次の方法で共有


セキュリティのガイドライン

クラウド PC のセキュリティ強化に役立つように、次の一般的なガイドラインを考慮してください。

  1. 条件付きアクセスポリシーを適用して、自分のメールや会社のリソースに接続できるデバイスやアプリを制御します。 条件付きアクセスを使用して、Windows 365.Specifically へのアクセス エンド ユーザー アクセスをセキュリティで保護します。Microsoft Entra 多要素認証を使用してユーザーを認証することを検討します。 詳細については、「Microsoft Entra ID の条件付きアクセスとは」を参照してください。

  2. Microsoft Defender for Endpoint を使用して脅威を特定し、デバイスを非準拠として設定します。 Microsoft Defender for Endpoint をクラウド PC デバイスに簡単に接続し、デバイス コンプライアンス ポリシーをクラウド PC に適用し、条件付きアクセスを使用して脅威を特定することができます。 詳細については、「Intune で条件付きアクセスによる Microsoft Defender for Endpoint のコンプライアンスを強制する」を参照してください。

  3. Intune コンプライアンス ポリシーをクラウド PC の条件付きアクセス ポリシーと一緒に使用します。 これらのポリシーは、デバイスのリスク レベルを下げるまで会社のリソースにアクセスできないように、非準拠デバイスとユーザーを特定するのに役立ちます。 詳細については、Microsoft Intune での Windows 10/11 のコンプライアンス設定に関するページを参照してください。

    注:

    クラウド PC は BitLocker をサポートしていません。 クラウド PC を対象とするコンプライアンス ポリシーからこの設定を除外することをお勧めします。

  4. デバイス セキュリティの最も重要な要素の 1 つは、OS の更新です。 これらの更新により、デバイスが最新で安全な状態に維持され、同時に新しい機能や脆弱性に対する防御が提供されます。 クラウド PC の場合、IT 管理者はエンドポイント マネージャーを使用して、Windows Update for Business 用に Intune Windows 10/11 更新リングとポリシーを構成することができます。 詳細については、「Intune で Windows 10/11 ソフトウェア更新プログラムを管理する」を参照してください。

  5. 既定ではWindows 365 Enterprise エンド ユーザーはクラウド PC の管理者ではありません。 このポリシーは、Windows 10/11 セキュリティ ガイダンスに準拠しています。 このガイダンスの詳細については、Windows ドキュメントのローカル アカウントに関するセクションを参照してください。

  6. Windows 365 は Microsoft Defender for Endpoint と統合されています。 Microsoft Defender ウイルス対策と Microsoft Defender for Endpoint が一緒に優れている理由について説明します。 物理エンドポイントを管理するのと同じように、セキュリティおよびエンドポイント管理者は協力してクラウド PC 環境を管理することができます。 サブスクライブされている場合、クラウド PC によって次のことが行われます。

    • Microsoft 365 のセキュリティ スコアまでデータを送信します。
    • 問題のある PC は、Microsoft Defender for Endpoint Security Center と脅威分析ダッシュボードに表示されます。
    • 他のマネージド デバイスと同様に修復対策に応答します。
    • Defender または Intune を使用した改ざん防止管理のサポート
  7. Windows 365 は Microsoft Purview と統合されます。 Defender for Endpoint へのオンボードには、 Purview Endpoint Data Loss Protection (DLP) が含まれます。 DLP は、機密性の高いアイテムがいつ使用され、共有されているかを検出します。 これにより、データが適切に使用および保護されていることを確認し、データが侵害される可能性のある危険な動作を防ぐために必要な可視性と制御が提供されます。 エンドポイントのデータ損失防止の設定を構成 して、データが取得されないようにします。

    • クラウド PC のクリップボード/ドライブから未承認のデバイスにコピーされます。
    • 未承認のプリンターに印刷されます。

次の手順

Intune セキュリティ ベースライン