セキュリティとアクセス管理テクノロジ

  • [アーティクル]

Microsoft マネージド デスクトップでは、いくつかの Microsoft テクノロジを使用して、マネージド デバイスとデータをセキュリティで保護します。 さらに、Microsoft マネージド デスクトップ Security Operations Centerは、これらのテクノロジを使用してさまざまなプロセスを使用します。 特に次のような場合です。

プロセス 説明
デバイスのセキュリティ Microsoft マネージド デスクトップ デバイスのセキュリティと保護。
ID およびアクセス管理 Microsoft Entra ID サービスを使用したデバイスの安全な使用の管理。
ネットワーク セキュリティ VPN 情報と Microsoft マネージド デスクトップが推奨するソリューションと設定。
情報セキュリティ 機密情報をさらに保護するためのオプションのサービス。

Microsoft Managed Desktop で使用されるデータ ストレージ、使用状況、セキュリティプラクティスについては、 ホワイトペーパーを参照してください。

デバイスのセキュリティ

Microsoft Managed Desktop では、マネージド デバイスのセキュリティと保護が確実に行われ、次のサービスを使用して可能な限り早く脅威が検出されます。

サービス 説明
ウイルス対策 Microsoft Defenderウイルス対策がインストールされ、構成されている
Microsoft Defender ウイルス対策定義は最新です。
フル ボリューム暗号化 Microsoft Managed Desktop では、ボリューム暗号化ソリューションとして Windows BitLocker が使用されます。

XTS AES 128 システム ドライブ暗号化を提供し、256 の例外を許可します。 既定では、PIN/KEY は必要ありませんが、PIN/KEY を 要求できます 。 リムーバブル メディアは、AES CBC 128 を暗号化するように設定されています。
監視 Microsoft Defender for Endpointは、すべての Microsoft マネージド デスクトップ デバイスのセキュリティ脅威の監視に使用されます。 Defender for Endpoint を使用すると、企業の顧客は、企業ネットワーク内の高度な脅威を検出、調査、および対応できます。
オペレーティング システムのアップデート Microsoft マネージド デスクトップ デバイスは、常に最新のセキュリティ更新プログラムでセキュリティで保護されます。 詳細については、「 ソフトウェア更新プログラムの管理」を参照してください。
セキュリティで保護されたデバイス構成 Microsoft マネージド デスクトップは、Microsoft セキュリティ ベースラインを実装します。 詳細については、「 Windows セキュリティ ベースライン」を参照してください。 Microsoft Managed Desktop の既定の設定については、「 Microsoft Managed Desktop のセキュリティ ベースライン設定」を参照してください。

ID およびアクセス管理

ID とアクセス管理は、企業資産とビジネス クリティカルなデータを保護します。 Microsoft Managed Desktop は、Microsoft Entraマネージド ID で安全に使用できるようにデバイスを構成します。 Microsoft Entra テナントで正確な情報を維持するのは、お客様の責任です。

サービス 説明
生体認証 Microsoft Managed Desktop には、Windows Hello for Businessを使用してセキュリティで保護された認証を確保するための構成オプション用意されています。 Windows Hello for Businessは、ユーザー名とパスワードベースの認証よりも強力な生体認証セキュリティを提供します。 お客様は、ハイブリッド構成でこのサービスを使用するためにオンプレミスのMicrosoft Entra ID に必要な前提条件を実装する責任があります。
デバイス プロファイル システムを保護し、セキュリティを強化するために、エンド ユーザーには次のいずれかの デバイス プロファイルが割り当てられます。
  • Standard User
  • パワー ユーザー
  • 機密データ ユーザー
  • キオスク

デバイス プロファイルは、Windows Autopilot のアウトオブボックス エクスペリエンスの一部として割り当てられます。

ネットワーク セキュリティ

お客様はネットワーク セキュリティに責任があります。

サービス 説明
VPN お客様は、限られた企業リソースをイントラネットの外部に公開できるように、VPN インフラストラクチャを所有しています。

Microsoft Managed Desktop には、次のものが必要です。

  • Windows 10互換性があり、サポートされている VPN ソリューション
  • デバイスはWindows 10をサポートし、Intune を介してパッケージ化および展開できる必要があります

詳細については、管理者にお問い合わせください。

推奨事項:

  • Microsoft は、VPN プロファイルをプッシュするために Intune を介して簡単に展開できる最新の VPN ソリューションを推奨しています。 このアプローチでは、企業ネットワークにアクセスするための、常にオンでシームレスで信頼性が高く、安全な方法が提供されます。 詳細については、「Intuneの VPN 設定」を参照してください。
  • シック VPN クライアントまたは古い VPN クライアントは、ユーザー環境に影響を与える可能性があるため、Microsoft マネージド デスクトップお使用中は Microsoft では推奨されません。
  • Microsoft では、パフォーマンスの問題を回避するために、VPN を経由せずに送信 Web トラフィックをインターネットに直接送信することをお勧めします。
  • 理想的には、VPN ではなくアプリケーション プロキシMicrosoft Entra使用することをお勧めします。

情報セキュリティ

価値の高い企業資産を保護するために、これらのオプション サービスを構成できます。

サービス 説明
データ復旧 デバイス上のキー フォルダーに格納されている情報は、OneDrive for Businessにバックアップされます。 Microsoft Managed Desktop は、OneDrive クライアントのセキュリティで保護された機能と、Microsoft 365 Appsの OneDrive for Business バックエンドに対するデータ同期を担当します。 ただし、セキュリティで保護されている実際のデータは、Microsoft Managed Desktop サポート チームの責任ではありません。 OneDrive サポートに問い合わせる必要があります。
Windows 情報保護 高度な情報セキュリティを必要とする企業の場合は、Windows Information ProtectionAzure Information Protection をお勧めします。