山市良の「企業ユーザーはここに注目しよう!Windows 8.1の新機能」 最終回
Enterpriseエディション限定機能、8.1ではWindowsストアの使用制限も解除
Windows 8.1を持ち歩く「Windows To Go」の活用と注意点
2013年10月10日 08時00分更新
USBドライブは暗号化、ローカルディスクは使わない安全な仕様
Windows To GoワークスペースのUSBドライブの作成方法を説明する前に、まずはWindows 8.1 Enterprise Previewで作成したWindows To GoワークスペースのUSBドライブを使ってPCを起動する様子を見ていただこう。
前述したとおり、Windows To Goワークスペースにはユーザーが作成したドキュメントや設定情報も保存できる。だが、企業の機密データや企業ネットワークへの接続情報などが含まれるUSBドライブを持ち歩くというのは、紛失や盗難のリスクを考えると心配だ。
そこでWindows To Goワークスペースは、標準でBitLockerドライブ暗号化(TPMを使わないBitLocker To Go方式)に対応しており、ワークスペースの作成時または初期設定時に暗号化の設定ができるようになっている。暗号化保護されたWindows To GoワークスペースのUSBドライブでPCを起動すると、ドライブのロックを解除するためのパスワード入力が求められる。
ちなみに、ローカルディスクのWindowsが起動しているマシンにこのUSBドライブを接続した場合は、通常のBitLocker To Goで暗号化されたUSBドライブと同様の扱いとなる。つまり、BitLocker To Goに対応したWindows 7以降で稼働しているマシンならばパスワード入力や回復キーを使ってロックを解除できるが、それ以外の方法では内容を参照することができない。
Windows To GoワークスペースをインストールしたUSBドライブは、同じUSBドライブで複数のPCをローミングできる。BIOSベースのPCとUEFIベースのPCの両方で起動することが可能だ。Windows 7対応のPCであれば問題なく起動できるはずである。また、USB 3.0ポートに接続することが推奨されるが、USB 2.0でも大丈夫だ。なお、当然ではあるが、Windows To Goワークスペースが64ビット版のWindowsの場合は、64ビット(x64)プロセッサを搭載したPCでなければ起動できない。
Windows To GoワークスペースでそのPCを初めて起動した場合は、新しいハードウェアとして検出され、自動的にデバイスの検出とインストールが行われる。そのため、初回にはWindows 8.1が完全に起動するまでにしばらく時間がかかる。同じPCで2回目以降に起動する際は、比較的短時間で起動が完了する。
暗号化保護されたWindows To GoワークスペースのUSBドライブでPCを起動したところ。起動のためにパスワードを入力してロックを解除する必要がある
初めてそのPCで起動する場合は、デバイスの検出とインストールの処理を行うため、起動までにしばらく時間がかかる。2回目以降の起動時にはこのプロセスが省かれるので、起動時間は短縮される
Windows To Goで起動したところ。見た目も機能も操作性も、ローカルインストールのWindows 8.1と何ら変わらない。この例ではActive Directoryドメインの参加設定やDirectAccessクライアントの設定を組み込んでいるので、たとえばこのUSBデバイスで自宅のPCを起動すれば、Active DirectoryドメインのユーザーIDでサインインし、DirectAccessの接続経由で社内リソースにアクセスできる
通常の方法で操作しているかぎり、ユーザーはローカルインストールとWindows To Goワークスペースとの違いを感じることはないだろう。USBコネクタが抜けやすいことには注意が必要だが、Windows To Goワークスペースで作業中に誤ってUSB接続が切断されても、画面がフリーズするだけだ。60秒以内に再接続すればフリーズは解かれ、作業を継続することができる。切断されたまま60秒を経過すると、自動的にシャットダウン処理が行われてPCの電源がオフになる。USB接続に対するこの安全機構は、通常のローカルインストールとWindows To Goワークスペースの大きな違いの1つである。
作業中に誤ってUSBドライブを抜いて(切断して)しまっても、60秒以内に再接続すれば作業は継続できる。ただし切断中は画面がフリーズし、キーボードやマウスの操作も効かなくなる。切断したまま60秒が経過すると、PCが自動的にシャットダウンされる
もう1つ、Windows To Goワークスペースの作業環境には特筆すべき仕様がある。 それは、OSのインストールされたローカルディスクが既定でオフラインになる(マウントされない)ことである。この仕様は、ローカルにインストールされたシステムを誤って破壊してしまうことを防ぐだけでなく、セキュリティ上の効果も大きい。ローカルディスクをまったく使用せずに動作するので、ローカルディスクにセキュリティ情報などのデータや履歴が残らないわけだ。
なお、オフラインになる対象はWindowsがインストールされたディスクであり、OSを含まないデータ用ドライブやWindows To Go以外のリムーバブルドライブは通常どおりマウントされ、Windows To Goワークスペースから読み書きできる。
Windows To Goワークスペースで起動したPCでは、Windowsがインストールされたディスクは既定でオフラインになり、マウントされない。ローカルのシステムを誤って破壊するのを防ぐだけでなく、ローカルディスクに機密データや履歴を残さないというセキュリティ上の利点もある
(→次ページ、Windows To Goワークスペースの作成ツールはEnterpriseだけ)
この連載の記事
-
第5回
ソフトウェア・仮想化
企業内リソースへの自動リモート接続機能「DirectAccess」 -
第4回
ソフトウェア・仮想化
面倒な操作をなくす!Windows 8.1「自動VPN接続」を使う -
第3回
ソフトウェア・仮想化
Windows 8.1の新しいファイル同期機能「作業フォルダー」 -
第2回
ソフトウェア・仮想化
Win 8.1のBYOD機能「社内参加(Workplace Join)」を使う -
第1回
ソフトウェア・仮想化
Windows 8.1で「クライアントHyper-V」はこう改善された -
ソフトウェア・仮想化
山市良の「企業ユーザーはここに注目しよう!Windows 8.1の新機能」 - この連載の一覧へ
