このケース スタディ演習は、このモジュールで学習した内容に関連するいくつかの概念設計タスクの実行を経験できるように設計されています。
ケース スタディ: MCRA と MCSB のベスト プラクティスに沿ったソリューションを設計する
CONTOSO は、シカゴと英国のロンドンに本社を構える医療サービス会社です。
同社は、シカゴとロンドン、英国の都市圏周辺にある施設で顧客に医療サービスを提供しています。 Contoso の施設には、医師、看護師、その他の医療専門家を備えた病院がたくさんあります。 Contoso では、すべての重要なサービスを会社全体でクラウドに移行する作業を開始しています。 この移行には、オンプレミスのサーバー、VM、および管理および監視機器のサポートが含まれます。
Contoso では、コンプライアンスと規制の要件のためにオンプレミスでホストする必要がある一部のデータとアプリケーションを除いて、クラウド移行を開始しました。 Contoso は Azure Active Directory (Azure AD) テナントを確立しています。 この Azure AD は、オンプレミスのドメイン コントローラーで管理される、Active Directory Domain Services (AD DS) と同期されます。 移行が進むにつれて、SaaS アプリケーションを含む部署ごとに、必要に応じて追加の Azure サブスクリプションが作成されます。 日常業務を容易にするために、ほとんどの従業員は Microsoft 365 アプリケーションにアクセスできます。
継続的な接続をサポートするために、基本的な仮想デスクトップ インフラストラクチャ (VDI) テストが
ほとんどのカテゴリの従業員に対して開始されました。たとえば、アカウント マネージャー、サポート
スタッフ、およびビジネス、財務、人事のスタッフなどです。 セキュリティで保護された接続は、仮想
プライベート ネットワーク (VPN) ゲートウェイを介して、ユーザーとデバイスの限られたセットに対してサポートされます。 さらに、
サードパーティのファイアウォールがデプロイされており、仮想サーバーの仮想ローカル エリア
ネットワーク (VLAN) が保護されます。
医師はクライアントと一緒に現場にいながら、追跡データと監視データがローカルに
保存されたモバイル デバイスを使用します。 このデータは、独自のストレージ
暗号化を使用して保護されます。また、各医療専門家は、データにアクセスする前に、ローカルに保存された資格情報を使って各自のデバイスにログオンする必要があります。
必要条件
クラウド移行が継続し、拡大していくにつれて、Contoso では、オンプレミスのすべての
データとアプリケーションをクラウドに移行することを計画しています (スコープ外のアプリケーションは除く)。
- Microsoft 365 Defender と Defender for Cloud をデプロイして、敵対者に対する Contoso のセキュリティ態勢を強化します
- Microsoft コンプライアンス ポリシー MCSB を Azure サブスクリプションに適用する必要があります
- Contoso では、考えられる脅威を事前に追求し、攻撃面を積極的に管理したいと考えています
- Contoso では、外部の請負業者および患者と内部従業員の両方の ID を一元的に管理したいと考えています
- すべてのエンドポイント デバイスを一元的に管理し、コンプライアンスを継続的に評価する必要があります。
- 医療専門家が使うモバイル デバイスに保存されている保護された医療情報 (PHI) は、地域の規制に準拠するためのデータ所在地ポリシーに従って、クラウドに移動されます。
- 現場にいる間のモバイル デバイスへのアクセスは位置情報によって制限する必要があり、多要素認証として生体認証が必要です
- 同じデバイス上のアプリ間でのデータ共有を制御する必要があります。
- 医療保険の携行性と責任に関する法律 (HIPAA) および国民保健サービス (NHS) の要件への準拠。
- Contoso では、最小特権のプリンシパルに従って特権管理者を管理し、Just-In-Time アクセス ポリシーを適用したいと考えています。
- Contoso では、あらゆる障害からデータを復旧し、またそれらのバックアップ データを安全な場所に保持したいと考えています。 プライマリ リージョンで障害が発生した場合、Contoso ではセカンダリ リージョンにフェールオーバーしたいと考えています。
- Contoso では、すべての受信アクセスを検証するために必ずゼロ トラスト アプローチに従うようにしたいと考えています
- データと処理が Azure に移動されるに際して、VPN ゲートウェイを構成して
さまざまなデスクトップとモバイルのオペレーティング システムを実行するデバイスからのセキュリティで保護された P2S 接続をサポートする必要が
あります。たとえば Windows、macOS、Android などです。
設計タスク
- Contoso がビジネスとセキュリティの要件を満たすために、どのような Defender 計画が必要ですか?
- すべての受信アクセスを検証し、同時にゼロ トラストに従うために、Contoso では何ができますか?
- Contoso では、どのように NHS と HIPAA ポリシーをクラウド環境に適用できますか?
- Contoso では、既存のすべての脅威と脆弱性を可視化するために何を使用する必要がありますか?
- Contoso では、セキュリティ構成をエンド ポイント デバイスにどのように展開して維持する必要がありますか?
- Contoso では、使用されているクラウド アプリケーションと外部で共有されているデータをどのように可視化できますか?