本書は Microsoft Certified Solution Assicate(MCSA) 資格試験 Configuring Windows Devices (70-697) の受験対策用の教材です 株式会社インプレスおよび著者は 本書の使用による Configuring Windows Dev

インプレスの書籍ホームページ

書籍の新刊や正誤表など最新情報を随時更新しております。

http://book.impress.co.jp/

本書は、Microsoft Certified Solution Assicate（MCSA）資格試験「Configuring Windows Devices （70-697）」の受験対策用の教材です。株式会社インプレスおよび著者は、本書の使用による 「Configuring Windows Devices（70-697）」試験への合格を一切保証しません。

本書の内容については正確な記述につとめましたが、著者、株式会社インプレスは本書の内容に基 づく試験の結果にも一切責任を負いません。

Microsoft、Windowsは、米国Microsoft Corporationの米国およびその他の国における登録商標です。 その他、本文中の製品名およびサービス名は、一般に各開発メーカーおよびサービス提供元の商標 および登録商標です。なお、本文中には™、®、©は明記していません。

Copyright © 2016 Socius Japan, Inc. All rights reserved.

本書の内容はすべて、著作権法によって保護されています。著者および発行者の許 可を得ず、転載、複写、複製等の利用はできません。

はじめに

「Configuring Windows Devices（70-697）」は、主に企業ネット ワーク環境においてWindows 10の実装、管理、展開などを行うス キルを評価するMCPプログラムの認定試験です。合格するためには、 Windows 10の機能や特徴についての知識だけでなく、シナリオに 沿った実装方法や管理方法を的確に選択する能力が求められます。 従来のOSと比較すると、Windows 10では、タブレットやスマート フォンなどを含めたマルチデバイス向けの機能や、サーバーやクラ ウドとの連携といった要素が格段に増えています。そのため、コン ピューターで利用する範囲に留まらず、さまざまなデバイスでの使 用や、サーバーやクラウドからの管理および設定方法についても問 われることが、この試験の特徴です。

本書はConfiguring Windows Devicesを対象とした、最新の試験 範囲に対応した問題集です。 基礎知識の確認のための簡易な問題から試験レベルに相当する 応用問題まで、幅広く掲載しています。また、各問題の解答は、 単なる答え合わせのような解説ではなく、基本的な技術の解説に 加えて、どのような場面で役立つか、使用上の注意点、なぜ正解か、 なぜ不正解かといったことをていねいに説明しています。そのた め、本書1冊で合格レベルの実力と本質的な理解を身に付けていた だけます。 日々Windows 10を使っていても、そのすべての機能に精通して いる方はなかなかいらっしゃらないことでしょう。本問題集では、 限られた紙面の範囲内でできるだけ多くの画面イメージを掲載する ことで、理解しやすい解説になるよう心がけました。しかし、紙 面だけで実機の操作性や一連の設定の全体像を把握するのは困難で す。より高い学習効果が得るために、ぜひWindows 10を搭載した 機器を実際に操作しながら学習を進めてください。 最後になりましたが、本書をご活用いただき、より多くの方が 70-697試験に合格されることを祈念いたします。 2016年10月 著者

4

マイクロソフト認定技術資格制度の概要

MCPプログラム（Microsoft Certified Professional Program：マイクロソフト認 定技術資格制度）は、システムエンジニア、システムインテグレーター、コンサル タント、プログラマ、トレーナーなど、コンピューターや情報システム関連の技術 者を対象とした、マイクロソフト製品の技術的知識に関する認定資格制度です。 MCPプログラムは、米国をはじめとする世界150カ国以上で実施されています。 試験問題は、米国で開発されたのち、各国語にローカライズされているため、世界 共通の内容と基準で提供されています。このため、MCPを取得することによって、 世界的に技術力を証明することができます。 ■ マイクロソフトの資格体系 マイクロソフトの資格は、技術レベルに応じて、次の3つのレベルに分類されます。 各レベルとも、対象となる技術別に複数の資格に分かれています。 ● MTA（マイクロソフト認定テクノロジーアソシエイト） 入門レベルの資格で、基礎的な技術知識を有していることを証明します。ITキャ リアをスタートしたばかりの人や、ITの基本について理解を深めたいと考えている IT以外の職種の人、IT技術者を目指す学生などが対象です。 ● MCSA（マイクロソフト認定ソリューションアソシエイト） 初級の技術者に必要な技術レベルを有することを証明する資格です。取得するこ とでIT業界に就職・転職する際の足掛かりを得られると同時に、上級レベルの資格 取得を目指すための必須要件を満たすことができます。 ● MCSE（マイクロソフト認定ソリューションエキスパート）／MCSD（マイクロ ソフト認定ソリューションデベロッパー） マイクロソフト資格体系の最上位に位置し、経験を積んだ技術者・開発者が目指 すべき資格です。マイクロソフトのクラウド技術やソリューションの設計や構築に 関して、高度な専門知識を有することを証明します。 マイクロソフト認定 テクノロジーアソシエイト （MTA） マイクロソフト認定 ソリューションアソシエイト （MCSA） マイクロソフト認定 ソリューションエキスパート （MCSE） マイクロソフト認定 ソリューションデベロッパー （MCSD）

Windows 10関連の資格

Configuring Windows Devices試験は次の資格の対象科目になっています。 ● MCSA Windows 10

Windows 10 のエンタープライズシステムを構成、管理、サポートするための専 門知識があることを証明する資格です。次の 2 科目に合格することで取得できます。

・ Configuring Windows Devices（70-697） ・ Installing and Configuring Windows 10（70-698） ● マイクロソフトスペシャリストWindows 10

Windows 10 についての専門知識があることを証明する資格です。次の 1 科目に 合格することで取得できます。

・ Configuring Windows Devices（70-697）

Configuring Windows Devices (70-697）試験について

■試験概要 この試験では、マルチデバイス向けの機能や、サーバーやクラウドとの連携といっ た幅広い知識が要求されます。試験に合格することによって、強固なIDの作成、コ ンテンツの保護、モバイルデバイス管理ポリシー、Hyper-Vによる仮想化、会社ポー タルとWindowsストアによるアプリケーション管理、Windows 10のセキュリティ、 統合されたAzure機能などについて基本的な知識とスキルを有していることが実証 されます。 受験者は、プロフェッショナルとしての経験に加えて、次の技術知識をすでに身 に付けていることが求められます。 ・ Windowsデスクトップの管理、保守、およびトラブルシューティングの経験 ・ Windowsのネットワークテクノロジの基本的な経験と理解

・ Active DirectoryとMicrosoft Intuneの入門レベルの知識 ■試験範囲 ● IDの管理（10∼15％） ・ Windowsストアおよびクラウドアプリをサポートする ・ 認証と承認をサポートする ● デスクトップとデバイスの展開の計画（10∼15％） ・ ユーザーデータを移行および構成する ・ Hyper-V を構成する 5

・ モビリティオプションを構成する ・ モバイルデバイスのセキュリティを構成する ● Microsoft Intune デバイス管理ソリューションの計画と実装（10∼15％） ・ モバイル デバイスをサポートする ・ Microsoft Intuneを使ったソフトウェア更新プログラムの展開 ・ Microsoft Intuneを使ったデバイスの管理 ● ネットワークの構成（10∼15％） ・ IPの設定を構成する ・ ネットワーク設定を構成する ・ ネットワークセキュリティを構成および管理する ● 記憶域の構成（10∼15％） ・ データ記憶域をサポートする ・ データセキュリティをサポートする ● データ アクセスと保護の管理（10∼15％） ・ 共有リソースを構成する ・ ファイルとフォルダーへのアクセスを構成する ● リモート アクセスの管理（10∼15％） ・ リモート接続を構成する ・ モビリティオプションを構成する ● アプリの管理（10∼15％） ・ Azure RemoteAppの展開と管理 ・ デスクトップアプリをサポートする ● 更新と回復の管理（10∼15％） ・ システム回復を構成する ・ ファイル回復を構成する ・ 更新を構成および管理する ■ 試験要項 試験番号： 70-697

科目名： Configuring Windows Devices 試験時間： 120分 受験料： 21,103円＋税 ■ 出題形式 試験は、コンピューターのディスプレイに表示される問題に、コンピューター を使用して解答する形式で行われます。複数の選択肢から適切な解答を選択する多 岐選択方式の問題、画面や資料を参照して解答する資料参照問題、選択肢を適切な 順に並べかえるドラッグ＆ドロップ問題などが用意されています。 6

7

受験申し込み方法

MCP試験は、株式会社ピアソンVUEのWebサイト、または電話で申し込みます。 各試験センターの会場で随時受験することができます。 ・株式会社ピアソン VUE URL https://www.pearsonvue.co.jp/ Tel 0120-355-173または0120-355-583（9:00～18:00、土日祝日、年末年始休業を除く） ※Webで申し込む場合は、アカウントを作成する必要があります。

MCPの問い合わせ先

MCPの制度および受験後の認定証の取得に関する詳細はマイクロソフトのWeb サイトを参照してください。 ・ マイクロソフト認定プログラム事務局 MS-Learning窓口 URL https://www.microsoft.com/ja-jp/learning/ Tel 0120-77-2057（9:00～17:30、土日祝日、指定休業日を除く）

本書の活用方法

　本書は、「Configuring Windows Devices（70 -697）」試験の合格を目指す方を対 象とした問題集です。本文は、出題範囲に沿った問題と解答で構成されています。 第1章から第9章までは、出題範囲のカテゴリ別の章立てになっています。第10章と 第11章は、模擬試験の位置付けとなる「総仕上げ問題」です。各章の問題・解説で 学習したのちに、実戦形式の総仕上げ問題で受験対策の仕上げをしましょう。 ① 問題を解きながら合格レベルの実力が身に付く 　単なる試験対策の問題だけでなく、本試験の問題を解くために必要な知識やスキ ルを身に付けるための問題も掲載されています。第1章～第9章の問題は、解き進め ていくとそのカテゴリに関する理解度が深まるように構成されています。 ② 丁寧な解説と重要項目がわかる試験対策 　解説では、正解・不正解の理由をていねいに説明しています。 　本文中の「試験対策」欄には、試験の重要項目を挙げていますので、試験対策を 効率的に行うことができます。 ③ 本試験と同レベルの模擬問題を2回分掲載 　第10章と第11章には、本試験と同レベルの問題を掲載しています。受験対策の総 仕上げとして、本試験と同じ時間（目安は120分）で解いてみましょう。2回分の模 擬問題を解くことで、より実戦的な試験対策が可能になります。

8 解答ページ 問題の右下に、解答ページが表示さ れています。ランダムに問題を解く ときも、解答ページ探しに手間取る ことがありません。 □13. USMTを使って、Windows 7を実行するコンピューターからWindows 10を実行するコンピューターへデータを移行しようとしています。 Windows 7を実行するコンピューターで実行するプログラムはどれで すか。 A. DISM.exe B. Scanstate.exe C. Sysprep.exe D. Loadstate.exe aP 66 □17. あなたは社内のドメイン管理者です。社内にはドメインに参加した Windows 10のコンピューターが複数台あります。ユーザーアカウント に設定されるパスワードはある程度の強度を持つ文字列に設定させたい と考えています。強制したいパスワードの要件は以下のとおりです。 ・ユーザー名と同じにはできない ・英大文字、英小文字、数字、記号から3つ以上のカテゴリを組み合わ せる この要件を満たすために、構成する必要のあるポリシーはどれですか。 画面から選択してください。 A B C D E F aP36 □37. あなたは、Windows 10 Enterpriseコンピューターの管理者です。社 内のコンピューターはドメインに参加して使用しています。ユーザーが 自宅で所有するコンピューターから、インターネットを介して社内の自 分のコンピューターにリモートデスクトップ接続できるように構成した いと考えています。必要となるサーバーは社内に準備しました。社内の コンピューターと自宅のコンピューターのそれぞれで必要となる設定は どれですか？ A. リモートデスクトップ接続で社内のコンピューターのアドレス を指定する B. リモートデスクトップ接続でVPNサーバーのアドレスを指定 する C. リモートデスクトップ接続を許可する D. リモートデスクトップ接続でドメインコントローラーのアドレ スを指定する E. リモートアシスタンス接続を許可する F. リモートデスクトップ接続でRDゲートウェイのアドレスを指定 する ① 社内のコンピューターで必要な設定［  ］ ② 自宅のコンピューターで必要な設定［  ］ aP413 チェックボックス 確実に理解している問題のチェックボックス を塗り潰しながら問題を進めれば、2回目から は、不確かな問題だけを効率的に解くことが できます。すべてのチェックボックスが塗り 潰されれば、合格は目前です。 ● 多岐選択問題 選択肢の中から、1つまたは指定された数の正 解を選択する問題を想定したものです。 ● 資料参照問題 提示される資料や画面を参照し、解答する問 題を想定したものです。 ● ドラッグアンドドロップ問題 選択肢を該当する項目に割り当てる問題を想 定したものです。

本書の構成

■ 問題

本書の問題は、「Configuring Windows Devices」試験への合格に必要な知識を 効率的に学習することを目的に作成したものです。解答していくだけで、合格レベ ルの実力が身に付きます。

■ 解答

出題方式に応じて以下のように解答してください。解説には、問題の正解およ び不正解の理由だけでなく、用語や重要事項などが詳しく解説されています。

本文中で使用するマーク

解答ページには、以下のマークで重要事項や参考情報を示しています。 試験対策のために理解しておかな ければいけないことや、覚えてお かなければいけない重要事項を示 しています。 試験対策とは直接関係はありませ んが、知っておくと有益な情報を 示しています。 ※本書は基本的にビルド1511（10586）に基づいて執筆しています。 　仕様・試験の内容は変更される可能性があります。 9 解説（用語） 重要な用語は、太字で表記されています。 問題ページ 問題文を参照したいときに便利です。 解説（選択肢） 正解である選択肢はBや（B）のように、不 正解である選択肢はAや（A）のように表記し、 それぞれの根拠を表示しています。 13. B USMTを使ってデータを移行するときに、移行元となるコンピューターでは Scanstate.exeを実行します（B）。それに対して、移行先のコンピューターでは、 Loadstate.exeを実行します（D）。 USMTは、Scanstate.exeとLoadstate.exeの2つのプログラムから構成されてい ます。Scanstate.exeは、コンピューターからデータを吸い上げるプログラ ムです。そのため、移行元のコンピューターで実行する必要があります。移 行先のコンピューターでは、Loadstate.exeを実行することで吸い上げた データを復元します。 【ScanstateとLoadstate】 移行元 コンピューター コンピューター移行先 Scanstate Loadstate ファイルサーバー DISM.exeは参照コンピューターからイメージファイルを作成するために実行 するツール（A）、Sysprep.exeは参照コンピューター上の固有情報を削除する ツール（C）です。 a P46 Scanstate.exeとLoadstate.exeを、移動元、移動先のどちらのコンピュー ターで実行すべきかを正しく理解しておきましょう。

目次

はじめに ……… 3 マイクロソフト認定技術資格制度の概要 ………… 4 Windows 10関連の資格 ……… 5 Configuring Windows Devices (70-697）試験について… 5 受験申し込み方法 ……… 7 本書の活用方法 ……… 7 本書の構成 ……… 8

第 1 章 ID の管理

問題 ……… 14 解答 ……… 20

第 2 章 デスクトップとデバイスの展開

問題 ……… 42 解答 ……… 54

第 3 章 Microsoft Intune によるデバイス管理

問題 ……… 94 解答 ……… 101

第 4 章 ネットワークの構成

問題 ……… 130 解答 ……… 138

第 5 章 記憶域の構成

問題 ……… 174 解答 ……… 182 10

11

第6章 データアクセスと保護の管理

問題 ……… 210 解答 ……… 220

第 7 章 リモートアクセスの管理

問題 ……… 258 解答 ……… 266

第 8 章 アプリの管理

問題 ……… 296 解答 ……… 305

第 9 章 更新と回復の管理

問題 ……… 336 解答 ……… 345

第10章 総仕上げ問題①

問題 ……… 376 解答 ……… 398

第11章 総仕上げ問題②

問題 ……… 420 解答 ……… 442 索引 ……… 458

■ _{Microsoftアカウント} ■ _{Azure ADアカウント} ■ _{Windows Hello} ■ _{Microsoft Passport} ■ _{パスワードのポリシー} ■ _{ピクチャパスワード} ■ _{多要素認証} ■ _{仮想スマートカード}

IDの管理

第

1

章

14

□

1. Windows 10へのサインインに利用できるアカウントはどれですか。 （複数選択） A. Active Directoryアカウント B. Microsoftアカウント C. Azure ADアカウント D. ローカルアカウント

□

2. Microsoftアカウントの説明として適切なものはどれですか。 A. Active Directoryに格納されたアカウント B. コンピューターのローカルに作成するアカウント C. マイクロソフトが提供するWebサービスにサインインするため のアカウント D. コンピューターに対して管理者権限を持つ既定のアカウント

□

3. Microsoftアカウントの作成に使用するツールはどれですか。（2つ選択） A. Webブラウザー B. コンピューターの管理 C. 設定アプリ D. モビリティセンター

□

4. 設定アプリからMicrosoftアカウントを作成するときに新規に取得する メールアドレスの形式として、適切なものはどれですか。 A. xxx@microsoft.com B. xxx@ms.account.jp C. xxx@live.com D. xxx@outlook.jp a P20 a P21 a P22 a P23 14

15 ID_の 管 理 ︵ 問 題 ︶ 第 1 章

□

5. Microsoftアカウントを用いてWindows 10にサインインする場合、デ バイス間で同期可能な設定はどれですか。（複数選択） A. Webブラウザーの設定 B. デスクトップのデータ C. パスワード D. 言語設定

□

6. あなたは、Windows 10 Enterpriseコンピューターからなるドメインの 管理者です。あなたの会社では、業務用のデータやコンピューター設定 を社外で使用することを禁止しています。その一環として、Microsoft アカウントによるサインインをブロックしたいと考えています。利用す るツールはどれですか。 A. 簡単設定 B. グループポリシー C. Windows Defender D. コンピューターの管理

□

7. あなたは、Windows 10 Enterpriseコンピューターからなるドメイン の管理者です。あなたの会社では、コンピューターに対するMicrosoft アカウントによるサインインが許可されていますが、Webブラウザー の設定については、ほかのコンピューターに同期されることを防ぐ必要 があります。利用するツールはどれですか。（2つ選択） A. インターネットオプション B. グループポリシー C. コントロールパネル D. 設定アプリ a P24 a P25 a P27 15

16

□

8. SIDの説明として適切なものはどれですか。 A. アクセス制御のためのリスト B. 画面上に表示される表示名 C. アカウントごとに付けられる内部的なID D. アクセス制御リストに含まれるエントリ

□

9. Windows Hello認証の説明として適切なものはどれですか。 A. 指紋や虹彩などによる生体認証を提供する機能 B. ユーザー名とパスワードの入力によって認証を提供する機能 C. スマートカードに格納された情報の提示によって認証をする 機能 D. 音声を使った認証を提供する機能

□

10. Microsoft Passportの説明として適切なものはどれですか。 A. 異なる組織間でID連携を行うためのサービス名 B. Windows Helloに対応したデバイスの総称 C. WindowsアプリケーションやWebサービスでWindows Helloを 利用可能にする機能 D. Outlook.comやOneDriveなどを利用するために必要なアカウ ント

□

11. Microsoft Passportで使用するPINの複雑さを定義するには、どのツー ルを使いますか。 A. 設定アプリ B. グループポリシー C. pinconfig.exe D. 資格情報マネージャー a P28 a P29 a P29 a P30 16

17 ID_の 管 理 ︵ 問 題 ︶ 第 1 章

□

12. Azure ADを使用するサービスはどれですか。（2つ選択） A. Office 365 B. AD FS C. Microsoft Intune D. AD DS

□

13. あなたの会社には、Windows 10を実行するコンピューターやモバイル デバイスがあります。また、マイクロソフトから提供されるSaaSアプ リケーションであるOffice 365やMicrosft Intuneなどを利用し、業務 上の連絡やモバイルデバイス管理を行っています。これらのクラウド サービスにシングルサインインできるように、Windows 10コンピュー ターを構成したいと考えています。必要なアカウントはどれですか。 A. ドメインアカウント B. ローカルアカウント C. Microsoftアカウント D. Azure ADアカウント

□

14. Azure ADへの参加が可能なWindows 10のエディションはどれですか。 （複数選択） A. Home B. Pro C. Enterprise D. Education

□

15. 設定アプリからAzure ADに参加する操作はどこから行いますか。 A. デバイス B. アカウント C. 更新とセキュリティ D. システム a P31 a P32 a P33 a P34 17

18

□

16. オンプレミスのAD DSとAzure ADの同期を行うために必要なツールは どれですか。

A. Windows Server移行ツール

B. Active Directory Rights Management Services C. ディレクトリ同期ツール D. Microsoft Dynamics CRM

□

17. あなたは社内のドメイン管理者です。社内にはドメインに参加した Windows 10のコンピューターが複数台あります。ユーザーアカウント に設定されるパスワードはある程度の強度を持つ文字列に設定させたい と考えています。強制したいパスワードの要件は以下のとおりです。 ・ユーザー名と同じにはできない ・英大文字、英小文字、数字、記号から3つ以上のカテゴリを組み合わ せる この要件を満たすために、構成する必要のあるポリシーはどれですか。 画面から選択してください。 A B C D E F

□

18. ピクチャパスワードの説明として適切なものはどれですか。 A. パスワードの代わりに、特定の写真を送信して認証する機能 B. パスワードの文字列を画像として残しておく機能 a P35 a P36 18

19 ID_の 管 理 ︵ 問 題 ︶ 第 1 章 C. 顔や指紋などの生体情報を用いて認証する機能 D. パスワードの代わりに、画像に対するジェスチャで認証する 機能

□

19. 多要素認証の説明として適切なものはどれですか。 A. ローカルアカウントとMicrosoftアカウントの両方を使用する こと B. 追加の認証情報を使用すること C. 異なるバージョンのWindowsで共通の認証情報を使用すること D. ドメインアカウントにMicrosoftアカウントを関連付けること

□

20. あなたの会社では、マイクロソフトのクラウドサービスであるOffice 365のテナントを所有しています。ユーザーからのアクセスを保護する ため、Azure多要素認証を用いて追加の認証を構成したいと考えていま す。追加の認証として利用可能な方法はどれですか。（複数選択） A. 仮想スマートカード B. テキストメッセージ C. モバイルアプリ D. 電話呼び出し

□

21. あなたは、会社のドメインの管理者です。あなたの会社では、Windows へのサインインのために仮想スマートカードを利用できるように構成す る予定です。社内の証明書サーバーで、仮想スマートカードログオンの 証明書が発行できるように準備しました。Windows 10で仮想スマート カードによるサインインができるように構成する必要があります。あな たが行う操作として適切なものはどれですか。（3つ選択） A. 証明書の登録ウィザードを実行する B. Tpmvscmgr.exeを実行する C. Devmgmt.mscを実行する D. Certmgr.mscを実行する E. Make-VirtualSmartCardコマンドレットを実行する a P37 a P38 a P38 a P39

20

第 1 章  IDの管理

解　答

1. A、B、C、D

Windows 10では、ローカルアカウント（D）、Active Directoryアカウント（A）、 Microsoftアカウント（B）、Azure ADアカウント（C）の4種類のアカウント が利用可能です。

Windows 7までのOSでは、ローカルアカウントまたはActive Directoryアカウ ントのいずれかを使ってログオンしていました。Windows 8でMicrosoftアカ ウントが追加され、Windows 10ではさらにAzure ADアカウントも追加された ため、計4種類のアカウントが利用可能になっています。 各アカウントの種類の概要は次のとおりです。 ● ローカルアカウント（D） コンピューターのローカルに作成するアカウントです。「コンピューター の管理」というツールを使って管理します。 ● Active Directoryアカウント（A） 組織内のActive Directoryドメイン上に作成するアカウントです。コンピュー ターがドメインに参加することによって、Active Directoryアカウントを使 用できます。 ● Microsoftアカウント（B） マイクロソフトが提供する各種Webサービスにアクセスするためのアカウ ントです。マイクロソフトのWebサイトなどで作成することができます。 使用するためにはインターネット接続が必要です。 ● Azure ADアカウント（C）

Microsoft Azureで作成可能な組織アカウントです。Microsoft Azureは、マ イクロソフトが提供するクラウドサービスで、Azure ADはその中で提供さ れるディレクトリサービスです。使用するためにはインターネット接続が 必要です。 どのアカウントを利用してサインインするかは、Windows 10のインストール 時に指定します。インストール後に、設定アプリから変更することもできます。 a P14

21 ID_の 管 理 ︵ 解 答 ︶ 第 1 章

2. C

Microsoftアカウントは、マイクロソフトが提供する各種Webサービスにア クセスするためのアカウントです（C）。 マイクロソフトはさまざまなWebサービスを提供しています。代表的な例と しては、Outlook.com、OneDrive、Xbox LIVE などがあります。Microsoftアカ ウントを作成すると、これらの各種サービスを利用できるようになります。 Windows 10では、Microsoftアカウントをコンピューターのサインイン情報と して利用することができます。これにより、複数のデバイスから同じ情報に アクセスでき、デバイス間で設定やデータの同期が行えるようになります。 【Microsoftアカウントによる同期イメージ】 Microsoft アカウント 同期 サインイン

Active Directoryに格納されたアカウントは、Active Directoryアカウントやドメ インアカウントと呼ばれます（A）。コンピューターのローカルに作成するア カウントは、ローカルアカウントです（B）。コンピューターに対して管理者 権限を持つ既定のアカウントは、Administratorです（D）。

Windows 10で追加されたAzure ADアカウントについては、特にしっか りと理解しておきましょう。

従来のWindowsでは、ユーザー名とパスワードを使って認証を受ける 行為を「ログオン」と呼んでいましたが、Windows 10では「サインイン」 と呼びます。

22

３. A、C

Microsoftアカウントは、Webブラウザー（A）からマイクロソフトのWebサ イトに直接アクセスするか、Windows 10の設定アプリ（C）から作成するこ とができます。 Microsoft EdgeなどのWebブラウザーからMicrosoftアカウントを作成するに は、https://signup.live.com/にアクセスし、名前やメールアドレス、連絡先な どの情報を入力します。ここで指定したメールアドレスが、IDとして扱われ ます。普段利用しているメールアドレスをIDとして使うことも、新規にメー ルアドレスを取得することもできます。 【WebブラウザーからのMicrosoftアカウント作成】 設定アプリからMicrosoftアカウントを作成するには、設定アプリの［アカウ ント］→［メールとアカウント］→［Microsoftアカウントでのサインインに 切り替える］を順にクリックします。［Microsoftアカウントを追加］ウィン ドウが表示されたら［作成しましょう］をクリックして、アカウントの情報 を入力します。設定アプリから作成する場合でも、インターネット接続は必 要です。 a P14

23 ID_の 管 理 ︵ 解 答 ︶ 第 1 章 【設定アプリからのMicrosoftアカウント作成】 「コンピューターの管理」は、ローカルアカウントの管理などを行うツール です（B）。モビリティセンターは、ディスプレイの明るさやスピーカーの音 量などを1カ所で変更するためのツールです（D）。

4. D

設定アプリからMicrosoftアカウントを作成するときに新規にメールアドレス を取得すると、「xxx@outlook.jp」という形式になります（D）。 microsoft.com、ms.account.jp、live.comといったドメイン名を選択すること はできません（A、B、C）。 Microsoftアカウントを作成するときには、普段利用しているメールアドレス をMicrosoftアカウントとして使うか、新規にメールアドレスを取得するかを 選択します。ただし、設定アプリからMicrosoftアカウント作成時に新規にメー ルアドレスを取得する場合のドメイン名はoutlook.jpで固定されており、それ 以外のものを選択することはできません。好みのドメイン名をMicrosoftアカ ウントとして使いたい場合には、あらかじめそのドメイン名でメールアドレ スを取得したうえで、そのメールアドレスをMicrosoftアカウントとして使う ように指定します。 a P14

24 【設定アプリからMicrosoftアカウント作成時に新規メールアドレス取得】

5. A、C、D

Microsoftアカウントを用いてWindows 10にサインインすると、Webブラウ ザーの設定（A）、パスワード（C）、言語設定（D）などをデバイス間で同期 することができるようになります。 近年ではデバイスの種類も多岐にわたっており、1人のユーザーがデスクトッ プPC、ノートPC、タブレットなどの複数のデバイスを所有することも珍しく ありません。Microsoftアカウントを使用するメリットのひとつとして、デバ イス間で設定を同期できることが挙げられます。同期可能な設定には次のよ うなものがあります。 ・テーマ ……… スタート画面、背景、デスクトップのテー マなど ・ Internet Explorerの設定（A） … お気に入り、ホームページ、履歴、設定 など Webブラウザーからhttps://signup.live.com/にアクセスしてMicrosoft アカウントを作成する際に新規にメールアドレスを取得する場合は、 outlook.jpのほかに、outlook.com、hotmail.comドメインを選択するこ とが可能です。 a P15

25 ID_の 管 理 ︵ 解 答 ︶ 第 1 章 ・パスワード（C） ……… アプリ、Webサイト、ネットワークなどの サインイン情報 ・言語設定（D） ……… キーボード、入力方式、表示言語など ・簡単操作 ……… ナレーター、拡大鏡など ・その他のWindowsの設定 …… エクスプローラー、マウス、プリンターなど 【設定の同期】 Microsoftアカウントでは、デスクトップ上に存在するデータの同期を行うこ とはできません（B）。

6. B

Microsoftアカウントの追加や、Microsoftアカウントによるサインインをブ ロックするには、グループポリシーで制限を構成します（B）。 Microsoftアカウントを使うことによって、複数のデバイス間で設定を同期で きます。この機能は、一般の個人ユーザーなどのコンシューマー環境では便 利です。しかし、エンタープライズ環境では、この機能によってセキュリティ リスクが発生する可能性も考えられます。たとえば、企業内で管理されてい デバイス間の設定同期の仕組みには、内部的にはOneDriveが使用され ています。同期を有効にした設定はOneDrive上に保存されることによ り、インターネットを介してほかのデバイスにも適用されます。 a P15

26 るWindows 10と、個人所有のWindows 10が同期することによって、企業内 に留めておくべき情報まで同期されてしまうといったことが考えられます。 グループポリシーを構成することで、Microsoftアカウントの追加やMicrosoft アカウントによるサインインの操作をブロックすることができます。 グループポリシーを構成するには、タスクバーの検索ボックスに「gpedit. msc」と入力してvキーを押し、ローカルグループポリシーエディターを表 示します。そこで［コンピューターの構成］→［Windowsの設定］→［セキュ リティの設定］→［ローカルポリシー］→［セキュリティオプション］の順 に展開し、「アカウント:Microsoftアカウントをブロックする」というポリシー 設定を構成します。 【「Microsoftアカウントをブロックする」ポリシー】 Windows Defenderはマルウェアやスパイウェアからコンピューターを保護す る機能です（C）。「コンピューターの管理」は、ローカルアカウントの管理 などを行うツールです（D）。簡単設定というツールはありません（A）。 Microsoftアカウントは必要に応じて使用できないように制御すること ができます。そのためには、グループポリシーを構成します。

27 ID_の 管 理 ︵ 解 答 ︶ 第 1 章

7. B、D

Microsoftアカウントによる同期設定のうち、一部の設定だけを同期させない ように構成するには、設定アプリ（D）かグループポリシー（B）のいずれ かを使用します。 設定アプリでは、同期自体のオン／オフだけでなく、項目ごとに同期のオ ン／オフの切り替えができます。そのため、言語設定は同期するがInternet Explorerの設定は同期しないといった構成が可能です（解答5の画面を参照）。 設定アプリは、各コンピューターで構成する必要があります。ドメイン環境 では、グループポリシーから構成を行うことによって、一元的に同期設定を 制御することができ、コンピューターごとに設定をする必要がなくなります。 グループポリシーから構成するには、［コンピューターの構成］→［管理用 テンプレート］→［Windowsコンポーネント］→［PC設定の同期］をと展開し、 項目ごとにポリシーを構成します。 【グループポリシーでの同期設定制御】 ドメインのグループポリシーで同様の制限を行うには、ドメインコン トローラーでグループポリシーの編集ウィンドウを開きます。［コン ピューターの構成］→［ポリシー］→［Windowsの設定］と展開し、 配下にある同様のポリシー設定を構成します。 a P15

28

8. C

SIDは、アカウントごとに付けられる内部的なIDです（C）。 Windowsでは、ユーザーアカウントによって利用者を識別し、認証していま す。たとえば、サインイン時にユーザー名とパスワードの入力を求め、「本 人かどうか」を判定しています。ただし、ユーザー名はあくまでも画面上に 表示される表示名（B）であり、各アカウントは内部的にはSID（セキュリティ 識別子：Security ID）と呼ばれる属性によって識別されています（C）。ユーザー 名がUserAだったとしても、内部的には「S-1-XXX-XXXXXXXX」のような形式 で管理されています。 また、サインインによって認証されたユーザーは、必ずしもすべてのリソー スにアクセスできるわけではありません。認証とは別に、承認という概念が あり、承認によってどの「リソースにアクセスできるか」が決定されます。 承認に関する設定は、アクセス許可の設定の中で、アクセス制御のためのリ スト（ACL：Access Control List）を編集することによって行います（A）。アク セス制御のためのリストには、どのユーザーまたはグループに対してどのよ うな操作を許可するかということをエントリ（ACE：Access Control Entry）と して登録します（D）。アクセス制御のためのリストも画面上ではユーザー名 やグループ名で表示されますが、内部的にはSIDが使われており、「XXXXの SIDを持つユーザーに〇〇の操作を許可する」という仕組みによって制御され ます。 a P16 認証と承認の概念は従来のWindowsと同じですが、重要な要素です。 それぞれの概念をしっかりと理解しておきましょう。 SIDが割り当てられたアカウントは、セキュリティプリンシパルと呼ば れることもあります。

29 ID_の 管 理 ︵ 解 答 ︶ 第 1 章

9. A

Windows Helloとは、生体認証属性（顔、指紋、虹彩）による認証を行う機能 です（A）。音声による認証は現時点では提供されていません（D）。 従来のWindowsでは、パスワードやスマートカード、PIN（解答11を参照） を使用した認証が提供されていました。Windows 10では、これらに加えて 顔や指紋、虹彩の生体認証属性を用いて認証を行うことができます。この 生体認証属性を用いた認証を提供する機能をWindows Helloといいます。 Windows Helloの機能を使用することで、サインイン画面ではパスワード入力 の代わりに生体情報による認証を行い、デスクトップを表示することができ ます。パスワードなどを覚える必要がなくなるだけでなく、なりすましを防 ぐこともできるため、より安全性の高い認証を実現することができます。 ユーザー名とパスワードの入力による認証は、パスワードベース認証と呼ば れます（B）。スマートカードに格納された情報の提示によって認証をする機 能は、証明書認証と呼ばれています（C）。

10. C

Microsoft Passportとは、WindowsアプリケーションやWebサービスの認証に、 生体認証またはPINを用いる機能です（C）。

Windows 10では、Windows Helloによってパスワードなどの入力を行うこと なく、生体情報やローカルコンピューターに保存されたPINを用いてサインイ ンすることができます。しかし、サインインのあとで、Windowsアプリケー ションやWebサービスの利用時にパスワード入力が求められては、生体情報 やPINを用いてサインインした意味が薄れてしまいます。そこでWindows 10 は、WindowsアプリケーションやWebサービスでWindows HelloやPINによる 認証を有効にするための機能として、Microsoft Passportという仕組みも 備えています。Windows HelloやPINを使ってWindows 10にサインインすると、 内部的にPassportと呼ばれる情報が生成されます。サインイン後にWebアプ リケーションやWebサービスを利用するときには、サインイン時に生成され たPassportの情報を提示することによって、アプリケーションやサービスの 認証が行われます。 a P16 Windows Helloは生体認証を行うWindows 10の新機能です。 a P16

30

【Windows HelloとMicrosoft Passport】

Webアプリ

クラウドサービス 生体情報

Windows Hello Microsoft Passport 生体認証による サインイン パスワード入力なしでアクセス 異なる組織間でID連携を行うためのサービスは、フェデレーションと呼ばれ ます（A）。Windows Helloに対応したデバイスについての特別な呼称はあり ません（B）。Outlook.comやOneDriveなどのサービスを利用するために必要 なアカウントはMicrosoftアカウントです（D）。

11. B

ドメインまたはローカルのグループポリシーを使うと、Microsoft Passportで 使用するPINの複雑さを定義することができます（B）。

Windows 10ではMicrosoft Passportという機能により、サーバーに保存された パスワードを使うのではなく、生体情報やローカルコンピューターに保存さ れたPIN（Personal Identification Number）を使用して認証することができます。 PINは、コンピューター上で設定する数桁の数字または文字列ですが、設定 したコンピューター内でのみ使用されるため、ネットワーク上に送信される ことはありません。Microsoft Passportでは、PINとデバイスの組み合わせによっ て認証することができ、パスワードそのものをネットワーク上に送信するこ とがないため、たとえば第三者にパスワードを探し当てられてアカウントが 乗っ取られるといった危険を回避することができます。 Microsoft Passportで使用するPINは、グループポリシーによって、使用する文 字列の要件を定義することができます。たとえば、最小文字数、大文字や小 文字を織り交ぜることなど、複雑さを強制させるためのポリシーが用意され ています。 Microsoft Passportを利用することで得られるメリットを理解しておき ましょう。 a P16

31 ID_の 管 理 ︵ 解 答 ︶ 第 1 章 【PINの複雑さ】 設定アプリではPIN自体の設定はできますが、複雑さなどの要件を定義するこ とはできません（A）。pinconfig.exeというツールはありません（C）。資格情 報マネージャーは、Webサイトやアプリケーション内で入力された資格情報 を管理するためのツールです（D）。

12. A、C

Office 365（A）やMicrosoft Intune（C）は、認証のためのディレクトリサー ビスとしてAzure ADを使用します。Azure ADはMicrosoft Azureで提供される ディレクトリサービスです。

クラウドサービスを利用するには、認証が必要です。一般的には、クラウド サービスへアクセスした際に、クラウドサービスで有効なユーザー名とパス ワードが求められ、認証が行われます。クラウドサービスで利用されるディ レクトリサービスにもさまざまなものがありますが、マイクロソフトで提供 されるOffice 365やMicrosoft IntuneなどはAzure ADをディレクトリサービ スとして使用しており、Azure ADに登録されている認証情報を入力すること によって正しく認証が行われます。

Azure ADの管理は、Microsoft Azureの管理ポータルから行います。

32

【Microsoft Azure管理ポータル】

AD FSやAD DSはAzure ADを使用しません（B、D）。ただし、オンプレミスの Active Directoryとの連携や同期を行う場合に必要になります。詳細は解答16 を参照してください。

13. D

Azure ADアカウントを使ってWindows 10にサインインすると、Azure ADに 基づいて認証を行うOffice 365やMicrosoft Intuneなどのクラウドサービスに シングルサインインすることができます（D）。

クラウドサービスは、SaaS、PaaS、IaaSの3つに分類されます。

・SaaS ……Software as a Service。アプリケーション（ソフトウェア）をサー ビスとして提供する

・PaaS ……Platform as a Service。アプリケーションを稼働させるためのプラッ トフォームをサービスとして提供する

・IaaS ……Infrastructure as a Service。サーバー、CPU、ストレージなどのイ ンフラをサービスとして提供する

Office 365やMicrosoft IntuneなどのクラウドサービスはSaaSに該当します。

33 ID_の 管 理 ︵ 解 答 ︶ 第 1 章 Azure ADアカウントを使ってWindows 10にサインインするメリットのひと つは、Azure ADに基づく各種クラウドサービスにシングルサインインできる ことです。Windows 10にAzure ADアカウントでサインインすると、入力した 情報がインターネット経由でAzure AD上に格納された情報と照合されます。 そのため、Windows 10へのサインイン後に、Office 365やMicrosoft Intuneに アクセスしても再度認証情報の入力が求められることはありません。それ以 外のアカウントを使ってWindows 10にサインインした場合には、クラウド サービスへのアクセス時にAzure AD上で有効な認証情報の入力を求められま す（A、B、C）。

Azure ADアカウントを使ってWindows 10にサインインするためには、Azure ADへ参加します。

14. B、C、D

Azure ADへの参加が可能なWindows 10のエディションは、Pro（B）、Enterprise （C）、Education（D）です。Homeエディションでは、Azure ADへの参加はで

きません（A）。

Windows 10にはさまざまなエディションがありますが、Azure ADに参加する ためにはPro以上のエディションが必要です。Educationは教育機関向けのエ ディションですが、搭載される機能はEnterpriseと同等であるため、Azure AD への参加も可能です。Azure ADへの参加がサポートされるエディションを用 いてOSのインストールを行うと、初期設定時にAzure ADへ参加することがで きます。また、初期設定を終えたあとでAzure ADへの参加操作を行うことも できます。いずれの場合でも、Azure ADに参加するためにはインターネット 接続が必要です。 Azure ADアカウントを使用することで得られるメリットを整理して おきましょう。 a P17

34

【インストール後の初期設定時のAzure AD参加】

15. D

Azure ADアカウントでWindows 10にサインインするには、Azure ADに参加 する必要があります。Azure ADへは、設定アプリの［システム］から参加し ます（D）。

Azure ADへの参加は、Azure上のActive Directoryにある認証情報を利用するた め、インターネット接続が必要です。インターネット接続ができていること を確認したうえで、設定アプリの［システム］をクリックし、［バージョン情報］ タブで［Azure ADに参加］をクリックします。 ［プライバシー］→［デバイス］→［更新とセキュリティ］からAzure ADへ 参加する操作はできません（A、B、C）。 Azure ADそのものが組織向けに提供されるディレクトリサービスとい う位置付けであるため、コンシューマー向けに提供されるHomeエディ ションではAzure ADへの参加はできません。 a P17

35 ID_の 管 理 ︵ 解 答 ︶ 第 1 章 【バージョン情報】

16. C

ディレクトリ同期ツールを使用すると、オンプレミスのActive Directory Domain Services（AD DS）とAzure ADの同期を行うことができます（C）。 オンプレミスとは「自社運用」とも呼ばれ、自社内に用意した設備でシステ ムの運用や管理を行うことです。これまでのバージョンのWindowsでは、オ ンプレミスのActive Directory（AD）を構築し、認証に関する運用を行うこと が一般的でした。現在でもオンプレミスで認証管理を行うことができますが、 クラウドサービス上のADであるAzure ADを使用して運用することもできるよ うになっています。

Azure ADを利用するには、Microsoft Azure上に組織のAzure ADが必要です。 Azure ADの新規作成は、Microsoft Azureの管理ポータルから行います。すで にOffice 365やMicrosoft Intuneを利用している場合には、それらのAzure AD を利用することも可能です。新規に作成する場合にはAzure AD上にアカウン トは存在しないため、アカウントの登録を行います。手動で作成することも

Azure ADへの参加は、通常のドメイン参加とは異なり、設定アプリか ら行うことを覚えておきましょう。

36

できますが、マイクロソフトから提供されているディレクトリ同期ツールを 活用することにより、オンプレミスのAD DSとAzure ADを同期することが可 能です。これにより、Azure ADへのアカウントの登録や管理作業を簡略化す ることができます。

Windows Server移行ツールは、サーバーの役割や機能をほかのサーバーに移 行するときに使用します（A）。Active Directory Rights Management Services は、組織内で使われるドキュメントの保護のためのサーバー役割です（B）。 Microsoft Dynamics CRMは、営業活動やマーケティングを支援するためのオ ンラインサービスです（D）。

17. F

［複雑さの要件を満たす必要があるパスワード］ポリシー設定を有効にする と、複雑さを満たしていない文字列のパスワードを設定しようしたときに拒 否することができます（F）。 グループポリシーには［パスワードのポリシー］という設定項目があり、ユー ザーアカウントに設定されるパスワードの要件を構成することができます。 パスワードの最少文字数や有効期間、複雑さを満たす必要があるかなどを定 義することができるため、ユーザーアカウントのセキュリティを高めること ができます。パスワードのポリシーは、ローカルグループポリシーの編集画 面では、［コンピューターの構成］→［Windowsの設定］→［セキュリティ の設定］→［アカウントポリシー］を順に展開した場所にあります。 パスワードの長さが十分であっても、数字のみの単純な羅列では意味を成し ません。［複雑さの要件を満たす必要があるパスワード］の設定では、パスワー ドとして使用する文字列の強度を向上することができます。このポリシーに よって強制される複雑さの要件は、次のとおりです。

オンプレミスのAD DSとAzure ADの同期は、多くの組織で行われてい ます。同期するためのツールの名前を覚えておきましょう。

ディレクトリ同期ツールは、マイクロソフトのダウンロードセンター から提供されているMicrosoft Azure Active Directory Connect（http:// www.microsoft.com/en-us/download/details.aspx?id=47594）に含まれ ています。

37 ID_の 管 理 ︵ 解 答 ︶ 第 1 章 ・ ユーザーアカウント名またはフルネームに含まれる3文字以上連続する文 字列を使用しない ・ 長さは6文字以上 ・ 英大文字、英小文字、数字、記号のカテゴリから3つ以上の文字を使う

18. D

ピクチャパスワードとは、画像に対するジェスチャをパスワード代わりに使 用する機能です（D）。 Windows 10では、ユーザー名とパスワードの組み合わせ以外にも、さまざま な認証方法がサポートされています。そのうちのひとつに、ピクチャパスワー ドがあります。ピクチャパスワードは、文字列のパスワードの代わりに、画 像に対するジェスチャを使用します。ジェスチャとは、「線を引く」や「丸 で囲む」といった操作のことです。これらの操作をパスワードとして使用で きるため、小型のデバイスでの使用に向いています。タッチ操作を中心に行 う小型のコンピューターやタブレットの場合、ソフトウェアキーボードでの パスワード入力はミスタッチしやすいという煩わしさがあります。ピクチャ パスワードは、事前に登録したジェスチャを指で再現することによってサイ ンインできるため便利です。 ピクチャパスワードを設定するには、設定アプリの［アカウント］→［サイ ンインオプション］→「ピクチャパスワード」→［追加］を順にクリックし て使用する画像とその画像に対するジェスチャを登録します。これで、サイ ンイン時にピクチャパスワードによる認証が利用できるようになります。 【ピクチャパスワードの設定】 a P18

38 ピクチャパスワードは、特定の写真を送信して認証する機能や、パスワード の文字列を画像として残しておく機能ではありません（A、B）。顔や指紋な どの生体情報を用いて認証を行う機能は、Windows Helloです（C）。

19. B

多要素認証とは、単一の方法による認証だけでなく、追加の認証情報を使用 することをいいます（B）。 一般的な認証方法は、ユーザー名とパスワードによるものです。しかし、こ の単一の認証方法だけでは、簡単になりすましが行われてしまう危険性があ ります。認証に第2の要素を追加することで、なりすましをより困難にする ことができます。多要素認証はさまざまな方法によって実装することができ ますが、認証方法の組み合わせとして、次の3つのうち2つ以上を要求するこ とで機能します。 ・ユーザーが知っているもの …… パスワード、PINなど ・ユーザーが持っているもの …… 電話、スマートフォン、スマートカードなど ・ユーザーの生体情報 ……… 指紋、虹彩など たとえば、PINとスマートカードを使うといった例が挙げられます。 ローカルアカウントとMicrosoftアカウントの両方を使用すること、異なる バージョンのWindowsで共通の認証情報を使用すること、ドメインアカウン トにMicrosoftアカウントを関連付けることについては、特別な呼称はありま せん（A、C、D）。

20. B、C、D

マイクロソフトのパブリッククラウドサービスであるMicrosoft Azureでは多 要素認証が提供されており、追加の認証として次の方法を実装することがで きます。 ● 電話呼び出し（D） 電話に着信を受け、応答すると音声メッセージが流れます。音声メッセー ジに従って＃記号を押すことによって確認されます。 ピクチャパスワードは、Windows 8からサポートされている機能です。 a P19 a P19

39 ID_の 管 理 ︵ 解 答 ︶ 第 1 章 ● テキストメッセージ（B） 6桁のワンタイムパスコードを含むSMSメッセージを電話に受信します。そ のコードを入力することによって確認されます。 ● モバイルアプリ（C）

利用するモバイルデバイスに対応したMulti-Factor Authentication（ MFA） アプリを実行して確認されます。モバイルアプリ上に認証プロンプトや コードが表示され、指示に従って操作することで確認されます。

Microsoft Azureのディレクトリサービス（Azure AD）に基づいたクラウドサー ビスでは、多要素認証を構成することで追加の認証方法の選択を求められま す。たとえば、Office 365では次のような画面で選択が求められます。 【Office 365での多要素認証】

21. A、B、D

仮想スマートカードをWindowsへのサインインに使用するには、仮想スマー トカードを作成するためのTpmsvcmgr.exeの実行（B）と、証明書のインストー ルを行うためのCertmgr.mscの実行（D）、証明書の登録ウィザードの実行（A） が必要です。 仮想スマートカードは、TPM（第6章解答25を参照）と呼ばれるマザーボー ド上のセキュリティチップを用いてスマートカードを活用するための機能で a P19

40 す。スマートカードは、Windowsへのサインインやクライアント認証、電 子メールの署名と暗号化などに利用できるもので、通常は物理的なスマー トカードリーダーやメディアが必要です。しかし、仮想スマートカードは、 TPMさえあれば、ハードウェアへの投資をすることなく、スマートカードを 活用することができます。 仮想スマートカードをWindowsのサインインに使用するには、仮想スマー トカードそのものの作成と、スマートカードを使用してサインインする ための証明書が必要になります。仮想スマートカードの作成や管理には、 Tpmsvcmgr.exeを使用します（B）。TPMを持つコンピューター上でこのコ マンドを実行することにより、仮想スマートカードが作成できます。実行例 コマンドは、次のとおりです。 実行例 _{仮想スマートカードの作成例}

TpmVscMgr create /name <名前> /pin PROMPT /adminkey RANDOM /generate 仮想スマートカードを上記のコマンドで作成すると、フォーマット済みの空 のスマートカードができあがります。まだこの段階ではWindowsのサインイ ンには使用できません。仮想スマートカードをWindowsのサインインに使用 するには、証明書のインストールが必要です。証明書の発行準備はWindows ServerのActive Directory証明書サービスを使用し、物理的なスマートカードを 用いるときと同じように、「スマートカードログオン」の証明書テンプレー トを使用します。Windows 10のコンピューターでは、Certmgr.mscを実行 して証明書の管理ツールを開き（D）、証明書の登録ウィザードを実行（A） して証明書を取得します。 Devmgmt.mscはデバイスマネージャーを起動するためのコマンドであり、今 回のシナリオでの実行は不要です（C）。Make-VirtualSmartCardというコマン ドレットは存在しません（E）。 仮想スマートカードをWindowsのサインインに使用するには、仮想ス マートカードの作成と証明書の取得が必要です。

■ _{インストールおよびアップグレード} ■ _{Windows ADK} ■ _{応答ファイル} ■ _{Windows展開サービス} ■ _Sysprep ■ _Hyper-V ■ _電源管理

デスクトップと

デバイスの展開

第

2

章

42

□

1. Windowsを複数のコンピューターにクリーンインストールしようとし ています。自動展開に使用できないものはどれですか。

A. Windows展開サービス

B. System Center Configuration Manager C. Microsoft Deployment Toolkit D. グループポリシー

□

2. インストールメディアを使用し、Windows 10を新規にインストールし ようとしています。USBフラッシュドライブを用いてインストールを自 動化するために必要な作業はどれですか。（2つ選択） A. Unattend.xmlという応答ファイルを作成する B. Autounattend.xmlという応答ファイルを作成する C. Auto.xmlという応答ファイルを作成する D. Automatic.xmlという応答ファイルを作成する

□

3. 応答ファイルを作成するツールとして適切なものはどれですか。 A. Windows SIM B. Windows ICD C. Windows PE D. Windows展開サービス

□

4. あなたは、会社のクライアントコンピューターの管理者です。あなたは、 Windows ADKに含まれるツールを使用して以下のような応答ファイル を作成しました。以下は、作成した応答ファイルの一部です。 <?xml version="1.0" encoding="utf-8"?> <unattend xmlns="urn:schemas-microsoft-com:unattend"> <settings pass="windowsPE"> <component name="Microsoft-Windows-International-Core-WinPE" processorArchitecture="amd64" publicKeyToken=" 31bf3856ad364e35" language="neutral" versionScope="nonSxS"

a P54

a P54

a P55

43 デ ス ク ト ッ プ と デ バ イ ス の 展 開 ︵ 問 題 ︶ 第 2 章 xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <InputLocale>ja-jp</InputLocale> <LayeredDriver>6</LayeredDriver> <SystemLocale>ja-jp</SystemLocale> <UILanguage>ja-jp</UILanguage> <UserLocale>ja-jp</UserLocale> </component> <途中省略> <DiskConfiguration> <Disk wcm:action="add"> <CreatePartitions> <CreatePartition wcm:action="add"> <Order>1</Order> <Size>500</Size> <Type>Primary</Type> <Extend>false</Extend> </CreatePartition> <CreatePartition wcm:action="add"> <Extend>true</Extend> <Order>2</Order> <Type>Primary</Type> </CreatePartition> </CreatePartitions> <ModifyPartitions> <ModifyPartition wcm:action="add"> <Active>true</Active> <Format>NTFS</Format> <Label>Windows OS</Label> <Letter>C</Letter> <Order>1</Order> <PartitionID>2</PartitionID> </ModifyPartition> </ModifyPartitions> <DiskID>0</DiskID> <WillWipeDisk>true</WillWipeDisk> </Disk> </DiskConfiguration> <以下省略> 43

44 応答ファイルの内容を適切に説明しているものを選びなさい。 （2つ選択） A. インストールする言語は日本語である B. キーボードの種類は英語である C. 作成されるパーティションは3つである D. 1つ目のパーティションのサイズは500GBである E. 2つ目のパーティションはNTFSでフォーマットされる

□

5. Windows 10の展開を計画しています。展開にあたって、Windowsイ メージの作成、応答ファイルの作成、既存のWindowsからのデータ移 行などを行う予定です。これらの作業に役立つツールはどれですか。 A. Windows AIK B. Windows展開サービス C. Windowsメディア作成ツール D. Windows ADK

□

6. Windows Server 2012のWindows展開サービスを使用して、Windows 10の展開を計画しています。展開を行うためにネットワーク上に必須 となるサービスはどれですか。（2つ選択） A. AD DS B. DHCP C. DNS D. AD FS

□

7. 参照コンピューターとは、どのコンピューターを指しますか。 A. Windows ADKを実行するコンピューター B. 展開先となるコンピューター C. 展開イメージ作成時に基となるコンピューター D. 移行を行うときの既存のコンピューター a P56 a P58 a P59 a P60 44