Windows 10 の WDAG は Education SKU では使えなかった件

Microsoft Edge の隔離されたブラウジング環境である Windows 10 の Windows Defender Application Guard（WDAG）は、ver 1709 で Enterprise SKU に搭載され、ver 1803 ではスタンドアロンモードでの利用が Pro SKU に拡大されました。Enterprise と Pro で使えるなら、Education と Pro Education でも使えるんでしょって思うでしょ。

System requirements for Windows Defender Application Guard
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-guard/reqs-wd-app-guard

システム要件にも Education と Pro Education が入ってるし、そう説明している解説記事やドキュメントも多いけど...

（※↑ 5/2 にフィードバックが反映され、Enterprise 1709 or higher、Pro/Pro for Workstations/Pro Education 1803 or higher、Education 1903 or higher に訂正されました。でもなぜか Pro ではなく Professional と書きたいみたい）

本当はね、Education では使えないんです。ほらね↓ （追記：Pro Education では使える）

（Pro Education、ver 1803 以前の Education では確認してません。また、DISM /Online /Enable-Feature や Enable-WindowsOptionalFeature ならどうかとかも試していません。）

これは ver 1809 までの話。May.U こと Windows 10 May 2019 Update（ver 1903）からは、Education でも使えるように。たぶん、Pro Education も（未確認）。

公式ブログだと思うんですが、どこかでアナウンスされてたような気がするんですが、見当たらないので実機で確認しました。そこにはこんなこと書いてました（コピペが残ってたけど URL は不明）。

"2018 年 4 月の更新プログラムでは、この新しい多層防御による保護を Windows 10 Pro にまで拡大しました。最新の 19H1 プレビュー ビルドでは、Windows 10 Education にまで拡大されています。"

「2018 年 4 月の更新プログラム」は「Windows 10 April 2018 Update」のことですから、機械翻訳の記事だと思います。

マイクロソフトの公式ドキュメントは、最近、いいかげんなところがあるので要注意（SKU による機能差とかシステム要件とか） 。気が付いたらせっせとフィードバックしましょう（ドキュメントへの直接フィードバックには GitHub アカウントが必要）。

4/20 追記）
Windows 10 ver 1803/1809 Pro Education だと有効化できた。1803 Education だと 1809 と同じようにブロックされました。

まとめると、たぶん↓な感じ。〇は WDAG を利用可能、×は有効化ブロック、括弧付き(〇)(×)は想像（未確認）。そういえば、SKU 番号（OperatingSystemSKU）は、ver 1803 までPro と Pro Education は同じ（48）で、Enterprise（4）と Education（121）は違う。ちなみに、Enterprise Evaluation (72) と Pro for Workstations (161) でも使える。ver 1809 以降は Pro Education 用の SKU（164）は別。

                               1709 1803 1809 1903
Enterprise                  〇      〇      〇      〇　
Enterprise Evaluation  〇      〇      〇      〇　
Pro                            ×      〇      〇      〇
Pro for Workstations   ×      〇      〇      〇
Education                  ×       ×       ×      〇
Pro Education            ×       〇      〇      〇

* 1709 は en-us 環境、1803 からローカライズ

なので、公式ドキュメントはこうなってるのが正しいと思う。

Windows 10 Enterprise edition, version 1709 or higher
Windows 10 Professional edition, version 1803 or higher
Windows 10 Pro for Workstations edition, version 1803 or higher
Windows 10 Education edition, version 1709 1903 or higher
Windows 10 Pro Education edition, version 1803 or higher

さらに追記）
Windows 10 Education ver 1809 で Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-Application-Guard を実行したら有効化できたように見える。たぶん、DISM /Online /Enable-Feature /FeatureName:Windows-Defender-ApplicationGuard でもできるかも。

「Windows の機能の有効化または無効化」だけの問題？ ･･･ と思ったら、使おうとして「新しい Application Guard ウィンドウ」を開こうとしても「準備しています（少しお待ちください）...（X%）」が始まらないし、ウィンドウも出てこない。イベントログの WDAG-Service ログには 205 と 200 のエラーが大量に。ver 1809 Education の 200 のメッセージは空に見えるけど、ver 1709 Education だと「メッセージ: Hvsi feature is not enabled on this sku」です。 「Operational」がなぜか「操作可能」になっているのは大目に見ます。