Windows 365 セキュリティ

Windows 365 は、ユーザーが効果的かつ安全に作業を行うためのエンドツーエンドの接続フローを提供します。 Windows 365 はゼロ トラストを念頭に置いて構築されており、ゼロ トラストの 6 つの柱全体で環境をより適切に保護するためのコントロールを実装する基盤を提供します。 ゼロ トラスト コントロールは、次のカテゴリに対して実装できます。

• クラウド PC へのアクセスのセキュリティ保護
  • ID のセキュリティ保護と連携し、誰がどのような条件でクラウド PC にアクセスできるかについて、より多くの対策を講じることができます。
• クラウド PC デバイス自体のセキュリティ保護
  • エンドポイントのセキュリティ保護と連携し、組織のデータにアクセスするデバイスであるクラウド PC に対して、より多くの対策を講じることができます。
• クラウド PC の使用中に利用可能なクラウド PC データとその他のデータのセキュリティ保護
  • データのセキュリティ保護と連携し、データ自体やクラウド PC ユーザーのデータへのアクセス方法に対して、より多くの対策を講じることができます。

次のセクションを見て、クラウド PC 環境をセキュリティで保護するために使用できるコンポーネントと機能について理解を深めてください。

クラウド PC アクセスをセキュリティで保護する

環境をセキュリティで保護するための最初の考慮事項は、クラウド PC へのアクセスをセキュリティで保護することです。

ID と認証で説明されているように、クラウド PC にアクセスするには、次の 2 つの認証チャレンジがあります。

• Windows 365 サービス。
• クラウド PC。

アクセスをセキュリティで保護するための主なコントロールは、Microsoft Entra 条件付きアクセスを使用して、Windows 365 サービスへのアクセスを条件付きで付与することです。 クラウド PC へのアクセスをセキュリティで保護するには、「条件付きアクセス ポリシーを設定する」を参照してください。

クラウド PC デバイスをセキュリティで保護する

環境のセキュリティ保護に関する 2 番目の考慮事項は、クラウド PC デバイス自体のセキュリティ保護です。

既定で有効になっているセキュリティ機能

すべての新しいクラウド PC では、次のセキュリティ コンポーネントが既定で有効になっています。

• vTPM: 仮想トラステッド プラットフォーム モジュールの略で、vTPM はクラウド PC に専用の TPM インスタンスを提供します。これは、キーと測定値の安全な資格情報コンテナーとして機能します。 詳細については、「vTPM」を参照してください。
• セキュア ブート: セキュア ブートは、信頼されていないルートキットまたはブート キットがマシンにインストールされている場合に、Windows オペレーティング システムが起動しないようにする機能です。 詳細については、「セキュア ブート」を参照してください。
• ハイパーバイザー コード整合性 (HVCI)*
• 資格情報ガードのMicrosoft Defender*

* Windows 11 ギャラリー イメージを実行しているクラウド PC に対してのみ、既定で有効になっています。

特定のクラウド PC SKU または構成を必要とするセキュリティ機能

次のセキュリティ コンポーネントは、特定のクラウド PC SKU または構成で既定で有効になっています。

• 仮想化ベースのワークロード
  • 説明: 仮想化ベースのワークロードは通常、Windows OS をセキュリティ上の脅威から保護するために、Windows デバイスで Hyper-V 機能を有効にし、ワークロードを隔離された空間で実行する必要があります。
  • セキュリティ機能:
    • Microsoft Defender Application Guard
    • Windows サンドボックス
  • 必須の構成: クラウド PC には、4 つの vCPU と 16 GB 以上の RAM が必要です。 詳細については、「仮想化ベースのワークロードのサポートを設定する」を参照してください。

注:

技術的な複雑さを考慮すると、Microsoft Defender Application Guard (MDAG) のセキュリティ保証は、VM および VDI 環境では当てはまらない可能性があります。 そのため、MDAG は現在、VM と VDI 環境では正式にサポートされていません。 ただし、非運用マシンでのテストと自動化の目的で、VM で MDAG を有効にするには、ホストで Hyper-V の入れ子になった仮想化を有効にします。

Microsoft Purview カスタマー ロックボックス

Microsoft Purview カスタマー ロックボックスは、管理者がオンにすることができます。カスタマー ロックボックスは、Microsoft がサービス操作を行うために顧客のコンテンツにアクセスする際、明示的な承認なしにはアクセスできないようにします。 Microsoft 365 管理センターでカスタマー ロックボックスのオン/オフを切り替えることができます。 詳細については、「Microsoft Purview カスタマー ロックボックス」を参照してください。

クラウド PC データをセキュリティで保護する

環境のセキュリティ保護に関する 3 番目の考慮事項は、クラウド PC データと、クラウド PC を使用して利用できるその他のデータをセキュリティで保護することです。

クラウド PC データのセキュリティ

クラウド PC データ自体のデータは、暗号化によって保護されます。 詳細については、「Windows 365 でのデータ暗号化」を参照してください。

クラウド PC で使用できるデータのセキュリティ

ユーザーが自身のクラウド PC で利用できるデータのセキュリティ保護は、ユーザーが仕事用に割り当てられた Windows PC で利用できるデータのセキュリティ保護と変わりません。 クラウド PC には、リモート デスクトップ プロトコル (RDP) を使用してアクセスする必要があります。

クラウド PC 接続中にユーザーが使用できる RDP 機能を管理するには、「クラウド PC の RDP デバイス リダイレクトを管理する」を参照してください。

クライアント更新プログラムのセキュリティ

Windows 365 クラウド PC には、さまざまなオペレーティング システム プラットフォームと、それらのプラットフォームで利用可能なクライアントからアクセスできます。

• Windows OS プラットフォーム: Windows 365 には、Windows 用リモート デスクトップ クライアントと Windows App アプリを使用してアクセスできます。 どちらのアプリも、Windows Update サービスを使用して更新プログラムを受け取ります。 詳細については、「Windows Update のセキュリティ」を参照してください。
• Apple デバイス (macOS および iOS): リモート デスクトップ クライアント アプリとその更新プログラムは、Apple のアプリ ストアによって配布されます。 MacOS と iOS のセキュリティ対策の詳細については、「Apple プラットフォームのセキュリティ」を参照してください。
• Android プラットフォーム: Google Play ストアからダウンロードした Android プラットフォーム アプリは、Google Play ストアの利用規約に準拠しています。 詳細については、「Google Play 利用規約」を参照してください。

次の手順

Windows Update のセキュリティの詳細については、「Windows Update のセキュリティ」を参照してください。