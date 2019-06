山市良のうぃんどうず日記

祝! Windows 10 EducationでWDAGが利用可能になった

「Windows Defender Application Guard(WDAG)」は、Hyper-Vの分離環境を用いて、信頼できないWebサイトのブラウジングを隔離するセキュアな「Microsoft Edge」を提供します。詳しくは、以下の連載記事を参考にしてください。

WDAGは、Windows 10 Fall Creators Update(バージョン1709)でEnterpriseエディションに初めて搭載され、Windows 10 April 2018 Update(バージョン1803)で日本語を含むローカライズに対応し、さらに利用可能なエディションがProにまで拡大されました。ただし、Proでは「スタンドアロンモード」でのみ利用でき、ダウンロードファイルをホストに保存できないなど機能制限があります。

そしてWindows 10 May 2019 Update(バージョン1903)では、WDAGが晴れてEducationエディションにも開放され、「スタンドアロンモード」または「エンタープライズモード」で利用できるようになりました(画面1)。

画面1 Windows 10 Educationでは、バージョン1903で初めてWDAGが利用可能になった

「EducationエディションはEnterpriseエディションがベースだから以前から使えたはずだ」とか「EducationエディションはPro Educationの上位エディションだから使えるのは当たり前でしょ」とか言う人がいるかもしれませんが、Educationで利用可能になったのはバージョン1903からで間違いありません。筆者が数日間かけて、さまざまなエディションとバージョンの組み合わせで実際に確認しました。

EnterpriseベースだけどEducationには使えないエンタープライズ機能がある

教育機関向けのボリュームライセンス製品であるEducationエディションは、Enterpriseエディションをベースに構築されたWindows 10で追加された新たなSKU(製品単位)です。Windows 10 バージョン1607では、ProエディションをベースにしたPro Educationが追加されました。

EnterpriseとEducation、ProとPro Educationの違いは、以下のドキュメントで説明されています。どちらも「教育固有の既定の設定を提供するように」、EnterpriseおよびProを変更したものと説明されています。

教育ユーザー向けのWindows 10のエディション(Windows IT Pro Center)

バージョン1607では「Cortanaの削除」という違いがありましたが、バージョン1703以降についてはEnterpriseとEducation、ProとPro Educationに機能的な差異があるようなことは何も説明されていません。

新しいエディションが追加されることが、開発サイドに十分に共有されていなかったのか、十分にテストされていないことが原因だと思いますが、実際には利用できない機能が存在します。

例えば、Windows 8 Enterpriseで追加されたエンタープライズ向け機能「Windows To Go」が、Windows 10 Educationでは利用するのが容易ではないことを、本連載第111回で説明しました。

公式ドキュメントで説明されている標準的な手順では、Windows 10 Educationのイメージから「Windows To Goワークスペース」を作成することはできないのです。その理由は、標準のワークスペース作成ツールがEducationエディションを想定していないからでした。この問題は、Windows 10 バージョン1903でも変わっていません。そして、残念なことにWindows To GoはWindows 10 バージョン1903からこれ以上開発されない機能(将来のバージョンで削除される可能性がある機能)にリストアップされてしまったため、今後、この問題が改善されることはないでしょう。

Windows 10で増えたエディションが、「DirectAccessクライアント」の対象として忘れ去られるという問題もありました。

これまでWDAGはPro Educationで利用でき、Educationで利用できなかった

WDAGはもともとEnterprise限定の機能として登場し、その後、Windows 10 バージョン1803で利用可能なエディションがProにも拡大されました。Proに拡大された際、Pro for Workstations(バージョン1709で追加された新しいエディション)とPro Educationでも同時に利用可能になりました(画面2)。

画面2 Windows 10 バージョン1803以降では、Pro、Pro for Workstations、Pro EducationエディションでもWDAGが利用可能になった

実は、ProとPro Educationは、SKU番号は同じ「48」であり、教育機関向けMicrosoft Storeを使用して無料で双方向に簡単に切り替えることができます。ProとPro for WorkstationsはSKU番号が異なりますが、ProからPro for Workstationsへの切り替えも、商用のMicrosoft Storeでアップグレードを購入し、簡単に切り替えることができます(プロダクトキーの入力のみで切り替え可能)。そのため、Proで利用可能な機能は、Pro EducationやPro for Workstationsでも同じように利用可能であることは、自然なことのように思えます。

一方、Educationエディションは、Enterpriseエディションがベースになっているものの、前述のWindows To Goの問題のように、Enterprise限定のエンタープライズ機能の中にはEducationエディションでの利用を想定していないものがあるようです。もともとEnterprise限定であったWDAGは、その一つだったのです。

WDAGを有効化するには、コントロールパネルの「アプリケーションと機能」から「Windowsの機能の有効化または無効化」を開き、「Windows Defender Application Guard」を選択します。Windows 10 October 2018 Update(バージョン1809)からは、「Windowsセキュリティ」の「アプリとブラウザーコントロール」の「分離されたブラウズ」からインストールできるようにもなっています(前出の画面2参照)。

バージョン1809のEducationエディションの「アプリとブラウザーコントロール」には「分離されたブラウズ」項目は存在しません。また、WDAGの要件(4コアCPU、8GBメモリ、5GBディスク)を満たすPCで「Windowsの機能の有効化または無効化」を開くと、「Windows Defender Application Guard」の項目はグレーアウトされて選択できず、マウスオーバーすると「Windows Defender Application GuardはWindows 10 Enterprise Editionでのみサポートされています。」と表示されます(画面3)。

画面3 Windows 10 バージョン1709、1803、1809のEducationエディションではWDAGを有効化できない

もしかすると、「Windowsの機能の有効化または無効化」だけに残された、解除し忘れた制限かとも思い、次の「DISM」コマンド/「Enable-WindowsOptionalFeature」コマンドレットで機能のインストールを試みました。これらの方法は一見、成功したように見えます(画面4)。

DISM /Online /Enable-Feature /FeatureName:Windows-Defender-ApplicationGuard

または

Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard

画面4 DISMコマンドやEnable-WindowsOptionalFeatureコマンドレットを実行すると、Windows 10 バージョン1809以前のEducationエディションにもWDAGの機能を追加できるように見える

しかし、機能の追加を完了するために再起動し、Microsoft Edgeで「新しいApplication Guardウィンドウ」(このメニューを表示させるためにIsHvsiStandalonemodeを「1」に変更する必要がありました)をクリックしてWDAGのウィンドウを開こうとしても、何も起こりません。

「Windowsセキュリティ」の「アプリとブラウザーコントロール」には「分離されたブラウズ」の項目が表示されるようになりましたが、「デバイスは、Application Guardを使用するための要件を満たしていません」と表示されています。

また、「イベントビューアー」で「Microsoft-Windows-WDAG-Service/操作可能」(「操作可能」は「Operational」の過度なローカライズ)ログを確認すると、イベントID「200」のエラーが記録されており、そこには「Hvsi feature is not enabled on this sku」というメッセージがありました。「Hvsi」とはWDAGのことであり、このSKU、つまりEducationエディションではWDAGを有効化できないということがログに記録されていました(画面5)。

画面5 Microsoft Edgeで「新しいApplication Guardウィンドウ」をクリックしてWDAGのウィンドウを開こうとしても何も起こらず、エラーが記録されるだけ

