今回は、Microsoft Endpoint Manager(Intune)の数ある機能の中から、Windows 365
Cloud PCのセキュリティ強化に使えそうな機能についてご紹介したいと思います。
もちろん、Business Edition や Azure Virtual Desktop (AVD)でも利用可能です。
Cloud PCに適用できるセキュリティ機能
① パフォーマンスレポート
② Windows 更新プログラム
③ セキュリティベースライン
④ ウイルス対策
⑤ Microsoft Defender Firewall
※主な機能に絞っております。
Windows 365は、AzureADを利用しているので、条件付きアクセスも利用可能です。
下記のようなお悩みにも対応可能です!
・多要素認証で”アカウント認証“を強化したい
・サインインのリスクで”アカウント認証“をさらに強化したい
・IPアドレス指定で”接続できる場所“を限定したい
・ハイブリッドAzureAD参加で”接続できるデバイス“を限定したい
・Intune 準拠済みデバイスで”接続できるデバイス“を限定したい
① パフォーマンスレポート
Cloud PCのリソース状況が確認できます。
※ベースライン用の充分なデータを採取するには、10台以上の登録が必要です。
リソースのパフォーマンス
Cloud PC全体の[CPU/RAM]のスコアが表示されます。ベースライン以下だと注意が必要!
VMサイズ単位で表示
個別VM単位で表示
リモート処理接続
Cloud PCに接続するまでの時間が表示されます。評価が[悪い]と見直しが必要です!
【ラウンドトリップ時間】
良い = 0~100msec 平均 = 100〜200msec 悪い = 200msec 以上
【サインイン時間】
良い = 0~30sec 平均 = 30〜60sec 悪い = 60sec 以上
VMサイズ単位で表示
個別VM単位で表示
② Windows 更新プログラム
Cloud PCに対して「Windows 更新プログラム」の設定が行えます。
・Windows 10 以降向け更新リング
・Windows 10 以降向け機能更新プログラム
・Windows 10 以降向け品質更新プログラム
Windows 10 以降向け更新リング
品質更新/機能更新を配布するタイミンを設定します。
品質更新プログラムを設定すると、指定した延期期間は無視されます。
機能更新プログラムを適用するには、延期期間を「0」にする必要があります。
※[デバイス]ー[構成プロファイル]ー[テンプレート]ー[デバイスの制限]ー[レポートとテレメトリ]ー[使用状況データの共有]を「必須/拡張/省略可能」のいずれかにすること。
Windows 10 以降向け機能更新プログラム(FU)
指定したバージョンへアップグレードします。
Windows 10 以降向け品質更新プログラム(QU)
指定したセキュリティパッチを適用します。
レポート概要
デバイス単位で表示可能
③ セキュリティベースライン
Cloud PCに対して、推奨されているセキュリティ設定の適用が行えます。
(設定済み)推奨セキュリティ設定を適用します。個別に変更することも可能。
④ ウイルス対策
Cloud PCに対して「Microsoft Defender for Antivirus」の設定が行えます。
スキャンを実行する時刻や除外設定などが行える。
レポート概要
デバイス単位で表示可能
⑤ Microsoft Defender Firewall
ファイアウォールの有効化とルールの作成が行えます。
ファイアウォールの有効化設定
ルールの作成
レポート ※デバイス単位で表示可能
