🛡 概要
マイクロソフトは2025年下半期から新しいWindows 365のセキュリティデフォルトを導入すると発表しました。この変更は新たにプロビジョニングまたは再プロビジョニングされたCloud PCに適用され、クリップボード、ドライブ、USB、プリンターのリダイレクションがデフォルトで無効になります。これにより、Cloud PCと物理デバイス間でのファイルコピーを防ぎ、データ盗難のリスクを軽減し、マルウェア攻撃を阻止することが目的です。
🔍 技術詳細
新しいセキュリティデフォルトでは、USBリダイレクションはデフォルトで無効になりますが、低レベルデバイスアクセスのみに影響し、高レベルリダイレクションを通じて管理されるUSBマウス、キーボード、ウェブカメラには影響しません。また、2025年5月以降にプロビジョニングされたWindows 11ギャラリーイメージを使用するCloud PCには、仮想化ベースのセキュリティ(VBS)、Credential Guard、ハイパーバイザー保護コード整合性(HVCI)がデフォルトで有効になります。このようにして、安全なメモリエンクレーブを作成し、カーネルレベルでの悪意のあるコード実行を防ぎます。
⚠ 影響
新しいデフォルト設定は、IT管理者にとっても影響があります。Intune管理センターでは、変更に関する通知バナーが表示され、管理者は特定のリダイレクション機能が必要な場合、Intuneデバイス構成ポリシーやグループポリシーオブジェクトを使用して新しいデフォルトをオーバーライドできます。これにより、エンドユーザーのニーズに応じて柔軟に対応することが可能になります。また、マイクロソフトは2025年7月からすべてのMicrosoft 365テナントに対してセキュリティデフォルトの更新を開始し、古い認証プロトコルを使用したSharePoint、OneDrive、Officeファイルへのアクセスをブロックします。
🛠 対策
IT管理者は新しいセキュリティデフォルトに適応するため、事前にポリシーを見直し、必要に応じて設定を調整することが推奨されます。特に、リダイレクション機能が必要なユーザーには、適切なポリシーを適用することで業務を継続できるようにすることが重要です。また、古い認証プロトコルを使用したアクセスをブロックするために、Microsoft 365の設定を更新し、最新のセキュリティ機能を活用することも必要です。これにより、組織全体のセキュリティを強化し、リスクを軽減できます。
