Microsoft は7月6日と6月15日の「What’s New」更新で、Windows 365 の3つの重要な機能アップデートを発表しました — ポリシー管理、暗号化制御、ID 連携をカバーしています。それぞれ、IT 管理者が長年 Microsoft に解決を求めていた異なる課題に対処します。新機能、その重要性、そして対応すべきアクションを詳しく分析します。
1. 設定ポリシーの再ランキング(パブリックプレビュー)
解決する課題
Windows 365 Cloud PC をしばらく管理していると、必ずこのシナリオに遭遇します:複数の設定ポリシーが同じ Cloud PC をターゲットとし、特定の設定で競合し、どちらが優先されるかを簡単に制御できない。セキュリティチームが BitLocker を強制するポリシーを持っているが、部門レベルのポリシーが関連する暗号化設定を誤って上書きしてしまう。結果として、トラブルシューティングが困難な予測不可能なポリシー動作が発生します。
新機能
Windows 365 はパブリックプレビューで設定ポリシーの再ランキングをサポートするようになりました。管理者は以下の方法でポリシーの優先順位を明示的に指定できます:
- ランクの変更 — 明示的な優先度値を割り当て
- ドラッグ&ドロップコントロール — 管理センターで視覚的にポリシーを並べ替え
- 上下移動 — リスト内でポリシーを移動
Cloud PC が同じ設定に関わる複数のポリシーを受信した場合、最もランクの高いポリシーが有効な値を決定します。これにより、ポリシーの優先順位が明示的、可視化、管理可能になります。
優先順位ルール
典型的な階層パターン:
- ハードプラットフォーム制約/コンプライアンス要件(再ランキングで上書き不可)
- 最もランクの高い Windows 365 設定ポリシー
- ポリシータイプの優先順位(セキュリティベースラインが低重要性の設定ポリシーを上書きする可能性)
- スコープの同位(デバイススコープ vs ユーザースコープ)
- 同ランク・同タイプの最終書き込み勝ち(稀、非推奨)
IT 管理者のアクション
- 現在のポリシー競合を監査し、組織の優先順位スキームを定義
- パイロットグループで再ランキングをテストしてから広範なロールアウト
- ランク変更を変更管理操作として扱い、ドキュメント化
- 必要なロール:Cloud PC 管理者または Intune ポリシー管理者
詳細:設定の概要
2. Windows 365 Reserve の顧客管理暗号化(パブリックプレビュー)
解決する課題
Windows 365 Reserve は、デバイス故障、出張、一時アクセスなどのシナリオでオンデマンドの Cloud PC 容量を提供します。しかし、これまで Reserve Cloud PC は Microsoft 管理の暗号化キーに依存していました — データは暗号化されていましたが、組織は暗号化キー自体を制御できませんでした。医療、金融、政府などの規制業界にとって、これはコンプライアンスのギャップでした。
新機能
Windows 365 Reserve はパブリックプレビューで Microsoft Purview Customer Key (CMK) をサポートするようになりました。管理者は Azure Key Vault に保存された顧客管理キーで Reserve Cloud PC ディスクを暗号化できます。
仕組み:
- Microsoft はデータ暗号化キー (DEK) を使用して Reserve Cloud PC の保存データを暗号化
- DEK は Azure Key Vault に保存された顧客提供のキー暗号化キー (KEK) で保護(ラップ)
- お客様の Key Vault キーなしでは、Microsoft はデータを復号できません
- KEK を取り消すか削除すると、Cloud PC データは復旧不可能になります — 事実上の暗号ワイプ
主な機能
- キーローテーション: Key Vault で KEK を更新すると、DEK は自動的に再ラップ
- キー取り消し: KEK を無効化または削除すると Cloud PC データが読み取り不可に
- 監査: Key Vault 診断ログによる完全なキー使用監査証跡
- コンプライアンス対応: HIPAA、FedRAMP などの規制要件を満たす支援
設定要件
- Microsoft のサポート対象キータイプを満たす Azure Key Vault の RSA キー
- ソフトデリートとパージ保護を有効化
- get、unwrapKey、wrapKey 権限を持つマネージド ID
- Windows 365 ワークロードに対して Purview Customer Key 構成を有効化
- Key Vault キー URI とバージョンを参照する Customer Key ポリシー
- Customer Key ポリシーにバインドされた Reserve プロビジョニングポリシー
IT 管理者のアクション
- Enterprise Cloud PC で既に CMK を使用している場合:既存の Key Vault 設定を確認し、Reserve に同じキーを使用するか別のキーを使用するかを決定
- CMK が初めての場合:セキュリティチームにキー管理ライフサイクルの設計を依頼し、Key Vault ガバナンスプロセスを確立
- 重要: キーの削除は不可逆であり、Cloud PC データを完全にロックします
- コンプライアンスチーム:CMK for Reserve が特定の規制要件をどのように満たすかを文書化
詳細:Microsoft Purview Customer Key のセットアップと W365 サポート
3. 外部 ID のドメインレス連携サポート
解決する課題
Windows 365 は外部 ID の Cloud PC アクセスをサポートしていましたが、連携にはドメインベースの ID が必要でした — Entra ID で DNS ドメインを登録して検証する必要がありました。これはマルチテナントパートナー、単一の DNS 名前空間にマッピングされない IdP、コンサルタントや契約業者などのシナリオで制限がありました。
新機能
Entra ID でのドメインレス SAML IdP 連携の一般提供開始に伴い、Windows 365 は SAML IdP に設定されたドメインとは異なるメールドメインを持つ外部 ID の Cloud PC プロビジョニングをサポートするようになりました。
連携はテナント/アプリケーションレベルで設定され、特定の DNS ドメインに縛られません。SAML IdP は任意の識別子(NameID、メール、サブジェクトクレーム)でアサーションを発行し、Entra ID は DNS ドメイン所有権を必要とせずにそれらのアサーションを信頼します。
ドメインレス連携 vs ドメインベース連携
| 側面 | ドメインベース連携 | ドメインレス連携 |
|---|---|---|
| 信頼のアンカー | 検証済み DNS ドメイン | テナント/アプリレベルの信頼 |
| ユーザー ID 形式 | ドメインに紐づく UPN | 任意の SAML アサーション識別子 |
| DNS 所有権 | 必須 | 不要 |
| ユースケース | 社内企業 ID | 外部パートナー、B2B |
Cloud PC プロビジョニングフロー
- Entra ID で外部 IdP を設定 — SAML メタデータを追加
- 外部 ID オブジェクトを作成 — B2B 式のユーザーレコード
- 外部 ID オブジェクトに Windows 365 ライセンスを割り当て
- プロビジョニングポリシーを外部 ID またはグループにターゲット設定
- ユーザーがホーム IdP で認証 → SAML アサーション → Entra ID が検証 → Cloud PC アクセス
重要: 外部ユーザーは Windows App にサインインする前に、組織への招待を引き換える必要があります。
セキュリティへの影響
利点: 外部ユーザーはホーム組織の認証情報で認証、より強力な内外の ID 分離、パートナー ID 管理オーバーヘッドの削減
リスク: 信頼境界が外部 IdP のセキュリティ態勢に拡大;クレームマッピングの設定ミスが過剰なアクセス権限を付与する可能性
セキュリティのベストプラクティス: 外部 IdP に MFA の強制を要求;外部 ID に条件付きアクセスポリシーを適用;外部ユーザーを専用のプロビジョニングポリシーにセグメント化
IT 管理者のアクション
- ID 管理者:SAML 連携メタデータを設定、証明書ローテーションを計画
- Windows 365/Intune 管理者:外部 ID 用の専用プロビジョニングポリシーを作成し、条件付きアクセスを適用
- セキュリティアーキテクト:信頼関係を設計し、監視とオフボーディングプロセスを確立
詳細:外部 ID および ドメインレス SAML IdP 連携
全体的な展望
これら3つのアップデートは、ガバナンス、セキュリティ、ID — 組織が自信を持って Windows 365 デプロイメントをスケールできるかを決定する3つの柱に対処します:
- ポリシー再ランキング は管理者に設定の優先順位に対する明示的な制御を提供
- Reserve の CMK は規制対象ワークロードの暗号化制御のギャップを埋める
- ドメインレス連携 はパートナーと契約業者の Cloud PC アクセスの最後の ID フリクションを排除
アクション項目サマリー
- ポリシー再ランキング: 現在のポリシー競合を監査し、優先順位スキームを定義し、パイロットグループでテスト
- Reserve の CMK: セキュリティチームを参加させ、キーライフサイクルを設計し、パージ保護付きの Key Vault を設定
- ドメインレス連携: パートナー IdP を特定し、SAML メタデータを設定し、外部ユーザー用の専用プロビジョニングポリシーを作成
Big Hat Group は組織の Windows 365 および Microsoft Intune 環境のデプロイと最適化を支援します。ポリシーガバナンス、暗号化戦略、または外部 ID 設定に関するサポートが必要ですか?お問い合わせください。
X で @kkaminski をフォローして、毎日の Microsoft エコシステムアップデートを入手してください。