zabezpečení Windows 365
Windows 365 poskytuje ucelený tok připojení, který uživatelům umožňuje efektivně a bezpečně pracovat. Windows 365 je sestavena s ohledem na nulová důvěra (Zero Trust) a poskytuje základ pro implementaci ovládacích prvků pro lepší zabezpečení prostředí napříč 6 pilíři nulová důvěra (Zero Trust). Ovládací prvky nulová důvěra (Zero Trust) můžete implementovat pro následující kategorie:
- Zabezpečení přístupu ke cloudovým počítačům
- Je v souladu se zabezpečením identity, kde můžete více změřit, kdo má přístup ke cloudovým počítačům a za jakých podmínek.
- Zabezpečení samotného zařízení Cloud PC
- Je v souladu se zabezpečením koncového bodu, kde můžete umístit více měr na cloudová zařízení PC, protože se jedná o zařízení, které se používá pro přístup k datům organizace.
- Zabezpečení dat Cloud PC a dalších dostupných dat při používání cloudového počítače
- Je v souladu se zabezpečením dat, kde můžete umístit další míry na samotná data nebo na to, jak uživatel cloudového počítače přistupuje k datům.
Podívejte se na následující části, abyste lépe porozuměli komponentám a funkcím, které máte k dispozici pro zabezpečení prostředí cloudových počítačů.
Prvním aspektem zabezpečení vašeho prostředí je zabezpečení přístupu ke cloudovým počítačům.
Jak je popsáno v tématu Identita a ověřování, při přístupu ke cloudovým počítačům existují dva problémy s ověřováním:
- Služba Windows 365.
- The Cloud PC.
Primárním řízením zabezpečení přístupu je použití Microsoft Entra podmíněného přístupu k podmíněnému udělení přístupu ke službě Windows 365. Pokud chcete zabezpečit přístup ke cloudovým počítačům, přečtěte si téma Nastavení zásad podmíněného přístupu.
Druhým aspektem zabezpečení vašeho prostředí je zabezpečení samotného zařízení Cloud PC.
Všechny nové cloudové počítače mají ve výchozím nastavení povolené následující součásti zabezpečení:
- vTPM: Zkratka pro virtual Trusted Platform Module( vTPM) poskytuje cloudovým počítačům jejich vlastní vyhrazenou instanci TPM, která funguje jako zabezpečený trezor pro klíče a měření. Další informace najdete v tématu vTPM.
- Zabezpečené spouštění: Zabezpečené spouštění je funkce, která zabraňuje spuštění operačního systému Windows, pokud jsou na počítači nainstalované nedůvěryhodné rootkity nebo spouštěcí sady. Další informace najdete v tématu Zabezpečené spouštění.
Když jsou povolené obě komponenty zabezpečení, Windows 365 podporuje povolení následujících funkcí zabezpečení Windows:
- Integrita kódu hypervisoru (HVCI)
- Microsoft Defender Credential Guard
Následující komponenty zabezpečení jsou ve výchozím nastavení povolené pro konkrétní skladové položky nebo konfigurace Cloud PC:
-
Úlohy založené na virtualizaci
- Popis: Úlohy založené na virtualizaci obvykle vyžadují, aby zařízení s Windows povolilo funkci Hyper-V a spouštět úlohy v izolovaném prostoru, aby chránilo operační systém Windows před bezpečnostními hrozbami.
- Funkce zabezpečení:
- Požadovaná konfigurace: Cloud PC musí mít 4 virtuální procesory a 16 GB paměti RAM nebo více. Další informace najdete v tématu Nastavení podpory úloh založených na virtualizaci.
Poznámka
Vzhledem k technologické složitosti nemusí slib zabezpečení Ochrana Application Guard v programu Microsoft Defender (MDAG) platit na virtuálních počítačích a v prostředích VDI. Proto se MDAG v současné době oficiálně nepodporuje na virtuálních počítačích a v prostředích VDI. Pro účely testování a automatizace na neprodukčních počítačích ale můžete povolit MDAG na virtuálním počítači povolením vnořené virtualizace Hyper-V na hostiteli.
Microsoft Purview Customer Lockbox může zapnout správce. Customer Lockbox zajišťuje, aby Microsoft neměl přístup k obsahu zákazníka a mohl provádět operace služeb bez vašeho výslovného souhlasu. Customer Lockbox můžete zapnout nebo vypnout v Centrum pro správu Microsoftu 365. Další informace najdete v tématu Microsoft Purview Customer Lockbox.
Třetím aspektem zabezpečení vašeho prostředí je zabezpečení dat cloudových počítačů a dalších dat, která jsou k dispozici pomocí cloudového počítače.
Data samotných dat Cloud PC jsou zabezpečená prostřednictvím šifrování. Další podrobnosti najdete v tématu šifrování dat v Windows 365.
Zabezpečení dat dostupných uživatelům na jejich cloudových počítačích by se nemělo lišit od zabezpečení dat dostupných uživatelům na počítačích s Windows přiřazených k práci. Cloud PC by měl být přístupný prostřednictvím protokolu RDP (Remote Desktop Protocol).
Informace o správě funkcí protokolu RDP dostupných uživateli během připojení ke cloudovým počítačům najdete v tématu Správa přesměrování zařízení RDP pro cloudové počítače.
Windows 365 cloudových počítačů je možné získat přístup z různých platforem operačního systému a klientů dostupných na těchto platformách.
- Platformy operačního systému Windows: Windows 365 jsou přístupné pomocí klienta Vzdálené plochy pro Windows a aplikace pro Windows. Obě tyto aplikace získávají aktualizace pomocí služby služba Windows Update. Další informace najdete v tématu služba Windows Update zabezpečení.
- Zařízení Apple (macOS a iOS): Klientské aplikace vzdálené plochy a jejich aktualizace distribuuje App Store společnosti Apple. Další informace o bezpečnostních opatřeních pro MacOS a iOS najdete v tématu Zabezpečení platformy Apple.
- Platformy Android: Aplikace platformy Android stažené z obchodů Google Play splňují podmínky a ujednání obchodu Google Play. Další informace najdete v podmínkách služby Google Play.
Další informace o zabezpečení služba Windows Update najdete v tématu služba Windows Update zabezpečení.