Surface Duo のセキュリティの概要

  • [アーティクル]
  • 適用対象:
    Surface Duo

Surface Duo には、デバイス、ID、データをセキュリティで保護するためのハードウェア、ファームウェア、ソフトウェアが深く統合された、すべてのレイヤーに保護が組み込まれています。 Surface Duo は、Android 10 デバイスとして、OS レベルと Google サービス レイヤーで Android セキュリティ機能を利用します。 Android OS は、従来の OS セキュリティ制御を利用して、ユーザー データとシステム リソースを保護し、マルウェアからデバイスの整合性を保護し、アプリケーションの分離を提供します。 さらに、Google は、Android OS のセキュリティと組み合わせると、Android ユーザーを継続的に保護するのに役立つ、OS の上に階層化されたさまざまなサービスを提供します。

  • カスタム エンジニアリングされた UEFI。 Android デバイスの中でも Surface Duo に固有の Microsoft のカスタム エンジニアリング統合拡張ファームウェア インターフェイス (UEFI) は、ファームウェア コンポーネントを完全に制御できます。 Microsoft は、社内のすべてのファームウェア コードを記述またはレビューすることで、エンタープライズ レベルのセキュリティを Surface Duo に提供します。これにより、Microsoft はファームウェアの潜在的な脅威に直接かつ機敏に対応し、サプライ チェーンのセキュリティ リスクを軽減できます。
  • 検証済みブート。 サインイン時のハードウェア レベルから、検証ブートは、実行されたコードが信頼できるソースからのみ取得されるように努めます。 ハードウェアで保護された信頼ルートからブートローダー、ブート パーティション、その他の検証済みパーティションまで、完全な信頼チェーンを確立します。 Surface Duo が起動すると、各ステージは、実行を引き継ぐ前に、次のステージの整合性と信頼性を確認します。
  • アプリの分離。 アプリケーションサンドボックスは、Android アプリを分離して保護し、悪意のあるアプリが個人情報にアクセスするのを防ぎます。 必須の Always-On 暗号化とキー処理は、デバイスが間違った手に落ちた場合でも、転送中および保存中のデータを保護するのに役立ちます。 暗号化は、暗号化キーをコンテナーに格納するキーストア キーで保護されているため、デバイスからの抽出が困難になります。
  • Google Play Protect。 ソフトウェアレイヤーでは、Surface Duo は Google Play の脅威検出を使用し、Google Play のパブリック アプリ、Microsoft と通信事業者によって更新されたシステム アプリ、サイドロードされたアプリなど、すべてのアプリケーションをスキャンします。
  • ATP をMicrosoft Defenderします。 Windows 10 用のエンタープライズ レベルのウイルス対策およびマルウェア保護ソフトウェアは、Intuneから管理されている Android デバイスで使用できるようになりました。 詳細については、「 Microsoft Defender ATP for Android」を参照してください。

モバイル デバイス管理のセキュリティ

Surface Duo は、組織とコンプライアンスの要件を満たすために調整できる一貫した保護ツール、テクノロジ、ベスト プラクティスを提供する Enterprise Mobility Management (EMM) ソリューションを使用して、企業環境でセキュリティ保護されています。 さまざまな管理 API を使用すると、IT 部門はデータ漏洩を防ぎ、さまざまなシナリオでコンプライアンスを適用するためのツールを提供します。 複数プロファイルのサポートとデバイス管理オプションを使用すると、仕事用データと個人データを分離し、会社のデータを安全に保つことができます。

MDM セキュリティは、ユーザーが外出先で生産性を高め、重要な企業の知的財産を保護できるように、拡張された一連の構成テクノロジに基づいて構築されています。 これには、アプリ保護ポリシー、デバイス制限ポリシー、および環境に応じて特定の目標を達成できるように設計された関連テクノロジが含まれます。ビジネスがレストランの引き取り注文の配信、歯科事務所の IT サービスの管理、機密性の高い国家セキュリティ情報の処理のいずれで構成されているかなどです。

たとえば、6 桁の英数字ピンを 2 要素認証と共に入力するようにユーザーに要求することで、デバイス認証を強化できます。 ユーザーが登録できるデバイスを制限して、ライセンス制限への準拠を維持したり、"脱獄" 電話やその他のサポートされていないデバイスの種類へのアクセスを許可しないようにすることができます。 Intuneおよびその他の EMM を使用すると、組織はニーズに応じてデバイスを管理できます。

アプリ保護 ポリシー

アプリ保護 ポリシー (APP) は、organizationのデータが安全であるか、マネージド アプリに含まれていることを保証するルールです。 ポリシーは、ユーザーが "企業" データにアクセスまたは移動しようとしたときに適用されるルール、またはユーザーがアプリ内にいるときに禁止または監視される一連のアクションです。 マネージド アプリは、アプリ保護ポリシーが適用され、Intuneで管理できるアプリです。

アプリ保護ポリシーを使用すると、アプリケーション内のorganizationのデータを管理および保護できます。 Microsoft Office アプリなどの多くの生産性アプリは、MAM Intune管理できます。 一般に使用できるMicrosoft Intune保護されたアプリの公式リストを参照してください。

Surface Duo の管理に関するセキュリティに関する考慮事項

モバイル デバイス管理ソリューションで使用できるポリシー設定の数が増え、組織は特定のニーズに合わせて保護レベルを調整できます。 組織が Surface Duo (またはその他の Android デバイス) のセキュリティ設定に優先順位を付けるために、Intuneでは、いくつかの異なる構成シナリオに整理された Android Enterprise セキュリティ構成フレームワークが導入され、仕事用プロファイルとフル マネージド シナリオのガイダンスが提供されています。

"セキュリティ" レベル 対象: 要約 設定情報
仕事用プロファイルの基本的なセキュリティ - レベル 1 職場または学校のデータにアクセスできる個人用デバイス。 パスワード要件を導入し、仕事用データと個人データを分離し、Android デバイスの構成証明を検証します。 仕事用プロファイル レベル 1 の設定
仕事用プロファイルの高いセキュリティ - レベル 3
(フレームワークの規則により、これはレベル 1 より上の次のレベルです)。
 一意のリスクが高いユーザーまたはグループによって使用されるデバイス。 たとえば、不正な開示によって重大な損失が発生する、機密性の高いデータを処理するユーザーなどです。 モバイル脅威防御またはMicrosoft Defender ATP を導入し、Android の最小バージョンを 8.0 に設定し、より強力なパスワード ポリシーを適用し、作業と個人の分離をさらに制限します。 仕事用プロファイル レベル 3 の設定
フル マネージドの基本的なセキュリティ -レベル 1 エンタープライズ デバイスの最小セキュリティ構成。職場または学校のデータにアクセスするほとんどのモバイル ユーザーに適用されます。 パスワード要件を導入し、Android の最小バージョンを 8.0 に設定し、特定のデバイス制限を適用します。 フル マネージド レベル 1 の設定
フル マネージドの強化されたセキュリティ レベル 2 ユーザーが機密情報または機密情報にアクセスするデバイス。 より強力なパスワード ポリシーを適用し、ユーザー/アカウント機能を無効にします。 フル マネージド レベル 2 settngs
フル マネージドの高セキュリティ レベル 3 一意のリスクが高いユーザーまたはグループによって使用されるデバイス。 たとえば、不正な開示によって重大な損失が発生する、機密性の高いデータを処理するユーザーなどです。 Android の最小バージョンを 10.0 に増やし、モバイル脅威防御または ATP Microsoft Defender導入し、追加のデバイス制限を適用します。 フル マネージド レベル 3 の設定

フレームワークと同様に、対応するレベル内の設定は、セキュリティが脅威環境、リスクアペタイト、および使いやすさへの影響を評価する必要があるため、organizationのニーズに基づいて調整する必要があります。

詳細情報