セキュリティのWindows 365 Link

既定のパターンを持つセキュリティで保護された基盤に基づいて構築Windows 365 Link、エンドポイントのセキュリティが高い姿勢を設定します。 次の機能は、このセキュリティ体制をサポートしています。

  • 無効にできないセキュリティ機能は、既定でオンになっています。
  • オペレーティング システムを最小限に抑えています。
  • ローカルに格納されたエンタープライズ データはありません。
  • 自動Entra IDと Intune の統合。
  • パスワードレス認証オプション。

セキュリティは既定でオンになっています

セキュリティは既定で Windows 365 Link でオンになっており、無効にできない次の機能が含まれています。

  • BitLocker やアプリ制御などの他のセキュリティ機能をサポートするハードウェアの信頼ルートを確立する個別の トラステッド プラットフォーム モジュール (TPM) 2.0 チップ。

  • 仮想化ベースのセキュリティ (VBS) やハイパーバイザーで保護されたコード整合性 (HVCI) などのシリコン支援セキュリティ機能。 この機能は、悪意のあるコードインジェクションからカーネルを保護するのに役立ちます。

  • Windows 365 Linkは、統合拡張ファームウェア インターフェイス (UEFI) セキュア ブート標準に従います。 この標準は、信頼されたデジタル署名を持つ承認されたファームウェアとソフトウェアのみを実行するのに役立ちます。

  • BitLocker はセットアップ中に有効になります。

  • 変更できないアプリケーション制御 コード整合性ポリシーで、必要なソフトウェアの実行のみを許可します。

ソフトウェアフットプリントを最小限に抑えます

Windows 365 Linkには、攻撃面を減らすのに役立つ機能を備えた、Windows CPCと呼ばれる、専用の小規模な Windows ベースのオペレーティング システムがあります。 このオペレーティング システムには、ユーザーをEntra IDに対して安全に認証し、Windows 365 クラウド PCに接続するために必要な重要なコンポーネントのみが含まれています。 攻撃対象領域を減らすために、これらの機能は既定で有効になっており、オフにすることはできません。

  • 適用可能なセキュリティ ベースライン ポリシー。これにより、このような構成を定義してエンドポイントに適用する必要が排除されます。
  • ドライバーのセキュリティ。 実行できるのは、標準の Windows クラス ドライバーと OEM にインストールされたドライバーのみです。 ドライバーの自動取得が無効になっています。
  • 管理コントロール。 Windows 365 Linkのすべての管理は Intune を通じて管理され、すべてのデスクトップ エクスペリエンスは、Windows 365 サービス内のクラウド PC 上で行われます。 その結果、管理者権限を持つローカル ユーザーはなく、ローカル アプリケーションはエンドポイントにインストールされません。
  • エンド ユーザーは、Windows 365 Link ハードウェア デバイス上のローカル ストレージにアクセスできないため、エンタープライズ データをデバイスにローカルに保存することはできません。

Microsoft Entra ID

既定のエクスペリエンス (OOBE) の一環として、Windows 365 Linkはテナントに参加Microsoft Entra、Intune に自動的に登録され、最初からすぐに完全な管理制御が提供されます。

クラウドに基づくセキュリティ

Windows 365セキュリティ機能は、Windows 365 Link ハードウェア デバイスからクラウド PC へのWindows 365 サービスを通じて、ソリューション全体で有効になります。 クラウドに基づくその他のセキュリティ対策は次のとおりです。

  • Windows 365 LinkからWindows 365 サービスへのすべての接続では、トランスポート層セキュリティ (TLS) 1.2 以降が使用され、ハードウェア デバイスとWindows 365間の通信が強力に保護されます。
  • Intune コンプライアンス ポリシーを使用したデバイス正常性構成証明のサポートは、条件付きアクセス ポリシーでWindows 365 Linkに関するコンプライアンス ステートメントを使用して、準拠しているデバイスのみがWindows 365 サービスに接続できることを確認できることを意味します。
  • Windows 365 Linkは、FIDO2 セキュリティ キーと Web サインインを、エンドポイントでサインインに使用できる唯一の資格情報プロバイダーとして、パスワードレスエクスペリエンスを提供します。
  • Windows 365 Linkは、シングル サインオン (SSO) 用に構成されているクラウド PC にのみ接続します。

Entra テナントに配置されている特定の認証方法と条件付きアクセス ポリシーと組み合わせて、これらの機能は、ユーザーがWindows 365 Linkハードウェア デバイスを使用するためにパスワードを入力する必要がないことを意味します。

次の手順

詳細については、「Windows 365 セキュリティ」を参照してください。