Microsoft は7月6日と6月15日の「What’s New」更新で、Windows 365 の3つの重要な機能アップデートを発表しました — ポリシー管理、暗号化制御、ID 連携をカバーしています。それぞれ、IT 管理者が長年 Microsoft に解決を求めていた異なる課題に対処します。新機能、その重要性、そして対応すべきアクションを詳しく分析します。


1. 設定ポリシーの再ランキング(パブリックプレビュー)

解決する課題

Windows 365 Cloud PC をしばらく管理していると、必ずこのシナリオに遭遇します:複数の設定ポリシーが同じ Cloud PC をターゲットとし、特定の設定で競合し、どちらが優先されるかを簡単に制御できない。セキュリティチームが BitLocker を強制するポリシーを持っているが、部門レベルのポリシーが関連する暗号化設定を誤って上書きしてしまう。結果として、トラブルシューティングが困難な予測不可能なポリシー動作が発生します。

新機能

Windows 365 はパブリックプレビューで設定ポリシーの再ランキングをサポートするようになりました。管理者は以下の方法でポリシーの優先順位を明示的に指定できます:

  • ランクの変更 — 明示的な優先度値を割り当て
  • ドラッグ&ドロップコントロール — 管理センターで視覚的にポリシーを並べ替え
  • 上下移動 — リスト内でポリシーを移動

Cloud PC が同じ設定に関わる複数のポリシーを受信した場合、最もランクの高いポリシーが有効な値を決定します。これにより、ポリシーの優先順位が明示的、可視化、管理可能になります。

優先順位ルール

典型的な階層パターン:

  1. ハードプラットフォーム制約/コンプライアンス要件(再ランキングで上書き不可)
  2. 最もランクの高い Windows 365 設定ポリシー
  3. ポリシータイプの優先順位(セキュリティベースラインが低重要性の設定ポリシーを上書きする可能性)
  4. スコープの同位(デバイススコープ vs ユーザースコープ)
  5. 同ランク・同タイプの最終書き込み勝ち(稀、非推奨)

IT 管理者のアクション

  • 現在のポリシー競合を監査し、組織の優先順位スキームを定義
  • パイロットグループで再ランキングをテストしてから広範なロールアウト
  • ランク変更を変更管理操作として扱い、ドキュメント化
  • 必要なロール:Cloud PC 管理者または Intune ポリシー管理者

詳細:設定の概要


2. Windows 365 Reserve の顧客管理暗号化(パブリックプレビュー)

解決する課題

Windows 365 Reserve は、デバイス故障、出張、一時アクセスなどのシナリオでオンデマンドの Cloud PC 容量を提供します。しかし、これまで Reserve Cloud PC は Microsoft 管理の暗号化キーに依存していました — データは暗号化されていましたが、組織は暗号化キー自体を制御できませんでした。医療、金融、政府などの規制業界にとって、これはコンプライアンスのギャップでした。

新機能

Windows 365 Reserve はパブリックプレビューで Microsoft Purview Customer Key (CMK) をサポートするようになりました。管理者は Azure Key Vault に保存された顧客管理キーで Reserve Cloud PC ディスクを暗号化できます。

仕組み:

  • Microsoft はデータ暗号化キー (DEK) を使用して Reserve Cloud PC の保存データを暗号化
  • DEK は Azure Key Vault に保存された顧客提供のキー暗号化キー (KEK) で保護(ラップ)
  • お客様の Key Vault キーなしでは、Microsoft はデータを復号できません
  • KEK を取り消すか削除すると、Cloud PC データは復旧不可能になります — 事実上の暗号ワイプ

主な機能

  • キーローテーション: Key Vault で KEK を更新すると、DEK は自動的に再ラップ
  • キー取り消し: KEK を無効化または削除すると Cloud PC データが読み取り不可に
  • 監査: Key Vault 診断ログによる完全なキー使用監査証跡
  • コンプライアンス対応: HIPAA、FedRAMP などの規制要件を満たす支援

設定要件

  1. Microsoft のサポート対象キータイプを満たす Azure Key Vault の RSA キー
  2. ソフトデリートとパージ保護を有効化
  3. get、unwrapKey、wrapKey 権限を持つマネージド ID
  4. Windows 365 ワークロードに対して Purview Customer Key 構成を有効化
  5. Key Vault キー URI とバージョンを参照する Customer Key ポリシー
  6. Customer Key ポリシーにバインドされた Reserve プロビジョニングポリシー

IT 管理者のアクション

  • Enterprise Cloud PC で既に CMK を使用している場合:既存の Key Vault 設定を確認し、Reserve に同じキーを使用するか別のキーを使用するかを決定
  • CMK が初めての場合:セキュリティチームにキー管理ライフサイクルの設計を依頼し、Key Vault ガバナンスプロセスを確立
  • 重要: キーの削除は不可逆であり、Cloud PC データを完全にロックします
  • コンプライアンスチーム:CMK for Reserve が特定の規制要件をどのように満たすかを文書化

詳細:Microsoft Purview Customer Key のセットアップと W365 サポート


3. 外部 ID のドメインレス連携サポート

解決する課題

Windows 365 は外部 ID の Cloud PC アクセスをサポートしていましたが、連携にはドメインベースの ID が必要でした — Entra ID で DNS ドメインを登録して検証する必要がありました。これはマルチテナントパートナー、単一の DNS 名前空間にマッピングされない IdP、コンサルタントや契約業者などのシナリオで制限がありました。

新機能

Entra ID でのドメインレス SAML IdP 連携の一般提供開始に伴い、Windows 365 は SAML IdP に設定されたドメインとは異なるメールドメインを持つ外部 ID の Cloud PC プロビジョニングをサポートするようになりました。

連携はテナント/アプリケーションレベルで設定され、特定の DNS ドメインに縛られません。SAML IdP は任意の識別子(NameID、メール、サブジェクトクレーム)でアサーションを発行し、Entra ID は DNS ドメイン所有権を必要とせずにそれらのアサーションを信頼します。

ドメインレス連携 vs ドメインベース連携

側面ドメインベース連携ドメインレス連携
信頼のアンカー検証済み DNS ドメインテナント/アプリレベルの信頼
ユーザー ID 形式ドメインに紐づく UPN任意の SAML アサーション識別子
DNS 所有権必須不要
ユースケース社内企業 ID外部パートナー、B2B

Cloud PC プロビジョニングフロー

  1. Entra ID で外部 IdP を設定 — SAML メタデータを追加
  2. 外部 ID オブジェクトを作成 — B2B 式のユーザーレコード
  3. 外部 ID オブジェクトに Windows 365 ライセンスを割り当て
  4. プロビジョニングポリシーを外部 ID またはグループにターゲット設定
  5. ユーザーがホーム IdP で認証 → SAML アサーション → Entra ID が検証 → Cloud PC アクセス

重要: 外部ユーザーは Windows App にサインインする前に、組織への招待を引き換える必要があります。

セキュリティへの影響

利点: 外部ユーザーはホーム組織の認証情報で認証、より強力な内外の ID 分離、パートナー ID 管理オーバーヘッドの削減

リスク: 信頼境界が外部 IdP のセキュリティ態勢に拡大;クレームマッピングの設定ミスが過剰なアクセス権限を付与する可能性

セキュリティのベストプラクティス: 外部 IdP に MFA の強制を要求;外部 ID に条件付きアクセスポリシーを適用;外部ユーザーを専用のプロビジョニングポリシーにセグメント化

IT 管理者のアクション

  • ID 管理者:SAML 連携メタデータを設定、証明書ローテーションを計画
  • Windows 365/Intune 管理者:外部 ID 用の専用プロビジョニングポリシーを作成し、条件付きアクセスを適用
  • セキュリティアーキテクト:信頼関係を設計し、監視とオフボーディングプロセスを確立

詳細:外部 ID および ドメインレス SAML IdP 連携


全体的な展望

これら3つのアップデートは、ガバナンス、セキュリティ、ID — 組織が自信を持って Windows 365 デプロイメントをスケールできるかを決定する3つの柱に対処します:

  • ポリシー再ランキング は管理者に設定の優先順位に対する明示的な制御を提供
  • Reserve の CMK は規制対象ワークロードの暗号化制御のギャップを埋める
  • ドメインレス連携 はパートナーと契約業者の Cloud PC アクセスの最後の ID フリクションを排除

アクション項目サマリー

  1. ポリシー再ランキング: 現在のポリシー競合を監査し、優先順位スキームを定義し、パイロットグループでテスト
  2. Reserve の CMK: セキュリティチームを参加させ、キーライフサイクルを設計し、パージ保護付きの Key Vault を設定
  3. ドメインレス連携: パートナー IdP を特定し、SAML メタデータを設定し、外部ユーザー用の専用プロビジョニングポリシーを作成

Big Hat Group は組織の Windows 365 および Microsoft Intune 環境のデプロイと最適化を支援します。ポリシーガバナンス、暗号化戦略、または外部 ID 設定に関するサポートが必要ですか?お問い合わせください

X で @kkaminski をフォローして、毎日の Microsoft エコシステムアップデートを入手してください。