Windows 10を“危ないOS”にしない「Sモード」のすすめ：ビジネス用「Windows 10」のシステム要件【後編】

　例えばWindows 10のSモードはオンプレミスの認証管理システム「Active Directory」（AD）のドメインに参加できない。これはMicrosoftが、ビジネスユーザーに対して認証管理のクラウドサービス「Azure Active Directory」（Azure AD）への移行を望んでいることを示している。

　Azure ADに移行すれば、Microsoft IntuneとWindows Autopilotを使った作業がしやすくなる。具体的な手順は次の通りだ。IT担当者はエンドユーザー用の新しいノートPCを注文し、それが使用される場所に直接配送されるよう手配する。IT担当者はそのPCを物理的にセットアップする必要はなく、Microsoft Intuneで会社用のアプリケーションストアを追加し、購入したノートPCを登録すればよい。エンドユーザーは届いたノートPCの電源を入れ、会社が提供したAzure ADの資格情報でサインインする。

　エンドユーザーはIT担当者がカスタマイズしたWindowsのデスクトップを使用する。エンドユーザーが自分で32bit版の古いWindowsアプリケーションをインストールしたり、使用したりすることはできない。実行できるのは、さまざまなデバイスで実行できる「ユニバーサルWindowsプラットフォーム」（UWP）で開発された事前承認済みのアプリケーションのみだ。オフィススイート「Microsoft Office」はUWPアプリケーションとして使用できるため、企業はこの方法で十分な業務環境を用意できる。

　これを実現するためにIT担当者が用意しなければならないのは、安全なPC、Microsoft 365およびAzure ADのサブスクリプション、そしてSモードのWindows 10だ。

Microsoftが選んだ合理的な方法

　Microsoft IntuneとWindows Autopilotを使うと、エンドユーザーは極めて簡単にPCを使い始めることができる。新しいPCの初回起動時にAzure ADにサインインするだけでよいのだ。Microsoftが安全性を確保するために設定したWindows 10システム要件は、合理的だと言える。エンドユーザーは社内のドメインに参加する手続きをすることなく、デスクトップをすぐに利用できる。

　企業の意思決定者は、Azure ADやMicrosoft Intune、Windows Autopilotを使うこの方法を検討するとよい。この方法を採用した場合、IT担当者がしなければならないことを要約すると下記の通りだ。

　脅威に満ちたサイバー空間では、全てのエンドユーザーとデバイスの安全を確保するのはほとんど不可能だ。それでもMicrosoftが推奨する安全な要件を満たし、かつAzure ADドメインに参加しているデバイスでWindows 10 Sを実行すれば、現時点では最大限に安全な状態を実現できるだろう。