Microsoftは最近数週間でWindows 365に2つの重要なアップデートを静かに展開しました — 1つはセキュリティに焦点を当てたもの、もう1つは運用面のものです。Cloud PCデプロイメントを管理している場合は、両方とも注目に値します。


1. プロビジョニング中の組み込み管理者アカウントの無効化

2026年6月8日の週 — 6月8日以降、新しくプロビジョニングされたWindows 365 Cloud PCでは、組み込みのローカルAdministratorアカウントがデフォルトで有効化されなくなりました。この変更はすべての製品ラインに適用されます:

  • Windows 365 Enterprise
  • Windows 365 Flex(専用および共有モード)
  • Windows 365 Reserve

なぜこれが重要なのか

組み込みのAdministratorアカウントは、よく知られた固定名の特権IDです。すべてのCloud PCで自動的に有効化することは、不要な攻撃面を作り出します — ブルートフォース攻撃、クレデンシャルスタッフィング攻撃、およびそのアカウントの存在を前提とするマルウェアの標的になります。ほとんどの組織はこのアカウントを実際には使用していませんが、その存在はリスクと混乱を増やします。

Microsoftの理論は明確です:不要な特権アカウントを削除し、ローカル管理者アクセスに関する明示的でポリシー主導の決定を強制する。

IT管理者が知るべき変化

Cloud PCにローカルAdministratorアカウントが存在することを前提としたワークフローは、新しくプロビジョニングされたマシンで失敗します。具体的には:

  • サポートランブックの「ローカル管理者としてログイン」という手順が失敗する
  • スクリプトでハードコードされたAdministratorクレデンシャルを使用したリモートPowerShellやRDPをリファクタリングする必要がある
  • サードパーティツールがローカルAdministratorアカウントを要求する場合、エラーになる可能性がある
  • 緊急時手順でEntra/Intuneアクセスが壊れた場合のフォールバックとして組み込み管理者に依存していたものが機能しなくなる

適応方法

ローカルアカウント主導からアイデンティティとポリシー主導の管理アプローチへ移行します:

  1. Intuneを使用してローカル管理者グループメンバーシップを明示的に管理する。 デバイス構成ポリシーを作成し、特定のサポートアカウントまたは管理者グループをCloud PCのローカルAdministratorsグループに追加します。

  2. Just-In-Time(JIT)ローカル管理者モデルを採用する。 永続的なローカル管理者権限の代わりに、特権管理ソリューションまたはLAPSパターンを使用して、名前付きアカウントに時限付きの昇格権限を付与します。

  3. Windows 365リモート管理機能を活用する。 ほとんどの管理タスク — 再起動、再プロビジョニング、保留、ポリシー変更 — はIntuneポータルから実行でき、ローカル管理者ログオンは不要です。

  4. Entraレベルで緊急アカウントを定義する。 ローカルアカウントの代わりに、MFAと条件付きアクセスを備えたEntra IDロールを使用します。

  5. ドキュメントとトレーニングを更新する。 SOP、ランブック、ヘルプデスクのトレーニング資料から、組み込みのAdministratorアカウントへのすべての参照を削除します。

既存のCloud PC

この変更は新しくプロビジョニングされたCloud PCに適用されます。既存のCloud PCは、再プロビジョニングまたは再構築されるまで、以前のローカル管理者設定を保持する場合があります。変更が遡及的であると想定しないでください。

PowerShell強化との組み合わせ

この変更は孤立して存在するものではありません。Windows 365はまた、プロビジョニング中にデフォルトでより制限的なPowerShell実行ポリシーを適用しています。これら2つの変更は、明確な方向性を伝えています:Cloud PCは最初にクラウド管理され、ローカル管理者アクセスは明示的、制御可能、監査可能であるべき — 想定されるものではない。


2. Windows 365 Flex共有モードのより柔軟なデバイス命名

2026年7月6日の週 — 管理者は共有モードのWindows 365 Flex Cloud PCに対して、より柔軟なデバイス命名テンプレートを作成できるようになりました。更新されたルール:

  • デバイス名:5〜15文字
  • プレフィックス:最大10文字、ハイフン対応
  • 必須サフィックス:少なくとも5文字のランダムな英数字文字列
  • プレフィックス内の完全なハイフン柔軟性

背景

これは、6月1日のパブリックプレビューでFlex Sharedに柔軟な命名テンプレートが導入されたことを基盤としています。7月6日のアップデートは、すべてのWindows 365製品 — Enterprise、Flex Dedicated、Flex Shared — 間で命名機能を統一した一般提供/拡張版と思われます。

なぜこれが重要なのか

一貫した命名規則は以下の目的に不可欠です:

  • 資産管理とインベントリ追跡 — Cloud PC名を物理デバイスの命名スキームに一致させる
  • 下流ツールの互換性 — レポートシステム、監視ツール、デバイス名を解析するスクリプト
  • ビジネスユニットの識別 — デバイス名に部門、場所、または役割の情報をエンコードする
  • 移行の簡素化 — ユーザーが物理PCからCloud PCに移行する際、一貫した命名は混乱とツールの変更を減らす

実施方法

Windows 365 Flex共有デプロイメントを管理しており、以前は命名制限の制約を受けていた場合は、プロビジョニングポリシーを確認してください。すべてのWindows 365 Cloud PCタイプに同じ命名標準を適用できるようになりました — Flex Sharedのための特別なルールはもう必要ありません。


アクションアイテム

  1. スクリプトとランブックを監査し、組み込みのAdministratorアカウントへの参照を確認 — 次のプロビジョニングサイクル前に更新する
  2. Intuneポリシーを作成し、Cloud PC上のローカル管理者グループメンバーシップを明示的に管理する
  3. Flex Sharedプロビジョニングポリシーを確認し、拡張された命名の柔軟性を活用する
  4. ヘルプデスクドキュメントを更新し、新しい管理者アクセスモデルを反映する
  5. 再プロビジョニングを計画 — 既存のCloud PCにセキュリティ強化を適用する必要がある場合

より大きな展望

これらのアップデートは、Microsoftのセキュリティ優先のクラウド管理パターンに適合しています:

  • デフォルトの特権アカウントの削除
  • デフォルトでのPowerShell実行の制限
  • Entra IDベースのアイデンティティとIntuneベースのポリシー管理への移行
  • 異なるWindows 365製品間のギャップの縮小

メッセージは明確です:Cloud PCはクラウドアイデンティティとポリシーを通じて管理されるべき — 従来のローカル管理者パターンを通じてではない。 組織がまだCloud PCを従来のオンプレミスマシンのように扱い、ローカル管理者のフォールバックに依存している場合、これらの変更が近代化のシグナルです。


Big Hat Groupは、Windows 365およびMicrosoft Intune環境のデプロイと最適化を支援します。Cloud PC管理戦略の更新にサポートが必要ですか?お問い合わせください

Xで@bighatgroupをフォローして、毎日のMicrosoftエコシステムアップデートを入手してください。