はじめに
Microsoft Entra テナントには、Windows E3 や Windows E5 という サブスクリプションライセンス が提供されています。
このライセンスを契約して、ユーザーアカウントに紐づける事ができます。
このライセンスを持ったユーザーが、Microsoft Entra 参加済み デバイス にサインインすると、Windows のエディションが Enterprise 版 にアップグレードされます。
エディションが Enterprise 版 になることで、追加の機能が利用可能になります。
なお、ライセンスの名前に 表記ゆれ があります。
すべて Windows Enterprise サブスクリプション の事を指しているので、注意してください。
| Windows E3 | Windows E5 |
|---|---|
| Windows Enterprise E3 Windows 10 E3 Windows 11 E3 Windows 10 Enterprise E3 Windows 11 Enterprise E3 |
Windows Enterprise E5 Windows 10 E5 Windows 11 E5 Windows 10 Enterprise E5 Windows 11 Enterprise E5 |
この記事では、Windows Enterprise サブスクリプション ライセンスを適用すると、何ができるのか?、どうやって適用するのか?、ハマりポイント など をまとめて説明していきます。
(解決済み) 注意点
既知のバグは、解消されました。
対策の KB が提供されてます(2024/7/25:KB5040527 以降で解消)
ビルドのバグ:KB5036980~KB5040442
Windows 11 において、
以下の 2024/4/9 ~2024/7/9 に提供された KB が適用されていると エディションのアップグレードが行えませんでした。
上記の赤枠のビルドにおいて、共通で 以下の記載があります。
緑枠のビルドでは、問題は発生しません。
(参考)過去の記載
KB5040527 が提供される前までは、以下の記載になっていました。
関連情報:The KB5036980 breaks the Windows 11 Enterprise Subscription Activation.
以下の記事で、かなり詳細にレポートしてくれています。
当時の原因や回避策も記載されていますが、今となっては 最新版に更新することで対策できます。
1. エディションのアップグレード で何ができるようになるのか?
Pro から Enterprise エディション へアップグレードする事で、以下のような機能が利用できるようになります。
Windows E3 で利用可能になる機能の例
上記の公開情報に記載されている内容から、抜粋します。
公開情報:Windows 11 Enterprise E3
https://learn.microsoft.com/ja-jp/windows/whats-new/windows-licensing#windows-11-enterprise-e3
| OS ベースの機能 | 説明 |
|---|---|
| Credential Guard | ユーザーの資格情報の収集とハッシュのパス攻撃またはトークン攻撃のパスから保護します。 |
| Microsoft Edge 用マネージド Microsoft Defender Application Guard (MDAG) |
仮想化ベースのセキュリティを備えたエンタープライズ定義の信頼されていないサイトを Windows から分離し、ユーザーがインターネットを閲覧している間にorganizationを保護します。 |
| 最新の BitLocker 管理 | BitLocker 回復シナリオを監視およびサポートするためのオンプレミス ツールを排除できます。 |
| 個人データ暗号化 | Windows Hello for Businessを使用して個人のコンテンツを暗号化し、暗号化キーをユーザーの資格情報にリンクします。 |
| Direct Access | 従来の VPN 接続を必要とせずに、リモート ユーザーをorganization ネットワークに接続します。 |
| Always-On VPN デバイス トンネル | トラフィックの種類と、VPN 接続を使用できるアプリケーションを制限するための高度なセキュリティ機能。 |
| Windows エクスペリエンスのカスタマイズ | 現場担当者デバイスまたはパブリック キオスク用の統合書き込みフィルターを使用して、企業のデスクトップとシェル起動ツールのユーザー エクスペリエンスをロックダウンするための設定。 |
Windows E5 で利用可能になる機能の例
Windows E3 の機能に加えて、Microsoft Defender for Endpoint Plan 2 の利用権が加わり、デバイスのマルウェア対策を集中管理することが出来るようになります。
Microsoft Defender for Endpoint の詳細については、以下のサイトを参照ください。
以下の私の記事でも Microsoft Defender 全般についての解説と、その中で for Endpoint とはどういうサービスかを説明していますので、参照ください。
2. アップグレードのための条件
Pro -> Enterprise へアップグレードするためには、以下の条件を揃える必要があります。
2-1. アップグレードの前提となる OS
2-2. サブスクリプション ライセンス
2-3. デバイス が Microsoft Entra 参加済み である
2-4. 条件付きアクセスで "必須" なクラウドアプリのブロックを除外する
2-5. Windows Update がブロックされていないことを確認する
2-1. アップグレードの前提となる OS
正規版(アクティベーションされた)Professional エディション が必要です。
以下のとおり、評価版ライセンス の状態は、非サポートです。
公開情報にも その旨の記載があります。
公開情報:Pro エディションのアクティブ化
https://learn.microsoft.com/ja-jp/windows/deployment/deploy-enterprise-licenses?pivots=windows-11#step-2-pro-edition-activation
ただし、検証してみると、Enterprise へアップグレードはされました。
こういう場合、いつ 実施できなくなるかは保障されていないため、注意が必要です。
評価版の場合(非アクティブな状態)
正規品であることの確認方法(アクティブ化された状態)
ライセンス認証(日本語)
ライセンス認証(英語)を見る場合は、クリック
バージョン情報(日本語)
バージョン情報(英語)を見る場合は、クリック
上記の画面で確認できていれば十分ですが、以下の確認方法もあります。
slmgr /dlv コマンド実行結果 を見る場合は、クリック
イベントログ の結果 を見る場合は、クリック
イベント ID = 8197
イベント ID = 8230
イベント ID = 20849
イベント ID = 20482
イベント ID = 20481
イベント ID = 20488
2-2. サブスクリプション ライセンス
Windows E3 / E5 を包含する 上位 のライセンスとして Microsoft 365 E3 / E5 が存在します。
OS の Enterprise 化 以外の機能とセットでライセンスを購入することにより、割安で入手する事が可能になります。
簡易表(★ の部分が Pro -> Enterprise のアップグレード対応)
| Microsoft 365 E3 | Microsoft 365 E5 | Microsoft 365 E5 (Windows なし) |
|
|---|---|---|---|
| Office 365 E3 | 〇 | 〇 | 〇 |
| Office 365 E5 | 〇 | 〇 | |
| EMS E3 | 〇 | 〇 | 〇 |
| EMS E5 | 〇 | 〇 | |
| Windows E3 | (★) | (★) | |
| Windows E5 | (★) |
詳細なライセンスの選択方法は、以下の記事で詳しく解説してありますので、ぜひ参照ください。
ライセンスの入手方法と ユーザーへの割り当て方法は、以下の記事で詳しく解説してありますので、ぜひ参照ください。
注意点
Microsoft 365 E3 / E5 でも、テナントによって、Windows 10 Enterprise が付いているものと 無いものがあります。
そのため、Microsoft 365 E3/E5 の場合は、"アプリ" を開いて、Windows 10 Enterprise が提供されていることを必ず確認してください(確認方法は後述)
その場合は、Windows 10 Enterprise のライセンスだけ 個別に 購入が必要です。
Windows 10 Enterprise あり のパターン
Microsoft 365 E3 / E5 に Windows E3 /E5 が同梱されているパターンです。
この場合は、Pro -> Enterprise へのアップグレード対象です。
ライセンス名:Microsoft 365 E5 (Teams なし)
アプリ一覧の中に Windows 10 Enterprise が ある
Windows 10 Enterprise なし のパターン
Microsoft 365 E3 / E5 に Windows E3 /E5 が同梱され ない パターンです。
この場合は、アップグレード 対象外 です。
ライセンス名:Microsoft 365 E5 Developer (Windows および電話会議なし)
アプリ一覧の中に Windows 10 Enterprise が 無い
2-3. デバイス が Microsoft Entra 参加済み である
デバイスには、Microsoft Entra 参加済み デバイスである・・という要件があります。
参加の方法は、Microsoft Entra Join または、Microsoft Entra Hybrid Join のいずれも OK です。
公開情報:デバイスの要件の確認
https://learn.microsoft.com/ja-jp/windows/deployment/deploy-enterprise-licenses?pivots=windows-11#review-requirements-on-devices
上記の要件に合致したデバイスが、以下のいずれかの方法で Microsoft Entra テナントに "参加済み" であることが前提条件となります。
Microsoft Entra Join
スタンドアロン (WORKGROUP) の PC は、Entra Join を行うことで アップグレード対象になります。
Microsoft Entra Hybrid Join
オンプレミスドメインに参加しているデバイスは Hybrid Join を構成することで、アップグレード対象にすることができます。
Hybrid Join の際の ポイント
Hybrid Join を行う場合は、Entra Connect を構成して、オンプレミスのユーザーが テナントへ同期されてから、Windows 10 Enterprise ライセンス を付与します。
PC へサインインする際は、上記に該当するユーザーが オンプレミスドメインの UPN を使います。
2-4. 条件付きアクセスで "必須" なクラウドアプリのブロックを除外する
条件付きアクセス を一切使っていない Microsoft Entra テナントであれば、問題ありません。
クラウドアプリ を制限している Microsoft Entra テナントの場合に、注意が必要です。
Microsoft Entra テナント で、45a330b1-b1ec-4cc1-9161-9f03992aa49f という アプリ ID を持つ クラウドアプリ がブロックされていると アップグレードが動作しません。
条件付きアクセス の一般的な利用方法は、"すべてのクラウドアプリ" をブロックして、使わせたいアプリのみを選択して、許可 という設定を行うことが多いです。
そのため、クラウドアプリの制限(Office 365 のみに絞る等)を行っている場合には、その他の クラウドアプリ は、ブロックされてしまうため、意図せずに、この制約に引っ掛かります。
Windows 11 23H2 で、2024/2/29 (KB5034848) 以降の KB を適用した OS は、以下の認証画面が表示され、そこから 再認証を行う事で 回避できるようになったようです。
公開情報:条件付きアクセス ポリシーの追加
https://learn.microsoft.com/ja-jp/windows/deployment/windows-subscription-activation?pivots=windows-11#adding-conditional-access-policy
ポリシーの具体例
Office 365 のみ許可していたとき(アップグレード不可)
一般的に、特定のクラウドアプリのみを許可させる場合は、以下のような設定を行うことがあります。
このようにすると、全ユーザー&全クラウドアプリの対して、ブロックが適用されます(Office 365 以外)
その結果、アップグレードが行えません。
すべてのユーザーに適用する
管理者は対象外
すべてのクラウドアプリが対象
Office 365 は除外する
ブロック
Office 365 のみ許可し、アップグレードも許可する方法
(変更箇所)
「Office 365 は除外する」 この設定を開く
45a330b1-b1ec-4cc1-9161-9f03992aa49f というコードが付与されたアプリを探す(テナントによって、アプリ名が異なるようです)
以下のように、目的のアプリ (Office 365) と、45a330b1-b1ec-4cc1-9161-9f03992aa49f がブロックされないように構成する。
注意
上記の例は、あくまで一例です。
条件付きアクセスには、さまざまな 書き方がありますが、45a330b1-b1ec-4cc1-9161-9f03992aa49f がブロックされないように 工夫して記載する必要があります。
以下の例は、情報を元に私が考えてみた例であり、ホントにブロックされるかまでは検証できてません。
(例1)
ネームドロケーションで、社外では Sales Force のみ許可、社内では 全アプリ OK という制限をかけていたら、社内でしかアップグレード状態を維持できないため、社外で Sales Force と 45a330b1-b1ec-4cc1-9161-9f03992aa49f を除外する必要があります。
(例2)
すべてのクラウドアプリに、MFA を強制していた場合、アップグレードできなくなる。
45a330b1-b1ec-4cc1-9161-9f03992aa49f は、MFA から除外させる必要があります。
(例3)
すべてのクラウドアプリの利用を Intune で準拠済み デバイスであることを条件にして、コンプライアンスポリシーで、Enterprise 版の機能をチェック条件(Defender for Endpoint のリスクスコア等)に加えていると、アップグレードできなくなる。
45a330b1-b1ec-4cc1-9161-9f03992aa49f のみ 非準拠でもアクセス可能となるように構成する必要があります。
関連情報:Night at the Windows Store API Service: Secret of the Subscription Activation
以下の記事で、かなり詳細にレポートしてくれています。
2-5. Windows Update がブロックされていないことを確認する
Windows Update のサイトへアクセスできるようになっている必要があります。
ポリシーで、Windows Update インターネットの場所に接続しない の設定が 有効 になっていると、アップグレードできません。
社内で Windows Server Update Services (WSUS) を運用していると、この設定を 有効 にしている可能性があります。
社内の Firewall などで Windows Update サイトへのアクセスがブロックされていないかも確認した方が良いでしょう。
公開情報:Windows Update がブロックされていないことを確認する
https://learn.microsoft.com/ja-jp/windows/deployment/deploy-enterprise-licenses?pivots=windows-11#make-sure-windows-update-isnt-blocked
3. 動作検証
以下の環境で 動作確認を実施しています。
Microsoft Entra Join : Azure VM:正規ライセンス適用済み Windows 11 Pro
- Microsoft Entra Join を実施する
- OS を再起動する
- Microsoft Entra Join を実施した ライセンス 適用済みの ユーザー でサインイン を実施する。
- この時点で イベントログ を確認するも Pro のままアップグレードされていない。
- システム - ライセンス認証 の画面が 以下の表示になっているため、サインインを実施します。
- 認証を行った結果、Enterprise へアップグレードされました。
結論として、イベントログ や コマンド で明確に Enterprise になった・・・という情報が出ないため、以下のライセンス情報の画面で確認した方が良いです。
(ライセンス認証)
(バージョン情報)
(イベントログ)
イベント ID = 8230
(slmgr /dlv)
アップグレードが行われても、コマンドの結果は Pro のままの表記となります。
4. その他ポイント
いちど、Enterprise 版 にアップグレードすると、Entra Join を解いても、即座に Pro には戻りませんでした。
そのため、色々なパターンを検証する際には、仮想マシンなどで PC を検証するパターンの数だけ用意した方が良いと思います。
公開情報には、「キャッシュの有効期限が切れるまで、対象となる購入から最大 4 日かかることがあります」 と説明されています。
公開情報:Windows の Enterprise ライセンスのライセンス認証の遅延
https://learn.microsoft.com/ja-jp/windows/deployment/deploy-enterprise-licenses?pivots=windows-11#delay-in-the-activation-of-enterprise-license-of-windows
5. トラブルシューティング
うまくアップグレードされない場合のトラブルシューティングについての解説があります。
ただ、必要なアクションは、この公開情報をもとにして、私の記事に書いていますので、再度 設定もれが無いかどうかを確認いただくのが賢明です。
公開情報:ユーザー エクスペリエンスのトラブルシューティング
https://learn.microsoft.com/ja-jp/windows/deployment/deploy-enterprise-licenses?pivots=windows-11#troubleshoot-the-user-experience
6. 関連情報
サブスクリプションライセンスのアップグレードについて、とっても ディープな内容が記載されています。
上記の記事の最終的な結論 (Conclusion) の箇所に記載されていますが、設定やシステム要件などを完璧にそろえたのに、うまくアップグレードされない場合は、以下のコマンドをおまじないとして実行してみると良さそうです。
net stop clipsvc
rundll32 clipc.dll,ClipCleanUpState
net start clipsvc
実行結果
私の環境は、アップグレードの不具合に見舞われていないので、効果のほどは測定できていませんが、これを実行したからといって、悪影響は無さそうです。
