Windows 10を“危ないOS”にしない「Sモード」のすすめ：ビジネス用「Windows 10」のシステム要件【後編】

「Windows 10」を安全に利用するには、通常のシステム要件以外の点も考慮する必要がある。Microsoftが推奨する「Windows 10」の「Sモード」を使った、PCの安全性を高める方法とは。

[Brien Posey, Kari Finn, Ed Tittel，TechTarget]

　Microsoftが「Windows 10」を安全に利用するために推奨しているのは、新しく安全なPCの購入だ。Dell Technologies、HP、Lenovoなど認定ベンダーのPC購入も推奨している。同社の推奨事項には下記のような事項もある。

• Windows 10が機能制限モード「Sモード」でプリインストールされているノートPCやデスクトップPCを購入する
• デバイス管理ツール「Microsoft Intune」とWindowsのデプロイ（使用できる状態にセットアップすること）自動化サービス「Windows Autopilot」を使用してデスクトップをデプロイし、運用する
• 企業向けWindows 10の「Windows 10 Enterprise」「Windows 10 Pro」のボリュームライセンスを購入する代わりに、対象となる全エンドユーザーをサブスクリプションサービスの「Microsoft 365」に移行させる

　こうした推奨事項には注意すべき点も幾つかある。

「Sモード」で気になる“あの注意点”

　例えばWindows 10のSモードはオンプレミスの認証管理システム「Active Directory」（AD）のドメインに参加できない。これはMicrosoftが、ビジネスユーザーに対して認証管理のクラウドサービス「Azure Active Directory」（Azure AD）への移行を望んでいることを示している。

　Azure ADに移行すれば、Microsoft IntuneとWindows Autopilotを使った作業がしやすくなる。具体的な手順は次の通りだ。IT担当者はエンドユーザー用の新しいノートPCを注文し、それが使用される場所に直接配送されるよう手配する。IT担当者はそのPCを物理的にセットアップする必要はなく、Microsoft Intuneで会社用のアプリケーションストアを追加し、購入したノートPCを登録すればよい。エンドユーザーは届いたノートPCの電源を入れ、会社が提供したAzure ADの資格情報でサインインする。

　エンドユーザーはIT担当者がカスタマイズしたWindowsのデスクトップを使用する。エンドユーザーが自分で32bit版の古いWindowsアプリケーションをインストールしたり、使用したりすることはできない。実行できるのは、さまざまなデバイスで実行できる「ユニバーサルWindowsプラットフォーム」（UWP）で開発された事前承認済みのアプリケーションのみだ。オフィススイート「Microsoft Office」はUWPアプリケーションとして使用できるため、企業はこの方法で十分な業務環境を用意できる。

　これを実現するためにIT担当者が用意しなければならないのは、安全なPC、Microsoft 365およびAzure ADのサブスクリプション、そしてSモードのWindows 10だ。

併せて読みたいお薦め記事

「Windows 10」運用ノウハウ

• 「Windows 10」の2大更新プログラムとは？　過去のWindowsとの違いは
• 「Windows 10」の不要なプリインストールアプリを一掃する簡単な方法

「Windows 10」を安全かつ効率的に利用するコツ

• 「Windows 10」の更新でフリーズを起こさない方法
• Windows 10を「セーフモード」で起動させる簡単な方法
• Windows 10の「改ざん防止」機能が“正常なアプリ”を誤検知するのを防ぐには？

Microsoftが選んだ合理的な方法

　Microsoft IntuneとWindows Autopilotを使うと、エンドユーザーは極めて簡単にPCを使い始めることができる。新しいPCの初回起動時にAzure ADにサインインするだけでよいのだ。Microsoftが安全性を確保するために設定したWindows 10システム要件は、合理的だと言える。エンドユーザーは社内のドメインに参加する手続きをすることなく、デスクトップをすぐに利用できる。

　企業の意思決定者は、Azure ADやMicrosoft Intune、Windows Autopilotを使うこの方法を検討するとよい。この方法を採用した場合、IT担当者がしなければならないことを要約すると下記の通りだ。

• 全てのエンドユーザー用にMicrosoft 365のライセンスを購入する
• 事前に承認したUWPアプリケーションを社内用ストアにセットアップする
• Microsoft IntuneとWindows Autopilotを使用してデプロイを管理する
• エンドユーザーに新しいPCを支給し、Azure ADにサインインするように指示する

　脅威に満ちたサイバー空間では、全てのエンドユーザーとデバイスの安全を確保するのはほとんど不可能だ。それでもMicrosoftが推奨する安全な要件を満たし、かつAzure ADドメインに参加しているデバイスでWindows 10 Sを実行すれば、現時点では最大限に安全な状態を実現できるだろう。

TechTargetジャパン「読者ライター」募集のお知らせ

IT製品選定に関する記事をご執筆いただく「読者ライター」を募集します。記事を通じて皆さまの経験やノウハウを共有してみませんか？　応募はこちらから↓

https://techtarget.itmedia.co.jp/tt/news/2009/25/news11.html

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。