今回は、Surface Laptop 5G 7th Edition (Surface Laptop 5G 7th Edition With Intel For Business) をレビューしていきたいと思います。

今回のレビュー記事にあたり、Surface Laptop 5G 7th Edition を日本マイクロソフト様よりお借りいたしました。

今回レビューする Surface は、Laptop タイプの Surface では初めての携帯ネットワークが利用できる 5G モデルとなります。今まで、Surface Pro シリーズでは、携帯ネットワークが利用できるモデルはリリースされていましたが、今回ようやく、Laptop タイプでも登場となります。

Laptop タイプで携帯ネットワークを採用するにあたり、細部にまで考え抜かれて設計されているので、是非、下記のビデオもご覧ください。
(歯車の設定から、オートダビング機能を使うと、日本語で聞くことができます)

今回レビューする機種は下記になります。

<お借りしたデバイス>

Surface Laptop 5G 7th Edition With Intel For Business (Model 2119)

CPU: Intel Core Ultra 7 268V @ 2.2 GHz

Memory: 32 GB (8533 MT/秒)

Storage: 512 GB (NVMe)

Network (Wi-Fi): Qualcomm FastConnect 7800 Mobile Connectivity System

Network (5G): Surface 5G Mobile Broadband

OS: Windows 11 Pro (24H2)

Color: Platinum

<Surface Laptop 5G 7th Edition 実機確認>

では、早速、Surface Laptop 5G 7th Edition を見ていきましょう。今回は箱から開梱するところは割愛します。

ただし、今回のモデルもビジネス モデルであることもあり、いつも同様に環境面に配慮した簡易梱包でした。

まず、本体正面

次に、本体正面から見た時の左側面

3.5 mm ヘッドホン ジャック、USB-A ポート、USB-C ポート × 2

本体正面から見た時の右側面

Surface Connect ポート、物理 SIM トレイ

物理 SIM トレイ自体

カラーが Platinum モデルでしたが、キーボードはブラックでした。

下記の写真で分かるか微妙ですが、マット仕様になっており、かなり打鍵感の良い仕上げになっていました。

本記事の始めに掲載した YouTube 動画でも語られていますが、キーボードのパームレストのところに 6 つのアンテナが考えられた最適な位置に設置されています。また、新開発された素材も使われているようで、開発にあたり、かなりこだわられて作られているようでした。
そのため、パームレストに手を置いても最適な利得 (アンテナ強度) が得られるように設計されているそうです。

Surface Laptop with 5Gの登場: ビジネスのためのシームレスな接続性 [Windows Blogs]
([考え抜かれたハードウェア設計] の箇所を参照ください)

以前のレビュー記事でも行った重量実測測定ですが、Surface Laptop 5G 7th Edition は下記の通り、1,381 g でした。

以前の結果と比較すると。。。

Surface Laptop 7th Edition (Snapdragon) モデルよりも少しだけ重量があり、Surface Laptop 6 for Business よりも少しだけ重量が軽量という感じですかね。

<携帯ネットワーク (eSIM) のセットアップ (povo2.0 編)>

今回のモデルは、携帯ネットワークが利用できるモデルのため、携帯ネットワークの使用に際しセットアップ方法を紹介したいと思います。

今回は、評価のため一時的にお借りしていることもあり、povo2.0 を契約して eSIM にてセットアップしました。

まず、povo2.0 に契約して、eSIM のセットアップできる段階まで契約を進めておきます。

今回は、povo2.0 のデータ専用プランを申し込みました。

1. まず、eSIM セットアップの際に、Wi-Fi 環境が必要になるため、Surface Laptop 5G 7th Edition を Wi-Fi 環境に接続します。
2. Surface Laptop 5G 7th Edition 上で、Windows の設定アプリから、[ネットワークとインターネット] > [携帯電話] を開きます。
3. [携帯電話] にて、[この SIM カードの携帯データ ネットワークを使う] が [eSIM] であることを確認します。
   
4. [eSIM プロファイル] を選択します。
   
5. [通信事業者の eSIM プロファイルを追加] の右側にある [プロファイルの追加] を選択します。
   
6. povo2.0 の場合、コードにてアクティブ化するため、[携帯電話会社から提供されたアクティブ化コードを入力する] にチェックを入れ、[次へ] を選択します。
   
7. 下記のようにカメラが起動しますので、携帯電話会社から提供された QR コード (今回の場合、povo2.0 のアクティブ化コード) を読み取ります。
   
8. QR コードの読み取りが成功すると、下記のように表示されますので、[はい] を選択します。
   
9. [はい] 選択後、下記のようにプロファイルがダウンロードされます。
   
10. 準備が整うと、下記の画面が表示されますので、[閉じる] を選択します。
    
11. その後、下記画面にて、[プランに基づいて携帯データ ネットワークが使われ、料金が発生することがあります。続行しますか？] で [はい] を選択します。
    
12. eSIM プロファイルの準備はこれで終わりなのですが、povo2.0 の場合、APN 設定も追加で必要になります。
13. APN 設定を行わない場合、下記のように、[切断済み] 状態となります。
    
14. それでは、APN 設定を行いましょう。Windows の設定アプリから [ネットワークとインターネット] > [携帯電話] > [携帯電話会社の設定] を開きます。
15. 下記画面の中から、APN 設定の箇所にある、[APN を追加] を選択します。
    
16. povo2.0 の場合、以下のように設定しました。
    

    ---

    プロファイル名: 任意の値 (povo2.0)
    APN: povo.jp
    ユーザー名 : 空欄
    パスワード : 空欄
    サインイン情報の種類 : なし
    IP の種類 : IPv4v6
    APN の種類 : インターネットおよびアタッチ
    このプロファイルを適用する : チェックを入れる

    ---

17. その後、下記の画面のように APN 設定が反映されます。
    
18. APN 設定が入れば、携帯ネットワークで通信が可能になります。

<タスク マネージャー>

次はタスク マネージャーをみていきましょう。

プロセッサは Intel Core Ultra 7 268V です。

https://www.intel.co.jp/content/www/jp/ja/products/sku/240958/intel-core-ultra-7-processor-268v-12m-cache-up-to-5-00-ghz/specifications.html

メモリは、32 GB で速度は 8533 MT/秒です。

ストレージは、NVMe の 512 GB で今回の場合は KIOXIA 製でした。

Wi-Fi は、Intel 搭載モデルですが、Intel の Wi-Fi チップではなく、Qualcomm FastConnect 7800 Mobile Connectivity System が搭載されていました。

モバイル (携帯ネットワーク) は、 Surface 5G Mobile Broadband です。

もちろん、5G 通信可能です。

NPU は、Intel AI Boost でした。Intel の仕様ページによると、48 TOPS のようです。

最後に、GPU ですが、GPU は Intel Arc 140V GPU でした。

<おまけ>

今回の Surface Laptop 5G 7th Edition を利用して Wi-Fi 7 の利用をしてみましたので、少しだけ紹介したいと思います。

Surface Laptop 5G 7th Edition 自体は Wi-Fi 7 に対応しており、対応アクセス ポイントと接続する限り、320 MHz 幅にも対応しているようでした。

Wi-Fi 管理画面から見たところ

利用環境

Surface Laptop 5G 7th Edition

HPE Aruba AP-735

<まとめ / 使用感などの感想>

今回、Surface Laptop 5G 7th Edition を 2026 年の年始にお借りして、1 月 11 日頃からブログ記事を執筆している 2 月 11 日まで約 1 ヶ月メイン マシンとして利用していました。

まず、Laptop タイプということもあり、日々利用していた Surface Pro with 5G 11th Edition のフレックス キーボードと比較してもキーボードの安定感はかなりありました。また、記事内でも触れましたが、キーボードがマット素材になっているようで、非常に手に馴染む感じがありました。キーボードの打鍵感はかなり良かったと思っています。

携帯ネットワーク (5G) の点については、私は持ち歩きの Windows PC は基本的に携帯ネットワークが使えるモデルを選択するようにしているため、日頃の PC と同じく携帯ネットワークが利用できるのはとても便利でした。Wi-Fi 環境が無いところでもインターネットに接続できるだけではなく、PC を開いて直ぐにインターネット接続されている安心感は違います。この Surface Laptop 5G 7th Edition はキーボード部分に手を置いても電波強度が落ちにくいように細部まで考慮されているので、利用していても安心です。

全体的な点では、Surface Laptop 5G 7th Edition は Surface Laptop 7th Edition をベースとして作られていると思いますが、より進化した形で使い易くなっていると思います。再度にはなりますが、やはりキーボードの打ちやすさはかなり気に入りました。

Laptop タイプで携帯ネットワーク (5G) 利用を検討されている方は是非、Surface Laptop 5G 7th Edition を検討してみてはいかがでしょうか。

もう、本日より 2 月に突入ですね。

今回の記事は、2026 年 1 月に公開された、Windows Deployment Services (WDS) に対するセキュリティ強化のガイダンスについて紹介したいと思います。

<Windows Deployment Services (WDS) Hands-Free 展開強化ガイダンス>

今回紹介する、ガイダンスは、Windows Deployment Services (WDS) に対するセキュリティ脆弱性 (CVE-2026-0386) に対処するため、Windows Deployment Services (WDS) にセキュリティ強化が予定されているという以下の KB 情報になります。

CVE-2026-0386 に関連する Windows Deployment Services (WDS) Hands-Free 展開強化ガイダンス

今回のセキュリティ強化では、Windows Deployment Services (WDS) で用いられる一般的な機能である、ハンズフリー デプロイ (ハンズフリー展開) に関連したものとなります。余談ですが、ハンズフリー デプロイという言葉はあまり馴染みが無かったです。ゼロ タッチ デプロイとかライト タッチ デプロイの方が馴染みがありますね。ハンズフリー デプロイとは、OS 展開を自動化した展開のことを呼ぶようです。

Windows Deployment Services (WDS) を用いたハンズフリー デプロイにおいて、資格情報を含むインストール画面を自動化するために、Unattend.xml ファイル (応答ファイル) を読み込みます。この際、認証されていない RPC 経由で Unattend.xml ファイルが送信されるため、機密性の高い資格情報が漏洩する可能性があるという脆弱性になります。そのため、セキュリティ強化のため、認証済みの RPC を既定で強制し、安全でないワークフローを削除する計画のようです。

その結果、認証されていない RPC に依存するハンズフリー デプロイは、既定で動作しなくなる予定です。(2026/02/01 時点で 2026 年 4 月のセキュリティ更新プログラムにて既定でセキュリティで保護された方法に変更される予定です。)

<セキュリティ強化のタイムライン>

2026/02/01 時点でのタイムライン

フェーズ 1 : 2026 年 1 月 13 日

• 本件に対応したイベント ログの追加
• セキュリティで保護されたモードまたはセキュリティで保護されていないモードを選択するために使用できるレジストリ キー オプションを追加

フェーズ 2 : 2026 年 4 月予定

• 既定でセキュリティで保護されたモードへ変更実施予定
  (管理者がレジストリ値を明示的に追加しない限り、ハンズフリー デプロイは機能しなくなります)

<影響度の検討および調査>

上記でも紹介しましたが、特に管理者が対処しない場合、2026 年 4 月のセキュリティ更新プログラム適用後にセキュリティで保護されていないワークフローは機能しなくなります。

そのため、組織や企業内で Windows Deployment Services (WDS) を利用している場合は影響度の検討が必要になります。

まず、影響度の調査のため、Windows Deployment Services (WDS) を利用しているサーバーに、イベント ログ出力機能が追加された 2026 年 1 月にリリースされたセキュリティ更新プログラムまたはそれ以降を適用しましょう。

Windows Server 2025 KB5073379 (Build 26100.32230) またはそれ以降

Windows Server 2022 KB5073457 (Build 20348.4648) またはそれ以降

Windows Server 2019 KB5073723 (Build 17763.8276) またはそれ以降

Windows Server 2016 KB5073722 (Build 14393.8783) またはそれ以降

その後、イベント ログを確認してまずは影響を確認します。

2026 年 1 月のセキュリティ更新プログラムを適用後、イベント ログに新しいアラートが追加されています。

公開情報では、Microsoft-Windows-Deployment-Services-Diagnostics/Debug にログが記載されると表記されていますが、実際の検証環境では、Application ログに記載されていました。

検証環境での検証の結果によると、下記のパターンでイベント ログに記録されます。

===============================================

<セキュリティで保護された状態に変更されておらず、Windows Deployment Services (WDS) サービスが稼働している場合
セキュリティで保護された状態に変更されておらず、Unattend.xml ファイル (応答ファイル) を読み込んだ場合>

===============================================
ログの名前: Application
ソース: WDSIMGSRV
イベント ID: 271
レベル: エラー
説明:
このシステムは、Windows 展開サービスに対して安全でない設定を使用しています。これにより、機密性の高い構成ファイルが傍受される可能性があります。Microsoft 推奨のセキュリティ設定を適用して、展開を保護してください。詳細情報: https://go.microsoft.com/fwlink/?linkid=2344403

===============================================

<セキュリティで保護された状態に変更後、Unattend.xml ファイル (応答ファイル) を読み込んだ場合>

===============================================

ログの名前: Application
ソース: WDSIMGSRV
イベント ID: 270
レベル: 警告
説明:
安全でない接続で無人セットアップ ファイル要求が行われました。Windows 展開サービスにより、システムのセキュリティを維持する要求がブロックされました。詳細については、次を参照してください: https://go.microsoft.com/fwlink/?linkid=2344403

===============================================

実際のイベント ログ記録のパターン (参考情報)

ログの名前: Application
ソース: WDSIMGSRV
日付: 2026/02/01 10:00:14
イベント ID: 271
タスクのカテゴリ: (1)
レベル: エラー
キーワード: クラシック
ユーザー: N/A
コンピューター: TAMAI-WDS01
説明:
このシステムは、Windows 展開サービスに対して安全でない設定を使用しています。これにより、機密性の高い構成ファイルが傍受される可能性があります。Microsoft 推奨のセキュリティ設定を適用して、展開を保護してください。詳細情報: https://go.microsoft.com/fwlink/?linkid=2344403

ログの名前: Application
ソース: WDSIMGSRV
日付: 2026/02/01 10:07:14
イベント ID: 270
タスクのカテゴリ: (1)
レベル: 警告
キーワード: クラシック
ユーザー: N/A
コンピューター: TAMAI-WDS01
説明:
安全でない接続で無人セットアップ ファイル要求が行われました。Windows 展開サービスにより、システムのセキュリティを維持する要求がブロックされました。詳細については、次を参照してください: https://go.microsoft.com/fwlink/?linkid=2344403

<Microsoft Configuration Manager にて Windows Deployment Services (WDS) を利用しているシナリオの場合>

KB 内の記載にもありますが、この脆弱性は、Microsoft Configuration Manager にて OS 展開の機能を使っている場合は影響を受けません。

この脆弱性はMicrosoft Configuration Managerに影響しません。 この問題は、Unattend.xml ファイルが RemoteInstall 共有を介して参照および公開されるネイティブ Windows 展開サービス (WDS) シナリオにのみ適用されます。 Configuration Managerはこのメカニズムに依存しません。WDS は、影響を受けない boot.wim ファイルとネットワーク ブートストラップ (NBP) ファイルを提供するためにのみ使用します。

<Windows Deployment Services (WDS) 単体で利用しているシナリオの場合>

Windows Deployment Services (WDS) 単体で利用しているシナリオの場合、本件の影響を受ける可能性は非常に高いので、是非、組織や企業内の環境をチェックしてみてください。

Windows Deployment Services (WDS) 単体利用で影響を受けるパターンの一例を紹介します。Windows Deployment Services (WDS) サーバーにて、下記の設定をしている場合。

セキュリティが強化される前であれば、無人セットアップ ファイルで記載した資格情報を基に Windows Deployment Services (WDS) にて OS セットアップ時に資格情報を求められませんが、セキュリティが強化されると、無人セットアップ ファイル (Unattend.xml ファイル (応答ファイル)) の読み込みがブロックされるため、無人セットアップ ファイル (Unattend.xml ファイル (応答ファイル)) で記述した設定が無効化されます。

<無人セットアップ ファイル (Unattend.xml ファイル (応答ファイル) の抜粋>

上記のファイルでも分かるように、Windows Deployment Services (WDS) サーバーに接続する資格情報がベタ打ちで記載されているため、この XML ファイルがネットワーク上で漏洩するリスクがあるというのが今回の脆弱性かと思います。

事前構成しておけば、下記のようにディスク構成や資格情報の入力を求められません。

しかし、セキュリティが強化され、無人セットアップ ファイル (Unattend.xml ファイル (応答ファイル)) の読み込みがブロックされると下記の動作となります。

無人セットアップ ファイル (Unattend.xml ファイル (応答ファイル)) で記述した設定すべてが無効化されます。

<対処方法>

本件について、いくつかの対処が取れます。

検証もしくは脆弱性対処のため、今日時点で CVE-2026-0386 の対処をする。
(2026 年 4 月を待たず、セキュリティで保護された状態に変更する場合)

その場合、下記のレジストリ値を手動で追加します。
よく影響度を考慮したうえでレジストリ追加を検討ください。

場所 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WdsImgSrv\Unattend

名前 : AllowHandsFreeFunctionality

種類 : REG_DWORD

値 : 0 (セキュリティで保護された状態に変更、これにより、WDS を使用したハンズフリー デプロイが無効になる)

※ レジストリ値追加後、Windows Deployment Services Server (WDSServer) を再起動するか OS の再起動を実施ください。

2026 年 4 月以降も引き続き、ハンズフリー デプロイを継続して利用したい場合は、下記のレジストリ値を事前に適用しておきます。

場所 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WdsImgSrv\Unattend

名前 : AllowHandsFreeFunctionality

種類 : REG_DWORD

値 : 1 (ハンズフリー デプロイを継続的に利用する場合)

※ レジストリ値追加後、Windows Deployment Services Server (WDSServer) を再起動するか OS の再起動を実施ください。

<まとめ>

このガイダンスが公開された当初は、Microsoft Configuration Manager 配下の配布ポイントとして利用している Windows Deployment Services (WDS) サーバーも影響を受けるのかと焦りましたが、公開情報でも記載のように影響を受けないようです。

今回のブログ記事を作成するにあたり Windows Deployment Services (WDS) サーバーを構築して検証する中で新たな発見があり検証した甲斐がありました。

しかしながら、先日公開終了した、Microsoft Deployment Toolkit (MDT) 同様に今後は Windows Deployment Services (WDS) は廃止方向なんですかね。。。
OS 展開自体があまりフォーカスされなくなってきていて非常に残念な気持ちです。

本記事が 2026 年の初めての記事となります。2026 年も引き続きどうぞよろしくお願いいたします。

今回は、Universal Print (ユニバーサル プリント) を取り上げたいと思います。Universal Print がリリースされた時から気にはなっていましたが、当時は対応プリンターが少なく、対応プリンターが非常に高価だったため、安価に試すことができませんでした。
しかし、最近、Universal Print に対応したレーザー プリンターが安価になっていたので、購入して本記事を執筆しました。

<Universal Print とは>

Universal Print とは今までオンプレミス環境に導入していた、プリンター サーバーを置き換えるクラウド印刷ソリューションです。

https://learn.microsoft.com/ja-jp/universal-print/discover-universal-print

<Universal Print 検証プリンター (今回購入したプリンター)>

Canon Satera LBP172

https://canon.jp/biz/product/printer/satera/lbp/lineup/172

OCN オンラインショップ (旧 NTT-X Store) さんで約 1.4 万円で購入できました。

<Universal Print ライセンス>

Universal Print 利用には、下記のライセンスのいずれかが必要です。

Microsoft 365 Enterprise E3、E5、F3

Windows 10/11 Enterprise E3、E5

Microsoft 365 Business Premium

ユニバーサル プリント (スタンドアロン)

https://learn.microsoft.com/ja-jp/universal-print/get-access-to-universal-print?pivots=segment-commercial#list-of-subscriptions-that-include-universal-print-entitlement

では、早速、Universal Print を検証していきます。

<Universal Print にプリンターを登録する>

今回は、Canon Satera LBP172 を Universal Print に登録してみます。

※ 各プリンターにより、登録方法が異なる場合があるかと思いますので、各メーカーのマニュアルをご確認ください。

1. Satera LBP172 の管理画面にブラウザー経由でアクセスします。
2. [管理者モード] としてログインします。
3. [設定/登録] に移ります。
4. [ネットワーク設定] > [Universal Print設定] に移ります。
5. 下記の [Universal Print設定] 画面が表示されますので、[基本設定] の右側にある [編集] を選択します。
   
6. 下記の [基本設定の編集] 画面が表示されるので、[Universal Printを使用する] にチェックを入れます。
   
7. [Universal Printを使用する] にチェックを入れるとその下の設定が可能になります。
   今回は、プリンター名を変更して、[OK] を選択します。
   ([サーバー証明書を検証する] と [CNを検証項目に追加する] にはチェックを入れておきます。)
   
8. 下記の画面に戻りますので、[登録状況] の右側にある [登録] を選択します。
   
9. [登録用情報] の画面が表示されるので、[登録用URL] に記載された URL にアクセスします。
   
10. 下記の画面で、項番 9 の画面に表示されている [登録用コード] を [コード] に入力して、[次へ] を選択します。
    
11. 必要な権限を持ったユーザーでサインインします。
    
12. 下記の [要求されているアクセス許可] にて、アクセス許可のレビューをして、[承諾] を選択します。
    
13. プリンター側の [Universal Print設定] 画面に戻ります。
    登録が完了していると、[登録状況] にて [登録済み] になっていることを確認できます。
    
14. 以上で、プリンター登録ステップは完了です。

<プリンターの共有>

プリンターを Universal Print に登録したら、エンド ユーザーから利用できるように、プリンターを共有します。この作業は、Microsoft Azure ポータルから設定します。

1. Microsoft Azure ポータルを開きます。
2. [ユニバーサル プリント] を検索して、開き、[ユニバーサル プリント] > [管理] > [プリンター] を開きます。
3. [プリンター] を開くと、先ほど登録したプリンターが表示されます。
   [共有の状態] が [共有なし] となっています。
   
4. 対象のプリンターにチェックを入れ、[共有] を選択します。
   
5. 右側に下記の画面が表示されます。
   [共有名] を確認して、今回は組織内のユーザーすべてがこのプリンターを使うように設定するため、[組織内のすべてのユーザーのアクセスを許可します] にチェックを入れ居ます。
   ※ プリンターごとに個別のユーザーへアクセス許可を付与することも可能です。
   
6. 画面下部で、[プリンターの共有] を選択します。
   
7. 下記のように [共有の状態] が [共有済み] になっていることを確認します。
8. 以上で、プリンターの共有設定は完了です。

<Microsoft Intune を用いて、Universal Print のプリンターを展開する>

<Universal Print にプリンターを登録する> および <プリンターの共有> ステップにて、エンド ユーザーはプリンターを利用することが可能です。

具体的には、Windows の [設定] アプリ内の [Bluetooth とデバイス] > [プリンターとスキャナー] で下記のように表示されます。

しかしながら、[設定] アプリからエンド ユーザーが自身でプリンターを追加する必要があります。そのため、Microsoft Intune からプリンターを展開する方法も紹介しておきます。

1. Microsoft Intune 管理センターを開きます。
2. [デバイス] > [デバイスの管理] > [構成] を選択します。
3. 構成ページにて、[作成] > [新しいポリシー] を選択し、[プラットフォーム] に [Windows 10 以降] を選択し、[プロファイルの種類] に [設定カタログ] を選択し、[作成] を選択します。
4. [プロファイルの作成] にて、[名前] を適宜設定します。
   今回は、[Deploy Universal Print] にしました。
   
5. [構成設定] にて、画面下部の [設定の追加] を選択します。
   
6. [設定ピッカー] が開くので、キーワードに [print] と入力して、[検索] を選択します。
   検索結果の [プリンターのプロビジョニング] を選択し、下部の [プリンター共有 ID (ユーザー)] にチェックを入れます。
   
7. 下記のような画面になります。
   
8. 上記画面の、[クラウド デバイス ID (ユーザー)]、[プリンターの共有名 (ユーザー)]、[共有 ID (ユーザー)] の入力内容を確認するため、Microsoft Azure ポータルの [ユニバーサル プリント] 画面を開きます。
9. [ユニバーサル プリント] > [プリンター] > 共有するプリンターを開きます。
   上記の画面に表示されている項目と Intune の設定カタログに入力する項目の対比は下記の通り。

   ---

   プリンター ID >> クラウド デバイス ID (ユーザー)
   名前 >> プリンターの共有名 (ユーザー)
   共有 ID >> 共有 ID (ユーザー)

   ---

10. [構成設定] は以下のように設定します。
    
11. [スコープ タグ] は既定のまま、[次へ] を選択します。
    
12. [割り当て] にて、今回は [すべてのユーザー] を選択します。
    
13. [レビューと作成] にて、設定内容が正しいことを確認して、[作成] を選択します。
    
14. 以上で、Microsoft Intune での設定は完了です。

<クライアントで Universal Print のプリンターを使ってみよう>

Microsoft Intune から、プリンターを展開しているので、下記のようにプリンターが自動的に追加されています。

下記の画面から、[テスト ページの印刷] をトライします。

ジョブ完了は、Microsoft Azure ポータルの [ユニバーサル プリント] 画面で確認できます。

<まとめ>

対応機種のプリンターを使うと、Universal Print がスムーズに展開することができました。

Universal Print では、プリンター ドライバーを気にすることなく展開できることは利点です。というのも、私が日常利用している、Surface Pro with 5G 11th Edition は Snapdragon 搭載の Arm デバイスであるため、今回検証した、Satera LBP172 の標準ドライバーでは対応していません。

しかしながら、Universal Print を利用することにより、Arm デバイスでも印刷を行うことができます。

是非、組織や企業にて、Arm デバイスを導入および検討している場合は、Universal Print を検討してみてはいかがでしょうか。

Universal Print には、印刷するプリンターを事前に選ぶことなく、組織や企業内のどのプリンターからでも出力できる、Universal Print anywhere (どこでもユニバーサル印刷) 機能もあるので、この機能も検証してみたいところです。また、プリンター ジョブをすぐにプリンターから出力するのではなく、ユーザーが QR コードを読み込んでからジョブを印刷する機能もあるので、同じく今後検証してみたいと思います。

今回は、Windows LAPS について紹介したいと思います。

本記事は、Active Directory Security Advent Calendar 2025 の Day 2 (12/2) の記事として公開します。是非、Active Directory Security Advent Calendar 2025 の今後公開される記事もご覧ください。

宇田さん、本 Advent Calendar の企画およびご紹介いただき、ありがとうございます！

本記事は、12/2 (火曜日) 3:00 AM くらいから書き始めました (笑)

<Windows LAPS の概要>

まず、Windows LAPS (Windows Local Administrator Password Solution) とは何かを説明しておこうと思います。

Windows LAPS は簡単に説明すると、Windows OS のローカル Administrator アカウント パスワードをシステム的に管理する仕組みとなります。Windows LAPS を使用することにより、各 Windows OS 内のローカル Administrator アカウント パスワードをランダム化して管理することができます。

では、Windows LAPS がなぜ必要なのかを説明しておきたいと思います。というのも、Windows Autopilot から Windows Client OS のセットアップを始めた人にとっては、なぜ、ローカル Administrator アカウント パスワードの管理が必要なのか疑問に思う人も居ると思ったからです。(Windows Autopilot で Windows Client OS をセットアップすると、基本的には、ローカル Administrator アカウントは無効化されているため)

組織や企業において、Windows マシンをセットアップする際、オンプレミス環境では、事前に準備したイメージを用いて展開する、ワイプ & ロードという展開手法を採用しているところが多いと思います。ワイプ & ロードとは、OS 展開時に PC 出荷時のデータや PC 再利用時のデータを一度ワイプ (削除) して、組織や企業で作成したイメージをロード (書き込み) するということです。

イメージ作成の際やイメージ展開の過程で、Windows Client OS 内のローカル Administrator アカウントのパスワードを共通のパスワードにしているケースが多い傾向です。これは展開時の工数削減や管理目的により、共通のパスワードを使用せざるを得ないケースがあります。一例をあげておくと、オンプレミス環境での OS 展開の際に利用する、Microsoft Configuration Manager (旧 SCCM) のタスク シーケンスでは、下記スクリーン ショットのように、ローカル Administrator の設定箇所があります。この例では、[アカウントを有効にし、ローカル管理者パスワードを指定する] を設定しています。

上記のケースでは、OS 展開 (OSD: Operating System Deployment) を行う度に同じローカル Administrator アカウント パスワードが設定されたマシンが組織や企業内に増えていきます。

ヘルプデスク観点や管理業務観点上、各 Windows Client OS のローカル Administrator アカウント パスワードが共通の方が助かりますが、セキュリティ上は好ましい構成ではありません。むしろ、是正する必要がある構成です。

例えば、ローカル Administrator のパスワードが共通だと、管理業務を行う人が退社した場合、組織や企業内で IT 部門以外にパスワードが漏れてしまった場合等が挙げられます。

それ以外にも、最近世間を騒がせているランサムウェア被害にも影響があります。ランサムウェアでの被害の場合、ラテラル ムーブメント (横移動) という手法で使用されるパターンですが、組織や企業内の PC に侵入された後、その PC のローカル特権を取得し、ローカル Administrator のパスワード (パスワード ハッシュ) を入手し、そのパスワード (パスワード ハッシュ) を用いて隣の PC に侵入していき、さらに高い権限を奪取していくという手法があります。その場合、ローカル Administrator のパスワードが共通だとあっという間に横移動を許してしまいます。

このようなケースで有用な対策の一つに、Windows LAPS があります。Windows LAPS は各 Windows Client OS のローカル Administrator のパスワードをランダム化して管理することができます。

前置きが長くなりましたので、早速、Windows LAPS の設定の仕方をみていきたいと思います。

<Windows LAPS の要件>

Windows LAPS を利用するには、下記の Windows Client OS バージョンまたは Windows Server OS バージョンである必要があります。

Windows Client OS

・ Windows 11 23H2 またはそれ以上

・ Windows 11 22H2 (2023 年 4 月 月例セキュリティ更新プログラムまたはそれ以上) Build 22621.1555 またはそれ以上

・ Windows 11 21H2 (2023 年 4 月 月例セキュリティ更新プログラムまたはそれ以上) Build 22000.1817 またはそれ以上

・ Windows 10 (2023 年 4 月 月例セキュリティ更新プログラムまたはそれ以上) Build 19045.2846 またはそれ以上

Windows Server OS

・ Windows Server 2025 またはそれ以上

・ Windows Server Annual Channel for Containers 23H2 またはそれ以上

・ Windows Server 2022 (2023 年 4 月 月例セキュリティ更新プログラムまたはそれ以上) Build 20348.1668 またはそれ以上

・ Windows Server 2019 (2023 年 4 月 月例セキュリティ更新プログラムまたはそれ以上) Build 17763.4252 またはそれ以上

https://learn.microsoft.com/ja-jp/windows-server/identity/laps/laps-overview#windows-laps-supported-platforms

<Windows LAPS セットアップ方法 (オンプレミス Active Directory 環境の場合)>

今回の記事では、オンプレミス環境で Active Directory を運用しており、その Active Directory に参加している Windows Client OS のローカル Administrator アカウントを管理するというシナリオで紹介していきたいと思います。

<今回の環境>

ドメイン コントローラー : Windows Server 2019 (Build 17763.8027)

※ グループ ポリシーの管理にセントラル ストアを利用している環境

Windows Client OS: Windows 11 version 25H2 (Build 26200.6584)

<セットアップ手順>

まず、Windows LAPS のグループ ポリシーをセントラル ストアにコピーします。

1. ドメイン コントローラーにログオンします。
2. C:\Windows\PolicyDefinitions を開きます。
3. LAPS.admx と ja-JP 内にある LAPS.adml を見つけ (ja-JP フォルダー以外も存在する場合はそれぞれの言語に応じて同様の対応を実施)、下記のようにセントラル ストアにコピーします。
   

   ---

   LAPS.admx
   コピー元 : “C:\Windows\PolicyDefinitions\LAPS.admx”
   コピー先 : “\\corp.sccm.jp\SYSVOL\corp.sccm.jp\Policies\PolicyDefinitions\LAPS.admx”
   (ドメイン名の部分を自組織のドメインに書き換えてください)
   

   ---

   LAPS.adml (ja-JP フォルダー以外も存在する場合はそれぞれの言語に応じて同様の対応を実施)
   コピー元 : “C:\Windows\PolicyDefinitions\ja-JP\LAPS.adml”
   コピー先 : “\\corp.sccm.jp\SYSVOL\corp.sccm.jp\Policies\PolicyDefinitions\ja-JP\LAPS.adml”
   (ドメイン名の部分を自組織のドメインに書き換えてください) 

Windows LAPS を使用する前に、Active Directory スキーマの更新が必要になります。
この作業はフォレストに対して実施します。

1. ドメイン コントローラーにログオンします。
2. PowerShell を管理者権限で起動し、下記のコマンドを実行します。

   Update-LapsADSchema

   

Windows LAPS を使用してデバイスのパスワードを管理するには、そのデバイスのパスワードを更新するアクセス許可を付与する必要があります。

デバイスが含まれる組織単位 (OU: Organizational Unit) 単位で指定します。

今回の環境は、検証環境ということもあり、既定の Computers OU にデバイスを作成していますので、その OU にアクセス許可を付与します。

1. ドメイン コントローラーにログオンします。
2. PowerShell を管理者権限で起動し、下記のコマンドを実行します。

   Set-LapsADComputerSelfPermission -Identity "CN=Computers,DC=corp,DC=sccm,DC=jp"

   ※ 今回のケースでは、デフォルト コンテナである Computers に設定するため、Identity 引数に distinguishedName 形式で設定しています。
   自身で作成された OU の場合は、OU 名だけで大丈夫です。
   

あとは、対象デバイスにグループ ポリシーを適用して Windows LAPS を設定します。

1. ドメイン コントローラーにログオンします。
2. [グループ ポリシーの管理] を起動します。
3. [フォレスト] > [ドメイン] > [ドメイン名] > [グループ ポリシー オブジェクト] を選択し、右クリックで [新規] を選択します。
4. [新しい GPO] ウィザードで [名前] に任意の名前を設定します。
   
5. 作成された GPO を右クリックで [編集] を選択します。
6. 表示されたウィンドウで、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [システム] > [LAPS] を開きます。
   
7. 今回は最低限必要なポリシーだけ設定します。
   まず、[パスワード バックアップ ディレクトリの構成] を開きます。
8. [パスワード バックアップ ディレクトリの構成] にて、[有効] にチェックを入れ、[バックアップ ディレクトリ] を [Active Directory] に設定します。
   
9. 次に、[パスワードの設定] を開き、[有効] にチェックを入れます。必要に応じて、[パスワードの複雑さ] を変更します。今回は既定のまま設定します。
   
10. あとは、作成したグループ ポリシーを割り当てます。
    今回のケースでは、Computers OU 配下にあるデバイスに適用させるため、ドメイン名の表示されているところを選択し、右クリックで、[既存の GPO のリンク] を選択します。
    
11. [GPO の選択] にて、作成した GPO を選択します。
    
12. 以上でドメイン コントローラー側での作業は終了です。

<動作確認>

では、動作をみていきましょう。

まず、管理対象の PC 側で gpupdate /force を実行します。
(通常運用環境では管理対象のマシンで gpupdate /force を個別に実行する必要はありません。
検証時にすぐに結果を確認したいためだけとなります。)

その後、クライアント マシンのイベント ログにて、下記のイベントが記録されます。

ドメイン コントローラーに戻り、[Active Directory ユーザーとコンピューター] (dsa.msc) を開きます。

対象の PC を開き、[LAPS] タブを開きます。
そうすると、[LAPS ローカル管理者アカウントのパスワード] というところに、マスキングされたパスワードが設定されています。

パスワードを確認したいときは、[パスワードの表示] を選択すると、下記の画面のようにパスワードが表示されます。

これで、管理対象の PC のローカル Administrator アカウント パスワードの管理ができました。

今回のシナリオでは紹介しませんでしたが、Windows LAPS は細かい設定も可能ですので、是非、Microsoft Learn の記事をご確認ください。

また、Windows Client OS のみならず、Windows LAPS の管理対象マシンに Windows Server OS も設定可能なので、Windows Server も Windows LAPS で管理することを検討してみてください。

https://learn.microsoft.com/ja-jp/windows-server/identity/laps/laps-overview

<まとめ>

今回は、Active Directory Security Advent Calendar 2025 の一環として、Windows LAPS について紹介しました。

2022 年には、マイクロソフトのゆりか先生をお迎えして、Local Administrator Password Solution (LAPS) 勉強会というイベントを開催しました。この時は、まだ Windows LAPS がリリースされておらず、現在の名称でいうところの Microsoft LAPS (当時は Local Administrator Password Solution (LAPS) と呼んでいた) について紹介していました。

あ、冒頭で Windows LAPS と Microsoft LAPS の歴史を語ろうと思ったのですが、本記事が長くなるので、やめました。また何か機会のあった際に。

今回のブログにて、久々に LAPS の話題に触れたので、Windows LAPS 勉強会開催したいな～と思った今日この頃です。機会があれば、Windows LAPS 勉強会も開催したいと思います。(気長にお待ちください)

今回はいつもの検証環境とは異なる環境で設定したため、いつも利用している検証環境も Microsoft LAPS から Windows LAPS へ移行しないとと改めて思いました。

今回は、Windows 365 の新しいサービスである、Windows 365 Cloud Apps について紹介したいと思います。

このサービスは、Microsoft Ignite 2025 期間中に GA (General Availability) されたサービスとなります。Microsoft Ignite 2025 Book of News にも記載があります。

Windows 365 Frontline updates and Cloud Apps general availability

<Windows 365 Cloud Apps とは>

さて、Windows 365 Cloud Apps とはどのようなサービスか最初に簡単に触れておきたいと思います。Microsoft VDI (Virtual Desktop Infrastructure) 歴が長い方だとご存じかもしれませんが、RemoteApp という機能があったと思いますが、それに近い Windows 365 のサービスになるかと思います。

要は、各アプリケーション (例えば Word や PowerPoint) だけをリモートで使う形となり、具体的には、利用者のローカル PC 上 (接続元の PC) に Windows 365 上で稼働しているアプリケーションがウィンドウ単位だけで表示され利用できるという形になります。そのアプリケーションは実際には Windows 365 上で稼働しているアプリケーションですが、ローカル PC 上にインストールされたアプリケーションのようにシームレスに利用可能です。

通常の Windows 365 では、デスクトップ環境全体にアクセスする形ですが、Windows 365 Cloud Apps の場合、アプリケーション単位で Windows 365 環境を利用する形です。

Windows 365 Cloud Apps [Microsoft Learn]

https://learn.microsoft.com/ja-jp/windows-365/enterprise/cloud-apps

<Windows 365 Cloud Apps の前提条件>

Windows 365 Cloud Apps を利用するためには、通常の Windows 365 Enterprise や Windows 365 Business ライセンスではなく、Windows 365 Frontline ライセンスという別のライセンスが必要となります。

私は今回の検証のために、Windows 365 Frontline ライセンスを一か月分契約しました (笑)

私のテナントでは以下のように表示された、[共有使用の Windows 365] を購入しました。

今回のプランは、Windows 365 Frontline 2 vCPU, 8 GB, 128 GB を選択しました。

<Windows 365 Cloud Apps をトライ>

まず、最初に Windows 365 Frontline ライセンスは、Windows 365 Enterprise や Windows 365 Business ライセンスとは異なり、ライセンスを特定のユーザーに付与する必要はありません。Microsoft 365 管理センター上で特定ユーザーにライセンス付与ができません。なので、テナント単位で Windows 365 Frontline ライセンスを購入したら、それで準備は完了です。

1. Microsoft Intune 管理センター (https://intune.microsoft.com/) を開きます。
2. [デバイス] > [Windows 365] > [プロビジョニング ポリシー] を選択します。
3. [プロビジョニング ポリシー] にて [ポリシーの作成] を選択します。
4. [プロビジョニング ポリシーの作成] が開きます。
   
5. [名前] にプロビジョニング ポリシーの名前を入力します。
   今回は、[Windows 365 Cloud Apps] とします。
6. [エクスペリエンス] にて、[クラウド PC で実行されるアプリにのみアクセスする] が選択可能なことが分かります。この [クラウド PC で実行されるアプリにのみアクセスする] が Windows 365 Cloud Apps 用のプロビジョニング ポリシーになります。
   ※ Windows 365 Frontline ライセンスを保有していない場合は [クラウド PC で実行されるアプリにのみアクセスする] が選択できず、グレーアウトしています。
7. [クラウド PC で実行されるアプリにのみアクセスする] を選択すると、自動的に下記スクリーン ショットのように、[ライセンスの種類] が [Frontline] に、[フロントラインの種類] が [共有] に設定されます。
   
8. 画面を下部に進め、結合の種類 (ネットワーク) の選択をします。
   今回は事前にセットアップ済みの結合を選択します。
   
9. [イメージ] では、今回はギャラリー イメージをそのまま使用します。
   もちろん、カスタム イメージも選択可能です。
   
10. [構成] にて、言語と地域等を選択します。
    今回は、[言語と地域] は [日本語 (日本)] を選択します。
    Windows Autopilot は今回は紹介しませんが、Autopilot デバイス準備ポリシーをアサインすることもできます。
    
11. [スコープ タブ] は今回は既定のまま進めます。
    
12. [割り当て] にて、Windows 365 Cloud Apps を割り当てるグループを追加します。今回は事前に、[Windows 365 Cloud Apps Users] というグループを作成してあるので、それを選択します。
    
13. グループ追加後、[クラウド PC のサイズ] の欄で [1 つ選んでください] と表示されています。ここで、事前に購入していた Windows 365 Frontline ライセンスを割り当てます。
    
14. グループにクラウド PC のサイズが設定されたことを確認します。
    
15. [確認と作成] にて設定内容が正しいことを確認し、[作成] を選択します。
    
16. 作成を選択後、クラウド PC のプロビジョニングが開始されます。
    [すべてのクラウド PC] の項目でプロビジョニング済みになるまで待ちます。
    
17. 私の環境では、プロビジョニング完了まで、約 1 時間 30 分ほどかかりました。
    これで、エンド ユーザーにアプリケーションを公開するための Windows 365 デスクトップ環境が整いました。この後のステップにて、どのアプリケーションをエンド ユーザーに公開するか選択していきます。
    
18. [すべてのクラウド アプリ] を開きます。下記、スクリーン ショットのようにアプリケーションがいくつか表示されています。先ほど、プロビジョニングされた Windows 365 環境にインストールされているアプリケーションということになります。なので、プロビジョニングする際にカスタム イメージを用いれば、そのカスタム イメージに含まれるアプリケーションも表示されるかと思います。
    
19. 今回は、Word アプリを公開してみましょう。一覧から [Word] を選択して、[発行] を選択します。
    
20. 下記の確認画面が表示されるので、[発行] を選択します。
    
21. 無事、[アプリの状態] が [発行済み] になりました。
    以上で管理者側での設定は完了です。
    
22. プロビジョニング ポリシーで割り当てした、グループに所属しているユーザーで Windows App を開きます。
23. 対象ユーザーで Windows App を開くと、左側の欄に通常表示される [デバイス] 以外に [アプリ] が表示されるのが分かります。
    
24. [アプリ] を選択すると、先ほど管理者側で設定したアプリである、Word が表示されています。
    
25. では、Word を選択して接続してみましょう。ここからのステップは動画の方がイメージつきやすいと思うので、下記の動画をご覧ください。
    

<まとめ>

今回は、Windows 365 の新サービスである、Windows 365 Cloud Apps を紹介しました。Preview 期間中から気になっていましたが、結局触ることなく、GA していました。ようやく、GA 後に触れることができて一安心です。Windows 365 Frontline ライセンスが有効な間に色々と触れることができればと思います。ギャラリー イメージ以外も公開してトライしてみたいな～と思っています。また、このブログでも Windows 365 Cloud Apps の話題を取り上げれればと思います。

今回は、直近リリースされた、Microsoft Configuration Manager (Configuration Manager, Microsoft Configuration Manager (MCM), SCCM) Current Branch (CB) 2509 について紹介したいと思います。

今回の Microsoft Configuration Manager CB 2509 リリースについては、特に製品チーム ブログや X (旧 Twitter) でのアナウンスは今日現在 (2025/11/18) ではありませんでした。

リリース日は 2025/11/14 (米国時間 2025/11/13) かと思います。

Configuration Manager CB 2509 の新機能については、Microsoft Learn をご確認ください。

What’s new in version 2509 of Configuration Manager current branch

先日の発表でもアナウンスされていましたが、今回のリリースは、Secure Future Initiative (SFI) にフォーカスしたリリースとなり、目立った新機能の追加は無いようです。

<Early update ring について>

今回もまたそうですが、Configuration Manager は、リリース当初は、Early update ring と呼ばれるリングに、PowerShell のスクリプトを実行してオプトインしないと Configuration Manager CB 2509 にはアップグレードできません。そのため、一定期間 (数週間) は下記の手順に従ってアップグレードを行う必要があります。

※ Configuration Manager CB 2509 にアップグレードする場合は、Configuration Manager CB 2403 以降を実行している必要があります。

<事前準備 : Windows ADK の更新>

必要に応じて、Configuration Manager サーバーのアップグレード前に、Windows ADK を更新してください。Configuration Manager Current Branch 2509 がサポートしている Windows ADK 情報を確認しようとしたところ、まだサイトが更新されていませんでした。

基本的には、Configuration Manager Current Branch 2403 から変わらず、CB 2503 と同様かと思います。

Support for the Windows ADK in Configuration Manager

<Windows 11 のサポート>

Configuration Manager での Windows 11 のサポートですが、 2107 の時からサポートされています。

まだ、本日時点だと CB 2509 の記載が無いですね。

Support for Windows 11 in Configuration Manager

<Configuration Manager CB 2509 へのアップグレード方法 (Early update ring 編)>

1. こちらのサイトにアクセスし、[Version 2509 opt-in script] をダウンロードします。
   
2. インターネットからダウンロードしてきたファイルには Mark of the Web が付与されているため実行前に解除します。ファイルの [プロパティ] を選択します。
   
3. [許可する] を選択します。
   
4. [EnableEarlyUpdateRing2509.exe] を管理者権限で実行します。
5. PowerShell スクリプトの展開先を選びます。既定では、同じフォルダーに展開されるようになっています。展開先を [Browse] で選択後、[OK] を選択します。
   ※ ここでは、[C:\EnableEarlyUpdateRing2509] を選択しています。
   
6. PowerShell が展開されると、下記の画面が表示されますので、[OK] を選択します。
   
7. PowerShell を管理者権限で起動し、PowerShell スクリプトを展開した先に移動後、下記のコマンドを実行します。

   .\enableearlyupdatering2509.ps1 <サイト サーバー名 or CAS サーバー名>

   

8. Configuration Manager コンソールを開き、[管理] > [概要] > [更新とサービス] を開きます。自動的に Configuration Manager CB 2509 がダウンロードされ、[インストールの準備完了] になりますが、ならない場合は、上部のリボンから [更新プログラムの確認] を選択します。
   ※ 必要に応じて [ダウンロード] も選択してください。
   
9. タブの [状態] が [インストールの準備完了] になったら、上部のリボンから [前提条件チェックを実行] を選択します。
   
10. 今回は、前提条件チェックには合格しましたが、警告が発生していました。
    
11. 何が警告なのかは、[監視] > [概要] > [更新とサービスの状態] で確認できます。
12. 警告の一つ目
    

    ---

    [完了 (警告あり)]:資産インテリジェンス機能は非推奨となり、将来のリリースで廃止される予定です。資産インテリジェンス同期ポイントの役割を削除してください。詳細については、「https://aka.ms/removeAIsyncpointrole」を参照してください。

    ---

    

13. 警告の二つ目
    

    ---

    [完了 (警告あり)]:HTTPS/Enhanced HTTP で構成されたサイト サーバーでは、ネットワーク アクセス アカウントが必須ではありません。このアカウントの最小限の適切なアクセス許可を確認し、より高い特権を持つアカウントを削除してください。利用されていない構成済みのネットワーク アクセス アカウントを削除することをお勧めします。ネットワーク アクセス アカウントの必要なアクセス許可の詳細については、https://go.microsoft.com/fwlink/?linkid=2210348 を参照してください。

    ---

    

14. 今回の警告は以前から表示されたものであり、今回のバージョンで追加されたものではないです。警告だけなので、アップグレードを進めます。
    [管理] > [概要] > [更新とサービス] に戻ります。
15. 画面上部の [更新プログラム パックのインストール] を選択します。
    
16. [Configuration Manager 更新ウィザード] が起動しますので、[前提条件チェックの警告をすべて無視し、要件を満たしていなくてもこの更新プログラムをインストールします。] にチェックを入れ、[次へ] を選択します。
    
17. [機能] にて、そのまま [次へ] を選択します。
    
18. [クライアント更新プログラムの設定] にて、既定の [検証なしでアップグレードする] を選択し、[次へ] を選択します。
    
19. [ライセンス条項] にて、[ライセンス条項およびプライバシーに関する声明に同意する] を選択し、[次へ] を選択します。
    
20. [クラウドアタッチ] では、既定のまま、[次へ] を選択します。
    
21. [概要] にて、内容が正しいことを確認し、[次へ] を選択します。
    
22. ウィザードを [閉じる] で閉じます。アップグレード作業が開始されます。
    
23. アップグレード進行状況は、[監視] > [概要] > [更新とサービスの状態] にて確認することができます。
    
24. アップグレード完了後に、Configuration Manager コンソールを開くまたは、Configuration Manager コンソール上にアップグレードの画面が表示されますので、コンソールをアップグレードします。
    
    
25. Configuration Manager コンソール更新後、バージョン情報を確認すると Microsoft　Configuration Manager CB 2509 にアップグレードされていることを確認できます。
    

<まとめ>

今回は、Microsoft Configuration Manager CB 2509 のリリースについてお伝えしました。リリースの公式アナウンスが無いのは悲しいですが。。。

今回ふと気づいたのですが、Microsoft Configuration Manager のプライマリ サイト サーバー等のサイト サーバーにて、Windows Server 2025 がサポート対象に追加されていました。

これで、Windows Server 2025 環境にもアップグレードできますね！

Supported operating systems for Configuration Manager site system servers

あと、Configuration Manager CB 2509 で追加されたと思われる、ブート イメージの項目に、[Windows UEFI CA 2023 で署名された Windows ブート ローダーを使用する] の項目を確認しました。

これは、セキュア ブート証明書の更新に伴うものかと思います。ブート イメージに対してマニュアルでケアするのではなく、ブート イメージのオプション項目で対応できるのはありがたいですね。

Windows セキュア ブート証明書の有効期限と CA 更新プログラム

今回は、本日 (2025/11/06) (米国時間 2025/11/05) に発表があった、Microsoft Configuration Manager (Configuration Manager) に関する大きな発表について取り上げたいと思います。

端的にお伝えすると、来年リリース予定のバージョン 2609 から、Microsoft Configuration Manager (Configuration Manager) のリリース頻度が今までの年 2 回から、年 1 回に変更となります。いわゆる、年次リリース頻度への移行となります。

Configuration Manager はセキュリティ、安定性、長期的なサポートに改めて重点を置き、オンプレミス デバイスのサポートを継続提供するということのようです。

本発表は、下記の Configuration Manager の製品チームのブログにて発表されました。

Announcing the Annual Release Cadence for Microsoft Configuration Manager

なぜ、年次リリース頻度に移行するのか、上記ブログの発表内容で触れられています。

背景として、エンドポイント デバイス管理の業界がクラウド ネイティブ管理に移行する中で、長期的な計画と運用の安定性をより適切にサポートするため、年次リリース頻度へ調整したとのことです。そのため、新機能よりも信頼性が優先されることになります。

デバイス管理の未来は、Microsoft Intune との記載もありました。長期的なエンドポイント デバイス管理を検討する際は、Microsoft Intune への移行も検討してみてください。

今後の Microsoft Configuration Manager (Configuration Manager) のリリースは下記が予定されています。

2509 (2025 年 12 月): ARM64 のサポートを含む、安定性と品質の更新

2603 (2026 年 3 月): Microsoft Secure Future Initiative に準拠したセキュリティの強化

2609 (2026 年 9 月): 新しいライフサイクル (年次リリース) での初めてのリリース

2709 (2027 年 9 月): 将来を見据えたリリース (詳細未定)

サポート ライフサイクルについて

サポート ライフサイクルについては、今まで通りと同じく、リリース日から 18 か月間のサポートが受けられます。

サポート中のバージョンについてのライフサイクルは下記のページで確認できます。

https://learn.microsoft.com/ja-jp/intune/configmgr/core/servers/manage/updates#supported-versions

<まとめ>

2023 年 4 月に、Microsoft Configuration Manager (Configuration Manager) のリリース頻度が年 3 回から年 2 回に変更されました。今回は、その年 2 回リリースが年 1 回リリースへと変更となった形です。

個人的には、Microsoft Configuration Manager (Configuration Manager) がリリースされるたびにどんな新機能が搭載されるのかワクワクしながら待っていたので、リリース頻度が変更され、新機能よりも安定性がフォーカスされることは残念なことですが、今の情勢を考えたりすると妥当なのかなと思ったりもします。

今後もこのブログにて、Microsoft Configuration Manager (Configuration Manager) の話題も取り扱う予定なので、ご安心ください。

Microsoft Configuration Manager (Configuration Manager) はよりセキュリティを含んだ安定性へシフトされる予定です。また、発表内容でも触れられていましたが、エンドポイント デバイス管理はクラウド ネイティブへと移行しつつあります。

もちろん、オンプレミス デバイスの管理のために、Microsoft Configuration Manager (Configuration Manager) は引き続きリリースされ、サポートされます。しかしながら、共同管理等を用いて、一部の管理を Microsoft Intune に向ける等、Microsoft Intune への移行も検討してみてはいかがでしょうか。また、長期的にエンドポイント デバイスの管理を検討される際は、是非、最初から Microsoft Intune での管理を検討をしてみてください。

ConfigMgr (Microsoft Configuration Manager (Configuration Manager)) はまだ死んでいなくて安心しました (笑) #ConfigMgrIsNotDead

今回は、Surface Laptop 13 インチ ビジネス モデル (Surface Laptop for Business 13in 1st Ed with Snapdragon) をレビューしたいと思います。

Surface Laptop 13 インチは、位置づけとして、Copilot+ PC となります。

今回のレビューにあたり、Surface Laptop 13 インチ ビジネス モデル (Surface Laptop for Business 13in 1st Ed with Snapdragon) を日本マイクロソフト様よりお借りいたしました。

Surface Laptop 13 インチ ビジネス モデルのレビュー記事をご覧いただく前に、先日 Surface Pro 12 インチ ビジネス モデルのレビューも行っているので、併せて下記の記事もご覧いただけますと幸いです。

[Review] Surface Pro 12 インチ ビジネス モデル

今回レビューする機種は下記になります。

<今回お借りしたデバイス>

Surface Laptop for Business 13in 1st Ed with Snapdragon (Model 2095)

CPU: Snapdragon X Plus (8-core) @ 3.30 GHz

Memory: 16 GB (8448 MT/秒)

Storage: 512 GB (UFS)

Network: Qualcomm FastConnect 7800 Mobile Connectivity System

OS: Windows 11 Pro (24H2)

Color: Platinum

<Surface Laptop 13 インチ開梱>

まずは、開梱から。

Surface Pro 12 インチと同様に環境に配慮された簡易梱包です。

箱の中の同梱物は、まず、電源アダプター (充電器) と USB-C ケーブルです。

Surface Pro 12 インチでは、電源アダプターが同梱されていませんでしたが、Surface Laptop 13 インチでは、電源アダプターも含めて同梱されています。

あとは、リーフレット関連のドキュメントです。

下記のような本体の全体像を説明したリーフレットも付属されていました。

このリーフレットにも記載がありますが、Surface Laptop 7th Edition や Surface Pro 11th Edition では、USB-C ポートが左側に搭載されていましたが、Surface Laptop 13 インチでは、右側に USB-C ポートが搭載されています。

そのため、USB-C ポートをご利用の場合は位置にご注意ください。私も最初、手持ちの Surface Thunderbolt 4 ドックに接続する際に戸惑いました (汗)

実際の本体右側面

本体左側面

正面から見たとき

<他モデルとの重さ比較>

さて、ここで自宅にあった Surface 他モデルとの重さ比較をしてみようと思います。

Windows 365 Link 記事の際に購入したデジタルはかりで測定していこうと思います。

※ あくまで、個人的に比較のために重量測定した結果となりますので、ご参考程度にご活用ください。

まず、今回の Surface Laptop 13 インチ ビジネス モデル > 1,228 g

Surface Laptop 6 for Business > 1,395 g

Surface Laptop 7th Edition (Snapdragon) > 1,337 g

Surface Laptop Studio 2 (NVIDIA RTX 2000 Ada モデル) + Surface ペン付き > 1,992 g

Surface Pro with 5G 11th Edition for Business + フレックス キーボード > 1,248 g

やはり、Surface Laptop 13 インチの重量は軽いですね。

<Surface Laptop 13 インチ セットアップ後のレビュー>

今回も、Surface Laptop 13 インチは Windows Autopilot を用いてセットアップを実施しました。Windows Autopilot 環境を用意しておくと、新規デバイスのセットアップも迅速に行うことができますね。新規デバイスから Windows Autopilot での展開を検討されることをお勧めします。

さて、それでは、前回の Surface Pro 12 インチと同様に、みんな大好きタスク マネージャーを見ていきましょう。

プロセッサは Snapdragon X Plus (8-core) です。

メモリは、844b MT/秒 の 16 GB メモリです。

ストレージは、KIOXIA 製でした。

Wi-Fi は、Wi-Fi 7 (802.11be) 対応の Qualcomm FastConnect 7800 Mobile Connectivity System です。

Copilot+ PC のため、NPU も搭載されています。

GPU は Adreno です。

<まとめ / 使用してみての感想>

Surface Laptop の新モデルである、ライトな Surface Laptop ですが、ライトとはいえ、Surface ブランドの良さは残した状態のデバイスだと思います。キーボードの打鍵感も Surface Laptop 7th Edition とそう変わらない、打ち心地の良いキーボードとなります。本記事もほとんど、Surface Laptop 13 インチで執筆していました。

ただ、ライトということもあり、私が自宅で作業するときのモニター構成は実現しませんでした。具体的には、Surface Thunderbolt 4 ドック経由で 4K モニター二枚構成 (Dell U3223QE, iiyama ProLite B2888UHSU) をしています。Surface Laptop 13 インチの場合は、残念ながら片方の 4K モニターしか接続できませんでした。試しに、Surface Thunderbolt 4 ドック経由ではなく、Surface Laptop 13 インチの二つの USB-C ポートに 4K モニターから USB-C ケーブルでそれぞれ接続したところ、二つのモニターを認識しました。この辺は何か制約があるのかもしれませんね。Surface Laptop 13 インチにて、Surface Thunderbolt 4 ドック経由のマルチ 4K モニターを検討中の方はご留意ください。

Surface Laptop 13 インチは、顔認識機能の代わりに電源ボタンにて指紋認証の構成になっています。日頃、顔認識機能でログインして Surface Pro 等を利用しているため、最初は慣れが必要でした。この点も考慮が必要かと思います。

考慮点も記載しましたが、日々の持ち歩きを考えるとこの重量感で良いパフォーマンスを出す機種だと感じました。また、Snapdragon 搭載ということもあり、バッテリー性能は抜群です。ハイスペックな Laptop を求めている方には物足りないと思いますが、普段使いの持ち歩きする Laptop には良い機種だと思いますので、是非ご検討ください。

個人的には、この機種で携帯ネットワーク (SIM 搭載モデル) があれば非常に良いな～と思いました。

Windows Server Update Services (WSUS) 向けに緊急度の高い、定例外の更新プログラム (out-of-band (OOB)) がリリースされましたので、皆さんにお知らせいたします。

今回、out-of-band (OOB) でリリースされたセキュリティ更新プログラムは、CVE-2025-59287 に対処するものとなります。

CVE-2025-59287 は CVSS Score 9.8 (10.0 が最高値) となっており、深刻度の高いものとなりますので、企業や組織にて迅速にセキュリティ更新プログラムを適用されることを強くお勧めします。

また、CVE-2025-59287 は既に PoC コードが利用可能であり、リモートでコードが実行される攻撃 (remote code execution (RCE)) が可能である可能性が高いとのことです。

Microsoft has updated the Exploit Code Maturity metric of the CVSS Temporal score from Unproven (U) to Proof-of-Concept (P) after confirming the availability of publicly disclosed PoC code for this CVE.

ちなみに、今回の CVE-2025-59287 については、Windows Server Update Services (WSUS) の役割が有効化されていない Windows Server はこの脆弱性の影響を受けません。

Windows servers that do not have the WSUS server role enabled are not vulnerable to this vulnerability.

<各 Windows Server でのセキュリティ更新プログラム一覧>

※ Windows Server 2025 および Windows Server 2022 環境では、Windows Update 経由でも今回の out-of-band (OOB) セキュリティ更新プログラムが配布されてきていることを実際に確認しております。

Microsoft Configuration Manager の Software Update Point (SUP) として、Windows Server Update Services (WSUS) を用いている場合もあるかと思いますので、企業や組織の担当者は、Windows Server Update Services (WSUS) 役割を有効化している Windows Server へ早期に今回リリースされたセキュリティ更新プログラムを適用されることを強くお勧めします。

本日 (2025/10/01) (米国時間 2025/09/30)、Windows 11 version 25H2 が正式リリースされました。

今回は、正式リリースされた、Windows 11 version 25H2 について簡単に取り上げます。

Windows 11 version 25H2 正式リリースについては下記の公式ブログにて紹介されています。

How to get the Windows 11 2025 Update [Windows Experience Blog]

An IT pro’s guide to Windows 11, version 25H2 [Windows IT Pro Blog]

Windows 11 version 25H2 は、先日開催の勉強会でも話題にしましたが、Windows 11 version 24H2 から enablement package (eKB) を用いてアップグレード可能です。

Windows 11 version 25H2 は、大きな機能アップグレードが含まれているというより、Windows 11 version 24H2 を継続的に改善したバージョンであるといえると思います。

本日より、Visual Studio Subscriptions や Microsoft 365 admin center や Microsoft Software Download Service からダウンロード可能です。

今朝時点で、Visual Studio Subscriptions サイトにて確認すると、下記のようにダウンロード可能でした。

x64 バージョン

Arm64 バージョン

Visual Studio Subscriptions サイトからダウンロードした ISO メディアの Build は Build 26200.6584 でした。

Microsoft Intune の機能更新プログラムのポリシー設定に、Windows 11 version 25H2 が来ていました。

<Windows 11 version 25H2 新機能キャッチアップ>

冒頭でもご紹介しましたが、Windows 11 version 25H2 は新機能が盛りだくさんというわけではありません。

いくつか、Windows 11 version 25H2 の新機能をキャッチアップしておきます。

まずは、エンタープライズ向け Wi-Fi 7 のサポート (Wi-Fi 7 for enterprise connectivity)

https://aka.ms/WiFi7forEnterprise

次に、過去にブログ記事でも紹介した、Microsoft Store アプリの削除グループ ポリシーの追加

Windows 11 version 25H2 で追加される Microsoft Store アプリの制御ポリシー

あとは、いくつかの Copilot+ PC での機能強化 (Click to Do など) になります。

<勉強会資料>

Windows Server ＆ Cloud User Group Japan 第 47 回勉強会にて、Windows 11 version 25H2 を企業や組織内で展開するにあたっての考慮事項等を紹介しました。

勉強会の資料は下記で公開していますので、是非ご覧ください。

<まとめ>

いよいよ、正式に Windows 11 version 25H2 がリリースされました。私は、エンタープライズ向け Wi-Fi 7 対応がとてもうれしく、自宅 Aruba を使って早くテストしてみたいと思います。

皆さんも、企業や組織内での展開に備えて、Windows 11 version 25H2 の検証を行っていただければと思います。