2016/06/30

かつて Enterprise Data Protection (EDP) と呼ばれていたアイツの名は Windows Information Protection (検証結果追記)

The feature formerly known as EDP

先日、Windows 10 の新機能 Enterprise Data Protection (EDP) ってどうなってるの?という投稿を書きましたが、いよいよ 8/2 (どこ時間かわかりませんが) にリリースされる Windows 10 Anniversary Update で正式登場ということになるみたいです。ただし、Enterprise Data Protection (EDP、エンタープライズ データ保護) ではなく、Windows Information Protection という名前になるようです。WIP って略すのかしらん。

Microsoft announces Windows 10 anniversary update available Aug. 2
[URL] http://news.microsoft.com/2016/06/28/microsoft-announces-windows-10-anniversary-update-available-aug-2/

Windows Information Protection, formerly referred to as enterprise data protection
名称とか仕様とかころころ変わると、いろいろと面倒だと思うんですけど... 過去のドキュメントとの整合性とかいろいろ... Microsoft Passport for Work はWindows Hello for Business になるなんて話もあみたいだし...

Windows 10 エディションの比較 Compare Windows 10 Editions のサイトでは、6/30 現在、EDP のまんまです。


あとで読む(つもり):
Windows for IT Pros|Introducing Windows Information Protection
[URL] https://blogs.technet.microsoft.com/windowsitpro/2016/06/29/introducing-windows-information-protection/ 

こっちもちょっと気になる
Windows for IT Pros|Post Breach Detection with Windows Defender Advanced Threat Protection
[URL]  https://blogs.technet.microsoft.com/windowsitpro/2016/06/29/post-breach-detection-with-windows-defender-advanced-threat-protection/
Enabling remote access with Windows Hello for Business in Windows 10 
[URL] https://www.microsoft.com/en-us/download/details.aspx?id=53015

7/6 追記: Windows 10 Enterprise Insider Preview & Azure AD (AAD 参加 or 社内参加用) & EMS 評価版 (Microsoft Intune の MDM 管理用) & Office 365 E3 評価版 (EDP aware app としての Office 2016 用)で一応、できるっぽいことは確認できました。ドキュメントがアバウトなところが多々あり、ここまでくるのに大変でした...

2016/06/29

Azure AD アカウントでリモート デスクトップ接続する、Azure AD アカウントをローカル グループに追加する

Windows 10 Pro/Enterprise/Education は、Azure Active Directory (Azure AD) 参加でセットアップし、Azure AD の組織アカウントでサインインするように構成できます。

先日、Azure AD 参加でセットアップした PC にリモート デスクトップ接続しようとしたところ、できない。

ちなみに、Microsoft アカウントでサインインするようにセットアップした PC の場合、Microsoft アカウントの ID (メールアドレス) とパスワードを入力すれば接続できます。同じようなことが、Azure AD の組織アカウントだとできない。

解決策を以下に見つけました! なお、この方法だとネットワーク レベル認証 (NLA) が使えないので、リモート デスクトップ接続の認証セキュリティは低下しますので、どうしてもやりたければ、プライベートなネットワーク内でのみ使うこと。


参考:
Connecting to an Azure AD joined machine with an Azure AD user account over Remote Desktop
[URL] http://morgansimonsen.com/2015/11/06/connecting-to-an-azure-ad-joined-machine-with-remote-desktop/
How do I add Azure Active Directory User to Local Administrators Group
[URL] http://superuser.com/questions/982336/how-do-i-add-azure-active-directory-user-to-local-administrators-group

簡単に説明すると...

2016/06/28

4 月と 5 月の更新プログラムで WSUS に予期しないエラー (解決)

数か月ぶりにテスト用に展開してあった WSUS を使うため、[Update Servic
es]コンソールを開いたら、「予期しないエラー」。これはこっちも予期してなかった。

Windows Server Update Services(WSUS)を運用環境で利用している担当者ならもう知っているかもしれませんが、4 月と 5 月に配布された更新プログラムでいろいろとあったようで。Windows Server 2012 と 2012 R2 の WSUS が影響する模様。

詳しい経緯はこちらに...

フォローアップ (2) : Interact x Cloud Samurai 2016 Summer Track 1 Session 2

先日の Interact x Cloud Samurai 2016 Summer において、“Windows Server から GUI などを削除していって軽量化したのが Server Core、Nano Server は逆にゼロから Windows Server に作り上げていった”みたいなこと言いました。これは Nano Server の作りをイメージしてもらうための説明であって、実際のところはゼロからというのは言い過ぎかもしれません。

フォローアップ: Interact x Cloud Samurai 2016 Summer Track 1 Session 2
セッション資料公開: Interact x Cloud Samurai 2016 Summer Track 1 Session 2



例えば、Windows のシステム ファイルの 1 つ、%Windir%\System32\ntoskrnl.exe (NT Kernel & System) ですが、Windows Server 2016 と Nano Server でたぶん違いはありません (いずれも TP5 で、同じパッチ レベルの場合)。まったく同じものに見えます。

2016/06/27

フォローアップ: Interact x Cloud Samurai 2016 Summer Track 1 Session 2

先週土曜日に盛大に開催された Interact x Cloud Samurai 2016 Summer Track 1 Session 2 ですが、私が登壇させていただいた「これはコンテナー ナノだ」セッションの資料 (PDF) はこちら。

セッション資料公開: Interact x Cloud Samurai 2016 Summer Track 1 Session 2

他の方のセッションで出ていた、“Nano Server にはグループ ポリシーを適用できない件”と“セキュリティ設定と監査設定ができる Restore-SecurityPolicy/AuditPolicy”についてですが、関連する情報はこちら。

Group Policy Team Blog|Configuration Management on Servers
[URL] https://blogs.technet.microsoft.com/grouppolicy/2016/05/09/configuration-management-on-servers/
Windows PowerShell Blog|New Security Cmdlets in Nano Server
[URL] https://blogs.msdn.microsoft.com/powershell/2016/05/09/new-security-cmdlets-in-nano-server/

2016/06/25

2016/06/24

モダン アプリ (UWP) は RemoteApp できない (の今は)

リモート デスクトップ サービスの RemoteApp は、デスクトップ全体ではなく、アプリケーション ウィンドウ単位でリモートのアプリケーションに接続する機能。Azure RemoteApp も同じ仕組み。

RemoteApp は、で公開できるのは Windows デスクトップ アプリケーション (Win32 アプリケーション) だけです。Application Virtualization (App-V) for RDS の仮想化されたアプリケーションや、クイック実行 (Click to Run、C2R) の Office アプリケーションは、デスクトップ アプリケーションであり、RemoteApp で公開できます。Universal Windows Platform (UWP) アプリは公開できません。

UWP アプリとは、Windows 8 のころはメトロ アプリ、その後はモダン アプリやストア アプリとも呼ばれてきたもの。Microsoft Edge は UWP です。

Windows Server 2016 Technical Preview 5 の RDS で、できないことを念のため確認しておきました。

2016/06/21

Windows 10 トラブル: Remote Desktop Protocol Extension の設定を適用できませんでした

Windows 8.1 や Windows 7 SP1 から Windows 10 にアップグレードすると、以前のバージョンの Windows の残骸が影響して問題が生じることがあります。

先日、Windows 10 にアップグレードした PC の 1 台で、gpupdate を実行してポリシーを適用した際に、右のようにコンピューター ポリシーの処理中に「Remote Desktop Protocol Extension の設定を適用できませんでした」というエラーが表示されるようになっていました。

原因はまだよくわかっていませんが、回避方法など...

2016/06/20

「Windows ストア アプリ内にプライベート ストアのみを表示する」ポリシーが効かない?(追記あり)

続報:Windows 10 4 月の累積更新 KB3147458 で gpedit.msc のエラー (とそれに隠れて別のバグも)』 (2016/04/20)で発生していた WindowsStore.admx の問題が 5 月の累積的な更新 KB3156421 または 6 月の累積的な更新 KB3163018 でひっそり、めでたく修正され、以下のポリシー設定が構成できるようになりました。

コンピューターの構成\Windows コンポーネント\ストア\Windows ストア アプリ内にプライベート ストアのみを表示する
ユーザーの構成\Windows コンポーネント\ストア\Windows ストア アプリ内にプライベート ストアのみを表示する

がしかし...

メモ: Windows 10 IP と Windows Server 2016 TP5 の NAT の情報

いろいろと重要なことが書いてそうなのでメモ (後でがんばって読む)

Virtualization Blog|Windows NAT (WinNAT) — Capabilities and limitations
[URL] https://blogs.technet.microsoft.com/virtualization/2016/05/25/windows-nat-winnat-capabilities-and-limitations/

Automatic Network Configuration

WinNAT itself does not dynamically assign IP addresses, routes, DNS servers, or other network information to an endpoint. For container endpoints, since HNS manages IPAM, HNS will assign IP networking information from the NAT network to container endpoints. However, if a user is creating a VM and connecting a VM Network Adapter to a NAT network, the admin must assign the IP configuration manually inside the VM.

2016/06/17

Active Directoryの管理者の方へ、6 月の更新 MS16-072 (KB3159398) は要注意 (訂正あり)

6/27 追記)
こちらにより詳しく... → @IT 更新プログラム「KB3159398」の適用で一部のグループポリシーが機能しなくなる問題を回避する方法 (http://www.atmarkit.co.jp/ait/articles/1606/27/news016.html)

Active Directory ドメインのグループ ポリシーに関して、2016 年 6 月の MS16-072 (KB3159398) で、グループ ポリシー オブジェクト (GPO) の適用に関して大きな仕様変更が行われています。サポート期間中の Windows (Windows Vista SP2 以降) はすべて影響すると思います。

マイクロソフト セキュリティ情報 MS16-072 - 重要:グループ ポリシーのセキュリティ更新プログラム (3163622)
[URL] https://technet.microsoft.com/library/security/MS16-072

昨日からなんじゃとて、なんでなのん? ってとある GPO が適用できずに悩んでたんですが、セキュリティ更新の影響でござんした。以下の KB の Known Issues に書いてありました。

MS16-072: Description of the security update for Group Policy: June 14, 2016
[URL] https://support.microsoft.com/en-us/kb/3159398

追記) 日本 MS のサポート公式ブログにも出てました。

「MS16-072: グループ ポリシーのセキュリティ更新プログラム」を適用するとポリシー適用に問題が生じる場合がある
[URL] https://blogs.technet.microsoft.com/jpntsblog/2016/06/17/ms16-072/
 

2016/06/16

Windows 10 にアップグレードできないはずの PC で起きた奇妙な出来事

[Windows 10 を入手する]アプリにご丁寧にお断りされた Windows 8.1 で、何気なく 「wuauclt /updatenow」を実行したら、「Windows 10 をダウンロードしています」となってびっくり。 「wuauclt /detectnow」とか「更新プログラムの確認」のクリックだとこうならないのに。


私の視線を感じたのか、何かしら悟ったのか、わかりませんが、実際にはダウンロードは行われず、何もなかったような表示に戻りました。冷や汗。

履歴を見ると、アップグレードが失敗したように記録されてました。

今後、失敗が繰り返し記録されるのも嫌ですし、万が一、ダウンロードがどんどん進んで無駄に (アップグレードできないはずなので) ネットワーク帯域やディスク領域を使われるのも嫌ですし、何かの間違いで本当にダウンロードしようとして失敗したのかもしれないので、もうダウンロードされないように対処。

REG ADD HKLM\Software\Policies\Microsoft\Windows\Gwx /v DisableGwx /t REG_DWORD /d 1 /f

REG ADD HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate /v "DisableOSUpgrade" /t REG_DWORD /d 1 /f


SHUTDOWN /r /t 0


上から GWX を無効化、Windows Update による OS アップグレードの無効化、再起動。

関連:
山市良のうぃんどうず日記(67): “勝手にWindows 10にアップグレードされる”は本当か?
[URL] http://www.atmarkit.co.jp/ait/articles/1606/15/news024.html

2016/06/15

6 月 2 回目の Office 365 Update

今日は、毎月恒例の Windows Update の日ですが、Office にも Update きてます。



今年 2 月に Office 365 ProPlus に最初の分岐 (Branch) がありましたが、4 か月後の今回は 2 回目の分岐。Office アプリの UI には反映されていませんが、Web で公開されているリリース情報には、バージョン 1602 とか 1605 とか付記されるようになって、どのチャネル (Branch の後継の名称) かわかりやすくなりました。とは言っても、Office 365 アプリの更新は分かり難いです。

ソース:
Office 365 client update channel releases
[URL] https://technet.microsoft.com/en-us/office/mt465751

2016/06/14

Windows 10 の新機能 Enterprise Data Protection (EDP) ってどうなってるの?

Windows as a Service な Windows 10。搭載予定の新機能がすべて実装されてリリースされているわけではないので、あの機能はどうなってるの?ってことがたまにあります。オンプレミスの Microsoft Passport for Work とかデバイス登録とか、エンタープライズ データ 保護 (Enterprise Data Protection: EDP) とか...

オンプレミスの Microsoft Passport for Work とかデバイス登録は Windows Server 2016 が出ないとどうにもこうにもなりませんが、EDP については以下のサイトを見ると、Windows 10 と Microsoft Intune またはSystem Center Configuration Manager 1511 (Current Branch) との組み合わせで、すでに利用できるようになっているのかなぁなんて思っちゃいますけど...

エンタープライズ データ保護 (EDP) の概要 (最終更新日 2015 年 12 月 17 日)
[URL] https://technet.microsoft.com/ja-jp/library/dn985838(v=vs.85).aspx

Microsoft Intune のポリシーは既に対応しているみたいですが...



こちらを見ると...

Windows 10 エディションの比較|ビジネス エクスペリエンス
[URL] https://www.microsoft.com/ja-jp/WindowsForBusiness/Compare

8 EDP は 2016 年中旬に、広範囲で利用可能になる予定です


英語のサイトを見ると、まんだ Insider Preview 限定のようですね。

Enterprise data protection (EDP) overview (Last Updated: 5/23/2016)
[URL] https://technet.microsoft.com/en-us/library/dn985838(v=vs.85).aspxhttps://technet.microsoft.com/itpro/windows/whats-new/edp-whats-new-overview
Protect your enterprise data using enterprise data protection (EDP) (Last Updated: 5/31/2016)
[URL] https://technet.microsoft.com/itpro/windows/keep-secure/protect-enterprise-data-using-edp
Applies to:
・ Windows 10 Insider Preview
・ Windows 10 Mobile Preview

2016/06/10

Azure VM のパスワード ポリシーが強化された!?

新しい Azure ポータル (https://portal.azure.com/) で Azure 仮想マシンをデプロイする際の、管理者アカウントのパスワード ポリシーがここ数日で強化されたみたいです。Windows も Linux も、クラシック デプロイ モデルもリソース マネージャー デプロイ モデルも。

先月は 8 文字でもいけたのですが、今日作成してみたらパスワードの長さは 12 ~ 123 文字...

複雑さの要件も満たす必要もあり...

よくあるパスワードははじかれる。 例えば、P@ssword123 はダメ。


クラシック ポータル (https://manage.windowsazure.com/) には適用されないみたい。


最近更新されたこちらの Azure ドキュメントによると...

Create your first Windows virtual machine in the Azure portal (Updated: 07/06/2016)
[URL] https://azure.microsoft.com/en-us/documentation/articles/virtual-machines-windows-hero-tutorial/ 
The password must be between 12-123 characters long and have at least one lower case character, one upper case character, one number, and one special character.
日本語版のドキュメント (更新日: 05/05/2016) を見ると、以前は「パスワードは、8 ~ 123 文字で指定する必要があります。また、1 つの小文字、1 つの大文字、1 つの数字、1 つの特殊文字のうち、少なくとも 3 つを含める必要があります。」だったようです。

試していませんが、パスワード ポリシーの強化は新しい Azure ポータルの話であって、Azure PowerShell とか Azure CLI とかには影響しないかも。また、すでにデプロイ済みの Azure 仮想マシンにも関係ないみたい (今のところ)。

Linux and FreeBSD Virtual Machines on Hyper-V のリスト、FreeBSD だけ更新 (2016 年 6 月版)

Linux and FreeBSD Virtual Machines on Hyper-V のリストが 2016 年 6 月 6 日(米国時間) 付けで更新されました。

Supported FreeBSD virtual machines on Hyper-V
[URL] https://technet.microsoft.com/en-us/library/dn848318(v=ws.12).aspx
Updated: April 8, 2016 → Updated: June 6, 2016
  • FreeBSD 10.3 追加
    10.3|10.2|10-10.1|9.1-9.3|8.4
    ※この一覧に含まれる 10.0、9.1、9.2、8.4 は、FreeBSD によるサポートが終了したリリースですのでご注意。→ FreeBSD|サポートが終了したリリース (https://www.freebsd.org/ja/security/unsupported.html)
  • Large Receive Offload (LRO) 追加

Feature Descriptions for Linux and FreeBSD virtual machines on Hyper-V
[URL] https://technet.microsoft.com/en-us/library/dn531031.aspx
Updated: April 27, 2016 → Updated: June 6, 2016
  • Networking に以下の行追加。現状、FreeBSD 10.3 だけの機能なのかな?
    Large Receive Offload (LRO) | Increases inbound throughput of high-bandwidth connections by aggregating multiple packets into a larger buffer, decreasing CPU overhead.
また、Azure Marketplace で FreeBSD 10.3 のイメージが利用
可能になっています。クラシック ポータルのギャラリーにはナシ。

FreeBSD now available in Azure Marketplace
[URL] https://azure.microsoft.com/en-us/blog/freebsd-now-available-in-azure-marketplace/

 
関連:
Linux and FreeBSD Virtual Machines on Hyper-V のリストちょっとだけ更新 (2016 年 5 月版)
Linux and FreeBSD Virtual Machines on Hyper-V のリスト更新 (2016 年 4 月版)



メモ: Windows 10 クライアントを識別する GPO の WMI フィルター

グループ ポリシーで Windows 10 を識別するための WMI フィルターの質問があったのでメモ。


Win32_OperatingSystem クラスの Caption、Version、OperatingSystemSKU あたりを使えば、いろいろと識別できます。

WMI フィルターを作成する前に、次のコマンドで確認して...

WMIC PATH Win32_OperatingSystem GET Caption, Version, OperatingSystemSKU

例えば、Windows 10 TH2 (バージョン1511、ビルド10586) を識別する WMI フィルターはこんな感じ。

2016/06/07

メモ: 6 月最初の Office 2016 Update (Current と FR for Deffered)

Office 365 ProPlus 更新情報 (の 更新)

Current Channel
June 6, 2016 Version: 16.0.6965.2053
  • Excel: Feature updates(Power Query 機能の改善)
  • Excel: Non-security updates
  • Outlook: Feature updates(Office 365 アカウントのプロファイルの追加がシンプルに)
  • PowerPoint: Feature updates(SmartArt の共同編集)
  • Skype for Business: Feature updates(相手がオフラインでもメッセージを送れる、会議に添付を追加できる)
  • Visio: Feature updates (AutoCAD のサポート)
  • Word: Feature updates(コメントのバルーンにボタン追加)
  • Office suite: Non-security updates
Deferred Channel
May 10, 2016 Version: 16.0.6001.1078

First Release for Deferred Channel
June 7, 2016 Version 16.0.6741.2047 (2016/06/08 更新)

  • Outlook: Non-security updates
  • Word: Non-security updates
  •  Office suite: Non-security updates

※ 今回の更新でもバージョン情報の表示は “ビジネスの現在の分岐の最初のリリース” (旧称の First Release for Current Branch for Business の日本語訳) のままでした。残念。

ソース:
Office 365 client update channel releases
[URL]] https://technet.microsoft.com/en-us/office/mt465751

関連:
June 2016 Non-Security Office Update Release
[URL] https://blogs.technet.microsoft.com/office_sustained_engineering/2016/06/07/june-2016-non-security-office-update-release/

2016/06/06

メモ: Windows Server 2016 TP5 も時間ずれ問題あり???

Windows 10 バージョン511 で時間が突然ずれてしまう問題(回避策あり) は、Windows Server 2016 Technical Preview 5 でも発生するかもしれないです。

検証用にノート PC を TP5 のドメイン コントローラーにしているのですが、これが発生したらしく、検証環境のドメイン メンバーすべて 3 時間ずれちゃいました。


メモ: Windows 10 バージョン 1511 の時間ずれ問題 (2016/05/25)

[更新]お勧めホワイト ペーパー『Windows Server 2016 & System Center 2016 Technical Preview 5 評価ガイド』

5 月 23 日公開の『Windows Server 2016 & System Center 2016 Technical Preview 5 評価ガイド』ですが、5 月末のコンテナー ホストのセットアップ手順の変更を「付録 コンテナー ホストのセットアップ」に反映して、再公開しました。

Cloud Platform 関連コンテンツ|Windows Server 2016 & System Center 2016 Technical Preview 5 評価ガイド
(最終更新日: 2016 年 6 月 6 日、PDF、17.0 MB)
[URL] https://www.microsoft.com/ja-jp/server-cloud/local/documents/default.aspx?svid=Windows_Server_2016
(PDF の直リンク → http://download.microsoft.com/download/C/E/0/CE041DB1-BE60-4419-85E2-A19018E29DC8/WSTP5_EvalGuide.pdf)


もう、Install-ContainerHost.ps1 でセットアップしちゃったよという場合は、以下の投稿で説明している方法で更新できます。

Windows コンテナーのためのコンテナー ホストのセットアップ手順が更新されています!(新手順と更新方法)(2016/06/02)

 

 

2016/06/03

メモ: Windows 10 の Edge と IE 11 の既定の検索プロバイダーの変更

ちょっと設定変更に戸惑ったのでメモ。

Microsoft Edge と Internet Explorer 11 (IE 11) で別々に設定できるっぽい。

Microsoft Edge は...
[・・・(詳細)]→[設定]→[詳細設定|詳細設定を表示]→[アドレス バーで検索時に使う検索プロバイダー|変更]→[検索エンジンの変更|1 つ選んでください]



IE 11 は ... 
[歯車アイコン(ツール)]→[アドオンの管理]→[Internet Explorer アドオンの表示と管理|検索プロバイダー]→(検索プロバイダーを選択)→[既定に設定]


Linux and FreeBSD Virtual Machines on Hyper-V のリストちょっとだけ更新 (2016 年 5 月版)

Linux and FreeBSD Virtual Machines on Hyper-V のリストが先月末、ちょっとだけ更新されました。

前回 (4 月) のリスト更新で、Windows Server 2016 (当時は Technical Preview 4)  Hyper-V における静的メモリのホット アド (リムーブは非対応) 機能が RHEL と CentOS、Oracle Linux の一部のバージョンと Linux Integration Services Version 4.x for Hyper-V (最新は 5/5 リリースの 4.1.1.1) の組み合わせでサポートされましたが、今回の更新でサポートのチェックが消えてしまいました。 理由は不明... Technical Preview 5 との組み合わせで問題あったのかなぁ???

Linux Integration Services Version 4.1 for Hyper-V 
Version: 4.1 (LinuxIC-4-1-1.iso), Date Published: 5/5/2016
[URL] https://www.microsoft.com/en-us/download/details.aspx?id=51612

関連:
Linux and FreeBSD Virtual Machines on Hyper-V のリスト更新 (2016 年 4 月版)


更新履歴...

2016/06/02

Windows コンテナーのためのコンテナー ホストのセットアップ手順が更新されています!(新手順と更新方法)

[新着]お勧めホワイト ペーパー『Windows Server 2016 & System Center 2016 Technical Preview 5 評価ガイド』(2016/05/23) では、Windows Server 2016 TP5 のコンテナー ホストのセットアップ手順 (付録に収録) は Install-ContainerHost.ps1 (https://aka.ms/tp5/Install-ContainerHost) を使用したものになっていますが、5 月末に Docker Daemon (Dockerd.exe) の更新バージョンビルド (Docker version 1.12.0-dev, build 8e92415) が出て、それに合わせて新しい判断手順になっています。

新しいビルドには dockerd --register-service|--unregister-service が追
加されていて、以前の NSSM および C:\ProgramData\docker\runDockerDaemon.cmd を使用したサービス登録 (Nano Server はスケジュールされたタスク)は使われなくなっています。
 
新しい手順と、古い手順でセットアップしたホストの更新手順をメモるんるん。