商用および米国政府機関のお客様向けのクラウド機能の利用可能性
この記事では、Microsoft Azure と Azure Government クラウドでの機能の可用性について説明します。 次のセキュリティ サービスについて、GA (一般提供)、パブリック プレビュー、または利用不可として機能をリストします。
- Azure Information Protection
- Microsoft Defender for Cloud
- Microsoft Sentinel
- Microsoft Defender for IoT
- Azure Attestation
Note
近日中に追加のセキュリティ サービスがこの記事に追加される予定です。
Azure Government
Azure Government では Azure と同じ基盤となるテクノロジ (Azure Commercial または Azure Public と呼ばれることもある) が使用されており、それにはサービスとしてのインフラストラクチャ (IaaS)、サービスとしてのプラットフォーム (PaaS)、サービスとしてのソフトウェア (SaaS) のコア コンポーネントが含まれます。 Azure と Azure Government にはどちらも、包括的なセキュリティ コントロールが用意されており、顧客データの保護に対する Microsoft のコミットメントがあります。
Azure Government は、米国連邦政府、州政府、地方自治体、部族政府、およびそれらのパートナー専用の物理的に分離されたクラウド環境です。 どちらのクラウド環境も、FedRAMP High インパクト レベルで評価および認可されていますが、Azure Government では、米国内の顧客データの保存に関する契約上のコミットメントと、顧客データを処理するシステムへの可能性のあるアクセスを、スクリーニングされた米国ユーザーに制限することによって、顧客に追加の保護レイヤーが提供されます。 このようなコミットメントは、クラウドを使用して、EAR、ITAR、DoE 10 CFR Part 810 などの米国の輸出制御規制の対象となるデータを保存または処理するお客様にとって、関心が高い可能性があります。
Azure Government の詳細については、「Azure Government とは」を参照してください。
Note
これらの一覧および表には、Azure Government Secret または Azure Government Top Secret クラウドでの機能またはバンドルの可用性は含まれていません。 エアギャップ クラウドの特定の可用性について詳しくは、アカウント チームにお問い合わせください。
Microsoft 365 の統合
製品間の統合は、Azure と Office プラットフォーム間の相互運用性に依存します。 Azure 環境でホストされているオファリングには、Microsoft 365 Enterprise および Microsoft 365 Government プラットフォームからアクセスできます。 Office 365 および Office 365 GCC は、Azure の Microsoft Entra ID とペアになります。 Office 365 GCC High および Office 365 DoD は、Azure Government の Microsoft Entra ID とペアになります。
次の図は、Microsoft クラウドの階層と、それらが相互にどのように関連しているかを示しています。
Office 365 GCC 環境は、お客様が FedRAMP High、CJIS、IRS 1075 などの米国政府の要件に準拠するために役立ちます。 Office 365 GCC High および DoD 環境では、DoD IL4/5、DFARS 7012、NIST 800-171、および ITAR に準拠する必要があるお客様をサポートします。
Office 365 US Government 環境の詳細については、以下を参照してください。
以下のセクションでは、サービスが Microsoft 365 と統合されたタイミング、および Office 365 GCC、Office 365 High、および Office 365 DoD の機能の利用可能性について説明します。
Azure Information Protection
Azure Information Protection (AIP) はクラウドベースのソリューションです。これにより、組織はコンテンツにラベルを適用してドキュメントや電子メールの検出、分類、および保護を行うことができます。
AIP は Microsoft Purview Information Protection (MIP) ソリューションの一部であり、Microsoft 365 で提供されるラベル付けと分類の機能がそれによって拡張されます。
詳細については、Azure Information Protection 製品ドキュメントに関するページをご覧ください。
Office 365 GCC は、Azure の Microsoft Entra ID とペアになります。 Office 365 GCC High および Office 365 DoD は、Azure Government の Microsoft Entra ID とペアになります。 相互運用性が可能である箇所を理解するために、Azure 環境に注意を払ってください。 次の表では、可能でない相互運用性をダッシュ (-) でマークし、サポートが関係しないことを示しています。
GCC-High および DoD のお客様の場合は、追加の構成が必要です。 詳細については、「Azure Information Protection Premium Government サービスの説明」を参照してください。
Note
政府機関のお客様に対するサポートの詳細については、表の下の脚注に記載されています。
GCC High および DoD のお客様向けの Azure Information Protection を構成するには、追加の手順が必要です。 詳細については、「Azure Information Protection Premium Government サービスの説明」を参照してください。
| 機能とサービス | Azure | Azure Government |
|---|---|---|
| Azure Information Protection スキャナー 1 | ||
| - Office 365 GCC | GA | - |
| - Office 365 GCC High | - | GA |
| - Office 365 DoD | - | GA |
| 管理 | ||
| スキャナー管理用の Azure Information Protection ポータル | ||
| - Office 365 GCC | GA | - |
| - Office 365 GCC High | - | GA |
| - Office 365 DoD | - | GA |
| 分類とラベル付け 2 | ||
| オンプレミスのファイル サーバー/リポジトリ内のすべてのファイルに "既定のラベル" を適用する AIP スキャナー | ||
| - Office 365 GCC | GA | - |
| - Office 365 GCC High | - | GA |
| - Office 365 DoD | - | GA |
| サポートされているオンプレミスのファイルの分類、ラベル付け、および保護を自動化するための AIP スキャナー | ||
| - Office 365 GCC | GA | - |
| - Office 365 GCC High | - | GA |
| - Office 365 DoD | - | GA |
1 スキャナーは Office 365 がなくてもファイルのみをスキャンするように機能します。 スキャナーでは、Office 365 なしで、ファイルにラベルを適用することはできません。
2 分類およびラベル付けアドインは、Professional Plus (ProPlus) および Click-to-Run (C2R) のバージョンを含む、Microsoft 365 Apps (バージョン 9126.1001 以降) を使用している政府機関のお客様に対してのみサポートされます。 Office 2010、Office 2013、その他の Office 2016 バージョンではサポートされていません。
Office 365 の機能
| 機能とサービス | Office 365 GCC | Office 365 GCC High | Office 365 DoD |
|---|---|---|---|
| 管理 | |||
| - RMS サービス管理用の PowerShell | GA | GA | GA |
| - AIP UL クライアントの一括操作用の PowerShell | |||
| SDK | |||
| - MIP および AIP ソフトウェア開発キット (SDK) | GA | GA | GA |
| カスタマイズ | |||
| - ドキュメントの追跡と取り消し | GA | 使用不可 | 使用不可 |
| キー管理 | |||
| - Bring Your Own Key (BYOK) | GA | GA | GA |
| - 二重キー暗号化 (DKE) | GA | GA | GA |
| Office ファイル 3 | |||
| - Protection for Microsoft Exchange Online、Microsoft SharePoint Online、Microsoft OneDrive for Business | GA | GA 4 | GA 4 |
| - Rights Management コネクタを介した Exchange と SharePoint コンテンツの保護 | GA 5 | GA 6 | GA 6 |
| - Office 365 メッセージの暗号化 | GA | GA | GA |
| - Outlook で事前構成された M/MIME 保護を自動的に適用するようにラベルを設定します | GA | GA | GA |
| - Outlook を使用する際の情報の過剰共有を制御します | GA | GA 7 | GA 7 |
| 分類とラベル付け 2 / 8 | |||
| - 部門テンプレートを含むカスタム テンプレート | GA | GA | GA |
| - 手動による既定の必須のドキュメント分類 | GA | GA | GA |
| - 自動的な推奨される分類の条件を構成する GA | GA | GA | |
| - PTXT、PJPG、PFILE など、Microsoft Office 以外のファイル形式の保護 (一般的な保護) | GA | GA | GA |
3 現在、政府機関のお客様は AD RMS 用のモバイル デバイス拡張機能を利用できません。
4 Information Rights Management と SharePoint Online (IRM で保護されたサイトとライブラリ) の組み合わせは現在使用できません。
5 Information Rights Management (IRM) は、Professional Plus (ProPlus) および Click-to-Run (C2R) のバージョンを含む、Microsoft 365 Apps (バージョン 9126.1001 以降) に対してのみサポートされます。 Office 2010、Office 2013、その他の Office 2016 バージョンではサポートされていません。
6 オンプレミスの Exchange のみがサポートされています。 Outlook 保護ルールはサポートされていません。 ファイル分類インフラストラクチャはサポートされていません。 オンプレミスの SharePoint はサポートされていません。
7 政府機関のクラウドから商用クラウド内のユーザーへの保護されたドキュメントと電子メールを共有することは、現在できません。 商用クラウド内の Microsoft 365 Apps ユーザー、商用クラウド内の Microsoft 365 Apps 以外のユーザー、および個人向け RMS ライセンスを持つユーザーが含まれます。
8 Microsoft Purview コンプライアンス ポータルでの機密情報の種類の数は、リージョンによって異なる場合があります。
Microsoft Defender for Cloud
Microsoft Defender for Cloud は、データ センターのセキュリティ体制を強化する統合インフラストラクチャ セキュリティ管理システムです。Azure 内かどうかにかかわらずクラウド内とオンプレミス上のハイブリッド ワークロード全体を保護する高度な脅威防止機能があります。
詳細については、Microsoft Defender for Cloud 製品ドキュメントを参照してください。
次の表は、Azure および Azure Government の現在の Defender for Cloud 機能の可用性を示します。
1 部分的に GA: 脆弱性スキャンで発見された特定の項目を無効にする機能はパブリック プレビュー段階です。
2 Azure Gov 上のコンテナー レジストリの脆弱性スキャンは、スキャン オン プッシュ機能でのみ実行できます。
3 コンテナー レジストリ用 Microsoft Defender が必要です。
4 部分的に GA: Azure Arc 対応クラスターのサポートはパブリック プレビュー段階であり、Azure Government では使用できません。
5 Microsoft Defender for Kubernetes が必要です。
6 部分的に GA: Microsoft Defender for Storage の脅威保護アラートの一部はパブリック プレビュー段階です。
7 これらの機能には、すべて Microsoft Defender for servers が必要です。
8 クラウドの種類ごとに提供される標準が異なる場合があります。
9 一部 GA: Arc 対応 Kubernetes クラスター (したがって AWS EKS も) のサポートはパブリック プレビュー中であり、Azure Government では使用できません。 コンテナー イメージの脆弱性の実行時における可視性もプレビュー機能です。
Microsoft Sentinel
Microsoft Sentinel は、スケーラブルでクラウドネイティブのセキュリティ情報イベント管理 (SIEM) およびセキュリティ オーケストレーション自動応答 (SOAR) ソリューションです。 Microsoft Sentinel は、高度なセキュリティ分析と脅威インテリジェンスを企業全体で実現し、アラートの検出、脅威の可視性、予防的な捜索、および脅威への対応のための 1 つのソリューションを提供します。
詳細については、Microsoft Sentinel 製品ドキュメントを参照してください。
Azure、Azure Government、Azure China 21 Vianet での Microsoft Sentinel 機能の可用性については、「Azure クラウドの Microsoft Sentinel 機能のサポート」を参照してください。
Microsoft Purview データ コネクタ
Office 365 GCC は、Azure の Microsoft Entra ID とペアになります。 Office 365 GCC High および Office 365 DoD は、Azure Government の Microsoft Entra ID とペアになります。
ヒント
相互運用性が可能である箇所を理解するために、Azure 環境に注意を払ってください。 次の表では、可能でない相互運用性をダッシュ (-) でマークし、サポートが関係しないことを示しています。
| コネクタ | Azure | Azure Government |
|---|---|---|
| Office IRM | ||
| - Office 365 GCC | パブリック プレビュー | - |
| - Office 365 GCC High | - | 利用不可 |
| - Office 365 DoD | - | 利用不可 |
| Dynamics 365 | ||
| - Office 365 GCC | パブリック プレビュー | - |
| - Office 365 GCC High | - | 利用不可 |
| - Office 365 DoD | - | 利用不可 |
| Microsoft Defender XDR | ||
| - Office 365 GCC | パブリック プレビュー | - |
| - Office 365 GCC High | - | パブリック プレビュー |
| - Office 365 DoD | - | パブリック プレビュー |
| Microsoft Defender for Cloud Apps | ||
| - Office 365 GCC | GA | - |
| - Office 365 GCC High | - | GA |
| - Office 365 DoD | - | GA |
| Microsoft Defender for Cloud Apps シャドウ IT ログ |
||
| - Office 365 GCC | パブリック プレビュー | - |
| - Office 365 GCC High | - | パブリック プレビュー |
| - Office 365 DoD | - | パブリック プレビュー |
| Microsoft Defender for Cloud Apps 警告 |
||
| - Office 365 GCC | パブリック プレビュー | - |
| - Office 365 GCC High | - | パブリック プレビュー |
| - Office 365 DoD | - | パブリック プレビュー |
| Microsoft Defender for Endpoint | ||
| - Office 365 GCC | GA | - |
| - Office 365 GCC High | - | GA |
| - Office 365 DoD | - | GA |
| Microsoft Defender for Identity | ||
| - Office 365 GCC | パブリック プレビュー | - |
| - Office 365 GCC High | - | 利用不可 |
| - Office 365 DoD | - | 利用不可 |
| Microsoft Defender for Office 365 | ||
| - Office 365 GCC | パブリック プレビュー | - |
| - Office 365 GCC High | - | 利用不可 |
| - Office 365 DoD | - | 利用不可 |
| - Microsoft Power BI | ||
| - Office 365 GCC | パブリック プレビュー | - |
| - Office 365 GCC High | - | 利用不可 |
| - Office 365 DoD | - | 利用不可 |
| - Microsoft Project | ||
| - Office 365 GCC | パブリック プレビュー | - |
| - Office 365 GCC High | - | 利用不可 |
| - Office 365 DoD | - | 利用不可 |
| Office 365 | ||
| - Office 365 GCC | GA | - |
| - Office 365 GCC High | - | GA |
| - Office 365 DoD | - | GA |
| Teams | ||
| - Office 365 GCC | パブリック プレビュー | - |
| - Office 365 GCC High | - | 利用不可 |
| - Office 365 DoD | - | 利用不可 |
Microsoft Defender for IoT
Microsoft Defender for IoT を使用すると、IoT/OT デバイス全体にわたって包括的なセキュリティを利用して、IoT/OT イノベーションを加速させることができます。 エンド ユーザー組織のためには、Microsoft Defender for IoT からは、エージェントがなく、短期間でデプロイされるネットワーク層セキュリティが提供されます。また、さまざまな産業用機器と連動し、Microsoft Sentinel やその他の SOC ツールと相互運用されます。 オンプレミスまたは Azure が接続されている環境でデプロイします。 IoT デバイス ビルダーについては、Microsoft Defender for IoT セキュリティ エージェントを使用すると、新しい IoT デバイスと Azure IoT プロジェクトにセキュリティを直接組み込むことができます。 マイクロ エージェントには、バイナリ パッケージとしてデプロイする機能やソース コードを変更する機能など、柔軟なデプロイ オプションが用意されています。 また、マイクロ エージェントは、Linux や Azure RTOS などの標準的な IoT オペレーティング システムで利用できます。 詳細については、Microsoft Defender for IoT 製品ドキュメントを参照してください。
次の表は、Azure および Azure Government の現在の Microsoft Defender for IoT 機能の可用性を示します。
組織向け
| 機能 | Azure | Azure Government |
|---|---|---|
| オンプレミス デバイスの検出とインベントリ | GA | GA |
| 脆弱性の管理 | GA | GA |
| IoT および OT 行動分析による脅威の検出 | GA | GA |
| 脅威インテリジェンスの手動更新と自動更新 | GA | GA |
| SIEM、SOAR、XDR を使用して、IT とセキュリティを統合する | ||
| Active Directory | GA | GA |
| ArcSight | GA | GA |
| ClearPass (アラート & インベントリ) | GA | GA |
| CyberArk PSM | GA | GA |
| GA | GA | |
| FortiGate | GA | GA |
| FortiSIEM | GA | GA |
| Microsoft Sentinel | GA | GA |
| NetWitness | GA | GA |
| Palo Alto NGFW | GA | GA |
| Palo Alto Panorama | GA | GA |
| ServiceNow (アラート & インベントリ) | GA | GA |
| SNMP MIB の監視 | GA | GA |
| Splunk | GA | GA |
| SYSLOG サーバー (CEF 形式) | GA | GA |
| SYSLOG サーバー (LEEF 形式) | GA | GA |
| SYSLOG サーバー (オブジェクト) | GA | GA |
| SYSLOG サーバー (テキスト メッセージ) | GA | GA |
| Web コールバック (Webhook) | GA | GA |
デバイス ビルダーの場合
| 機能 | Azure | Azure Government |
|---|---|---|
| Azure RTOS 用マイクロ エージェント | GA | GA |
| Microsoft Defender for IoT を使用して Sentinel を構成する | GA | GA |
| スタンドアロンのマイクロ エージェント for Linux | ||
| スタンドアロン エージェントのバイナリ インストール | パブリック プレビュー | パブリック プレビュー |
Azure Attestation
Microsoft Azure Attestation は、プラットフォームの信頼性とその内部で実行されているバイナリの整合性をリモートで検証するための統合ソリューションです。 このサービスでは、プラットフォームから証拠を受け取り、それをセキュリティ標準を使用して検証し、構成可能なポリシーに照らし合わせて評価し、クレームベースのアプリケーション (証明書利用者、監査機関など) 向けの構成証明トークンを生成します。
Azure Attestation は、現在、Azure Public および Government クラウドの複数のリージョンで利用できます。 Azure Government では、US Gov Virginia と US Gov Arizona の中でこのサービスをプレビュー状態で利用できます。
詳細については、Azure Attestation のパブリック ドキュメントを参照してください。
| 機能 | Azure | Azure Government |
|---|---|---|
| コントロールプレーンおよびデータプレーンの操作を実行するためのポータル エクスペリエンス | GA | - |
| コントロールプレーンおよびデータプレーンの操作を実行するためのPowerShell エクスペリエンス | GA | GA |
| TLS 1.2 の適用 | GA | GA |
| BCDR のサポート | GA | - |
| サービス タグの統合 | GA | GA |
| 不変のログ ストレージ | GA | GA |
| プライベート リンクを使用したネットワーク分離 | パブリック プレビュー | - |
| FedRAMP High 認定 | GA | - |
| カスタマー ロックボックス | GA | - |
次のステップ
- 共同責任モデル、クラウド プロバイダーが処理するセキュリティ タスク、およびお客様が処理するタスクについて理解します。
- Azure Government クラウドの機能と、連邦、州、地方の各統治機関や関連組織に対して適用されるコンプライアンスをサポートする安定した設計やセキュリティについて理解します。
- Office 365 Government プランについて理解します。
- 法的および規制基準に対する Azure のコンプライアンスについて理解します。