Windows 10のキオスクモードとWDAGの導入がより簡単に、より柔軟に：企業ユーザーに贈るWindows 10への乗り換え案内（39）

企業ユーザーに贈るWindows 10への乗り換え案内

これまでのWindows 10のキオスクモードとWDAGのおさらい

　Windows 10は「機能更新プログラム」によって、OSのバージョンアップと同時に新機能の追加が行われます。これは、Windows 10の「半期チャネル（Semi-Annual Channel：SAC）」に基づいて、年に2回のペースで継続的に行われます。

　今回、最新情報をお伝えする「キオスクモード」は、Windows 8.1から存在する機能であり、Windows 10 バージョン1803（April 2018 Update）以前のUI（ユーザーインタフェース）では「割り当てられたアクセス（Assigned Access）」と表現されていたものです。

　Windows 10のキオスクモードは、ローカルアカウントに単一のUWP（ユニバーサルWindowsプラットフォーム）アプリを割り当て、ユーザーがサインイン中、そのアプリだけを利用できるようにする機能ですが、本連載第28回で紹介したように「Microsoft Edge」には対応していませんでした。第28回では、Microsoft Storeで提供されている、ロックダウンされ、ポリシー制御が可能な「Kiosk Browser」を紹介しました。

• “割り当てられたアクセス”で使えるMicrosoft純正ブラウザ「Kiosk Browser」とは（本連載 第28回）

　「Windows Defender Application Guard（WDAG）」は、Windows 10 Enterprise バージョン1709で追加され、Hyper-Vの分離環境で実行されるセキュアなMicrosoft Edge環境です。本連載ではWindows 10 バージョン1709（Fall Creators Update）のWDAGを第15回で、Windows 10 バージョン1803のWDAGの変更点を第23回で紹介しました。

• Windows Defender Application Guardで実現するセキュアなブラウジング環境――Windows 10の新しいセキュリティ機能（その2）（本連載 第15回）
• Windows 10 April 2018 Update（バージョン1803）における企業向け機能の改善点と強化点（本連載 23回）

　Windows 10 バージョン1803からは、日本語環境へのローカライズ対応とProエディションへの提供拡大の他、WDAGコンテナでダウンロードされたファイルをホストに保存する機能が追加されました（ただし、Proエディションについては、ダウンロードファイルのホストへの保存は不可）。なお、第23回で指摘した日本語入力問題については、Windows 10 バージョン1803向けの2018年7月の「品質更新プログラム」（17134.191以降）で修正されたことを確認しました。

　本連載第23回では、新たに追加されたWDAG用のポリシーの1つとして、WDAGのMicrosoft Edgeの表示における、GPU（グラフィックスプロセッシングユニット）を使用したレンダリングへの対応（許可）を紹介していますが、こちらはWindows 10 バージョン1803時点では非公開の機能（ポリシーの有効化だけでは利用可能にならない機能）だったようです。

キオスクモードのセットアップが簡単に

　Windows 10のキオスクモードは、「設定」アプリの「アカウント」にある「家族とその他のユーザー」からセットアップします。Windows 10 バージョン1803までは、公式ドキュメントや公式ブログではキオスクモードと呼びながら、Windows 10のUIでは「割り当てられたアクセス」と表現されていた点が分かりにくいところでした。Windows 10 バージョン1809（October 2018 Update）ではこの点が改善され、セットアップを開始する場所に「キオスクモードを設定する」と明記されています（画面1）。

画面1　Windows 10 バージョン1803（左）とWindows 10 バージョン1809（右）のキオスクモードのセットアップ

　Windows 10 バージョン1803以前では、最初にWindows 10にローカルアカウントを作成し、そのアカウントに対して現在のユーザーにインストール済みのビルトインのUWPアプリまたはMicrosoft Storeから入手したUWPアプリ（UWPアプリによっては選択肢に出てこないものもあります）を割り当てるという手順でセットアップしました。

　Windows 10 バージョン1809では、新規作成または既存のローカルアカウントを選択して割り当てるという従来の手順に加え、その場でパスワードなしで自動サインインするように構成されるローカルアカウントを作成し、1つのUWPアプリを割り当てることができます。また、以前は選択できなかった「Microsoft Edge」を割り当てることもできるようになりました（画面2）。

画面2　ローカルアカウントを新規作成して、すぐにアプリを割り当てることができる。「Microsoft Edge」の割り当ても可能に

Microsoft Edgeを2つのモードのいずれかでセットアップ可能

　キオスクモードでユーザーに「Microsoft Edge」を割り当てる場合、「デジタル署名または対話側ディスプレイとして」と「パブリックブラウザーとして」のいずれかのモードを選択します（画面3）。

画面3　「Microsoft Edge」を割り当てる場合、「デジタル署名または対話側ディスプレイとして」と「パブリックブラウザーとして」のいずれかを選択できる

　前者の場合、指定したURLのWebサイトを全画面表示のMicrosoft Edgeで自動的に開きます（画面4）。

画面4　「パブリックブラウザーとして」モードのMicrosoft Edge

　後者の場合、InPrivateウィンドウのMicrosoft Edgeで指定したスタートページのURLをタブで開きます（画面5）。また、後者の場合は既定で5分のアイドル時間でMicrosoft Edgeがリセット（再起動）される他、Microsoft Edgeの機能の一部が制限されます。

画面5　「デジタル署名または対話側ディスプレイとして」モードのMicrosoft Edge

「Windowsセキュリティ」に統合されたWDAGのインストールと構成

　Windows 10 バージョン1809では、WDAGの機能のインストールと基本的な構成が簡素化されました。WDAGの機能は、「Windowsセキュリティ」（旧称、Windows Defenderセキュリティセンター）の「アプリとブラウザーコントロール」にある「分離されたブラウズ」からインストールできます。また、インストール後に（要再起動）、「Windowsセキュリティ」の「分離されたブラウズ」を開くと、データの保存、コピーと貼り付け、ファイルの印刷に関する設定をGUIで構成することが可能です（画面6）。

画面6　「Windowsセキュリティ」アプリからのWDAGのインストールと構成

　WDAGポリシーを見ると、細かな機能強化が行われていることも分かります。Windows 10 バージョン1803と比較すると、次の4つのポリシーが追加されています。

　前述したように「Windows Defender Application Guardのハードウェアアクセラレータによるレンダリングを許可する」ポリシーは、Windows 10 バージョン1803にも存在しますが、ポリシーの効果があるのはWindows 10 バージョン1809からです。

　また、「Windows Defender Application Guardをエンタープライズモードでオンにします」ポリシーはこれまでの単なる有効化だけでなく、Microsoft Officeに対して有効化するオプションが追加されています（画面7、既定は「1」）。

画面7　Windows 10 バージョン1809のWDAGポリシー。Officeに対するWDAGの有効化の効果については、現時点で情報なし

　公式ドキュメントではこのポリシーの意味について記載がないため、将来の機能拡張に向けた、まだ利用可能ではない機能である可能性があります。最新のドキュメントを確認してください。

• Windows Defender Application Guard overview［英語］（Windows IT Pro Center）