftの説明によれば、Targetedは最新ハードウェアを搭載したデバイスなどを対象に展開テストを行うフェーズで、この検証フェーズを経てBroadで広域展開を行うことが推奨されている。

つまり秋のアップデートで展開テストを行い、これを利用して春のアップデートでのトラブルを軽減させるのが狙いというわけだ。その意味で、Fall Creators UpdateはSACを適用してテスト移行を行うための初のアップデートであり、今後の試金石ともなる。

2020年1月のWindows 7サポート終了に向けて、Windows 10への移行とその後の運用については、こうした新たなサポート期限ルールを把握したうえで、それぞれの環境に最適なアップデートプランを計画することが必要だ。

 

 

 

関連記事】

いよいよ10月17日「Windows 10」秋の大型アップデートで何が変わる?

日本マイクロソフト株式会社は11日、10月の月例セキュリティ更新プログラム(修正パッチ)をリリースした


10月17日から日本を含む全世界で順次、2017年で2度目となるWindows 10の大型アップデート「Windows 10 Fall Creators Update」がリリースされる。今回は、これまでInsider Previewで一足早く導入されてきた、Fall Creators Updateの新機能や改善点、削除された機能などをまとめて紹介する。

※動作確認と画面キャプチャーはWindows 10 Insider Previewで作業しています。

Fluent Designがスタートメニューに導入された
マイクロソフトの新デザインシステム「Fluent Design」は「Build 2017」で発表された。Windows 8ではMetroデザインが採用されたが、タッチに特化したデザインで不評だった。「Fluent Design」はクロスプラットフォームに対応しつつ、インタラクティブに使えるようになっている。もちろん、3Dにも対応する。イメージはマイクロソフトがYouTubeに投稿した動画「Microsoft Fluent Design System」で確認できる。

まだ本格的に導入されているわけではないが、Fall Creators Updateではまずスタートメニューに導入される。アプリ名にマウスポインタを乗せると強調表示になるのは前と同じだが、ポインタに光がフォーカスされている。そして、ポインタを動かすと、光が当たっている部分も動くのだ。また、細かい部分のみの対応だが、今後はWindows 10のシステムからアプリにまで採用されていくことだろう。

Edgeブラウザーの機能が大幅に強化された
Windows 10の標準ブラウザーであるEdgeの機能が強化された。Chromeなどほかのライバルブラウザーではすでに搭載済みの機能も多いが、できることが増えるのは歓迎だ。

EPUBを表示したり検索できるようになったので、電子書籍の閲覧にも利用できる。もちろん、目次は利用できるし、音声読み上げも可能。お気に入りは階層化できるようになったうえ、ブックマークの編集もその場で行えるように。任意のウェブページをタスクバーにピン留めしたり、PDFのフォームには直接入力できるのも便利。F11キーで全画面表示したり、複数のタブをまとめてお気に入りに追加するなど、基本操作もブラッシュアップされている。

また、IEやChromeからは、ブックマークだけでなく、閲覧の履歴やクッキー、パスワード、設定なども引き継げるようになったので、乗り換えも簡単だ。

OneDriveのファイルオンデマンド機能で容量を節約
Windows 10の標準クラウドストレージサービス「OneDrive」に、ファイルオンデマンド機能が追加された。ファイル情報は常に同期するが、ファイル本体は必要になるまでダウンロードしないようにする機能だ。ストレージ容量が少ないノートPCなどで便利に使える。

通常は、アイコンにクラウドのマークが付いており、ダウンロードすると白地に緑のチェックマークが付く。右クリックメニューから「このデバイス上で常に保持する」を選んでおけば、強制的に端末内に保持するようになり、アイコンのマークは緑地に白のチェックとなる。

「設定」がブラッシュアップし、2項目が追加
設定がさらに使いやすくなり、コントロールパネルの出番が減っている。まず、大項目に「電話」と「Cortana」が追加されている。コルタナの設定はこれまでコルタナの設定ボタンから開いていたので、面倒だしわかりにくかったが、これですっきりした。

機能の項目も増えている。例えば、「デバイスの検索」には「ペンが見つからない」という項目が追加され、「追跡はこちらから」をクリックするとブラウザで場所を確認できる。ペンを最後に使った場所を記録し、地図表示してくれるのだ。そのほか、見にくかったバージョン情報などもブラッシュアップされている。

スマートフォンと連携する「電話」機能を搭載
「設定」に新しく追加された「電話」では、iPhoneやAndroid端末を連携できる。スマホに「Continue on PC」アプリをインストールすると、共有メニューからウェブページを飛ばせるようになる。すると、強制的にPCのブラウザーが起動し、ウェブページの続きを閲覧できる。

正直今は、単発の項目にするほどの機能ではないのだが、Windows 10 Mobileが失速した今、iPhoneやAndroidとの連携を強化していくつもりなのかもしれない。

コルタナの使い勝手が向上している
コルタナの設定画面が「設定」にまとめられたのは前述の通り。そのほかには、「何分後にアラームして」のように話しかけると、指定時間に通知してくれるようになった。出かける準備をする時間などを忘れたくないときに利用できる。

そのほか、検索結果をブラウザーではなく、コルタナの表示エリア内で確認することもできるようになった。ウェブ閲覧には向かないが、天気や交通といった簡単な情報チェックであれば活用できそうだ。

Windows Defenderにランサムウェア対策機能が搭載された
ランサムウェアは、被害者のPCをまるごと暗号化し、復号キーが欲しければお金を払うように求めるマルウェアだ。2013年頃から流行はじめ、今でも時々広まることがある。

このウィルスに感染すると、対策していない限り全データが失われる。個人用PCでも、デジカメ写真やメールデータ、仕事で使っているファイルなど、失ったら困るものも多いはずだ。

「Windows 10 Fall Creators Update」では、セキュリティセンターに「コントロールされたフォルダーアクセス」という機能が追加された。この機能をオンにすれば指定したフォルダーは常時監視され、許可していないアプリから変更しようとするとブロックしてくれるようになる。

写真や動画から超絶手軽に良い感じのムービーを作成できる
「フォト」アプリに「Windows Story Remix」という機能が搭載された。「Windows ムービー メーカー」の強化版のような位置づけで、撮影した写真や動画を指定するだけで、自動的にBGMに合わせて配置したり動かしたりしてムービーを作成してくれる。切り替えのタイミングやタイトルの入り方など、何もしていないのに良い感じの作品になっているのがすごい。気に入らなければ「自動リミックス」をタップするだけで、再構築してくれる。よく写真を撮るユーザーであれば、ぜひ活用して欲しい機能だ。

見やすいUDデジタル教科書体のフォントが採用された
Windows 10で利用できる新しいフォントが追加された。タイプバンクがデザインした「UD デジタル教科書体」は、学習指導要領に基づいた字体や字形を再現しているのが特徴。点やハライの形状が正確で、例えばひらがなの「や」の短い縦棒が貫通していないところまで再現している。この手の書体は、楷書だと読みにくくなりそうだが、「UD デジタル教科書体」は線の太さの強弱を抑えて読みやすくしている。ひとつのウェイトごとに、N(等幅)とNP(P付き)、NK(K付き)の3種類のフォントを用意している。

知人とのコミュニケーションが楽になる「My People」
連絡先を管理できる「People」アプリも強化された。「My People」機能では、任意の相手をタスクバーにピン留めできる。クリックすることで即コミュニケーションを開始できるのが楽だ。また、ピン留めした相手からSkypeで絵文字が届くと、タスクバーの上にダイレクトに表示されるようになる。

3D BuilderやOutlook Expressなどが削除される
マイクロソフトは「Windows 10 Fall Creators Update」以降、削除される機能と推奨しない機能の一覧を公開している。例えば、「3D Builder app」や「Enhanced Mitigation Experience Toolkit (EMET)」「Outlook Express」などが削除される。非推奨になる機能には、「IIS 6 Management Compatibility」や「Windows PowerShell 2.0」などに加えて、「Microsoft Paint」もある。初期のWindowsから搭載されてきた「ペイント」だが、ようやくお役御免というところか。

削除される機能

3D Builder app
Apndatabase.xml
Enhanced Mitigation Experience Toolkit (EMET)
Outlook Express
Reader app
Reading List
Resilient File System (ReFS)
Screen saver functionality in Themes
Syskey.exe
TCP Offload Engine
Tile Data Layer
Trusted Platform Module (TPM) Owner Password Management

非推奨になる機能

IIS 6 Management Compatibility
IIS Digest Authentication
Microsoft Paint
RSA/AES Encryption for IIS
Sync your settings
System Image Backup (SIB) Solution
TLS RC4 Ciphers
Trusted Platform Module (TPM): TPM.msc and TPM Remote Management
Trusted Platform Module (TPM) Remote Management
Windows Hello for Business deployment that uses System Center Configuration Manager
Windows PowerShell 2.0

以上が、Windows 10 Fall Creators Updateで変わるポイントとなる。ほかにも細かい変更点がたくさんあるので、それぞれ本連載で突っ込んで紹介していく予定だ。

 

 

 

関連記事】

日本マイクロソフト株式会社は11日、10月の月例セキュリティ更新プログラム(修正パッチ)をリリースした

Windows 10がまた大型アップデート その内容は?

日本マイクロソフト株式会社は11日、10月の月例セキュリティ更新プログラム(修正パッチ)をリリースした。修正される脆弱性の最大深刻度が4段階中で最も高い“緊急”のものが23件含まれており、日本マイクロソフトではユーザーに対して、できるだけ早期に修正パッチを適用するよう呼び掛けている。

対象となるソフトウェアは、Windows、Microsoft Edge、Internet Explorer(IE)、Microsoft Office、Microsoft Office ServersおよびWeb Apps、Skype for BusinessおよびLync、Chakra Core。

最大深刻度が“緊急”の脆弱性の修正が含まれる製品ファミリーは、Windows 10/8.1/7、Windows RT 8.1、Windows Server 2016/2012 R2/2012/2008 R2/2008、Microsoft Edge、IE11、ChakraCore。

修正パッチに含まれる脆弱性の件数は、CVE番号ベースで62件。うち深刻度が“緊急”のものは23件で、いずれもリモートからコードが実行される(RCE:Remote Code Execution)可能性のあるものだ。

62件のうち、Officeのメモリ内オブジェクト処理における脆弱性「CVE-2017-11826」は、深刻度は“重要”ながら、すでに悪用の事実が確認されている。細工されたファイルを開くことで、攻撃者によりリモートから任意のコードが実行される可能性がある。対象となるのは、Word 2016/2013/2010/2007、Office Word Viewer、企業向け製品のSharePoint Enterprise Server 2016/2013/2010、Office Online Server 2016、Office Web Apps Server 2013/2010、Office Compatibility Pack。

修正パッチが提供されるWindows 10のバージョンは、「1703」(Creators Update)、「1607」(Anniversary Update)。2015年11月に提供が開始された「1511」(November Update)向けには、今回が最後のパッチ提供となる。このほか、LTSB向けにWindows 10初期バージョン「1507」にもパッチが提供される。

また、Office 2007、SharePoint Server 2007の延長サポートも今日で終了するため、今回が最後のパッチ提供となる。

このほか、特定のTPMチップにおいてセキュリティ機能をバイパスできる脆弱性(ADV170012)や、「NTLM(NT LAN Manager)」においてシングルサインオン認証を強化する新オプションの追加(ADV170014)、Windows Server 2008(ADV170016)とOffice(ADV170017)向けにセキュリティ関連の機能を向上させる多層防御機能の更新について、新たに4件のセキュリティアドバイザリも公開されている。また、既存の脆弱性情報1件についても更新されている。

修正パッチの具体的な対象製品や脆弱性の情報は、日本マイクロソフトのウェブサイトにある「セキュリティ更新プログラムガイド」で検索・参照可能。

 

 

 

関連記事】

Windows 10がまた大型アップデート その内容は?

企業のID管理基盤、クラウド&Windows 10時代の3つの選択肢

Windows 10の大型アップデート「Windows 10 Fall Creators Update」が10月17日より提供開始される。今春行われた「Creators Update」に続く大型アップデートで、Windows 10ユーザーは無償でアップデートできる。

Windows 10は、大型アップデートで進化を続けていくというコンセプトのOSだ。2015年7月末にリリースされたあと同年11月に最初の大型アップデート「November Update」、2016年8月に「Anniversary Update」、今年4月に「Creators Update」が行われた。今回の「Fall Creators Update」はそれに続く4回目の大型アップデートになる。当初、アップデートは不定期だったが、現在では3月と9月(春と秋)の年2回行うのが基本方針になっている。

Fall Creators Updateはさまざまな改善、不具合の修正、機能追加が含まれているが、見た目はこれまであまり変わっていない。一番の注目ポイントは「Windows Mixed Reality」(Windows複合現実、以下Windows MR)への対応だ。

Windowsも「複合現実」へ

アップデートの目玉は「Windows Mixed Reality」(Windows複合現実、以下Windows MR)への対応だ。

ここで言うMixed Reality(MR)とは、VR(仮想現実、Virtual Reality)とAR(拡張現実、Augmented Reality)を合わせたもの。具体的には、ゴーグル型の対応ヘッドセットを装着して、VRコンテンツのような没入感のある対応コンテンツを楽しめる機能だ。

現在、HTC VIVEなどのVRを楽しむためのヘッドセットが発売されているが高価で、対応PCも高いスペックのものが求められるため、なかなか手を出しにくい状況だ。Windows MRでは、それに近いことがWindowsパソコンと対応ヘッドセットで比較的安価かつ手軽に楽しめるというのが売りだ。

マイクロソフトはHoloLens(ホロレンズ)というMRヘッドセットを法人向けに展開しており、Windows MRはその技術を応用している。しかしホロレンズとは、さまざまな違いがある。

ホロレンズは単体で動作するデバイスで、素通しで現実の風景が見えるレンズの上にホログラムを投影して重ねて表示する。一方、Windows MR対応ヘッドセットはPCに接続して使うデバイスで、単体では動作しない。また外の風景は見えず、ヘッドセット内のディスプレーにグラフィックスを表示する。そのため使用感は、VR用ヘッドセットとほぼ同じだ。

Windows MR対応ヘッドセットとコントローラーは、エイサー、デル、HP、レノボ、ASUSなどから、Fall Creators Updateが提供開始となる10月17日以降に発売される予定だ。マイクロソフトではヘッドセットの価格を299ドルからとしている。日本での実売価格は、コントローラーとセットのもので5万~6万円程度になりそうだ。

性能が一定以上のパソコンが必要
Windows MRを使うには、ある程度スペックの高い対応PCが必要になる。自分のパソコンが対応しているかどうかは、スタートメニューから起動できる「Mixed Realityポータル」で確認できる。8GB以上のメモリー、10GB以上のHDDの空き容量が必要なほか、CPUやグラフィックス性能も一定以上のものが要求される。

現在公開されているPCの要件を見ると、HTC VIVEなどのVR用ヘッドマウントディスプレーの動作要件ほど高くないが、この機能が目当てなら最新PCへの買い替えや、デスクトップ型パソコンならグラフィックスカードの追加などが必要になるだろう。年末商戦では、Windows MR対応パソコンと対応ヘッドセットが店頭に並ぶことになりそうだ。

肝心のコンテンツは、Windowsストアで提供される2万以上のアプリが対応し、ゲーム、映画などの動画のほか、仕事を効率化できるアプリや、Skypeなどのコミュニケーションアプリ、教育用アプリなどが利用できるという。また、ゲーム配信プラットフォーム「Steam」がWindows MRに対応し、対応ゲームを配信する。

しかしコンテンツで重要なのは数ではなく、日本人好みのコンテンツがどれだけ登場するか、日本語でどんなコンテンツが楽しめるかだ。今後の情報に注目したい。

●その他の変更点は?

その他の目につく変更点を見ていこう。Windowsの設定項目はアップデートのたびに「設定」に集約されてきている。今回のアップデートで、「設定」の項目に「コルタナ」と「電話」が加わった。「コルタナ」はタスクバーの検索ボックスから起動できる音声入力対応のアシスタント機能のことだが、その設定がここでできるようになった。

Webブラウザー「エッジ」の機能もじわじわと増えている。手書き機能「Windows Ink」を使い、PDFファイルに手書き入力できるようになった。例えば、Webメールで届いたPDFファイルを開いて、手書きで入力して返送するといったことができる。

Windows 10
Fall Creators Updateは、9月初頭の段階ではまたデスクトップ右下のバージョン表記(ウォーターマーク)が取れておらず、製品段階には至っていない。しかしアップデートはすでにバグフィックスがほとんどになっていて、ほぼこの形で10月17日より配信されると思われる。配信方法はCreators Updateのときと同じく、段階的に数カ月かけて全ユーザーに行き渡るように配信されるようだ。

●クラウド&Windows 10時代のID管理の課題とは

「Active Directoryドメインサービス(AD DS)」(単にActive Directoryと呼ばれることがあります)は、Windows 2000 Serverに標準機能として組み込まれた形で2000年に初めて登場し、それまでのWindows NT ServerのSAM(セキュリティアカウントマネージャー)ベースのID管理基盤を置き換えました。

Active Directoryドメインサービスは、Kerberos認証に基づいたID認証とアクセス制御、スマートカード認証、グループポリシー管理などを実現するWindows Server標準のディレクトリサービスであり、シングルドメイン環境であっても従来のSAMデータベースとは比較にならないスケールを提供します。また、Windowsだけでなく、UNIXやLinux、Macを含めたIDの管理統合を実現します。

企業の管理されたクライアントだけが対象であれば、これまでのActive Directoryドメインサービスで今後も運用し続けることができるでしょう。モバイルユーザーがいても、企業内のクライアントPCを持ち出し、従来方式の仮想プライベートネットワーク(VPN)接続経由で社内ネットワークにActive DirectoryドメインのIDでアクセスすることが可能です。

しかし現実は、企業におけるクラウド利用もかなり進んでおり、スマートフォンやタブレット端末など、さまざまな種類のモバイルデバイスが業務利用されるようになりました。また、そのデバイスの所有者が企業だけでなく、個人の場合も増えてきています。所有者が企業、個人のどちらであれ、さまざまなアプリやサービスの業務利用と個人利用の境界が曖昧になると、情報漏えいのリスクが高まります。

クラウドサービスを利用する場合、通常はそのサービスごとのID(またはそのサービスと連携可能なオンラインID)が必要になります。そのような多数のクラウドのIDとオンプレミスの企業内IDの多重管理は、運用管理を複雑、面倒にするだけでなく、IDの漏えいや不正利用にもつながります。

従業員の生産性を損なうことなく利便性を提供しながら、いかにセキュリティを確保するかは、ID管理上の大きな課題です。Windows 10クライアントを対象に考えた場合、Microsoftが提供するID管理ソリューションとしては次の3つの選択肢があります。Windows 10対応機能を除けば、Windows 7やWindows 8.1クライアントにも対応できます。

――
・選択肢その1:オンプレミスのActive Directoryドメインサービス(AD DS)のディレクトリ環境
・選択肢その2:Azure Active Directory(Azure AD)のディレクトリ環境
・選択肢その3:オンプレミスのAD DSとAzure ADをディレクトリ統合したハイブリッド環境
――

今回は、これら3つのID管理環境の選択肢について、概要レベルで説明します。

●選択肢その1:「オンプレミスのAD DSのディレクトリ環境」の場合

オンプレミスのAD DSで構築したActive Directoryドメイン環境では、以下のような機能をドメイン内(一部の機能はドメイン外から)で利用できるようになります。

――
・クライアントのドメイン参加
・ユーザーIDとグループ、組織単位(OU)の作成と管理
・パスワードのリセットやIDのロック
・ID認証と社内リソースへのアクセス制御(Windows Server 2012以降はダイナミックアクセス制御をサポート)
・DirectAccessによるシームレスなリモートアクセス環境
・グループポリシー管理
・マルチマスターレプリケーション、サイトの分割や読み取り専用ドメインコントローラー(Read Only Domain Controller:RODC)の設置によるログオントラフィックやレプリケーションの最適化
・Active Directory証明書サービス(AD CS)による公開鍵基盤(PKI)の導入
・Active Directory Rights Managementサービス(AD RMS)を使用した情報漏えい対策
・Active Directoryフェデレーションサービス(AD FS)とWebアプリケーションプロキシ(WAP)によるワークプレース参加、多要素認証のサポート
――

Windows 10 Homeを除く、PC向けのWindows 10の各エディションは、オンプレミスのAD DSのActive Directoryドメインへの参加を従来のWindowsと同じように完全にサポートしています。特にActive Directoryドメインのバージョン要件はありませんが、利用するActive Directoryドメインの機能によっては、フォレスト機能レベルやドメイン機能レベル、ドメインコントローラーのバージョンに要件が加わることがあります。

「ワークプレース参加」(社内参加、職場への接続と呼ばれることもあります)は、Windows 8.1/Windows RT(クライアント機能)とWindows Server 2012 R2で初めて実装された機能であり、ドメインに参加していないデバイスをAD DSのディレクトリに登録し、デバイス認証に基づいたアクセス制御を可能にする、個人所有デバイスの社内利用を想定した新しい機能です。例えば、デバイス(登録済み/未登録)と場所(社外または社内)を条件に、社内リソースへのアクセスを制御することが可能です。

ワークプレース参加はiOSやAndroidデバイス、Windows 7(ただしドメイン参加済みクライアントのみ)でもサポートされます。実は、Windows 10クライアントについては、オンプレミスのActive Directoryドメインだけでワークプレース参加を実現することはできません。Windows 10クライアントでワークプレース参加相当の機能をサポートするには、後述するAzure ADのディレクトリ環境またはハイブリッド環境が必要になります。

●選択肢その2:「Azure ADのディレクトリ環境」の場合

「Azure Active Directory(Azure AD)」は、Microsoft Azureのサービスの1つであり、クラウド環境向けのID管理サービスを提供します。AD DSとは異なり、Kerberos認証やグループポリシー管理機能は提供しません(Azure ADドメインサービスとしてIaaS環境に提供することは可能)。

Azure ADは、SAML 2.0やWS-Federation 1.2、OAuth 2.0/OpenID Connect 1.0といった、Webアプリ/サービス標準の認証プロトコルをサポートするものです。Office 365やMicrosoft Intuneのサービスは、Azure ADをID管理のためのディレクトリとして利用しています。

Azure ADでは、次のような機能が社内クライアントやさまざまなモバイルデバイスからオンラインサービス上で利用可能です。なお、Azure ADの基本的な機能を提供する「Azure AD Freeプラン」は無料ですが、Azure Multi-Factor Authentication(Azure MFA)のように料金が発生するものもあります(Azure AD Premium以上プランや個別サービスの料金)。

――
・ユーザーID、グループの作成と管理(Office 365やMicrosoft Intuneと統合)
・パスワードのリセットやIDのロック
・Office 365やMicrosoft IntuneのID認証
・Azureの各種サービスのためのID認証
・SaaSアプリのシングルサインオンアクセス
・ID使用状況のレポート
・Windows 10のAzure AD参加(このデバイスをAzure Active Directoryに参加させる)
・Windows 10のワークプレース参加(職場または学校への接続)
・Windows 10のWindows Hello for Business(旧称、Microsoft Passport for Work)
・Azure MFAの多要素認証によるID認証の強化
・Azureの各種サービスやOffice 365に対する条件付きアクセス
――

Azure ADは、オンプレミスにサーバを持たない(持ちたくない、撤去したい)中小規模の企業に適しているといえます。また、社内の情報共有基盤としてOffice 365サービスを利用する場合は、後述するハイブリッド環境を構築しない限り、Azure ADだけを利用することになります。

Azure ADは、Windows 10で導入されたさまざまなID機能に対応している点に注目してください。Windows 10はオンプレミスのAD DSにドメイン参加する代わりに、Azure ADのIDを使用して「Azure AD参加(Azure AD Join)」という方法でデバイスとIDをひも付け、Azure ADに参加させることが可能です。

ユーザーは、Azure AD参加デバイスからAzure ADのIDを使用してWindowsへのサインイン(ログオン)し、シングルサインオンでOffice 365などのサービスを利用できます。また、生体認証を使用した「Windows Hello」によるサインインも可能です。Azure ADのIDでのWindows Helloのセットアップと使用を、Microsoftアカウントで利用可能なWindows Helloに対し、「Windows Hello for Business」(旧称、Microsoft Passport for Work)と呼びます。

Microsoft AzureのIaaS環境(仮想マシン環境)でActive Directoryドメインが必要な場合、IaaS環境の同じネットワーク上にAD DSを実行するドメインコントローラーを仮想マシンとして配置するのが1つの方法です。オンプレミスの社内ネットワークとサイト間接続している場合は、オンプレミスのネットワークの延長として、追加のドメインコントローラーをIaaS側に仮想マシンとして配置して、トラフィックを最適化することができます。

もう1つ、Azure ADの機能の1つである「Azure ADドメインサービス」を利用するという方法があります。Azure ADドメインサービスは、Azure ADのディレクトリと統合されたフル機能のActive Directoryドメイン環境(ドメイン参加、Kerberos認証、グループポリシー管理など)をサービスとして提供するもので、複数台のドメインコントローラーのデプロイと更新は自動化されています(サービスに含まれます)。一部の特権レベルの管理機能は制限されますが、システム要件によってはこちらを利用した方が、管理コストを含め、低コストで導入できる場合があります。

また、Azure ADを導入すると、Microsoft Azureの次のID関連の有料サービスを導入できるようになります(Azure AD Premium以上の有料プランや個別サービスの料金)。

――
・Azure AD Privileged Identity Management(PIM)による特権アクセス管理
・Azure AD Identity ProtectionによるID不正使用の防止
・Microsoft Cloud App SecurityによるシャドーITの検出
・Azure Information Protectionによる情報漏えい対策
――

これらAzure ADが提供するサービスにより、不正アクセスのリアルタイム検出や不正利用のブロックなどで、IDの保護を強化したり、情報漏えいを防止したりできます。例えば、「Azure Information Protection」(旧称、Azure Rights Management)は、もともとはAD RMSのクラウド版として登場しましたが、最新のサービスではラベル付けによる保護設定や、条件に基づいた自動保護または推奨提示、透かしの設定、Officeドキュメント以外のテキストや画像、PDFの保護、保護されたドキュメントのマップ上での追跡と公開の停止、Windows 10 Enterpriseのセキュリティ機能であるWindows Information Protection(旧称、Enterprise Data Protection:EDP)との連携など、AD RMSにはない機能が利用できます。

●選択肢その3:「ハイブリッド環境」の場合

オンプレミスのAD DSのActive Directoryドメインは、Azure ADとディレクトリ統合したハイブリッド構成が可能です。ハイブリッド構成は、Azure ADの管理ポータルと、ポータルから入手できる「Azure AD Connect」というツールを使用して、比較的簡単にセットアップすることが可能です。なお、オンプレミス側には、AD FSおよびWAPの展開が必要です。

ハイブリッド環境では、次のような機能が実現されます。

――
・オンプレミスのIDを使用したクラウドサービス(Office 365など)のシングルサインオンアクセス
・オンプレミスのIDを使用したAzureのID関連サービスの利用
・オンプレミスのActive DirectoryドメインでのAzure MFAのサポート(AD FSの多要素認証の1つとして)
・クラウド側でのオンプレミスのIDのパスワードリセット(オンプレミスへのパスレードライトバック)
・Azure ADのデバイス登録機能を利用した、オンプレミスのIDによるワークプレース参加(オンプレミスへのデバイスライトバック)
・ドメイン参加済みWindows 10の自動デバイス登録、およびオンプレミスのAD DSでのWindows Hello for Businessのサポート
――

最後の「ドメイン参加済みWindows 10の自動デバイス登録」は、Windows 8.1の「ワークプレース参加」を置き換える機能です。オンプレミスのIDを利用したデバイス登録、AD FSの多要素認証の1つとしてのデバイス認証、およびWindows Hello for Businessのサポートは、この方法で実現されます。

また、この環境を構築するには、Windows Server 2016ベースのAD DS、AD FS、WAPを展開する必要があります。ドメイン参加済みWindows 10の自動デバイス登録の環境を構築すると、ドメイン参加時にPINの入力とWindows Hello for Businessのセットアップが要求され、Azure ADと同じSMS、電話、またはモバイルアプリで本人を確認した上で、デバイスがAD DSのディレクトリに登録されます。

 

 

関連記事】

Windows 10プレビュー版からウォータマークが消失。Fall Creators Updateのバージョンは「1709」で確定

Windows 10“Enterprise限定”の高度なセキュリティ機能として登場した「Device Guard」

米Microsoftは12日(現地時間)、Windows 10 Insider Preview「Build 16288」をFast ringで公開した。

Microsoftによれば、今回のビルドからデスクトップ上でビルド番号やWindowsのバージョンを示すウォータマークが消えているとのこと。また、Fall Creators Updateのバージョンは「1709」に決定されたとしている(Creators Updateは1703で、Build 15063)。

ただし、このビルドは最終版ではなく、Fall Creators Updateに向けたビルドのリリースはまだ続くという。

前回のビルドに引き続き、今回も正式版に向けた細かなバグ修正がおもだった内容となっている。

 

 

 

関連記事】

Windows 10“Enterprise限定”の高度なセキュリティ機能として登場した「Device Guard」

Windows 10でタスクバーを自動的に隠すように設定する

まずは、以下のWindows 10のエディションの比較表(MicrosoftのWebページ)をご覧ください。最新の情報が反映されている英語のオリジナルページ(例えば、Enterprise E3とEnterprise E5が区別されている)を見ることを推奨しますが、どちらの比較表でも「Device Guard(デバイスガード)」は、Windows 10のEnterpriseエディションとEnterpriseをベースにしたEducationエディションだけに提供されるセキュリティ機能として紹介されています。この比較表には含まれませんが、Device GuardはWindows Server 2016でもサポートされています。

Device Guardは簡単に言うと、デバイスドライバやWin32アプリケーション、Windowsアプリ(ストアアプリやモダンアプリ、UWPアプリとも呼ばれます)の実行を「ポリシー(コード整合性ポリシー)」で許可または禁止できるWindows 10の新しいセキュリティ機能です。

Device Guardは「仮想化ベースのセキュリティ(Virtualization-Based Security:VBS)」と呼ばれる、Hyper-Vの仮想化環境を活用した新しいOSの分離環境を使用します。VBSに依存するものとしては他に、資格情報を厳重に保管する「Credential Guard(資格情報ガード)」があり、こちらもWindows 10 EnterpriseとEducation限定の新しいセキュリティ機能となっています。

Device Guardの公式ドキュメントは、以下のWebページで公開されています。このドキュメントを読んでも、ほとんどの人はDevice GuardがWindows 10 Enterprise限定(このドキュメントには明示されていませんが、EnterpriseベースのEducationも含む)のセキュリティ機能であると読み取ると思います。

ここまでを踏まえた上で、今回取り上げるのは、Device Guardが実はWindows 10の全てのエディション(少なくともPC向けのWindows 10)に実装され、一部制限される部分はあるものの、全エディションで利用可能なセキュリティ機能だったという話です。筆者はつい先日まで“エディション限定機能”だと思い込んでいたのですが、どうやらそうではないようです。先に言っておきますが、今回もややこしい話になります。

 

 

関連記事】

Windows 10でタスクバーを自動的に隠すように設定する

既存「Windows 10 Pro」に「Windows 10 S」を導入するツール、さっそく試してみました

ディスプレイの画面解像度が狭い機種を使っているような場合、作業中は不要なものを隠して、画面をなるべく広く使いたいものだ。例えば、[スタート]ボタンや実行中のアプリのアイコンなどがあるデスクトップ画面下側(左右や上側にも変更可能)にあるタスクバーを隠せば、その分だけ画面を広く使うことができる。

デフォルトでは、タスクバーの高さは固定されており、常に表示するようになっている。だがタスクバーは、高さを変更したり、自動的に隠したりすることも可能だ。本稿では、その方法を紹介しよう。

●タスクバーを自動的に隠して画面を広く使う

タスクバーを自動的に隠す設定は、[設定]-[個人用設定]-[タスクバー]で行える。[スタート]メニューの[歯車(設定)]アイコンから順番にたどってもいいが、少々面倒なので、タスクバーのアイコンがない部分を右クリックして、表示されたメニューで[タスクバーの設定](Windows 10のバージョンによっては[設定])を選択しよう。

[タスクバー]画面が表示されるので、ここの「デスクトップモードでタスクバーを自動的に隠す」のスイッチを「オン」にすればよい。タブレットモードでも同様に、タスクバーを自動的に隠す場合は、「タブレットモードでタスクバーを自動的に隠す」のスイッチも「オン」にする。

これで、タスクバーが自動的に隠れ、マウスカーソルをタスクバーのある方向(デフォルトでは下側)の画面の外側に持っていくと、タスクバーが自動的に現れるようになる。
●タスクバーの幅を広げる

デフォルトでは、タスクバーの高さは固定されており、アイコンが多数並ぶと、アイコンが隠れてしまうことがある。特にCortanaの検索ボックスを表示している場合は、タスクバーの幅が狭くなるため、画面解像度が狭いと、すぐにアプリアイコンが隠れてしまう(タスクバーの右側にバーを上下する矢印が表示されるようになる)。

このような場合は、タスクバーの固定を一時解除し、タスクバーをドラッグして高さを広げればよい。タスクバーの高さを調整したら、誤ってタスクバーの高さが変わってしまわないように、タスクバーを固定しておくとよいだろう。

ちなみに、タスクバーの位置を画面下端以外に表示させるには、[タスクバーを固定する]のチェックを外した状態で、タスクバーの空いているところをマウスでドラッグして、画面の上端や左右端まで移動させればよい。

 

 

 

関連記事】

既存「Windows 10 Pro」に「Windows 10 S」を導入するツール、さっそく試してみました

Microsoft、「Windows 10 Creators Update」を全ユーザーに開放