デバイス ポリシー
新しい Microsoft Managed Desktop デバイスの設定中には、その構成が Microsoft Managed Desktop 用に最適化されていることをこちらで確認します。
この構成には、オンボーディング プロセスの一部として設定される一連の既定のポリシーが含まれます。 これらのポリシーは、可能な限りモバイル デバイス管理 (MDM) を使用して提供されます。 詳細については、「モバイル デバイス管理」を参照してください。
注:
競合を回避するために、これらのポリシーを変更しないでください。
デバイスは署名イメージで到着し、最初のユーザーがサインインしたときにMicrosoft Entra ドメインに参加します。 このデバイスにより、IT 担当者の介入なしに、必須のポリシーとアプリケーションが自動的にインストールされます。
既定のポリシー
次の表は、デバイスのプロビジョニング時にすべての Microsoft Managed Desktop デバイスに適用される既定のポリシーを強調しています。 Microsoft Managed Desktop Operations Team で承認されておらず Microsoft Managed Desktop で管理されていないオブジェクトに対する変更点が検出されると、すべて元に戻されます。
| ポリシー | 説明 |
|---|---|
| セキュリティ ベースライン | モバイル デバイスの管理に関する Microsoft セキュリティ ベースラインは、すべての Microsoft Managed Desktop デバイス用に構成されます。 このベースラインは業界標準の構成です。 Modern Workplace で Microsoft Managed Desktop のデバイスとアプリをセキュリティで保護し続けるために、このベースラインは Microsoft のセキュリティの専門家により公式にリリースされ、十分にテストされ、レビューされています。 セキュリティの脅威が絶えず進化し続ける情勢において脅威を軽減するために、Microsoft セキュリティ ベースラインは更新され、Windows 10 機能更新プログラムごとに Microsoft Managed Desktop デバイスにデプロイされます。 詳細については、「セキュリティ ベースライン」を参照してください。 |
| Microsoft Managed Desktop の推奨セキュリティ テンプレート | このテンプレートは、ユーザー エクスペリエンスを最適化する、セキュリティ ベースラインに対する一連の推奨される変更点です。 これらの変更点は、「セキュリティの補遺」に記載されています。 ポリシーの補遺に対する更新が必要に応じて行われます。 |
| 更新プログラムのデプロイ | Windows Update for Business を使用して、ソフトウェア更新プログラムの段階的なデプロイを実行します。 IT 管理者は、デプロイ グループ ポリシーの設定を変更できません。 グループ ベースのデプロイの詳細については、「Microsoft Managed Desktop での更新プログラムの処理方法」を参照してください。 |
| 従量制課金接続 | 既定では、従量制課金接続 (LTE ネットワークなど) での更新はオフになっています。 ただし、各ユーザーは個別に、[設定]、[更新]、[詳細オプション] の順に移動して、この設定をオンにすることができます。 すべてのユーザーが従量制課金接続で更新を有効にできるようにする場合は、変更要求を送信します。こうすると、すべてのデバイスに対してこの設定がオンになります。 |
| デバイスのコンプライアンス | これらのポリシーは、すべての Microsoft Managed Desktop デバイス用に構成されます。 デバイスが必須のセキュリティ構成から逸脱すると、非準拠として報告されます。 |
Windows 診断データ
デバイスは、既知の商用識別子で Microsoft に拡張診断データを提供するように設定されます。 Microsoft Managed Desktop の一部なので、IT 管理者はこれらの設定を変更できません。
一般データ保護規則 (GDPR) 地域のお客様の場合、ユーザーは提供される診断データのレベルを下げることができますが、サービスが縮小されます。 たとえば、Microsoft Managed Desktop は、パフォーマンスとセキュリティのニーズにとって最適になるように設定とポリシーに対して反復処理を行うのに必要なデータを収集できなくなります。 詳細については、「組織内の Windows 診断データの構成」を参照してください。
セキュリティの補遺
このセクションでは、「既定のポリシー」に記載されている標準の Microsoft Managed Desktop ポリシーに加えてデプロイされるポリシーの概要を説明します。 この構成は、金融サービスや高度に規制された業界を念頭に置いて設計されており、ユーザーの生産性を維持しながら、セキュリティが最高になるように最適化されています。
追加のセキュリティ ポリシー
これらのポリシーは、高度に規制された業界でセキュリティを強化するために追加されます。
| ポリシー | 説明 |
|---|---|
| セキュリティ監視 | Microsoft は、Microsoft Defender for Endpoint を使用してデバイスをモニターします。 脅威が検出された場合、Microsoft はお客様に通知し、そのデバイスを分離し、問題をリモートで訂正します。 |
| PowerShell V2 の無効化 | Microsoft は 2017 年 8 月に PowerShell V2 を削除しました。 この機能は、すべての Microsoft Managed Desktop デバイスで無効になっています。 この変更の詳細については、Windows PowerShell 2.0 の利用停止に関する記事を参照してください。 |