Windows Server 2025 の新機能

[アーティクル]
11/19/2024
適用対象:

✅ Windows Server 2025

この記事では、セキュリティ、パフォーマンス、柔軟性を向上させる高度な機能を備える Windows Server 2025 の最新の開発について説明します。より高速なストレージオプションとハイブリッドクラウド環境と統合する機能により、インフラストラクチャの管理が効率化されました。 Windows Server 2025 は、先行の Windows Server の強力な基盤に基づいて構築され、ニーズに合わせてさまざまな革新的な機能強化が導入されています。

公式リリース前に Windows Server 2025 の最新機能を試したい場合は、「Windows Server Insiders Preview の概要」を参照してください。

デスクトップエクスペリエンスとアップグレード

Windows Update を使用したアップグレード

インプレースアップグレードは、ソースメディアまたは Windows Update の 2 つの方法のいずれかで実行できます。 Microsoft は、機能更新プログラムと呼ばれる Windows Update を通じて、オプションのインプレースアップグレード機能を提供しています。この機能更新プログラムは、Windows Server 2019 および Windows Server 2022 デバイスで使用できます。

[設定] ダイアログから Windows Update を使用してアップグレードする場合は、デスクトップ内の Windows Update から直接、または Server Core の SConfig を使用してインストールを実行できます。組織では、アップグレードを段階的に実装し、グループポリシーを使用してこのオプションのアップグレードの可用性を制御したい場合があります。

機能更新プログラムのオファーを管理する方法の詳細については、「windows Server のグループポリシーを使用した機能更新プログラムの管理を参照してください。

Windows Server 2012 R2 からのインプレースアップグレード

Windows Server 2025 では、一度に最大 4 つのバージョンをアップグレードできます。 Windows Server 2012 R2 以降から Windows Server 2025 に直接アップグレードできます。

デスクトップシェル

初めてサインインすると、デスクトップシェルエクスペリエンスは Windows 11 のスタイルと外観に準拠します。

Bluetooth

Windows Server 2025 で Bluetooth を使用してマウス、キーボード、ヘッドセット、オーディオデバイスなどを接続できるようになりました。

DTrace

Windows Server 2025 には、ネイティブツールとして dtrace が搭載されています。 DTrace は、ユーザーがシステムパフォーマンスをリアルタイムで監視およびトラブルシューティングできるコマンドラインユーティリティです。 DTrace を使用すると、ユーザーは、コード自体を変更することなく、カーネルコードとユーザー空間コードの両方を動的にインストルメント化できます。この汎用性の高いツールは、集計、ヒストグラム、ユーザーレベルのイベントのトレースなど、さまざまなデータ収集と分析の手法をサポートします。詳細については、「DTrace」でコマンドラインヘルプに関する情報を参照してください。その他の機能については、「Windows 上の DTrace」を参照してください。

電子メールとアカウント

Windows Server 2025 の Accounts > Email & accounts で、次の種類のアカウントを Windows 設定に追加できるようになりました。

Microsoft Entra ID
Microsoft アカウント
職場または学校アカウント

ほとんどの場合、ドメイン参加が必要であることにご注意ください。

フィードバック Hub

Windows Server 2025 の使用中に発生したフィードバックの送信または問題の報告は、Windows フィードバック Hub を使用して行えるようになりました。問題が発生したプロセスのスクリーンショットや録画を添付していただくと、お客様の状況を理解し、Windows エクスペリエンスを向上させるための提案を共有することができます。詳細については、フィードバック Hubのページを参照してください。

ファイル圧縮

Windows Server 2025 には、 Compress to と呼ばれる右クリックを実行して項目を圧縮する際の新しい圧縮機能があります。この機能では、 ZIP、 7z、 TAR の圧縮形式とそれぞれに固有の圧縮方法がサポートされています。

ピン留めされたアプリ

最も使用されているアプリのピン留めは、 スタート メニューから行えるようになり、ニーズに合わせてカスタマイズできるようになりました。現在、既定のピン留めされたアプリは次のとおりです。

Azure Arc のセットアップ
フィードバック Hub
エクスプローラー
Microsoft Edge
サーバーマネージャー
設定
ターミナル
Windows PowerShell

タスクマネージャ

Windows Server 2025 では、Windows 11 のスタイルに準拠マイカ素材を備えた最新のタスクマネージャーアプリが使用されます。

Wi-Fi

ワイヤレス LAN サービス機能が既定でインストールされるようになったため、ワイヤレス機能を簡単に有効化できるようになりました。ワイヤレススタートアップサービスは手動に設定され、コマンドプロンプト、Windows ターミナル、または PowerShell でnet start wlansvcを実行して有効にすることができます。

Windows ターミナル

コマンドラインユーザー向けの強力で効率的なマルチシェルアプリケーションである Windows ターミナルは、Windows Server 2025 で使用できます。検索バーで Terminal を検索します。

WinGet

Winget は既定でインストールされ、Windows デバイスにアプリケーションをインストールするための包括的なパッケージマネージャーソリューションを提供するコマンドライン Windows パッケージマネージャーツールです。詳細については、「winget ツールを使用したアプリケーションのインストールと管理」を参照してください。

高度な多層セキュリティ

ホットパッチ (プレビュー)

Azure Arc ポータルで有効にすると、Azure Arc に接続された Windows Server 2025 マシンでホットパッチを使用できるようになりました。ホットパッチを使用すると、コンピューターを再起動しなくても OS セキュリティ更新プログラムを適用できます。詳細については、ホットパッチに関するページを参照してください。

重要

Azure Arc 対応ホットパッチは現在プレビュー段階です。ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

Credential Guard

Windows Server 2025 以降、要件を満たすデバイスでは Credential Guard が既定で有効になります。 Credential Guard の詳細については、「Credential Guard の構成」を参照してください。

[Active Directory ドメインサービス]

Active Directory Domain Services (AD DS) と Active Directory Lightweight Domain Services (AD LDS) に行われた最新の機能強化では、ドメイン管理エクスペリエンスの最適化を目的とするさまざまな新機能が導入されています。

32k データベースページサイズのオプション機能 - AD では、8k データベースページサイズを使用する Windows 2000 の導入以降、拡張記憶域エンジン (E Standard Edition) データベースが使用されます。 8k アーキテクチャ設計の決定により、AD 全体に制限が生じ、 AD の最大制限のスケーラビリティに記載されています。この制限の例としては、サイズが 8K バイトを超えることができない単一レコード AD オブジェクトがあります。 32k データベースページ形式への移行により、複数値属性が最大 3200 個の値を保持できるようになりました。これは 2.6 倍に増加するなど、従来の制限によって影響を受ける領域が大幅に改善されました。

新しい DC は、64 ビット Long Value ID (LID) を使用し、以前のバージョンとの互換性を保つために「8k ページモード」で実行される 32k ページデータベースとともにインストールできます。アップグレードされた DC は、現在のデータベース形式と 8,000 ページを引き続き使用します。 32k データベースページへの移行はフォレスト全体で行われ、フォレスト内のすべての DC に 32k ページ対応のデータベースが必要となります。
ADスキーマの更新 - AD スキーマを拡張する 3 つの新しいログデータベースファイル (LDF) sch89.ldf、 sch90.ldf、 sch91.ldfが導入されました。 AD LDS と同等のスキーマの更新が MS-ADAM-Upgrade3.ldf に含まれています。以前のスキーマ更新の詳細については、 Windows Server AD スキーマの更新を参照してください.
AD オブジェクトの修復- AD では、エンタープライズ管理者がコア属性 SamAccountType および ObjectCategoryが欠落しているオブジェクトを修復できるようになりました。エンタープライズ管理者は、オブジェクトの LastLogonTimeStamp 属性を現在の時刻にリセットできます。これらの操作は、 fixupObjectStateと呼ばれる、影響を受けるオブジェクトに対する新しい RootDSE 変更操作機能を通じて実現されます。
チャネルバインド監査のサポート - Lightweight Directory Access Protocol (LDAP) チャネルバインドに対して、イベント 3074 と 3075 を有効にできるようになりました。チャネルバインドポリシーをより安全な設定に変更すると、管理者は、チャネルバインドをサポートしていない、または失敗する環境内のデバイスを識別できます。これらの監査イベントは、Windows Server 2022 以降でも KB4520412を介して使用できます。
DC 位置アルゴリズムの機能強化 - DC 検出アルゴリズムは、短い NetBIOS 形式のドメイン名から DNS 形式のドメイン名へのマッピングを改善する、新しい機能を提供します。詳細については、「Active Directory DCロケーターの変更」を参照してください。

Note

Windows は、DC 検出操作中に mailslots を使用しません。マイクロソフトは、これらのレガシテクノロジの WINS と mailslot の廃止を発表しています。
`フォレストとドメインの機能レベル - 新しい機能レベルは、一般的なサポートのために使用され、新しい 32K データベースページサイズ機能に必要です。新しい機能レベルは、自動実行インストールの値 DomainLevel 10 と、自動実行インストールの値 ForestLevel 10 にマップされます。 Microsoft には、Windows Server 2019 と Windows Server 2022 の機能レベルを新しく入れ替える予定はありません。ドメインコントローラー (DC) の自動昇格と降格を実行するには、「ドメインコントローラーの自動昇格と降格に関する DCPROMO 応答ファイルの構文」を参照してください。

DsGetDcName アプリケーションプログラミングインターフェイス (API) では、Windows Server 2025 を実行している DC の場所を有効にする新しいフラグ DS_DIRECTORY_SERVICE_13_REQUIRED もサポートされています。機能レベルの詳細については、次の記事を参照してください。
Note

AD フォレストまたは AD LDS の新しい構成セットには、Windows Server 2016 以上の機能レベルを与える必要があります。 AD または AD LDS レプリカの昇格には、既存のドメインまたは構成セットが既に Windows Server 2016 以上の機能レベルで実行されていることが必要になります。

Microsoft はすべてのお客様に、次のリリースの準備として、AD サーバーと AD LDS サーバーを Windows Server 2022 にアップグレードする計画を今すぐ開始することを推奨しています。
名前/SID ルックアップのアルゴリズムの改善- マシンアカウント間のローカルセキュリティ機関 (LSA) 名と Sid ルックアップ転送では、従来の Netlogon セキュアチャネルが使用されなくなりました。代わりに、Kerberos 認証と DC ロケーターアルゴリズムが使用されます。従来のオペレーティングシステムとの互換性を維持するために、フォールバックオプションとして Netlogon セキュアチャネルを使用することも可能です。
機密属性のセキュリティが強化されました - DC と AD LDS インスタンスでは、LDAP が接続の暗号化時にのみ、機密属性に関連する操作を追加、検索、および変更できます。
デフォルトのマシンアカウントパスワードのセキュリティの向上- AD は、ランダムに生成されたデフォルトのコンピューターアカウントパスワードを使用するようになりました。 Windows 2025 DC では、コンピューターアカウントのパスワードをコンピューターアカウント名の既定のパスワードに設定することがブロックされます。

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Optionsにある GPO 設定 ドメインコントローラ: デフォルトのマシンアカウントパスワードの設定を拒否する を有効にすることで制御できます。

Active Directory 管理センター (ADAC)、Active Directory ユーザーとコンピューター (ADUC) などのユーティリティ net computer、と dsmod 新しい動作も尊重します。 ADAC と ADUC の両方で、2k 以前の Windows アカウントを作成できなくなりました。
暗号化の俊敏性のための Kerberos PKINIT のサポート - Kerberos PKINIT (Kerberos Public Key Cryptography for Initial Authentication in Kerberos) プロトコルの実装が更新され、より多くのアルゴリズムをサポートし、ハードコーディングされたアルゴリズムを削除することで、暗号化の俊敏性が実現しました。
LAN Manager GPO設定 - GPO 設定 ネットワークセキュリティ: [次回のパスワード変更時に LAN Manager ハッシュ値を保存しない] は存在しなくなり、新しいバージョンの Windows にも適用されなくなりました。
デフォルトの LDAP 暗号化 - Simple Authentication and Security Layer (SASL) バインド後のすべての LDAP クライアント通信は、既定で LDAP シーリングを利用します。 SASL の詳細については、 SASL 認証に関するページを参照してください。
TLS 1.3 の LDAP サポート - LDAP は最新の SCHANNEL 実装を使用して、TLS 接続上の LDAP で TLS 1.3 をサポートします。 TLS 1.3 を使用することで、廃止された暗号アルゴリズムが排除され、以前のバージョンよりもセキュリティが強化され、できるだけ多くのハンドシェイクの暗号化が目標とされています。詳細については、 Windows Server 2022 の TLS/SSL (Schannel SSP) および TLS 暗号スイートのプロトコルに関するページを参照してください。
従来の SAM RPC パスワードの変更動作 - ドメインユーザーのパスワードを変更するには、Kerberos などの安全なプロトコルを使用することをお勧めします。 DC では、AES を使用した最新の SAM RPC パスワード変更メソッド SamrUnicodeChangePasswordUser4 がリモートで呼び出されると、既定で受け入れられます。リモートで呼び出されたとき、次のレガシ SAM RPC がブロックされます。
保護対象ユーザーグループのメンバーであるドメインユーザー、およびドメインメンバーコンピューターのローカルアカウントの場合、従来の SAM RPC インターフェイスを介したすべてのリモートパスワード変更は、 SamrUnicodeChangePasswordUser4を含め、既定でブロックされます。

この動作は、次のグループポリシーオブジェクト (GPO) 設定を使用して制御できます。

コンピューターの構成 > 管理用テンプレート > システム > セキュリティアカウントマネージャー > SAM の構成パスワードの変更RPC メソッドポリシー
NUMAのサポート - AD DS は、すべてのプロセッサグループの CPU を利用することで、Non-Uniform Memory Access (NUMA) 対応ハードウェアを利用できるようになりました。以前は、AD はグループ 0 の CPU のみを使用していました。 Active Directory は 64 コアを超えて拡張できます。
パフォーマンスカウンター - 次のカウンターのパフォーマンスの監視とトラブルシューティングを利用できるようになりました。
- DC ロケーター - クライアントおよび DC 固有のカウンターを使用できます。
- LSA Lookups - Name および SID は、 LsaLookupNames、 LsaLookupSids、および同等の API を介した検索。これらのカウンターは、クライアント SKU とサーバー SKU の両方で使用できます。
- LDAP クライアント - Windows Server 2022 以降で KB 5029250 更新プログラムを使用して使用できます。
レプリケーションの優先順位 - AD を使用すると、管理者は、特定のネーミングコンテキストの特定のレプリケーションパートナーでシステムが計算したレプリケーションの優先順位を高めることができるようになりました。この機能により、特定のシナリオに対処するため、レプリケーション順位を今までより柔軟に構成できます。

委任された管理サービスアカウント

この新しい種類のアカウントにより、サービスアカウントから委任された管理サービスアカウント (dMSA) への移行が可能になります。このアカウントの種類には、マネージドキーと完全ランダム化キーが付属しており、元のサービスアカウントパスワードを無効にしながら、アプリケーションの変更を最小限に抑えます。詳細については、委任された管理サービスアカウントの概要を参照してください。

Windows ローカル管理者パスワードソリューション (LAPS)

Windows LAPS は、組織が自分のドメインに参加しているコンピューターでローカル管理者のパスワードを管理するのに役立ちます。 Windows LAPS により、各コンピューターのローカル管理者アカウントに対して一意のパスワードが自動的に生成され、AD に安全に保存され、定期的に更新されます。自動的に生成されたパスワードは、攻撃者が侵害された、または推測しやすいパスワードを使用して機密性の高いシステムにアクセスするリスクを減らすことで、セキュリティの向上に役立ちます。

Microsoft LAPS には、次のような改善を実現する機能が導入されています。

新しい自動アカウント管理機能

最新の更新プログラムを使用すると、IT 管理者はマネージドローカルアカウントを簡単に作成できます。この機能を使用すると、アカウント名をカスタマイズしたり、アカウントを有効または無効にしたり、アカウント名をランダム化してセキュリティを強化したりできます。さらに、この更新プログラムでは、Microsoft の既存のローカルアカウント管理ポリシーとの統合が強化されています。この機能の詳細については、 Windows LAPS アカウント管理モードに関するページを参照してください。
新しい画像ロールバック検出機能

Windows LAPS は、イメージのロールバックが発生したときにそれを検出するようになりました。ロールバックが行われると、AD に格納されているパスワードが、デバイスにローカルに格納されているパスワードと一致しなくなる可能性があります。ロールバックにより、永続化された Windows LAPS パスワードを使用して IT 管理者がデバイスにサインインできない "破損状態" が発生する可能性があります。

この問題に対処するために、 msLAPS-CurrentPasswordVersionという AD 属性を含む新しい機能が追加されました。この属性には、新しいパスワードが AD に永続化され、ローカルに保存されるたびに、Windows LAPS によって書き込まれたランダムな GUID が含まれます。すべての処理サイクル中に、 msLAPS-CurrentPasswordVersion に保存された GUID が照会され、ローカルに永続化されたコピーと比較されます。それらが異なる場合、パスワードはすぐにローテーションされます。

この機能を有効にするには、最新バージョンの Update-LapsADSchema コマンドレットを実行する必要があります。完了すると、Windows LAPS は新しい属性を認識し、その使用を開始します。更新されたバージョンの Update-LapsADSchema コマンドレットを実行しない場合、Windows LAPS はイベントログに 10108 警告イベントを記録しますが、他のすべての点で正常に機能し続けます。

この機能を有効化または構成するためにポリシー設定は使用されません。この機能は、新しいスキーマ属性が追加されると常に有効になります。
新しいパスフレーズ機能

IT 管理者は Windows LAPS の新機能を利用できるようになりました。これにより、複雑でないパスフレーズの生成が可能になります。例としては EatYummyCaramelCandy などのパスフレーズが挙げられます。これは V3r_b4tim#963? のような従来のパスワードと比較して、読みやすく、覚えやすく、入力しやすいものです。

この新機能では、 PasswordComplexity ポリシー設定を構成して、3 つの異なるパスフレーズワードリストのいずれかを選択することもできます。これらのリストはすべて、個別のダウンロードを必要とせずに Windows に含まれています。 PassphraseLength という新しいポリシー設定は、パスフレーズで使用される単語の数を制御します。

パスフレーズを作成すると、選択した単語リストから指定した単語数がランダムに選択され、連結されます。各単語の最初の文字は、読みやすくするために大文字になります。この機能では、Windows Server AD または Microsoft Entra ID へのパスワードのバックアップも完全にサポートされています。

3 つの新しい PasswordComplexity パスフレーズ設定で使用されるパスフレーズワードリストは、Electronic Frontier Foundation の記事「Deep Dive: EFF'S New Wordlists for Random Passphrases」から引用したものです。 Windows LAPS パスフレーズ Word リストは CC-BY-3.0 属性ライセンスの下でライセンスされており、ダウンロードできます。

Note

Windows LAPS では、組み込みの単語リストのカスタマイズや、顧客が構成した単語リストの使用はできません。
読みやすさの向上したパスワードディクショナリ

Windows LAPS では、IT 管理者が複雑でないパスワードを作成できる新しい PasswordComplexity 設定が導入されています。この機能を使用すると、LAPS をカスタマイズして、既存の複雑さ設定の 4 と同様に、4 つの文字カテゴリ (大文字、小文字、数字、特殊文字) をすべて使用できます。ただし、新しい設定である 5 を使用した場合、パスワードの読みやすさを高め、混乱を最小限に抑えるために、複雑な文字が除外されます。たとえば、数字 "1" と文字 "I" は、新しい設定では使用されません。

PasswordComplexity を 5 に構成すると、既定のパスワードディクショナリ文字セットに次の変更が加えられます。
- 'I'、'O'、'Q'、'l'、'o' の文字は使用しない。
- '0'、'1' の数値を使用しない。
- 特殊文字、 ',', '.', '&', '{', '}', '[', ']', '(', ')', ';'を使用しない。
- ':'、'='、'?'、'*' の "特殊文字" の使用を開始する。
Active Directory ユーザーとコンピュータースナップイン (Microsoft 管理コンソール経由) の Windows LAPS タブが強化されました。Windows LAPS パスワードが新しいフォントで表示され、プレーンテキストで表示される際の読みやすさが向上しました。
個々のプロセスを終了するための PostAuthenticationAction のサポート

新しいオプションが、PostAuthenticationActions (PAA) グループポリシー設定に追加されました。"パスワードのリセット、マネージドアカウントのサインアウト、および残存プロセスの終了" で、 コンピューターの構成 > 管理テンプレート > システム > LAPS > 認証後アクションにあります。

この新しいオプションは、以前の "パスワードをリセットしてマネージドアカウントをサインアウトする" オプションの拡張機能です。構成が完了すると、PAA は対話型サインインセッションを通知して終了します。 Windows LAPS で管理されているローカルアカウント ID でまだ実行されている、残存プロセスを列挙して終了します。この終了の前に通知がないことに注意してください。

さらに、認証後のアクションの実行中にイベント記録が拡張され、操作に関するより深い分析情報が得られます。

Windows LAPS の詳細については、「Windows LAPS とは」を参照してください。

OpenSSH

以前のバージョンの Windows Server では、OpenSSH 接続ツールを使用する前に手動インストールが必要でした。 OpenSSH サーバー側コンポーネントは、Windows Server 2025 に既定でインストールされます。サーバーマネージャー UI には、sshd.exe サービスを有効または無効にする リモート SSH アクセスの 1 ステップオプションも含まれています。また、 OpenSSH Users グループにユーザーを追加して、デバイスへのアクセスを許可または制限することもできます。詳細については、「OpenSSH for Windows の概要」を参照してください。

セキュリティベースライン

カスタマイズされたセキュリティベースラインを実装することで、推奨されるセキュリティ態勢に基づいて、デバイスまたは VM ロールのセキュリティ対策を最初から確立できます。このベースラインには、350 を超える事前構成済みの Windows セキュリティ設定が用意されています。これにより、Microsoft と業界標準で推奨されるベストプラクティスに合わせて特定のセキュリティ設定を適用できます。詳細については、「OSConfig の概要」を参照してください。

仮想化ベースのセキュリティ (VBS) エンクレーブ

VBS エンクレーブは、ホストアプリケーションのアドレス空間内にあるソフトウェアベースの高信頼実行環境 (TEE) です。 VBS エンクレーブでは、ベースとなる VBS テクノロジを使用してアプリケーションの機密性の高い部分をメモリのセキュリティで保護されたパーティションに分離します。 VBS エンクレーブを使用すると、機密性の高いワークロードをホストアプリケーションとシステムの残りの部分の両方から分離できます。

VBS エンクレーブでは、管理者を信頼する必要性を排除し、悪意のある攻撃者に対する防御を強化することで、アプリケーションでシークレットを保護できます。詳細については、 VBS エンクレーブ Win32 リファレンスを参照してください。

仮想化ベースのセキュリティ (VBS) のキー保護

VBS キー保護を使用すると、Windows 開発者は仮想化ベースのセキュリティ (VBS) を使用して暗号化キーをセキュリティで保護できます。 VBS では、CPU の仮想化拡張機能を使用して、通常の OS の外部に分離されたランタイムを作成します。使用する場合、VBS キーはセキュリティで保護されたプロセス内に分離されるため、このスペースの外部で秘密キーマテリアルを公開することなくキー操作を実行できます。保存時には、秘密キーマテリアルは TPM キーによって暗号化され、VBS キーがデバイスにバインドされます。この方法で保護されたキーは、プロセスメモリからダンプしたり、ユーザーのコンピューターからプレーンテキストでエクスポートしたりすることはできません。 VBS キー保護は、管理者レベルの攻撃者による流出攻撃を防ぐのに役立ちます。キー保護を使用するには、VBS を有効にする必要があります。 VBS を有効にする方法については、「メモリの整合性の有効化」をご覧ください。

セキュリティで保護された接続

セキュリティで保護された証明書管理

Windows での証明書の検索または取得では、関数 CertFindCertificateInStore および CertGetCertificateContextProperty で説明されているように、SHA-256 ハッシュがサポートされるようになりました。 TLS サーバー認証は Windows 全体でより安全であり、RSA キーの最小長は 2,048 ビットである必要があります。詳細については、TLS サーバー認証における弱い RSA 証明書の廃止に関するブログを参照してください。

SMB over QUIC

SMB over QUIC サーバー機能が、Windows Server Standard バージョンと Windows Server Datacenter バージョンの両方で使用できるようになりました。 SMB over QUIC には、低遅延の暗号化された接続を提供するという QUIC のメリットが追加されています。

SMB over QUIC 有効化ポリシー

管理者は、グループポリシーと PowerShell を使用して QUIC クライアント経由で SMB を無効にすることができます。グループポリシーを使用して SMB over QUIC を無効にするには、次のパスの Enable SMB over QUIC ポリシーを Disabled に設定します。

Computer Configuration\Administrative Templates\Network\Lanman Workstation
Computer Configuration\Administrative Templates\Network\Lanman Server

PowerShell を使用して SMB over QUIC を無効にするには、管理者特権の PowerShell プロンプトで次のコマンドを実行します。

Set-SmbClientConfiguration -EnableSMBQUIC $false

SMB署名と暗号化の監査

管理者は、SMB サーバーとクライアントの監査を有効にして、SMB 署名と暗号化をサポートできます。 Microsoft 以外のクライアントまたはサーバーが SMB 暗号化または署名をサポートしていない場合は、検出できます。 Microsoft 以外のデバイスまたはソフトウェアで SMB 3.1.1 がサポートされていると示されているが、SMB 署名のサポートに失敗した場合、 SMB 3.1.1 認証前の整合性プロトコル要件に違反します。

グループポリシーまたは PowerShell を使用して、SMB 署名と暗号化の監査設定を構成できます。これらのポリシーは、次のグループポリシーパスで変更できます。

Computer Configuration\管理istrative Templates\Network\Lanman Server\Audit クライアントは暗号化をサポートしていません
Computer Configuration\管理istrative Templates\Network\Lanman Server\Audit クライアントは署名をサポートしていません
Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit サーバーは暗号化をサポートしていません
Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit サーバーは署名をサポートしていません

PowerShell を使用してこれらの変更を実行するには、管理者特権のプロンプトで次のコマンドを実行します。ここで、 $true はこれらの設定を有効 $false または無効にします。

Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true

Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true

これらの変更のイベントログは、指定されたイベント ID を持つ次のイベント視聴者パスに格納されます。

Path	イベント ID
Applications and Services Logs\Microsoft\Windows\SMBClient\Audit	31998 31999
Applications and Services Logs\Microsoft\Windows\SMBServer\Audit	3021 3022

SMB over QUIC 監査

SMB over QUIC クライアント接続監査では、QUIC トランスポートをイベントビューアーに含めるためにイベントログに書き込まれたイベントがキャプチャされます。これらのログは、指定されたイベント ID を持つ次のパスに格納されます。

Path	イベント ID
Applications and Services Logs\Microsoft\Windows\SMBClient\Connectivity	30832
Applications and Services Logs\Microsoft\Windows\SMBServer\Connectivity	1913

SMB over QUIC クライアントアクセス制御

Windows Server 2025 には、QUIC クライアントアクセス制御経由の SMB が含まれています。 SMB over QUIC は、信頼されていないネットワーク経由でエッジファイルサーバーにセキュリティで保護された接続を提供する TCP および RDMA の代替手段です。クライアントアクセス制御では、証明書を使用してデータへのアクセスを制限するためのより多くの制御が導入されています。詳細については、「クライアントアクセス制御のしくみ」を参照してください。

SMB 代替ポート

SMB クライアントを使用して、IANA/IETF の既定値である 445、5445、443 ではなく、代替 TCP、QUIC、RDMA ポートに接続できます。代替ポートは、グループポリシーまたは PowerShell を使用して構成できます。これまで、Windows の SMB サーバーでは IANA に登録されているポート TCP/445 を使用することを受信接続に要求し、SMB TCP クライアントでは同じ TCP ポートへの送信接続のみを許可していました。現在、SMB over QUIC では、QUIC で義務付けられている UDP/443 ポートをサーバーデバイスとクライアントデバイスの両方で使用できる、 SMB 代替ポートを使用できます。詳細については、「代替 SMB ポートの構成」を参照してください。

SMB ファイアウォール規則のセキュリティ強化

以前は、共有が作成されると、関連するファイアウォールプロファイルの File と Printer Sharing グループを有効にするように SMB ファイアウォール規則が自動的に構成されていました。 Windows で SMB 共有を作成すると、新しい File と Printer Sharing (Restrictive)) グループが自動的に構成され、受信 NetBIOS ポート 137 から 139 が許可されなくなります。詳細については、「更新したファイアウォール規則」を参照してください。

SMB 暗号化

SMB 暗号化を適用は、すべての送信 SMB クライアント接続に対して有効になります。この更新により、管理者は、すべての接続先サーバーが SMB 3.x と暗号化をサポートすることを義務付けることができます。サーバーにこれらの機能がない場合、クライアントは接続を確立できません。

SMB 認証レートリミッター

SMB 認証レートリミッターは、特定の期間内に行うことができる認証試行の数を制限するように設計されています。 SMB 認証レートリミッターは、ブルートフォース認証攻撃に対処するのに役立ちます。 SMB サーバーサービスは、認証レート制限機能を使用して、失敗した NTLM または PKU2U ベースの認証試行間の遅延を実装し、既定で有効になっています。詳細については、「 SMB 認証レートリミッターのしくみを参照してください。

SMB NTLM を無効にする

Windows Server 2025 以降、SMB クライアントはリモート送信接続の NTLM ブロックをサポートしています。以前は、Windows Simple and Protected GSSAPI ネゴシエーションメカニズム (SPNEGO) は、Kerberos、NTLM、およびその他のメカニズムを移行先サーバーとネゴシエートして、サポートされているセキュリティパッケージを決定しました。詳細については、「SMB での NTLM 接続のブロックを参照してください。

SMB 言語制御

Windows で SMB 方言をできるようになりました。構成すると、SMB サーバーは、最も高い方言のみに一致する以前の動作と比較して、どの SMB 2 と SMB 3 の方言をネゴシエートするかを決定します。

SMB 署名

SMB 署名は、以前は AD ドメインコントローラー上の SYSVOL および NETLOGON という名前の共有に接続する場合にのみ必要であったすべての SMB 送信接続に対して既定で必要になりました。詳しくは、「署名のしくみ」を参照してください。

リモートメールスロット

リモート Mailslot プロトコルは、SMB および Active Directory での DC ロケータープロトコルの使用に対して、既定で無効になっています。リモート Mailslot は、後のリリースで削除される可能性があります。詳しくは、「開発の終了した機能」を参照してください。

ルーティングとリモートアクセスサービス (RRAS) のセキュリティ強化

既定では、新しいルーティングおよびリモートアクセスサービス (RRAS) のインストールでは、PPTP プロトコルと L2TP プロトコルに基づく VPN 接続は受け入れられません。その場合でも、必要に応じてこれらのプロトコルを有効にできます。 SSTP および IKEv2 ベースの VPN 接続は、変更なしで引き続き受け入れられます。

既存の構成はそのまま動作します。たとえば、Windows Server 2019 を実行し、PPTP 接続と L2TP 接続を受け入れ、インプレースアップグレードを使用して Windows Server 2025 にアップグレードする場合、L2TP および PPTP ベースの接続は引き続き受け入れられます。この変更は、Windows クライアントオペレーティングシステムには影響しません。 PPTP と L2TP を再度有効にする方法の詳細については、「VPN プロトコルの構成を参照してください。

Hyper-V、AI、およびパフォーマンス

高速ネットワーク

高速ネットワーク (AccelNet) を使用すると、Windows Server 2025 クラスターでホストされている仮想マシン (VM) の単一ルート I/O 仮想化 (SR-IOV) の管理が簡素化されます。この機能では、高パフォーマンスの SR-IOV データパスを使用して、待機時間、ジッター、および CPU 使用率を削減します。 AccelNet には、前提条件のチェック、ホスト構成、および VM のパフォーマンス設定を処理する管理レイヤーも含まれています。詳細については、「エッジでのAccelerated Networking (プレビュー)」を参照してください。

Hyper-V マネージャーは

Hyper-V マネージャーを使用して新しい VM を作成すると、 Generation 2 が 新しい仮想マシンウィザードの既定のオプションとして設定されるようになりました。

ハイパーバイザーによって適用されるページング変換

ハイパーバイザーによって適用されるページング変換 (HVPT) は、線形アドレス変換の整合性を適用するためのセキュリティ強化です。 HVPT は、攻撃者が任意の値を任意の場所 (多くの場合、バッファーオーバーフローの結果として) 書き込む場所の攻撃から重要なシステムデータを保護します。 HVPT は、重要なシステムデータ構造を構成するページテーブルを保護します。 HVPT には、ハイパーバイザーで保護されたコード整合性 (HVCI) で既に保護されているすべてが含まれています。 HVPT は、ハードウェアサポートが利用可能な既定で有効になっています。 WINDOWS Server が VM でゲストとして実行されている場合、HVPT は有効になりません。

GPU パーティショニング (GPU-P)

GPU パーティション分割を使用すると、物理 GPU デバイスを複数の仮想マシン (VM) と共有することができます。 GPU パーティション分割では、GPU 全体を 1 つの VM に割り当てる代わりに、GPU の専用の割合が各 VM に割り当てられます。 Hyper-V GPU-P 高可用性では、計画外のダウンタイムが発生した場合に、GPU-P VM が別のクラスターノードで自動的に有効になります。 GPU-P ライブマイグレーションは、GPU-P を使用して VM を (計画されたダウンタイムまたは負荷分散のために) スタンドアロンまたはクラスター化された別のノードに移動するソリューションを提供します。 GPU パーティション分割の詳細については、GPU パーティション分割を参照してください。

動的プロセッサの互換性

動的プロセッサ互換モードが更新され、クラスター環境の新しいプロセッサ機能が利用されます。動的プロセッサ互換性では、クラスター内のすべてのサーバーで使用可能なプロセッサ機能の最大数が使用されます。このモードでは、以前のバージョンのプロセッサ互換性と比較してパフォーマンスが向上します。動的プロセッサの互換性により、さまざまな世代のプロセッサを使用する仮想化ホスト間でその状態を保存することもできます。プロセッサ互換モードでは、第 2 レベルのアドレス変換 (SLAT) が可能なプロセッサで強化された動的機能が提供されるようになりました。更新された互換モードの詳細については、「 Dynamic プロセッサ互換モードを参照してください。

ワークグループクラスター

Hyper-V ワークグループクラスターは、特別な種類の Windows Server フェールオーバークラスターです。Hyper-V クラスターノードは、ワークグループクラスター内の VM をライブマイグレーションする機能を持つ Active Directory ドメインのメンバーではありません。

Network ATC

ネットワーク ATC は、Windows Server 2025 クラスターのネットワーク構成の展開と管理を効率化します。ネットワーク ATC では、意図ベースのアプローチを利用します。ユーザーは、ネットワークアダプターの管理、コンピューティング、ストレージなど、目的の意図を指定し、展開は目的の構成に基づいて自動化されます。この方法により、ホストネットワークのデプロイに関連する時間、複雑さ、エラーが軽減され、クラスター全体の構成の一貫性が確保され、構成の誤差が排除されます。詳細については、「ネットワーク ATC を使用したホストネットワークのデプロイを参照してください。

スケーラビリティ

Windows Server 2025 では、Hyper-V はホストあたり最大 4 ペタバイトのメモリと 2,048 個の論理プロセッサをサポートするようになりました。この増加により、仮想化されたワークロードのスケーラビリティとパフォーマンスが向上します。

Windows Server 2025 では、第 2 世代 VM に対して最大 240 TB のメモリと 2,048 個の仮想プロセッサもサポートされており、大規模なワークロードを実行するための柔軟性が向上しています。詳細については、「 Plan for Hyper-V scalability in Windows Server」を参照してください。

Storage

ブロッククローンのサポート

Windows 11 24H2 および Windows Server 2025 以降、Dev Drive ではブロックの複製がサポートされるようになりました。 Dev Drive では ReFS ファイルシステム形式が使用されるため、ブロック複製のサポートにより、ファイルのコピー時にパフォーマンス上の大きな利点が得られます。ブロック複製を使用すると、ファイルシステムは、基になる物理データに対して高価な読み取りと書き込み操作を実行するのではなく、低コストのメタデータ操作として、アプリケーションに代わってファイルバイトの範囲をコピーできます。これにより、複数のファイルが同じ論理クラスターを共有できるようになり、ファイルのコピーがより速く完了し、基盤となるストレージへの I/O が削減され、ストレージ容量が向上します。詳細については、「ReFS でのブロッククローン作成」を参照してください。

Dev Drive

Dev Drive は、重要な開発者ワークロードのパフォーマンスを向上させることを目的としたストレージボリュームです。 Dev Drive は ReFS テクノロジーを活用し、特定のファイルシステム最適化を組み込むことで、ストレージボリュームの設定とセキュリティをより細かく制御できます。これには、信頼を指定し、ウイルス対策設定を構成し、添付されたフィルターに対する管理制御を実行する機能が含まれます。詳細については、「Windows 11 で Dev Drive をセットアップする」を参照してください。

NVMe

NVMe は、高速ソリッドステートドライブ (SSD) の新しい標準です。 NVMe ストレージのパフォーマンスは Windows Server 2025 で最適化されており、パフォーマンスが向上し、IOPS が増加し、CPU 使用率が低下します。

記憶域レプリカの圧縮

記憶域レプリカの圧縮により、レプリケーション中にネットワーク経由で転送されるデータの量が減ります。記憶域レプリカでの圧縮の詳細については、「 Storage レプリカの概要を参照してください。

記憶域レプリカ拡張ログ

拡張ログは、記憶域レプリカログの実装に役立ち、ファイルシステムの抽象化に関連するパフォーマンスコストを排除し、ブロックレプリケーションのパフォーマンスを向上させます。詳細については、「記憶域レプリカ拡張ログ」を参照してください。

ReFS ネイティブストレージの重複除去と圧縮

ReFS ネイティブストレージの重複除去と圧縮は、ファイルサーバーや仮想デスクトップなどの静的ワークロードとアクティブワークロードの両方のストレージ効率を最適化するために使用される手法です。 ReFS 重複除去と圧縮の詳細については、「 Azure Stack HCI での ReFS 重複除去と圧縮によるストレージの最適化を参照してください。

シンプロビジョニングボリューム

記憶域スペースダイレクトでプロビジョニングされたシンボリュームは、クラスターで必要な場合にのみプールから割り当てることで、記憶域リソースをより効率的に割り当て、コストの高い割り当てを回避する方法です。固定ボリュームからシンプロビジョニングボリュームに変換することもできます。固定ボリュームからシンプロビジョニングボリュームに変換すると、未使用の記憶域がプールに戻され、他のボリュームで使用できるようになります。シンプロビジョニングボリュームの詳細については、「 Storage シンプロビジョニングを参照してください。

サーバーメッセージブロック

サーバーメッセージブロック (SMB) は、ネットワーク上のデバイス間でファイルなどのリソースを共有する信頼性の高い方法を提供することにより、ネットワークで最も広く使用されているプロトコルの 1 つです。 Windows Server 2025 には、業界標準の LZ4 圧縮アルゴリズムの SMB 圧縮サポートが含まれています。 LZ4 は、SMB に加えて、XPRESS (LZ77)、XPRESS Huffman (LZ77+Huffman)、LZNT1、およびPATTERN_V1の既存のサポートを提供しています。

Azure Arc とハイブリッド

Azure Arc のセットアップの簡略化

既定では、Azure Arc セットアップオンデマンド機能がインストールされています。これにより、わかりやすいウィザードインターフェイスとシステムトレイアイコンがタスクバーに用意され、Azure Arc にサーバーを追加するプロセスが容易になります。Azure Arc により Azure プラットフォームの機能が拡張され、多様な環境で動作するアプリケーションとサービスの作成が可能になります。これらの環境には、データセンター、エッジ、マルチクラウド環境が含まれており、柔軟性が向上します。詳細については、「Azure Arc セットアップを使用して Windows Server マシンを Azure に接続する」を参照してください。

従量課金制ライセンス

Azure Arc の従量課金制サブスクリプションライセンスオプションは、Windows Server 2025 の従来の永続的ライセンスの代替手段です。従量課金制では、Windows Server デバイスを展開し、ライセンスを取得し、使用した分だけ支払うことができます。この機能は Azure Arc を通じて容易になり、Azure サブスクリプション経由で課金されます。 Azure Arc の従量課金制ライセンスの詳細を確認。

Azure Arc で有効化される Windows Server 管理

Azure Arc で有効になっている Windows Server 管理は、アクティブなソフトウェアアシュアランスを持つ Windows Server ライセンスまたはアクティブなサブスクリプションライセンスである Windows Server ライセンスをお持ちのお客様に新しい利点を提供します。 Windows Server 2025 には、次の主な利点があります。

Azure Arc の Windows Admin Center: Windows Admin Center が Azure Arc と統合され、Azure Arc ポータルから Windows Server インスタンスを管理できるようになりました。この統合により、Windows Server インスタンスがオンプレミス、クラウド、エッジのいずれで実行されているかに関係なく、統合された管理エクスペリエンスが提供されます。
リモートサポート: プロフェッショナルサポートをお持ちのお客様に、詳細な実行トランスクリプトと失効権限を使用して Just-In-Time (JIT) アクセスを許可する機能を提供します。
ベストプラクティス評価: 問題と修復ガイダンスとパフォーマンスの向上を生成するためのサーバーデータの収集と分析。
Azure Site Recovery の構成: ビジネス継続性を確保し、重要なワークロードのレプリケーションとデータの回復性を提供する Azure Site Recovery の構成。

Azure Arc で有効になっている Windows Server Management と利用可能な利点の詳細については、「 Windows Server Management enabled by Azure Arc」を参照してください。

ソフトウェア定義ネットワーク (SDN)

SDN は、ネットワーク管理者が下位レベルの機能を抽象化してネットワークサービスを管理できるようにするネットワークへのアプローチです。 SDN を使用すると、ネットワークの管理を担当するネットワークコントロールプレーンを、実際のトラフィックを処理するデータプレーンから分離できます。この分離により、ネットワーク管理における柔軟性とプログラミング性が向上します。 SDN には、Windows Server 2025 で次の利点があります。

SDN のコントロールプレーンであるネットワークコントローラーは、物理ホストマシン上のフェールオーバークラスターサービスとして直接ホストされるようになりました。クラスターロールを使用すると、VM をデプロイする必要がなくなり、リソースを節約しながらデプロイと管理が簡素化されます。
タグベースのセグメント化を使用すると、管理者はカスタムサービスタグを使用して、アクセス制御のためにネットワークセキュリティグループ (NSG) と VM を関連付けることができます。管理者は、IP 範囲を指定する代わりに、シンプルでわかりやすいラベルを使用してワークロード VM にタグを付け、これらのタグに基づいてセキュリティポリシーを適用できるようになりました。タグを使用すると、ネットワークセキュリティを管理するプロセスが簡素化され、IP 範囲を記憶して再入力する必要がなくなります。詳細については、「 Windows Admin Center でタグを使用してネットワークセキュリティグループを構成するを参照してください。
Windows Server 2025 の既定のネットワークポリシーでは、Windows Admin Center を介してデプロイされたワークロードの NSG に Azure に似た保護オプションが提供されます。既定のポリシーでは、すべての受信アクセスが拒否され、ワークロード VM からの完全な送信アクセスを許可しながら、既知の受信ポートを選択的に開きます。既定のネットワークポリシーにより、ワークロード VM が作成時点からセキュリティで保護されます。詳細については、「 Azure Stack HCI バージョン 23H2 の仮想マシンで既定のネットワークアクセスポリシーを使用するを参照してください。
SDN マルチサイトは、2 つの場所にわたるアプリケーション間のネイティブレイヤー 2 とレイヤー 3 の接続を追加コンポーネントなしで提供します。この機能により、アプリケーションやネットワークを再構成する必要なく、アプリケーションをシームレスに移動できます。また、ワークロードの統合されたネットワークポリシー管理が提供されるため、ワークロード VM がある場所から別の場所に移動したときにポリシーを更新する必要はありません。詳細については、「SDN マルチサイトとは」を参照してください。
SDN レイヤー 3 ゲートウェイのパフォーマンスが向上し、スループットが向上し、CPU サイクルが減少します。これらの機能強化は、既定で有効になっています。ユーザーは、PowerShell または Windows Admin Center を使用して SDN ゲートウェイレイヤー 3 接続を構成すると、パフォーマンスが自動的に向上します。

Windows コンテナーの移植性

移植性はコンテナー管理の重要な側面であり、Windows でコンテナーの柔軟性と互換性を強化することでアップグレードを簡略化する機能を備えます。移植性は、ユーザーが変更を必要とせずに、異なるホストまたは環境間でコンテナーイメージとそれに関連するデータを移動できるようにする Windows Server の機能です。ユーザーは、互換性の問題を気にすることなく、1 つのホストにコンテナーイメージを作成し、別のホストにデプロイできます。詳細については、「コンテナーの移植性」を参照してください。

Windows Server Insider Program

Windows Server Insider Program は、愛好家のコミュニティ向けに最新の Windows OS リリースへの早期アクセスを提供します。メンバーとして、マイクロソフトが開発している新しいアイデアや概念をいち早く試すことができます。メンバーとして登録した後、Windows Update から Windows Insider Program にアクセスして、さまざまなリリースチャネルに参加することを選択できます。

次の方法で共有