Microsoft Managed Desktop のセキュリティ テクノロジSecurity technologies in Microsoft Managed Desktop

Microsoft Managed Desktop は、いくつかの Microsoft テクノロジを使用して、管理対象デバイスとデータのセキュリティ保護に役立ちます。Microsoft Managed Desktop uses several Microsoft technologies to help secure managed devices and data. さらに、Microsoft Managed Desktop Security Operations Center では、これらのテクノロジと組み合 わせて さまざまなプロセスを使用します。In addition, the Microsoft Managed Desktop Security Operations Center uses various processes in conjunction with these technologies.

具体的には次のとおりです。Specifically:

Microsoft Managed Desktop で使用されるデータストレージ、使用状況、およびセキュリティプラクティスの詳細については、以下のホワイトペーパーを参照してください https://aka.ms/mmd-dataFor information about data storage, usage, and security practices used by Microsoft Managed Desktop, see our whitepaper at https://aka.ms/mmd-data.

デバイスのセキュリティDevice security

Microsoft Managed Desktop では、すべての管理対象デバイスがセキュリティで保護され、次のサービスを使用して、可能な限り早期に脅威を検出します。Microsoft Managed Desktop ensures all managed devices are secured and protected, and detects threats as early as possible using the following services:

サービスService 説明Description
ウイルス対策Antivirus Microsoft Defender AV がインストールされ、構成されているMicrosoft Defender AV is installed and configured
Microsoft Defender AV の定義は最新の情報ですMicrosoft Defender AV definitions are up to date
ボリューム全体の暗号化Full Volume Encryption Windows BitLocker は、Microsoft Managed Desktop デバイスのボリューム暗号化ソリューションです。Windows BitLocker is the volume encryption solution for Microsoft Managed Desktop devices.

組織がサービスにオンボードすると、デバイスがスリープ モードまたはオフのときにローカル データへの不正アクセスを防止するために、組み込みの信頼プラットフォーム モジュール (TPM) を備えた Windows BitLocker を使用してデバイスが暗号化されます。Once an organization is onboarded into the service, devices will be encrypted using Windows BitLocker with built-in Trust Platform Module (TPM) to prevent unauthorized access to local data when the device is in sleep mode, or off.
監視Monitoring Microsoft Defender for Endpoint は、すべての Microsoft Managed Desktop デバイスでセキュリティ脅威の監視に使用されます。Microsoft Defender for Endpoint is used for security threat monitoring across all Microsoft Managed Desktop devices. Defender for Endpoint を使用すると、企業のお客様は、企業ネットワーク内の高度な脅威を検出、調査、および対応できます。Defender for Endpoint allows enterprise customers to detect, investigate, and respond to advanced threats in their corporate network. 詳細については 、「Microsoft Defender for Endpoint」を参照してください。For more information, see Microsoft Defender for Endpoint.
オペレーティング システムの更新Operating system updates Microsoft Managed Desktop デバイスは、常に最新のセキュリティ更新プログラムで保護されます。Microsoft Managed Desktop devices are always secured with the latest security updates.
Secure Device ConfigurationSecure Device Configuration Microsoft Managed Desktop は、Microsoft セキュリティ ベースラインを実装します。Microsoft Managed Desktop implements the Microsoft Security Baseline. 詳細については、「Windows セキュリティ基準 」を参照してください。For more information, see Windows security baselines.

ID およびアクセス管理Identity and access management

ID とアクセス管理は、企業の資産とビジネスクリティカルなデータを保護します。Identity and access management protects corporate assets and business-critical data. Microsoft Managed Desktop は、Azure Active Directory (Azure Active Directory) 管理 ID で安全に使用AD構成します。Microsoft Managed Desktop configures devices to ensure secure use with Azure Active Directory (Azure AD) managed identities. Azure テナントで正確な情報を維持する責任は、お客様ADです。It is the customer's responsibility to maintain accurate information in their Azure AD tenant.

サービスService 説明Description
生体認証Biometric Authentication Windows Hello を使用すると、ユーザーは顔または PIN を使用してサインインし、パスワードを忘れや盗みにくくすることができます。Windows Hello allows users to sign in by using their face or a PIN, making passwords harder to forget or steal. お客様は、ハイブリッド構成でこのサービスを使用するために、オンプレミスの Active Directory に必要な前提条件を実装する責任があります。Customers are responsible for implementing the necessary pre-requisites for their on-premises Active Directory for use of this service in a hybrid configuration. 詳細については 、「Windows Hello」を参照してください。For more information, see Windows Hello.
標準ユーザーのアクセス許可Standard user permission システムを保護し、セキュリティを高くするために、ユーザーには Standard User Permissions が割り当てられます。To protect the system and make it more secure, the user will be assigned Standard User Permissions. このアクセス許可は、Windows Autopilot のアウトオブボックス エクスペリエンスの一部として割り当てられます。This permission is assigned as part of the Windows Autopilot out-of-box experience.

ネットワーク セキュリティNetwork security

お客様はネットワーク セキュリティを担当します。Customers are responsible for network security.

サービスService 説明Description
VPNVPN 制限された企業リソースをイントラネットの外部に公開できるよう、お客様は VPN インフラストラクチャを所有しています。Customers own their VPN infrastructure, to ensure limited corporate resources can be exposed outside the intranet.

最小要件: Microsoft Managed Desktop には、Windows 10 互換でサポートされている VPN ソリューションが必要です。Minimum requirement: Microsoft Managed Desktop requires a Windows 10 compatible and supported VPN solution. 組織で VPN ソリューションが必要な場合は、Windows 10 をサポートし、Intune を通じてパッケージ化して展開できる必要があります。If your organization needs a VPN solution, it needs to support Windows 10 and be packaged and deployable through Intune. 詳細については、ソフトウェア発行元にお問い合わせください。Contact your software publisher for more information.

推奨事項:Recommendation:
- Microsoft では、VPN プロファイルをプッシュするために Intune を介して簡単に展開できる最新の VPN ソリューションをお勧めします。- Microsoft recommends a modern VPN solution that could be easily deployed through Intune to push VPN profiles. このアプローチは、企業ネットワークにアクセスするための常時オン、シームレス、信頼性、および安全な方法を提供します。This approach provides an always-on, seamless, reliable, and secure way to access corporate network. 詳細については、「Intune の VPN 設定」を参照してくださいFor more information, see [VPN settings in Intune].
- 厚い VPN クライアント、または古い VPN クライアントは、ユーザー環境に影響を与える可能性がある Microsoft Managed Desktop を使用している間、Microsoft によって推奨されません。- Thick VPN clients, or older VPN clients, are not recommended by Microsoft while using Microsoft Managed Desktop as it can impact the user environment.
- 送信 Web トラフィックは、パフォーマンスの問題を回避するために VPN を経由せずにインターネットに直接送信する必要があります。- Microsoft recommends that the outgoing web traffic goes directly to Internet without going through the VPN to avoid any performance issues.
- 理想的には、VPN ではなく Azure Active Directory アプリ プロキシの使用をお勧めします。- Ideally, Microsoft recommends the use of Azure Active Directory App Proxy instead of a VPN.

情報セキュリティInformation security

企業の価値の高い資産を保護するために、これらのオプション サービスを構成できます。You can configure these optional services to help protect corporate high-value assets.

サービスService 説明Description
データ復旧Data recovery デバイス上のキー フォルダーに格納されている情報は、OneDrive for Business にバックアップされます。Information stored in key folders on the device is backed up to OneDrive for Business. Microsoft Managed Desktop は、OneDrive for Business と同期されていないデータに対して責任を負いません。Microsoft Managed Desktop is not responsible for data that isn’t synchronized with OneDrive for Business.
Windows 情報保護Windows Information Protection 高レベルの情報セキュリティが必要な企業では 、Windows Information Protection と Azure Information Protection をお勧めしますFor companies that require high levels of information security, we recommend Windows Information Protection and Azure Information Protection..