Windows 365 Enterprise Cloud PC はクラウドベースのサービスとしてのデスクトップ (DaaS) であり、エンド ユーザー用Windows 365仮想マシン (クラウド PC) を自動的に作成します。 生産性、セキュリティ、保護レベルでのコンプライアンス、および Microsoft 365 のコラボレーションの利点が提供 されます 。
Microsoft Service Trust Portal で利用できる Microsoft 365 のオーストラリア政府機関向け Infosec 登録済み評価プログラム (IRAP) 評価には、評価されたサービスの範囲にWindows 365が含まれています。 サービスは、 保護された レベルのデータを保持するように評価されます。 Protected は、オーストラリアのパブリック クラウド サービスに適用される最高レベルのセキュリティ評価です。 サービスはゼロ トラストで構築され、転送中と保存中に暗号化されます。
ただし、機密性の高い環境にデプロイされた新しいサービスと同様に、Windows 365を導入するには特定の構成が必要です。 この構成計画ガイドは、機密情報を処理する運用フレームワーク内でのWindows 365のデプロイを成功させるために必要な考慮事項に対処することに専念しています。 このガイダンスでは、Microsoft 365 のセキュリティで保護されたクラウド構成ガイダンスのオーストラリア信号局 (ASD) ブループリントに合わせて、Windows 365サブスクリプション ライセンスと E3 または E5 Microsoft 365 Enterpriseへのアクセスを前提としています。 このガイドは、次のドキュメントで使用することを目的としています。
- Microsoft Protection Security Policy Framework (PSPF) ガイド: PSPF 要件に準拠するために Microsoft 製品を使用する際の規範的なガイダンス。
- Microsoft Essential 8 ガイド: Microsoft 製品を使用して Essential 8 for Maturity Levels 1 から 3 に準拠する場合の規範的なガイダンス。
- オーストラリアの Signals Directorate (ASD) Blueprint for Secure Cloud: ASD Blueprint にリンクし、クラウド ワークスペースを設計、構成、デプロイする際に、ISM と PSPF の要件と共に考慮する組織に実用的なガイダンスを提供します。
Windows 365の計画
Windows 365 Enterprise ドキュメントは、Windows 365クラウドデプロイの包括的なガイドです。 オーストラリアの ASD ブループリントと規制の厳しい業界に合わせて、この記事を Windows 365 Enterprise ドキュメントと共に使用する必要があります。
ヒント
クラウド PC と物理 PC の両方を Intune で管理できるため、Essential 8、ロールベースのアクセス制御 (RBAC)、物理デバイスに適用できる分析など、セキュリティ ベースラインなどの既存の制御を使用してクラウド PC にも適用できます。
プロビジョニング ポリシーの設定
Windows 365 ガイダンスのプロビジョニング ポリシーを作成する手順に従い、ASD Blueprint に合わせて次の具体的な手順を実行します。
[全般] タブ
結合の種類の詳細では、可能な限り、Microsoft Entra参加と Microsoft ホストネットワークを選択することをお勧めします。 この選択により、管理の容易さ、セキュリティ、およびシンプルさを組み合わせた最適なエンド ユーザー エクスペリエンスが提供されます。 ネットワークとセキュリティの観点から見ると、この構成では、クラウド PC は、セキュリティで保護された VPN 経由でのみオンプレミスと指定されたプライベート リソースに接続できる分離されたデバイスとして扱われます。
オンプレミスアクセスが必要なクラウド PC ユーザーについては、「Windows 365用の Azure ネットワーク接続を作成する」を参照してください。 2 つのプロビジョニング ポリシーを作成することをお勧めします。1 つは、ハイブリッド参加ユーザーが Information Security Manual (ISM) Protect Principle 11 に従って不要なアクセスを制限するため、もう 1 つはオンプレミス アクセスを必要としないユーザーで、最適なパフォーマンスとセキュリティを確保することです。
ISM には、データの場所の保存に関する必須の要件はありません。 Microsoft では、ユーザーが接続している最も近いリージョンにクラウド PC をプロビジョニングする、最適なエンド ユーザー エクスペリエンスを提供することをお勧めします。 待機時間の長いアプリケーションの場合は、ユーザーまたはバックエンド システムに近いリージョンをターゲットにして、最適なエンド ユーザー エクスペリエンスを確保することもできます。 ASD Blueprint に続く最も一般的なユース ケースでは、ユーザーはオーストラリアに存在します(たとえば、Microsoft Entra Join や Microsoft のホストネットワークなど)。
[Geography Australia] を選択します。
[ リージョンの自動] を選択します (推奨)
Windows 365 クラウド PCのプロビジョニングに使用できる他の Azure の地域とリージョンの詳細については、「クラウド PC プロビジョニングでサポートされている地域とリージョン」を参照してください。
[Microsoft Entraシングル サインオン (SSO) を使用する] を選択します。 SSO は既定の設定として 有効にする 必要があります。 詳細については、「ID と認証のWindows 365」を参照してください。
[次へ] を選択します。
[構成] タブ
Windows の設定
[言語と地域] で、[ 英語 (ニュージーランド)] を選択します。
注:
英語 (オーストラリア) はまだWindows 365に使用できません。 [ニュージーランド] オプションの選択は、オーストラリア英語に最も似ています。
クラウド PC の名前付け
クラウド PC の名前付けの場合、特定の名前付け規則を持つ必要がない場合は、このボックスをオフのままにすることをお勧めします。 クラウド PC がプロビジョニングされると、Microsoft によって PC 名が自動的に作成されます。 既定の Cloud PC 名のプレフィックスには、 CPCが付いています。
その他のサービス
Microsoft では、Windows 365 Enterprise および Frontline 専用モードに Autopatch を使用することをお勧めします。 これは、エンドポイントの Essential 8 成熟度レベル 3 を達成するためのorganizationを支援します。
Essential 8 のアライン設定で Autopatch を使用する方法の詳細については、「Windows 365の自動パッチを使用した Essential 8 ガイダンス」を参照してください。
[次へ] を選択します。 [ 作成] を選択すると、クラウド PC のプロビジョニングが開始されます。
スコープ タグ、割り当て、およびレビューと作成の残りの手順は、Windows 365のプロビジョニング ポリシー ガイドに従います。
ヒント
スコープ タグは、環境できめ細かな管理制御を提供するために使用されます。 詳細については、「 RBAC とスコープ タグの使用」を参照してください。
作成を押すと、クラウド PC の プロビジョニングが開始されます。
アプリケーションのWindows 365に関する推奨事項
Windows Appは、Windows 365 クラウド PC、Azure Virtual Desktop、Dev Box などの Microsoft DaaS のいずれかにユーザーが接続するための統合されたエクスペリエンスを提供します。 デスクトップ アクセスは、軽量のインストール可能なクライアントまたは最新の HTML5 ブラウザーを使用して利用できます。
次のWindows Appをダウンロードします。
- windows365.microsoft.com、または
- Microsoft Store アプリとWindows Appを検索します。
Windows App (クライアントまたはブラウザー) を介してクラウド PC デスクトップへのアクセスをさらにセキュリティで保護するために、組織は、承認とコンプライアンスのための条件付きアクセス ポリシー、および/またはデータ ガバナンス用のモバイル アプリケーション管理 (MAM) 構成ポリシーの使用を使用できます。
Windows Appの使用を強制する
windows.cloud.microsoft.com に接続するときにWindows Appの使用を強制するには、ブラウザーを使用してプラットフォームへのアクセスをブロックします。
これらの手順に従うことで、ユーザーがプラットフォームに接続するときにWindows Appを使用する必要Windows 365確認し、セキュリティとコンプライアンスを強化できます。
手順 1: 新しい条件付きアクセス ポリシーを作成する
- Microsoft Entra 管理 センターにサインインします。
- [ 保護] に移動し、メニューを展開して追加のオプションを公開し、[ 条件付きアクセス>ポリシー] を選択します。
- [ + 新しいポリシー ] を選択して、新しい条件付きアクセス ポリシーを作成します。
- ポリシーのわかりやすい名前を指定します (省略可能)。
手順 2: ポリシーをユーザーに割り当てる
- [ 割り当て] で、 ユーザーとグループを選択します。
- ユーザーとグループを有効にし、ポリシーを割り当てるEntra ID グループを選択します。
- [完了] を選択します。
手順 3: リソースを対象とする
- [ターゲット リソース (正式にはクラウド アプリ)]>[リソースの選択] に移動します。
- 編集フィルター は既定のままである必要があります。
- [Select>apps and search for Windows 365 (GUID 0af06dc6-e4b5-4f28-818e-e78e62d137a5) でポリシーに追加します。
手順 4: 条件を構成する
- 前の手順と同じ領域で、[ 条件] に移動します。
- [ デバイス プラットフォーム>構成] を選択し、[ Android、 iOS、 Windows、 macOS] を選択します。
- [ クライアント アプリ>構成] を選択し、[ブラウザー] を選択 します
手順 5: ポリシーを適用する
- [ アクセス制御>Grant>Block Access>Select
- ポリシーを完了して適用するには、[オン] を選択 します。
Intune で推奨されるブループリント設定
Windows 365 セキュリティ ベースライン
Windows 365 セキュリティ ベースラインを Microsoft Intune 管理センターに展開します。詳しい手順については、「セキュリティ ベースラインのWindows 365」を参照してください。
クラウド PC の RDP デバイス リダイレクトを管理します
Intune リモート デスクトップ プロトコル (RDP) リダイレクト設定は、ユーザーがクラウド PC にアクセスする方法と、組織およびエンド ユーザーの要件に合わせて調整できるアクセス権を持つ特定の機能を決定します。
ヒント
ASD は、組織が 「独自の要件、リスクアペタイト、組織の文化と共にブループリントを検討する」とアドバイスします。 推奨されるリダイレクトは、organizationの特定のユース ケースに合わせて評価および調整する必要があります。
| リダイレクト | 詳細ガイド | 既定の設定値 | Notes |
|---|---|---|---|
| オーディオとビデオのリダイレクト | オーディオとビデオのリダイレクトを構成する | 既定値は [オーディオ] で、ビデオ再生リダイレクトは有効になっており、ローカル コンピューターへのリダイレクトを許可します。 | この設定を変更する場合は、ASD ブループリントのアクセシビリティに関するアドバイスを検討してください。 この設定は 既定値のままにします。 |
| オーディオ キャプチャ リダイレクト | オーディオ キャプチャ リダイレクトを構成する | 既定では、オーディオ録音リダイレクトはブロックされません。クラウド PC ではオーディオ録音リダイレクトが有効になります。 |
ASD ブループリントでは、サウンド録音をブロックすることをお勧めします。 [オーディオ録音リダイレクトを許可する>Disabled] から設定を構成します。 |
| カメラ、Web カメラ、ビデオ キャプチャ | カメラ、Web カメラ、ビデオ キャプチャのリダイレクトを構成する | 既定値はカメラ、Web カメラ、ビデオ キャプチャの周辺機器リダイレクトが有効になっており、ローカル コンピューターにリダイレクトできます。 | この設定を変更する場合は、ASD ブループリントのアクセシビリティに関するアドバイスを検討してください。 この設定は 既定値のままにします。 |
| クリップボード | リモート デスクトップ プロトコル経由でクリップボードリダイレクトを構成する | 既定では、クリップボードのリダイレクトはブロックされません。 クリップボードは、リモート セッションとローカル デバイスの間で双方向にリダイレクトされます。 |
ASD Blueprint では、クリップボードのリダイレクトをブロックすることをお勧めします。 [クリップボードのリダイレクトを許可しない>Enabled] の設定を構成します。 |
| ドライブとストレージ | 固定、リムーバブル、およびネットワーク ドライブのリダイレクトを構成する | 既定値は、後で接続されたものも含め、すべてのドライブがローカル デバイスからリモート セッションにリダイレクトされます。 |
ASD ブループリントでは、ドライブのリダイレクトをブロックすることをお勧めします。 [ドライブのリダイレクトを許可しない>Enabled] の設定を構成します。 |
| Location | 場所のリダイレクトを構成する | 既定値は、位置情報を共有するユーザー コントロールです。 | [場所の強制オン] は、SaaS の保護に関する ASD Blueprint の推奨事項に従う Defender for Cloud App の異常検出ポリシーを使用して、不可能な移動などの場所の異常を特定するのに役立ちます。 |
| MTP と PTP | Windows でメディア転送プロトコルと画像転送プロトコルのリダイレクトを構成する | 既定値は MTP で、PTP リダイレクトは有効です。 | [サポートされていないプラグ アンド プレイデバイス リダイレクト>Enabled からの設定を構成します。 |
| Printers | プリンター のリダイレクトを構成する | 既定値は、すべてのプリンターがローカル デバイスからリモート セッションにリダイレクトされ、ローカル デバイスの既定のプリンターがクラウド PC の既定のプリンターです。 |
ASD Blueprint では、Office でのみ印刷を有効にすることをお勧めします。 クライアント プリンターのリダイレクトを許可しません>有効。 また、 ユニバーサルプリントを使用して、指定されたオフィスプリンタへの安全な印刷を実現することもできます。 |
| シリアル/COM ポート | シリアルまたは COM ポート のリダイレクトを構成する | 既定値はシリアルまたは COM ポートで、ローカル デバイスからクラウド PC にリダイレクトされます。 | [COM ポートリダイレクトを許可しない>Enabled] から設定を構成します。 |
| スマート カード | スマート カード デバイス リダイレクトを構成する | 既定値はスマート カードデバイスがローカル デバイスからクラウド PC にリダイレクトされます。 | [スマート カード デバイスのリダイレクトを許可しない>Enabled] から設定を構成します。 |
| USB | Windows で USB リダイレクトを構成する | 既定では、USB リダイレクトは許可されません。 | [サポートされていないプラグ アンド プレイデバイス リダイレクト>Enabled からの設定を構成します。 |
| WebAuthn | WebAuthn リダイレクトを構成する | 既定値は Cloud PC で WebAuthn リダイレクトを有効にする | SSO で WebAuthn が使用されるため、この設定は 既定値 のままにします (WebAuthn リダイレクトを許可します)。 |
デバイス リダイレクトには、使用されているクライアント エンドポイント OS に応じて、いくつかの違いがあります。 エンドポイント間の機能の比較の詳細については、「プラットフォームとデバイス間のリモート デスクトップ アプリ機能の比較」を参照してください。
一般的な RDP の例
このセクションには、政府機関の一般的なクラウド PC ユース ケースのテンプレート化された RDP デバイス リダイレクトの例が含まれています。 これらの設定を出発点として使用し、組織のニーズに合わせて調整します。
例 1: 組織の管理対象デバイスからの企業ユーザー
企業ユーザーが組織の管理対象デバイスからログオンしている場合は、クラウド PC が既存の企業構成を継承することをお勧めします。
| リダイレクト | 推奨される設定 |
|---|---|
| オーディオとビデオのリダイレクト | 継承 (変更なし) |
| オーディオ キャプチャ リダイレクト | 継承 (変更なし) |
| カメラ、Web カメラ、ビデオ キャプチャ | 継承 (変更なし) |
| クリップボード | 継承 (変更なし) |
| ドライブとストレージ | 継承 (変更なし) |
| 場所 | 継承 (変更なし) |
| MTP と PTP | 継承 (変更なし) |
| プリンター | 継承 (変更なし) |
| シリアル/COM ポート | 継承 (変更なし) |
| スマート カード | 継承 (変更なし) |
| USB | 継承 (変更なし) |
| WebAuthn | 継承 (変更なし) |
例 2: 請負業者 BYOD
政府設定の一般的なユース ケースは、Bring Your Own Device (BYOD) コントラクターユース ケースのユース ケースで一般的に使用される RDP デバイス リダイレクトを請負業者にクラウド PC を提供することです。
| リダイレクト | 推奨される設定 |
|---|---|
| オーディオとビデオのリダイレクト | 既定値のままに します |
| オーディオ キャプチャ リダイレクト | 無効 (オーディオ キャプチャをブロック) |
| カメラ、Web カメラ、ビデオ キャプチャ | 既定値のままに します |
| クリップボード | 有効にする (クリップボードのリダイレクトをブロックする) |
| ドライブとストレージ | 有効にする (ドライブとストレージのリダイレクトをブロックする) |
| 場所 | 場所を強制的にオンにする |
| MTP と PTP | 有効 (ブロック MTP と PTP) |
| プリンター |
有効 (プリンターのリダイレクトをブロック) または、 ユニバーサル印刷 を使用して、すべての印刷を組織の承認されたオフィス プリンターに戻します。 |
| シリアル/COM ポート | 有効 (シリアル/COM ポートをブロック) |
| スマート カード | 有効 (スマート カードをブロック) |
| USB | 有効 (ブロック USB) |
| WebAuthn | 既定値のままに します |
例 3: セキュリティで保護されたエンクレーブ
セキュリティで保護されたエンクレーブは、通常、主要なorganizationが処理するものよりも高い分類データ用に設計された小規模で別個の組織です。 これにより、クリアランスが高く、知る必要がある個人がこのデータにアクセスできるようになります。
| リダイレクト | 推奨される設定 |
|---|---|
| オーディオとビデオのリダイレクト | 無効 (オーディオとビデオのリダイレクトをブロックする) |
| オーディオ キャプチャ リダイレクト | 無効 (オーディオ キャプチャをブロック) |
| カメラ、Web カメラ、ビデオ キャプチャ | 有効にする (ビデオ キャプチャ リダイレクトをブロックする) |
| クリップボード | 有効にする (クリップボードのリダイレクトをブロックする) |
| ドライブとストレージ | 有効にする (ドライブとストレージのリダイレクトをブロックする) |
| 場所 | 場所を強制的にオンにする |
| MTP と PTP | 有効 (ブロック MTP と PTP) |
| プリンター |
有効 (プリンターのリダイレクトをブロック) または 、ユニバーサル印刷 を使用して、すべての印刷を指定 された保護された 定格プリンターに戻します。 |
| シリアル/COM ポート | 有効 (シリアル/COM ポートをブロック) |
| スマート カード | 有効 (スマート カードをブロック) |
| USB | 有効 (ブロック USB) |
| WebAuthn | 既定値のままに します |
例 4: ジャンプ ホスト
ジャンプ ホストを通じて行われる管理アクティビティは、ISM 1387 (ML 2 および 3) で許容されます。 クラウド PC は、ジャンプ ホストを実現するためのシンプルで効果的な方法です。
| リダイレクト | 推奨される設定 |
|---|---|
| オーディオとビデオのリダイレクト | 無効 (オーディオとビデオのリダイレクトをブロックする) |
| オーディオ キャプチャ リダイレクト | 無効 (オーディオ キャプチャをブロック) |
| カメラ、Web カメラ、ビデオ キャプチャ | 有効にする (ビデオ キャプチャ リダイレクトをブロックする) |
| クリップボード | 有効にする (クリップボードのリダイレクトをブロックする) |
| ドライブとストレージ | 有効にする (ドライブとストレージのリダイレクトをブロックする) |
| 場所 | 場所を強制的にオンにする |
| MTP と PTP | 有効 (ブロック MTP と PTP) |
| プリンター |
有効 (プリンターのリダイレクトをブロック) または 、ユニバーサル印刷 を使用して、すべての印刷を指定 された保護されたプリンターに 戻します。 |
| シリアル/COM ポート | 有効 (シリアル/COM ポートをブロック) |
| スマート カード | 有効 (スマート カードをブロック) |
| USB | 有効 (ブロック USB) |
| WebAuthn | 既定値のままに します |
重要
2025 年 3 月の ISM 1175 を満たし、ジャンプ ホストの Essential 8 ML 1、2、3 を満たすには、ガイダンスに従って、Office 365 サービスをクラウド PC に制限します。 Essential 8 を満たすように管理アクセスを制限する方法の詳細については、「Essential8 の管理特権の制限」を参照してください。