• ホーム
  • ニュース
  • Windows 10からの挑戦状、再び――これまでEducationエディションではWDAGが使えなかった
Windows 10からの挑戦状、再び――これまでEducationエディションではWDAGが使えなかった

「Windows Defender Application Guard(WDAG)」は、Hyper-Vの分離環境を用いて、信頼できないWebサイトのブラウジングを隔離するセキュアな「Microsoft Edge」を提供します。詳しくは、以下の連載記事を参考にしてください。

WDAGは、Windows 10 Fall Creators Update(バージョン1709)でEnterpriseエディションに初めて搭載され、Windows 10 April 2018 Update(バージョン1803)で日本語を含むローカライズに対応し、さらに利用可能なエディションがProにまで拡大されました。ただし、Proでは「スタンドアロンモード」でのみ利用でき、ダウンロードファイルをホストに保存できないなど機能制限があります。

そしてWindows 10 May 2019 Update(バージョン1903)では、WDAGが晴れてEducationエディションにも開放され、「スタンドアロンモード」または「エンタープライズモード」で利用できるようになりました。

「EducationエディションはEnterpriseエディションがベースだから以前から使えたはずだ」とか「EducationエディションはPro Educationの上位エディションだから使えるのは当たり前でしょ」とか言う人がいるかもしれませんが、Educationで利用可能になったのはバージョン1903からで間違いありません。筆者が数日間かけて、さまざまなエディションとバージョンの組み合わせで実際に確認しました。

EnterpriseベースだけどEducationには使えないエンタープライズ機能がある

教育機関向けのボリュームライセンス製品であるEducationエディションは、Enterpriseエディションをベースに構築されたWindows 10で追加された新たなSKU(製品単位)です。Windows 10 バージョン1607では、ProエディションをベースにしたPro Educationが追加されました。

EnterpriseとEducation、ProとPro Educationの違いは、以下のドキュメントで説明されています。どちらも「教育固有の既定の設定を提供するように」、EnterpriseおよびProを変更したものと説明されています。

バージョン1607では「Cortanaの削除」という違いがありましたが、バージョン1703以降についてはEnterpriseとEducation、ProとPro Educationに機能的な差異があるようなことは何も説明されていません。

新しいエディションが追加されることが、開発サイドに十分に共有されていなかったのか、十分にテストされていないことが原因だと思いますが、実際には利用できない機能が存在します。

例えば、Windows 8 Enterpriseで追加されたエンタープライズ向け機能「Windows To Go」が、Windows 10 Educationでは利用するのが容易ではないことを、本連載第111回で説明しました。

公式ドキュメントで説明されている標準的な手順では、Windows 10 Educationのイメージから「Windows To Goワークスペース」を作成することはできないのです。その理由は、標準のワークスペース作成ツールがEducationエディションを想定していないからでした。この問題は、Windows 10 バージョン1903でも変わっていません。そして、残念なことにWindows To GoはWindows 10 バージョン1903からこれ以上開発されない機能(将来のバージョンで削除される可能性がある機能)にリストアップされてしまったため、今後、この問題が改善されることはないでしょう。

Windows 10で増えたエディションが、「DirectAccessクライアント」の対象として忘れ去られるという問題もありました。

これまでWDAGはPro Educationで利用でき、Educationで利用できなかった

WDAGはもともとEnterprise限定の機能として登場し、その後、Windows 10 バージョン1803で利用可能なエディションがProにも拡大されました。Proに拡大された際、Pro for Workstations(バージョン1709で追加された新しいエディション)とPro Educationでも同時に利用可能になりました。

実は、ProとPro Educationは、SKU番号は同じ「48」であり、教育機関向けMicrosoft Storeを使用して無料で双方向に簡単に切り替えることができます。ProとPro for WorkstationsはSKU番号が異なりますが、ProからPro for Workstationsへの切り替えも、商用のMicrosoft Storeでアップグレードを購入し、簡単に切り替えることができます(プロダクトキーの入力のみで切り替え可能)。そのため、Proで利用可能な機能は、Pro EducationやPro for Workstationsでも同じように利用可能であることは、自然なことのように思えます。

一方、Educationエディションは、Enterpriseエディションがベースになっているものの、前述のWindows To Goの問題のように、Enterprise限定のエンタープライズ機能の中にはEducationエディションでの利用を想定していないものがあるようです。もともとEnterprise限定であったWDAGは、その一つだったのです。

WDAGを有効化するには、コントロールパネルの「アプリケーションと機能」から「Windowsの機能の有効化または無効化」を開き、「Windows Defender Application Guard」を選択します。Windows 10 October 2018 Update(バージョン1809)からは、「Windowsセキュリティ」の「アプリとブラウザーコントロール」の「分離されたブラウズ」からインストールできるようにもなっています。

バージョン1809のEducationエディションの「アプリとブラウザーコントロール」には「分離されたブラウズ」項目は存在しません。また、WDAGの要件(4コアCPU、8GBメモリ、5GBディスク)を満たすPCで「Windowsの機能の有効化または無効化」を開くと、「Windows Defender Application Guard」の項目はグレーアウトされて選択できず、マウスオーバーすると「Windows Defender Application GuardはWindows 10 Enterprise Editionでのみサポートされています。」と表示されます。

もしかすると、「Windowsの機能の有効化または無効化」だけに残された、解除し忘れた制限かとも思い、次の「DISM」コマンド/「Enable-WindowsOptionalFeature」コマンドレットで機能のインストールを試みました。これらの方法は一見、成功したように見えます。

しかし、機能の追加を完了するために再起動し、Microsoft Edgeで「新しいApplication Guardウィンドウ」(このメニューを表示させるためにIsHvsiStandalonemodeを「1」に変更する必要がありました)をクリックしてWDAGのウィンドウを開こうとしても、何も起こりません。

「Windowsセキュリティ」の「アプリとブラウザーコントロール」には「分離されたブラウズ」の項目が表示されるようになりましたが、「デバイスは、Application Guardを使用するための要件を満たしていません」と表示されています。

また、「イベントビューアー」で「Microsoft-Windows-WDAG-Service/操作可能」(「操作可能」は「Operational」の過度なローカライズ)ログを確認すると、イベントID「200」のエラーが記録されており、そこには「Hvsi feature is not enabled on this sku」というメッセージがありました。「Hvsi」とはWDAGのことであり、このSKU、つまりEducationエディションではWDAGを有効化できないということがログに記録されていました。

もう一つエディションLTSCの状況とWDAGのOS要件まとめ

WDAGのシステム要件(ハードウェアおよびソフトウェア要件)は、以下の公式ドキュメントにあります。

つい先日まで、OS要件は次のようになっていました。その後、フィードバックが反映されて修正されました。

バージョン1809以前のEducationエディションでは実際には利用できなかったことに気付いた筆者は、さまざまエディションとバージョンを組み合わせて利用可否を確認しました。

全ての組み合わせを試したわけではありませんし、主にスタンドアロンモードで起動できることを確認しただけで、Proエディションで制限される機能を試したわけでもありませんが、おおむね正しいと思います。Pro Educationエディションで利用できて、その上位エディションであると誰もが思っているEducationエディションで利用できないというおかしな状況は1年と1カ月かかってようやく解消されました。

WDAGに関してグレーゾーンなところがある長期サービスチャネル(LTSC)の「Windows 10 Enterprise LTSC 2019」を含めています。「Windows 10 Enterprise 2019 LTSC」」や「Windows 10 Enterprise LTSC、バージョン1809」と表現されることもあり、製品名自体があやふやなのですが、Windowsのシステム情報としては「Windows 10 Enterprise LTSC、バージョン1809」が正しいようです。

グレーゾーンなところがあると言ったのは、Windows 10 Enterprise LTSC 2019でも「Windowsの機能の有効化と無効化」を用いて、WDAGの機能を有効化できるからです。また、Windows 10 Enterprise LTSC 2019の新機能を説明する以下の公式ドキュメントにも、2019年5月17日に修正されるまでWDAGについての記述がありました(現在はWDAGの部分がカットされました)。

修正前の「What's new」ドキュメントでは、「Windowsセキュリティ」には「分離されたブラウズ」からWDAGのインストールを開始できることが、新機能として説明されていました。実際、その説明は正しく、「Windowsの機能の有効化と無効化」で有効化がブロックされることはありませんでした。しかし、「What's new」ドキュメントには、「Windowsセキュリティ」に追加された「分離されたブラウズ」と「Application Guardの設定」の説明しかありませんでした。

筆者は、LTSCバージョンは「Microsoft EdgeとInternet Explorer」というブラウザー要件の一方を満たしていないので、WDAGを有効化できても使用はできないと予想していました。ホストOSにMicrosoft Edgeが存在しないので、少なくとも、Microsoft Edgeの「新しいApplication Guardウィンドウ」から開始するスタンドアロンモードでの使用はできないでしょう。

エンタープライズモード(アクセス先のドメインに基づいたInternet ExplorerまたはWDAGへの誘導)ならどうかと試してみたところ、「初期化しています……(50%)」から「開始しています……(90%)」を何度か繰り返し、最終的にエラーコード「0x80070512」で動作を停止してしまいました。

これは筆者の想像ですが、WDAGコンテナを提供するOS環境がMicrosoft Edgeを含まないLTSCベースのイメージであり、途中まで起動するものの、Microsoft Edgeのバイナリ(MicrosoftEdge.exeなど)が見つからずに失敗しているのではないでしょうか。「C:\ProgramData\Microsoft\Windows\Containers\BaseImages」の配下にフラットに展開されたベースイメージのファイル構造を見るとそんな感じがします。「Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe」には空っぽの各言語用のディレクトリがあるだけでした。

今回の内容をまとめると、Microsoftの公式ドキュメントや公式ブログでは、実際とは異なる不正確な情報が公開され、長い間放置されていることがあるということです。気になる点はフィードバックするようにしていますが、うまく意図を伝えるのが難しかったり、修正されるまで時間がかかったりします。ページ内のフィードバックのやりとりから想像することもできますが、どのように修正されたのか更新履歴がなく、しれっと修正されていることも多々あるので注意してください。