Windows Protected Print (WPP)：Microsoftの期限到来前にエンタープライズITがすべきこと

Windows Protected Print (WPP) は、Windows 11およびWindows Server 2025のセキュリティモードで、エンドポイントでのサードパーティ製プリンタードライバーの読み込みをブロックし、すべての印刷をMicrosoftのIPP Class Driver経由でルーティングします。継続利用にはMopria認証プリンター、またはIPP対応経路が必要です。管理者はグループポリシーまたはIntuneのプロファイルで有効化します。

WPP自体は管理者が制御するもので、強制有効化の日付はありませんが、Microsoftのドライバーサービシング計画には3つの期限があります。2026年1月15日以降、Windows 11およびServer 2025向けの新しいサードパーティ製ドライバーはWindows Updateで配信されなくなります。2026年7月1日にはWindowsがIPP Class Driverを優先するようになり、2027年7月1日以降はサードパーティ製ドライバーへの提供がセキュリティパッチのみに限定されます。

はい。クラウド印刷プラットフォームではドライバーをリモートのレンダリングノード側に置くため、Windowsのエンドポイントはドライバーに依存しない印刷ジョブを送信し、ローカルにサードパーティ製ドライバーを必要としません。これによりWPPが問題とする依存関係が解消され、プリンターがMopria認定でなくてもエンドポイントはWPPと互換になります。 ezeepはこの方式でジョブをレンダリングしており、その点においてWPPとの互換性を公表しています。

いいえ。WPPは管理者側で制御され、グループポリシーまたはIntuneで構成します。MicrosoftはWPPがエンドポイントのデフォルトモードになる時期を発表していません。確実に決まっているのはドライバー提供のロードマップです。具体的には、2026年1月15日以降はWindows Update経由での新しいサードパーティ製ドライバーの配布が停止されます。2026年7月1日からはWindowsがIPP Class Driverを優先します。さらに2027年7月1日以降は、セキュリティパッチを除きサードパーティ製ドライバーの更新は行われません。

WPP自体は規制要件の中身を変えるものではありませんが、それらと照らして評価すべきアーキテクチャを変えます。サードパーティ製ドライバーを排除することでエンドポイント上の特権昇格ソフトウェアが減り、エンドポイントのハードニングに関する証跡が簡素化されます。また監査経路は「クライアント → サーバーキュー → プリンター」から「クライアント → IPPエンドポイント → プリンター」に変わるため、規制対象環境でWPPを有効化する前にエンドツーエンドのログ確認が必要です。これが総合的にプラスになるかは、プラットフォームベンダーや扱うデータの分類によります。

WPPは従来のWindows印刷経路における複数のゼロトラスト違反に対処します。共有プリントサーバーは暗黙の信頼ハブとして振る舞い、サードパーティ製ドライバーは特権昇格で実行され、印刷スプーラーはインバウンドのRPC接続を受け入れます。WPPはこれらをHTTPS上の暗号化されたIPP、IPP Class Driver、そして攻撃対象からのローカルプリントサーバーの除外に置き換えます。米国連邦やCMMC適用環境、NIST CSFや800-53のベースライン環境では、これが早期移行を支持するアーキテクチャ上の論拠になります。

Windowsのプリントサーバーは、WPPクライアントをIP非対応のレガシープリンターに透過的にブリッジできません。サーバー側はWPPがクライアントから取り除こうとしているのと同じサードパーティ製ドライバーを実行しているためです。サーバーが従来のRPCやSMB共有だけを公開している場合、WPPクライアントは接続できません。機能するアーキテクチャは、V3／V4ドライバーに依存する共有サーバー経由ではなく、IPP経路またはクラウドレンダリングを経由してジョブを渡すものです。多くの企業はWPP移行の一環としてプリントサーバーを統合または廃止する結論に至ります。