主なポイント

  • Windows 365 Cloud PC はプロビジョニング中に Intune コンプライアンスポリシーを評価するようになりました — デバイスはユーザーがサインインする前にコンプライアンス違反になります。
  • 初回起動時にユーザーをブロックしていた「未評価」コンプライアンスギャップが排除されました。
  • ギャラリーイメージにはすでにアップデートが含まれており、カスタムイメージには KB5070311 以降が必要です。
  • 組織は以前の動作を補完するために導入していた Conditional Access ワークアラウンドを監査して削除すべきです。
  • Windows 365 Frontline と共有 Cloud PC のシナリオがこの変更から最も恩恵を受けます。

Windows 365 が Cloud PC プロビジョニングの重大なコンプライアンスギャップを埋める

Microsoft は最近記憶に残る中で最も実用的な Windows 365 の改善を出荷しました。Cloud PC がプロビジョニング中に Intune コンプライアンスポリシーを評価するようになり、MDM 登録と並行して、ユーザーが先にサインインすることを要求しません。

Windows 365 環境を管理しているなら、このフラストレーションに遭遇したことがあるでしょう。Cloud PC のプロビジョニングが完了し、ユーザーがサインインしようとすると、デバイスが「未評価」コンプライアンス状態にあるため Conditional Access が即座にブロックします。デバイスは正しく設定されていますが、まだチェックインしていなかったのです。そのギャップが今閉じられました。

プロビジョニング中コンプライアンスポリシーの仕組み

変更は、プロビジョニングオーケストレーションフェーズ中の Intune 管理エージェントの動作に組み込まれています。更新されたフローは以下の通りです。

  1. プロビジョニングポリシーがトリガーされ、Windows 365 が Cloud PC のセットアップを開始します。
  2. MDM 登録がプロビジョニングの一部として発生します。
  3. 割り当てられたコンプライアンスポリシーが登録フェーズ中に並行して評価されます — ユーザーサインインは不要です。
  4. Cloud PC はプロビジョニング完了前に Entra ID でコンプライアンス準拠ステータスを達成します。
  5. ユーザーは Conditional Access がすでにコンプライアンス準拠と認識しているデバイスにサインインします。

技術的基盤: KB5070311

この機能は KB5070311、Windows 11 バージョン 25H2 および 24H2(OS ビルド 26200.7309 および 26100.7309)向けの非セキュリティアップデートを通じて提供されます。Microsoft のギャラリーイメージにはすでにこのアップデートが含まれています。組織がカスタムイメージを使用している場合は、KB5070311 以降の累積アップデートを含めるために更新する必要があります。これがないと、カスタムイメージの Cloud PC は以前の動作にフォールバックします。

Cloud PC セキュリティと Zero Trust にとっての意義

ワークアラウンドなしの Conditional Access

デバイスコンプライアンスを要求する Conditional Access ポリシーを適用している組織は、不本意なトレードオフを強いられてきました。

  • 猶予期間中、コンプライアンス必須 CA ポリシーからCloud PC グループを除外
  • 非コンプライアンスのマーキングを遅らせるためにコンプライアンス猶予期間を延長
  • 新しくプロビジョニングされたデバイス向けにブレイクグラス例外を作成

これらのワークアラウンドはそれぞれセキュリティリスクをもたらしました。それらはまさに Zero Trust アーキテクチャが防ぐよう設計された種類のギャップを作り出しました。プロビジョニング中のコンプライアンス評価により、これらのワークアラウンドはいずれも不要です。デバイスはアクセス可能になる前に検証されます。期間付きで。

Zero Trust アライメント

Zero Trust はすべてのアクセスポイントでの継続的な検証を要求します。デバイスを未評価状態のままにするプロビジョニングフローは、そのモデルのギャップでした。このアップデートは Windows 365 プロビジョニングと Zero Trust 原則の間のアライメントを強化し、すべての Cloud PC がユーザーが操作する前に検証されることを保証します。

Windows 365 Frontline と共有 Cloud PC のシナリオ

Windows 365 Frontline または共有 Cloud PC を使用する組織にとって、この改善は特に重要です。Frontline ワーカーは厳しいスケジュールで Cloud PC にアクセスします。初回起動時に Conditional Access でブロックされるのは不便ではなく、生産性ブロッカーです。プロビジョニング中のコンプライアンスにより、ワーカーはすぐにログインして作業を開始でき、遅延やヘルプデスクへの問い合わせがありません。

IT 管理者が今取るべきアクション

1. Conditional Access ワークアラウンドを監査して削除

新しくプロビジョニングされた Cloud PC 向けに CA ポリシーの除外、猶予期間の延長、またはブレイクグラス例外を実装している場合は、今すぐ見直して削除してください。これらは以前の動作によって必要とされたセキュリティ上の妥協でした。放置すると不要なリスクをもたらします。

2. セキュリティグループ割り当ての確認

コンプライアンスポリシー割り当てに使用されるセキュリティグループが、Cloud PC プロビジョニング中に作成されたデバイスオブジェクトを含めていることを確認してください。ポリシーターゲティングに動的グループを使用する場合、メンバーシップルールがプロビジョニングウィンドウ中(後ではなく)に新しくプロビジョニングされた Cloud PC を捕捉することを検証してください。

3. カスタムイメージの更新

ギャラリーイメージはすでに最新です。組織がカスタムイメージを使用する場合は、KB5070311 以降を含めるために更新してください。これがほとんどの環境で唯一必要なアクションアイテムです。

4. 段階的ロールアウトの実施

複雑なコンプライアンスと Conditional Access 設定の場合、段階的アプローチがリスクを減らします。

  • パイロットグループ: 小さなユーザーグループにテストプロビジョニングポリシーを割り当て、プロビジョニング中にコンプライアンス評価が完了することを検証します。
  • 監視: ユーザーがサインインする前にパイロット Cloud PC が Intune で「準拠」と表示されることを確認します。
  • CA 動作の検証: ユーザーが初回起動時の Conditional Access ブロックなしに Cloud PC にアクセスできることを確認します。
  • 拡大: 更新したプロビジョニングポリシーを本番に展開します。

5. データレジデンシーとコンプライアンスポリシータイミングの見直し

猶予期間や「デバイスを非準拠としてマーク」のタイミング遅延を伴うコンプライアンスポリシーは引き続き適用されます。デバイスはプロビジョニング中はコンプライアンス準拠でも、猶予期間内に修復が完了しない場合は非準拠に移行する可能性があります。驚きを避けるため、コンプライアンスポリシー設定を新しいプロビジョニング動作に合わせて調整してください。

追加コンテキスト: Windows 11 25H2 設定カタログ

Windows 11 25H2 リリースは Intune 設定カタログに 36 の新しい設定 ももたらしました。Windows Backup、Windows Recall AI 機能、Settings Agent、覗き見検出、省電力モードのコントロールが含まれます。25H2 をデプロイする組織は、このプロビジョニング改善と並行して、関連する設定をコンプライアンスおよび設定ポリシーに組み込むべきです。

組織にとっての意味

これは派手な機能発表ではなく、現実の運用ギャップを埋える実用的な改善です。Conditional Access とコンプライアンス要件とともに Windows 365 を運用している場合(そうすべきです)、このアップデートはヘルプデスクチケットを生成しセキュリティ妥協を強要したクラスの初回起動失敗を排除します。

ギャラリーイメージユーザーにとって、恩恵は自動的です。カスタムイメージユーカーにとって、アクションアイテムは単純です。いずれにしても、真の価値は既存のワークアラウンドを見直し、不要になったセキュリティ例外を削除することから生まれます。

より強力な Zero Trust アライメント、より良い Frontline ワーカー体験、運用オーバーヘッドの削減の組み合わせは、これをあらゆる規模の Windows 365 デプロイメントにとって意味のある前進にしています。


Windows 365 プロビジョニングポリシーの最適化や Conditional Access 設定の強化をお探しですか?Windows 365 デプロイメントのサポートは Big Hat Group にお問い合わせ ください。私たちは Cloud PC 戦略、コンプライアンスアーキテクチャ、あらゆる規模の組織のエンドポイント管理を専門としています。