プライバシー、顧客データ、および Windows 365 の顧客コンテンツ
Windows 365 は、ユーザー向けにクラウド PC をプロビジョニングおよび管理できるようにするクラウドベースのサービスです。 Microsoft Intune (Windows 365 Enterprise) またはセルフサービス エクスペリエンス (Windows 365 Business) を使用して、デバイスの残りの部分でクラウド PC を管理します。 このドキュメントでは、Windows 365 のデータ プラットフォームとプライバシーのコンプライアンスの詳細について説明します。 特に指定がない限り、このドキュメントで "Windows 365" という用語は Windows 365 Enterprise と Windows 365 Business の両方を指します。 以下で詳細が異なる場合は、各製品が個別に記載されます。
Windows 365 のデータ ソースと目的
Windows 365 は、次に示すソースからデータを収集して使用することで、顧客にサービスを提供します。 これらのソースは、Windows 365 が管理するデバイスの包括的なビューを提供します。
- Microsoft Windows Enterprise - デバイスのセットアップ エクスペリエンスの管理、他のサービスへの接続の管理、IT 担当者への運用サポートの提供のため。
- Microsoft Intune 製品ファミリ - デバイスとアプリの管理、データ セキュリティ、デバイス構成用です。
- エンドポイント分析 – Microsoft Intune 製品ファミリの一部で、特にデバイスとアプリの使用状況に関する分析分析情報を得ることができます。
- Microsoft 365 Apps for enterprise – Microsoft 365 Apps の管理のため。
登録されたデバイスを保護および維持するために、Windows 365 はお客様が構成したオンライン サービスとデータ パイプラインからのデータを処理し、Windows 365 にコピーします。 データがこれらのサービスから Windows 365 に統合されると、Windows 365 に適用される製品条項と Microsoft プライバシー ステートメントがデータにも適用されます。 Windows 365 では、データの適切な機密性、セキュリティ、および回復性が保証されます。 Windows 365 では、個人データが確実に適切に扱われるようにするため、追加の内部プライバシーおよびセキュリティ対策を採用しています。
Windows 365 のデータ ストレージ
Windows 365 は、テナントの地域と設定に応じて、顧客コンテンツを北米、ヨーロッパ、またはアジア太平洋の Azure リージョンに保存します。 クラウド PC 仮想ディスク、顧客コンテンツ、クラウド PC に関連付けられているデータとストレージは、クラウド PC が プロビジョニングされている Azure リージョンに存在します。 Windows 365 Enterprise の場合、リージョンは Azure ネットワーク接続の (ANC) 仮想ネットワーク 設定で定義されます。 Windows 365 Business では、クラウド PC 自体の Azure リージョンに顧客データが格納されます。
クラウド PC を管理するために、クラウド PC に関連する特定のデータ (マシンの名前、診断データ、サービス生成データなど) は、テナントの場所によって定義された北米、ヨーロッパ、またはアジア太平洋の Azure データ センターに格納されます。 このストレージは、Microsoft Online テナントの国/リージョンに基づいて、最も近い Azure リージョンにマップされます。
Windows 365 はこれらのサービスに依存するため、その他の顧客データ、診断データ、またはサービス生成データは 、Azure Virtual Desktop または Intune によって収集される場合があります。
データの場所の詳細については、次を参照してください。
- Microsoft Entra ID - データはどこにありますか?
- Azure Virtual Desktop のデータの場所
- Windows 365 がサポートされているリージョン
- Microsoft 365 顧客データの保存場所
顧客データと顧客コンテンツはどれくらいの期間保存されますか?
Windows 365 では、クラウド PC ディスクと VM 自体のデータの両方が顧客コンテンツとして扱われます。
ユーザーが Windows 365 から削除されると、Windows 365 は通知以外の個人データを最大 90 日間保持します。 パッシブなシナリオでは、データは最低 90 日間、最大 180 日間保持されます。 パッシブなシナリオで保存された顧客データにアクセスするには、サポートにお問い合わせください。 Microsoft Defender for Endpoint によって収集されたアラート データは、セキュリティ上の理由により、お客様が Microsoft Defender for Endpoint を使用している場合は 180 日間保存されます。
データ保持の詳細については、「Microsoft 365 のデータの保持、削除、および破棄」を参照してください。
Windows 365 の既定値は 、個人データの監査、エクスポート、または削除に関する Microsoft Intune の標準的なプラクティスです。
個人データは、Microsoft オンライン サービス条件によって保証される技術的セキュリティ対策の下、Intune サービスの監査コンプライアンスの範囲内で処理されます。
すべての依存サービスの個々のデータ保持ポリシーとストレージ ポリシーの詳細については、以下を参照してください。
分離とアクセス制御
Windows 365 Enterprise の各内部顧客データ サブスクリプションには、複数のテナントからの Azure Virtual Desktop (AVD) メタデータ、クラウド PC、ストレージが含まれます。 各 VM は、単一の仮想ネットワーク インターフェイス カード (NIC) に接続されます。 クラウド PC のプロビジョニング中、その NIC は顧客の Azure サブスクリプション内の 1 つの仮想ネットワークに接続されます。 仮想ネットワークはテナント管理者によって定義されます。 すべてのクラウド PC は、AVD 接続の仲介層を使用して 1 人のユーザーに割り当てられます。 AVD レイヤーのアクセス制御リスト (ACL) は、テナントとユーザー レベルで Microsoft Entra ID によって認証されます。 Windows 365 のクラウド PC との間のネットワーク アクセスは、各テナント管理者の制御と裁量によって行われます。 そのため、テナント A 管理者が自分のサブスクリプションのネットワーク レイヤーで Windows 365 および AVD の外部に接続を提供することを選択した場合を除き、テナント B のユーザーがテナント A のクラウド PC にアクセスすることはできません。
Windows 365 Business の場合、1 つ以上の専用仮想ネットワークがテナントに作成されます。 サービスは必要に応じて追加のネットワークを自動的に作成します。Windows 365 Business の同じテナント内のすべてのクラウド PC で互いへのネットワーク接続が保証されるわけではありません。
Windows 365 で複数ユーザーのシナリオがサポートされていないため、上記のすべての分離は、ユーザーごと、およびクラウド PC ごとに行われます。
Windows 365 アーキテクチャの詳細については、「Windows 365 アーキテクチャ」を参照してください。 Microsoft 365 での分離の詳細については、「Microsoft 365 での分離とアクセス制御」を参照してください。 Microsoft 365 でのアクセス管理の詳細については、「ID およびアクセス管理 - Microsoft サービス アシュアランス」を参照してください。
コンプライアンスと法的事項
Windows 365 の監査が完了すると、Microsoft Service Trust Portal で監査レポートをダウンロードできます。 Microsoft Service Trust Portal は、Microsoft エンタープライズ オンライン サービスの中央リポジトリとして機能します。
組織のお客様が提供する製品のエンド ユーザーへの Microsoft のプライバシーに関する通知 - Microsoft プライバシー ステートメントは、エンド ユーザーが職場アカウントを使用して Microsoft 製品にサインインすると、組織が (プライバシー関連の設定の制御を含めて) ユーザーのアカウントを制御および管理し、データにアクセスして処理することができ、b) Microsoft が組織およびエンド ユーザーにサービスを提供するためにデータを収集および処理する場合があることを通知します。