Microsoft 365 セキュリティ
Windows 365は、ユーザーが効果的かつ安全に作業を行うためのエンドツーエンドの接続フローを提供します。 Windows 365はゼロ トラストを念頭に置いて構築されており、ゼロ トラストの 6 つの柱全体で環境をより適切にセキュリティで保護するためのコントロールを実装するための基盤を提供します。 次のカテゴリゼロ トラストコントロールを実装できます。
- クラウド PC へのアクセスのセキュリティ保護
- ID のセキュリティ保護に合わせて調整します。ここで、クラウド PC にアクセスできるユーザーと、どの条件でさらに多くのメジャーを配置できます。
- クラウド PC デバイス自体のセキュリティ保護
- エンドポイントのセキュリティ保護に合わせて調整します。これは、組織のデータへのアクセスに使用されるデバイスであるため、クラウド PC デバイスにさらにメジャーを配置できます。
- クラウド PC の使用中に利用可能なクラウド PC データとその他のデータのセキュリティ保護
- データのセキュリティ保護に合わせて調整します。データ自体またはクラウド PC ユーザーがデータにアクセスする方法にさらにメジャーを配置できます。
次のセクションを見て、クラウド PC 環境をセキュリティで保護するために使用できるコンポーネントと機能について理解を深めます。
環境をセキュリティで保護するための最初の考慮事項は、クラウド PC へのアクセスをセキュリティで保護することです。
ID と認証で説明されているように、クラウド PC にアクセスするには、次の 2 つの認証の課題があります。
- Windows 365 サービス。
- クラウド PC。
アクセスをセキュリティで保護するための主な制御は、Microsoft Entra条件付きアクセスを使用して、Windows 365 サービスへのアクセスを条件付きで付与することです。 クラウド PC へのアクセスをセキュリティで保護するには、「 条件付きアクセス ポリシーの設定」を参照してください。
環境をセキュリティで保護するための 2 つ目の考慮事項は、クラウド PC デバイス自体をセキュリティで保護することです。
すべての新しいクラウド PC では、次のセキュリティ コンポーネントが既定で有効になっています。
- vTPM: 仮想トラステッド プラットフォーム モジュールの短い vTPM は、キーと測定値のセキュリティで保護されたコンテナーとして機能する独自の専用 TPM インスタンスをクラウド PC に提供します。 詳細については、「 vTPM」を参照してください。
- セキュア ブート: セキュア ブートは、信頼されていないルートキットまたはブート キットがマシンにインストールされている場合に Windows オペレーティング システムの起動を妨げる機能です。 詳細については、「 セキュア ブート」を参照してください。
両方のセキュリティ コンポーネントを有効にすると、Windows 365では次の Windows セキュリティ機能の有効化がサポートされます。
- ハイパーバイザー コード整合性 (HVCI)
- 資格情報ガードのMicrosoft Defender
次のセキュリティ コンポーネントは、特定のクラウド PC SKU または構成で既定で有効になっています。
-
仮想化ベースのワークロード
- 説明: 仮想化ベースのワークロードでは、通常、セキュリティ上の脅威から Windows OS を保護するために、Windows デバイスで Hyper-V 機能を有効にし、分離された領域でワークロードを実行する必要があります。
- セキュリティ機能:
- 必須の構成: クラウド PC には、4 つの vCPU と 16 GB RAM 以上が必要です。 詳細については、「 仮想化ベースのワークロードのサポートを設定する」を参照してください。
注意
技術的な複雑さを考えると、MICROSOFT DEFENDER APPLICATION GUARD (MDAG) のセキュリティ上の約束は、VM や VDI 環境では当てはまらない可能性があります。 そのため、MDAG は現在、VM と VDI 環境では正式にサポートされていません。 ただし、非運用マシンでのテストと自動化の目的で、ホストで Hyper-V 入れ子になった仮想化を有効にすることで、VM で MDAG を有効にすることができます。
Microsoft Purview Customer Lockbox は管理者がオンにすることができます。Customer Lockbox を使用すると、明示的な承認なしに Microsoft がお客様のコンテンツにアクセスしてサービス操作を行うことはできません。 Microsoft 365 管理センターで Customer Lockbox のオンとオフを切り替えることができます。 詳細については、「 Microsoft Purview Customer Lockbox」を参照してください。
環境をセキュリティで保護するための 3 つ目の考慮事項は、クラウド PC のデータと、クラウド PC を使用して利用できるその他のデータをセキュリティで保護することです。
クラウド PC データ自体のデータは、暗号化によって保護されます。 詳細については、「Windows 365でのデータ暗号化」を参照してください。
クラウド PC 上のユーザーが使用できるデータをセキュリティで保護することは、仕事用に割り当てられた Windows PC 上のユーザーが使用できるデータをセキュリティで保護するのと同じでなければなりません。 クラウド PC には、リモート デスクトップ プロトコル (RDP) を使用してアクセスする必要があります。
クラウド PC 接続中にユーザーが使用できる RDP 機能を管理するには、「クラウド PC の RDP デバイス リダイレクトを管理する」を参照してください。
Windows 365クラウド PC には、これらのプラットフォームで使用できるさまざまなオペレーティング システム プラットフォームとクライアントからアクセスできます。
- Windows OS プラットフォーム: Windows 365は、Windows 用リモート デスクトップ クライアントと Windows アプリを使用してアクセスできます。 どちらのアプリも、Windows Update サービスを使用して更新プログラムを受け取ります。 詳細については、「Windows Update セキュリティ」を参照してください。
- Apple デバイス (macOS および iOS): リモート デスクトップ クライアント アプリとその更新プログラムは、Apple のアプリ ストアによって配布されます。 MacOS と iOS のセキュリティ対策の詳細については、「 Apple Platform Security」を参照してください。
- Android プラットフォーム: Google Play ストアからダウンロードした Android プラットフォーム アプリは、Google Play ストアの使用条件に準拠しています。 詳細については、「 Google Play サービス利用規約」を参照してください。
Windows Updateセキュリティの詳細については、「Windows Update セキュリティ」を参照してください。