プライバシー

  • [アーティクル]

Microsoft マネージド デスクトップは、従業員の Windows デバイスのデプロイと更新を維持するように設計されたエンタープライズ クラウドのお客様向けのサービスとしての IT (ITaaS) サービスです。

また、IT サービスの管理と運用、セキュリティとインシデント対応の監視、ユーザー サポートも提供されます。 この記事では、Microsoft マネージド デスクトップのデータ プラットフォームとプライバシー コンプライアンスの詳細について説明します。

Microsoft マネージド デスクトップのデータソースと目的

Microsoft マネージド デスクトップは、企業のお客様にサービスを提供し、さまざまなソースからのデータを使用して、顧客の登録済みデバイスを適切に管理します。

これらのソースには、Microsoft Entra ID、Microsoft Intune、Microsoft Windows 10/11、およびMicrosoft Defender for Endpointが含まれます。 Microsoft マネージド デスクトップが管理するデバイスの包括的なビューを提供します。 また、このサービスでは、次の Microsoft サービスを使用して、Microsoft マネージド デスクトップが ITaaS 機能を提供できるようにします。

データ ソース 用途
Microsoft Windows 10/11 Enterprise デバイスのセットアップ エクスペリエンスの管理、他のサービスへの接続の管理、IT 担当者への運用サポートの提供のため。
Windows Update for Business Windows 10/11 Enterprise 診断データを使用して、Windows 10/11 更新に関する追加情報を提供します。
Microsoft Intune製品ファミリ デバイス管理とデータのセキュリティ保護。 次のデータ ソースは、Microsoft Intune製品ファミリに該当します。
  • Microsoft Entra ID: すべてのユーザー アカウントの認証と識別。
  • Microsoft Intune: デバイス構成の配布、デバイス管理、アプリケーション管理。
  • Endpoint Analytics: デバイスとアプリの使用状況に関する分析情報。
  • Windows Autopilot: デバイスのプロビジョニングと展開。
  • Microsoft Defender for Endpoint: デバイスのセキュリティ監視やセキュリティ インテリジェンス データなどのセキュリティ サービスを提供します。
Microsoft マネージド デスクトップ サービスの実行中に顧客が提供したデータ、またはサービスによって生成されたデータ。
Microsoft 365 Apps for enterprise Microsoft 365 Apps の管理。

Microsoft マネージド デスクトップ データ プロセスとストレージ

Microsoft マネージド デスクトップは、企業のお客様にサービスを提供するために、複数の Microsoft 製品とサービスのデータに依存しています。

登録されたデバイスを保護および維持するために、これらのサービスからMicrosoft マネージド デスクトップにデータを処理してコピーします。 データを処理する場合、「オンライン サービスの使用条件」 と 「Microsoft プライバシーに関する声明」に記載されているように、お客様が指定した文書化された指示に従います。

Microsoft マネージド デスクトップのプロセッサの職務には、適切な機密性、セキュリティ、回復性の確保が含まれます。 Windows 365 では、個人データが確実に適切に扱われるようにするため、追加の内部プライバシーおよびセキュリティ対策を採用しています。

Microsoft マネージド デスクトップ データ ストレージとスタッフの場所

Microsoft Managed Desktop は、データ所在地に基づいて Azure データ センターにデータを格納します。 詳細については、「 Microsoft 365 データ センターの場所」を参照してください。

重要

  • 2022 年 11 月 8 日の時点で、 新しい Microsoft Managed Desktop のお客様 (EU、英国、アフリカ、中東) のみがヨーロッパのデータ センターにデータを公開します。
  • 既存の欧州連合 (EU) Microsoft Managed Desktop のお客様は、2022 年末までに北米のデータ センターからヨーロッパのデータ センターに移行します。
  • 既存の Microsoft Managed Desktop のお客様であり、欧州連合の一部ではない場合は、来年、北米からそれぞれのデータ所在地へのデータ移行が行われます。

Microsoft Managed Desktop やその他のサービスによって取得されたデータは、サービスの運用を維持するために必要です。 Microsoft マネージド デスクトップからデバイスが削除された場合、データは最大 30 日間保持されます。 Microsoft Defender for Endpoint によって収集されたアラート データは、セキュリティ上の理由により、お客様が Microsoft Defender for Endpoint を使用している場合は 180 日間保存されます。 データ保持の詳細については、「Microsoft 365 のデータの保持、削除、および破棄」を参照してください。

Microsoft マネージド デスクトップ エンジニアリング運用チームとセキュリティ 運用チームは、米国、インド、ルーマニアにあります。

Microsoft Windows 10/11 診断データ

Microsoft Managed Desktop では、Windows 10/11 拡張診断データを使用して、Windows のセキュリティを維持し、最新の状態に保ち、問題を解決し、製品の改善を行います。

強化された診断データ設定には、Microsoft マネージド デスクトップ に登録されているデバイスとその設定、機能、およびデバイスの正常性に関する詳細情報が含まれています。 強化された診断データが選択されると、必要な診断データを含むデータが収集されます。 詳細については、「Windows 10/11 診断データ設定とデータ収集に関する Windows 診断データ収集の変更」を参照してください。

診断データの用語は、Windows の将来のバージョンで変更される予定です。 Microsoft マネージド デスクトップ は、サービスに必要なデータのみを処理することにコミットされます。 これは、診断レベルが [オプション] に変更されることを意味しますが、Microsoft マネージド デスクトップは、サービスに必要な診断データ収集を微調整するために限られた診断ポリシーを実装します。 Windows テレメトリの最近の変更については、「Windows 診断データ収集の変更」を参照してください。

Microsoft マネージド デスクトップでは、アプリケーションやデバイスの信頼性、パフォーマンス情報など、登録されたデバイスから送信される、Windows 10/11 オプションの診断データからのシステム レベルのデータのみを処理して格納します。 Microsoft Managed Desktop では、チャットやブラウザーの履歴、音声、テキスト、音声データなどの顧客のデータは処理および格納されません。

Microsoft Windows 10/11 の診断データ収集の詳細については、「Microsoft プライバシーに関する声明」の「データを保存および処理する場所」セクションを参照してください。

Windows 診断データの使用方法の詳細については、次を参照してください。

テナント アクセス

Microsoft Managed Desktop は、テナントにエンタープライズ アプリケーションを作成します。 このエンタープライズ アプリケーションは、Microsoft Managed Desktop サービスを実行するために使用されます。

エンタープライズ アプリケーション名 使用方法 アクセス許可
モダン ワークプレース管理 モダン ワークプレース管理アプリケーション:
  • サービスを管理します
  • ベースライン構成の更新プログラムを発行します
  • サービスの全体的な正常性を維持する
  • DeviceManagementApps.ReadWrite.All
  • DeviceManagementConfiguration.ReadWrite.All
  • DeviceManagementManagedDevices.PriviligedOperation.All
  • DeviceManagementManagedDevices.ReadWrite.All
  • DeviceManagementRBAC.ReadWrite.All
  • DeviceManagementServiceConfig.ReadWrite.All
  • Directory.Read.All
  • Group.Create
  • Policy.Read.All
  • WindowsUpdates.ReadWrite.All

Windows Update for Business

Microsoft Windows Update for Business では、Windows 診断のデータを使用して、更新の状態とエラーを分析します。 Microsoft マネージド デスクトップでは、このデータを使用して、定義済みの更新プログラムの周期に基づいて、登録されているすべてのデバイスが最新の状態になるように問題を軽減し、解決します。

Microsoft Entra ID

Microsoft Managed Desktop で使用されるデータの識別は、地理的な場所に Microsoft Entra ID によって格納されます。 地理的な場所は、Enterpriseや Azure の Microsoft Apps など、Microsoft オンライン サービスのサブスクライブ時に組織によって提供される場所に基づいています。 Microsoft Entra データの場所の詳細については、「Microsoft Entra ID - データの場所」を参照してください。

Microsoft Intune

Microsoft Intune は、ビジネス運用とサービスをサポートするために、データを収集、処理、および Microsoft マネージド デスクトップに共有します。 Intuneで収集されるデータの詳細については、「Intune のデータ収集」を参照してください。

Microsoft Intuneデータの場所の詳細については、「Microsoft 365顧客データの保存場所」を参照してください。 エンドポイント分析では、顧客データの管理者が選択した保存場所が尊重されます。

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint は、管理、追跡、レポートの目的でMicrosoft マネージド デスクトップに登録されているデバイスの情報を収集して格納します。 収集される情報には、次のものが含まれます。

  • ファイル データ (ファイル名、サイズ、ハッシュなど)
  • プロセス データ (実行中のプロセス、ハッシュ)
  • レジストリ データ
  • ネットワーク接続データ
  • デバイスの詳細 (デバイス識別子、デバイス名、オペレーティング システムのバージョンなど)

Microsoft Defender for Endpoint のデータ収集場所とストレージの場所の詳細については、「Microsoft Defender for Endpoint データストレージとプライバシー」を参照してください。

Microsoft 365 Apps for Enterprise

Microsoft 365 Apps for Enterprise は、Microsoft マネージド デスクトップとデータを収集して共有し、それらのアプリが最新バージョンで最新であることを確認します。 これらの更新プログラムは、Microsoft マネージド デスクトップによって管理される定義済みの更新チャネルに基づいています。 Microsoft 365 Appsのデータ収集場所とストレージの場所の詳細については、「Microsoft Defender for Endpoint データ ストレージとプライバシー」を参照してください。

メジャー データ変更通知

Microsoft マネージド デスクトップは、サービス通信フレームワークで説明されているように、変更制御プロセスに従います。

Microsoft 365 メッセージ センターを通じて、セキュリティ インシデントとサービスの主な変更の両方について、Microsoft Intune管理センターを通じてお客様に通知します。

収集されたデータの種類と格納場所に対する変更は、重大な変更と見なされます。 Microsoft 365 製品とサービスの標準的なプラクティスと同様に、この変更に関する少なくとも 30 日間の高度な通知を提供します。 詳細については、「サービスの変更と通信」を参照してください。

コンプライアンス

Microsoft マネージド デスクトップは外部監査を受け、包括的な一連のコンプライアンス オファリングを取得しました。 詳しくは、[コンプライアンス] をご覧ください。 監査レポートは、Microsoft Enterprise Online Services の中央リポジトリとして機能する Microsoft Service Trust Portal でダウンロードできます。 Microsoft マネージド デスクトップは、これらのドキュメントの [監視と管理] カテゴリに一覧表示されます。

データ主体要求

Microsoft Managed Desktop は、GDPR と CCPA のプライバシー規制に従い、データ主体にデータに対する特定の権利を付与します。

これらの権限には、次の事柄が含まれます。

  • データのコピーの取得
  • 修正を要求する
  • 顧客データの処理の制限
  • 削除する
  • 別のコントローラーに移動できるように電子形式で受け取ります。

データ 主体要求 (DSR) の詳細については、「データ対象要求と GDPR および CCPA」を参照してください。

Microsoft マネージド デスクトップ ケース管理システムによって収集されたデータに対するデータ主体要求を実行するには、次のデータ主体の要求を参照してください。

データ主体要求 説明
Microsoft Defender for Endpoint アラートからのデータ セキュリティ管理者は、レポート要求を送信することで、Microsoft Defender for Endpointアラートに関連するデータの削除または抽出を要求できます。

以下の情報を指定します。
  • 要求の種類: 要求を変更する
  • カテゴリ: セキュリティ
  • サブカテゴリ: その他
  • 説明: 関連するデバイス名を指定します。
Microsoft マネージド デスクトップ サポート要求からのデータ IT 管理者は、レポート要求を送信することで、削除またはデータ関連のサポート要求 の抽出を要求できます。

以下の情報を指定します。
  • 要求の種類: 要求を変更する
  • カテゴリ: セキュリティ
  • サブカテゴリ: その他
  • 説明: 関連するデバイス名またはユーザー名を指定します。

サービスに関連する他の製品の DSR については、次の記事を参照してください。

組織のお客様が提供する製品のエンド ユーザーに対する Microsoft のプライバシーに関する通知:

Microsoft プライバシーに関する声明は、エンドユーザーが仕事用アカウントで Microsoft 製品にサインインすると、次のことを通知します。

  1. 組織は、(プライバシー関連の設定の制御を含む) アカウントを制御および管理し、データにアクセスして処理できます。
  2. Microsoft は、組織およびエンド ユーザーにサービスを提供するために、データを収集して処理する場合があります。