コンプライアンスとセキュリティの制御

[アーティクル]
03/10/2023

この記事は、組織がさまざまなコンプライアンス要件とセキュリティ標準にどのように準拠しているかを理解するのに役立ちます。

コンプライアンス

コンプライアンスカバレッジ

Microsoft Managed Desktop は、次のコンプライアンス認定を取得しています。

監査人のレポートとコンプライアンス証明書

コントロールや技術的要件などの関連情報は、Service Trust Portal (STP) で確認できます。このポータルは、Microsoft Cloud Service オファリングに関する情報の中央リポジトリです。監査レポート、コンプライアンス証明書などを STP の監査レポートセクションからダウンロードできます。

注:

Microsoft マネージドデスクトップは Azure で実行されるため、関連するドキュメントには通常、"Microsoft Azure、Dynamics 365、およびその他のオンラインサービス" などのファイル名が付いています。これらのドキュメントでは、通常、Microsoft マネージドデスクトップは "Microsoft オンラインサービス" または "監視と管理" のカテゴリにあります。

セキュリティコントロール

デバイス制御

Microsoft マネージドデスクトップのすべての担当者は、サービスを管理し、マネージドテナントにアクセスするために承認済みのデバイスを使用します。これらのデバイスは運用操作専用であり、多要素認証を必要とし、独自の特殊な ID、監視、強化を備えています。さらに、これらの特殊な使用デバイスには、デバイスがエンジニアによって共有されないように制御できます。

People コントロール

Microsoft Managed Desktop は、顧客データを含む Microsoft システムへの承認された担当者アクセスの記録を保持および更新します。すべてのサービスエンジニアは、標準の Microsoft セキュリティポリシーとプラクティスに準拠している必要があります。これには、定期的な必須トレーニング (セキュリティ、ID、プライバシー、コンプライアンス) と定期的なバックグラウンドとセキュリティチェックが含まれます。

エンジニアは、運用システムや顧客データへの継続的なアクセスを保持しません。すべてのアクセスは時間制限があり、管理レビューと承認が必須で、個人が更新する必要があります。すべての権利は、四半期ごとのアクセスレビューの対象となります。

Microsoft Managed Desktop には、データとリソースへのアクセス許可の付与、変更、取り消しに使用する、割り当てられた所有者を含むプロセスがあります。たとえば、Microsoft Managed Desktop のスタッフメンバーがチームを離れた場合、資格情報はタイムリーに取り消されます。

対話型サービスアカウントへのアクセスは、サポート要求のコンテキストに制限され、これらのデバイスを使用するサービスエンジニアに限定されます。これらのアカウントの要求と使用は、Microsoft のセキュリティで保護されたアクセスワークステーションからのみ行うことができます。

特権アクセス管理制御

サポートリクエストの処理中に、サービスエンジニアがテナントにアクセスする必要がある場合があります。そのためには、特定のディレクトリロールへのアクセスを要求する必要があります。承認された場合、ゲストアカウントには最大 8 時間のアクセス許可が付与されます。この方法により、特定のユーザーをテナント内で実行されたすべてのアクションと関連付けできます。

サービスアカウント制御

Microsoft Managed Desktop サービスアカウントのすべての資格情報は、セキュリティで保護された Azure Key Vault に格納されます。資格情報はランダムに生成され、13 日ごと、または中間期間に使用される場合は 30 分ごとにローテーションされます。監査ログは、Microsoft Managed Desktop を通じて要求できます。 "Just-In-Time" の使用はすべて監査され、監査ログには Microsoft マネージドデスクトップサービスエンジニアリングチームによるサービス要求の詳細が含まれており、Azure に 365 日間保存されます。

詳細については、サービス信頼ポータル (STP) の「Microsoft Managed Desktop - データストレージ、使用状況、およびセキュリティプラクティス」ドキュメントを参照してください。

次の方法で共有

コンプライアンスとセキュリティの制御