Microsoft マネージドデスクトップのセキュリティSecurity in Microsoft Managed Desktop

Microsoft マネージドデスクトップでは、管理されたデバイスとデータを保護するために、いくつかの Microsoft テクノロジを使用しています。Microsoft Managed Desktop uses several Microsoft technologies to help secure managed devices and data. 具体的には次のとおりです。Specifically:

データ セキュリティData security

顧客テナントから収集されたデータ (Microsoft Managed Desktop IT サービスと運用を可能にする) は、米国でホストされている Microsoft テナントの Azure SQL データベースに格納されます。Data collected from customer tenants (which enables Microsoft Managed Desktop IT services and operations) is stored in Azure SQL databases in the Microsoft tenant hosted in the United States of America.

詳細については、「 Microsoft Azure セキュリティ」を参照してください。For more information, see Microsoft Azure security.

以下に、テナントから送信されるデータの種類を示します。Listed below are the types of data transmitted from your tenant:

  • デバイスの更新、使用状況、および信頼性のデータDevice update, usage and reliability data
  • アプリの展開と信頼性のデータApp deployment and reliability data
  • 更新およびセキュリティポリシーの展開データUpdate and security policy deployment data
  • デバイスに割り当てられているユーザーUsers assigned to devices
  • Microsoft マネージドデスクトップがサービスを管理するために使用するアカウントに関連するテナントからのセキュリティログSecurity logs from your tenant related to the accounts used by Microsoft Managed Desktop to manage the service

デバイスのセキュリティDevice security

Microsoft マネージドデスクトップは、すべての管理対象デバイスをセキュリティ保護して保護し、次のサービスを使用してできるだけ早く脅威を検出します。Microsoft Managed Desktop ensures all managed devices are secured and protected, and detects threats as early as possible using the following services:

サービスService 説明Description
ウイルス対策Antivirus Microsoft Defender AV がインストールされ、構成されているMicrosoft Defender AV is installed and configured
Microsoft Defender の AV 定義が最新のものであるMicrosoft Defender AV definitions are up to date
完全なボリューム暗号化Full Volume Encryption Windows BitLocker は、Microsoft マネージドデスクトップデバイス用のボリューム暗号化ソリューションです。Windows BitLocker is the volume encryption solution for Microsoft Managed Desktop devices.

組織がサービスに利用されると、デバイスは Windows BitLocker を組み込み信頼プラットフォームモジュール (TPM) を使用して暗号化されます。これにより、デバイスがスリープモードまたはオフのときに、ローカルデータへの権限のないアクセスを防ぐことができます。Once an organization is onboarded into the service, devices will be encrypted using Windows BitLocker with built-in Trust Platform Module (TPM) to prevent unauthorized access to local data when the device is in sleep mode, or off.
監視Monitoring Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) は、Microsoft マネージドデスクトップデバイスすべてにわたるセキュリティ脅威監視に使用されます。Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) is used for security threat monitoring across all Microsoft Managed Desktop devices. Microsoft Defender ATP を使用すると、企業のネットワークで高度な脅威を検出、調査、応答することができます。Microsoft Defender ATP allows enterprise customers to detect, investigate, and respond to advanced threats in their corporate network. 詳細については、「 Microsoft Defender Advanced Threat Protection 」を参照してください。For more information, see Microsoft Defender Advanced Threat Protection.
オペレーティングシステムの更新プログラムOperating system updates Microsoft マネージドデスクトップデバイスは、常に最新のセキュリティ更新プログラムでセキュリティ保護されています。Microsoft Managed Desktop devices are always secured with the latest security updates.
セキュリティで保護されたデバイス構成Secure Device Configuration Microsoft マネージドデスクトップは、Microsoft セキュリティベースラインを実装します。Microsoft Managed Desktop implements the Microsoft Security Baseline. 詳細については、「 Windows セキュリティベースライン」を参照してください。For more information, see Windows security baselines.

ID およびアクセス管理Identity and access management

Id およびアクセス管理により、企業の資産とビジネス上の重要なデータが保護されます。Identity and access management protects corporate assets and business-critical data. Microsoft マネージドデスクトップでは、Azure Active Directory (Azure AD) 管理 id との安全な使用を保証するようにデバイスが構成されています。Microsoft Managed Desktop configures devices to ensure secure use with Azure Active Directory (Azure AD) managed identities. Azure AD テナントで正確な情報を維持することはお客様の責任です。It is the customer's responsibility to maintain accurate information in their Azure AD tenant.

サービスService 説明Description
バイオメトリクス認証Biometric Authentication Windows Hello を使用すると、ユーザーが顔または PIN を使用してログインできるようになり、パスワードを忘れることがなくなります。Windows Hello allows users to login using their face or a PIN, making passwords harder to forget or steal. お客様は、ハイブリッド構成でこのサービスを使用するために、オンプレミスの Active Directory に必要な前提条件を実装する責任があります。Customers are responsible for implementing the necessary pre-requisites for their on-premises Active Directory for use of this service in a hybrid configuration. 詳細については、「 Windows Hello 」を参照してください。For more information, see Windows Hello.
標準ユーザーアクセス許可Standard user permission システムを保護し、より安全なものにするために、ユーザーには標準のユーザーアクセス許可が割り当てられます。To protect the system and make it more secure, the user will be assigned Standard User Permissions. これは、Windows 自動操縦機能の一部として割り当てられます。This is assigned as part of the Windows Autopilot out-of-box experience.

ネットワーク セキュリティNetwork security

お客様はネットワークセキュリティを担当しています。Customers are responsible for network security.

サービスService 説明Description
VPNVPN お客様は VPN インフラストラクチャを所有しており、制限された企業リソースをイントラネットの外部に公開することができます。Customers own their VPN infrastructure, to ensure limited corporate resources can be exposed outside the intranet.

最小要件: Microsoft Managed Desktop には、Windows 10 互換およびサポートされている VPN ソリューションが必要です。Minimum requirement: Microsoft Managed Desktop requires a Windows 10 compatible and supported VPN solution. 組織に VPN ソリューションが必要な場合は、Windows 10 をサポートし、Intune 経由でパッケージ化して展開する必要があります。If your organization needs a VPN solution, it needs to support Windows 10 and be packaged and deployable through Intune. 詳細については、ソフトウェアの発行元にお問い合わせください。Contact your software publisher for more information.

勧告Recommendation:
-Microsoft では、Intune を使用して VPN プロファイルをプッシュして簡単に展開できる先進の VPN ソリューションをお勧めします。- Microsoft recommends a modern VPN solution that could be easily deployed through Intune to push VPN profiles. これにより、常に、シームレスで信頼性が高く、企業ネットワークにアクセスするための安全な方法が提供されます。This provides an always-on, seamless, reliable, and secure way to access corporate network. 詳細については、「 Intune の VPN 設定」を参照してください。For more information, see [VPN settings in Intune].
-サードユーザー環境に影響を与える可能性があるため、microsoft マネージドデスクトップの使用時に Microsoft は、太 VPN クライアントまたはレガシ VPN クライアントをお勧めしません。- Thick VPN clients, or legacy VPN clients, are not recommended by Microsoft while using Microsoft Managed Desktop as it can impact the end-user environment.
-Microsoft では、パフォーマンスの問題を回避するために、送信 web トラフィックを VPN 経由で直接インターネットに移動することをお勧めします。- Microsoft recommends that the outgoing web traffic goes directly to Internet without going through the VPN to avoid any performance issues.
-Microsoft では、VPN の代わりに Azure Active Directory アプリプロキシを使用することをお勧めします。- Ideally, Microsoft recommends the use of Azure Active Directory App Proxy instead of a VPN.

情報セキュリティInformation security

お客様は、企業の価値の高い資産を保護するために、これらのオプションのサービスを構成できます。Customers may configure these optional services to help protect corporate high-value assets.

サービスService 説明Description
データの回復Data recovery デバイス上の重要なフォルダーに格納されている情報は、OneDrive for Business にバックアップされます。Information stored in key folders on the device is backed up to OneDrive for Business. Microsoft マネージドデスクトップは、OneDrive for Business と同期されていないデータに対しては責任がありません。Microsoft Managed Desktop is not responsible for data that isn’t synchronized with OneDrive for Business.
Windows 情報保護Windows Information Protection 高度なレベルの情報セキュリティが必要な企業では、 Windows 情報保護Azure information protectionをお勧めします。For companies that require high levels of information security, we recommend Windows Information Protection and Azure Information Protection..