Windows 365-Sicherheit
Windows 365 bietet benutzern einen End-to-End-Verbindungsfluss, um ihre Arbeit effektiv und sicher zu erledigen. Windows 365 wurde unter Berücksichtigung Zero Trust erstellt und bietet Ihnen die Grundlage für die Implementierung von Steuerelementen, um Ihre Umgebung in den sechs Säulen der Zero Trust besser zu schützen. Sie können Zero Trust-Steuerelemente für die folgenden Kategorien implementieren:
- Schützen des Zugriffs auf den Cloud-PC
- Richtet sich an die Sicherung der Identität aus, wo Sie weitere Measures dafür festlegen können, wer unter welchen Bedingungen auf den Cloud-PC zugreifen kann.
- Schützen des Cloud-PC-Geräts selbst
- Richtet sich an die Sicherung des Endpunkts aus, wo Sie weitere Measures auf den Cloud-PC-Geräten platzieren können, da dies das Gerät ist, das für den Zugriff auf Organisationsdaten verwendet wird.
- Schützen der Cloud-PC-Daten und anderer Daten, die bei der Verwendung des Cloud-PCs verfügbar sind
- Richtet sich an die Sicherung der Daten aus, wo Sie weitere Measures für die Daten selbst oder den Zugriff des Cloud-PC-Benutzers auf die Daten platzieren können.
Sehen Sie sich die folgenden Abschnitte an, um die Komponenten und Features besser zu verstehen, die Ihnen zum Schützen Ihrer Cloud-PC-Umgebung zur Verfügung stehen.
Die erste Überlegung für die Sicherung Ihrer Umgebung besteht darin, den Zugriff auf den Cloud-PC zu sichern.
Wie unter Identität und Authentifizierung beschrieben, gibt es zwei Authentifizierungsprobleme beim Zugriff auf den Cloud-PC:
- Der Windows 365-Dienst
- Der Cloud-PC.
Die primäre Steuerung zum Schützen des Zugriffs besteht darin, Microsoft Entra bedingten Zugriff zu verwenden, um bedingten Zugriff auf den Windows 365-Dienst zu gewähren. Informationen zum Sichern des Zugriffs auf den Cloud-PC finden Sie unter Festlegen von Richtlinien für bedingten Zugriff.
Die zweite Überlegung zum Schutz Ihrer Umgebung besteht darin, das Cloud-PC-Gerät selbst zu schützen.
Auf allen neuen Cloud-PCs sind standardmäßig die folgenden Sicherheitskomponenten aktiviert:
- vTPM: Ein vTPM-Modul für virtuelle vertrauenswürdige Plattform bietet Cloud-PCs eigene dedizierte TPM-instance, die als sicherer Tresor für Schlüssel und Messungen fungiert. Weitere Informationen finden Sie unter vTPM.
- Sicherer Start: Sicherer Start ist ein Feature, das verhindert, dass das Windows-Betriebssystem gestartet wird, wenn nicht vertrauenswürdige Rootkits oder Startkits auf dem Computer installiert sind. Weitere Informationen finden Sie unter Sicherer Start.
Wenn beide Sicherheitskomponenten aktiviert sind, unterstützt Windows 365 das Aktivieren der folgenden Windows-Sicherheitsfeatures:
- Hypervisorcodeintegrität (HVCI)
- Microsoft Defender Credential Guard
Die folgenden Sicherheitskomponenten sind für bestimmte Cloud-PC-SKUs oder -Konfigurationen standardmäßig aktiviert:
-
Virtualisierungsbasierte Workloads
- Beschreibung: Virtualisierungsbasierte Workloads erfordern in der Regel, dass das Windows-Gerät das Hyper-V-Feature aktiviert und die Workloads in einem isolierten Bereich ausgeführt wird, um das Windows-Betriebssystem vor Sicherheitsbedrohungen zu schützen.
- Sicherheitsfeatures:
- Erforderliche Konfiguration: Cloud-PC muss über 4 vCPU und 16 GB RAM oder mehr verfügen. Weitere Informationen finden Sie unter Einrichten der Unterstützung für virtualisierungsbasierte Workloads.
Hinweis
Angesichts der technologischen Komplexität gilt das Sicherheitsversprechen von Microsoft Defender Application Guard (MDAG) möglicherweise nicht auf VMs und in VDI-Umgebungen. Daher wird MDAG derzeit nicht offiziell auf VMs und in VDI-Umgebungen unterstützt. Zu Test- und Automatisierungszwecken auf Nicht-Produktionscomputern können Sie MDAG jedoch auf einem virtuellen Computer aktivieren, indem Sie die geschachtelte Hyper-V-Virtualisierung auf dem Host aktivieren.
Die Microsoft Purview-Kunden-Lockbox kann von einem Administrator aktiviert werden. Kunden-Lockbox stellt sicher, dass Microsoft nicht ohne Ihre ausdrückliche Genehmigung auf die Inhalte eines Kunden zugreifen kann, um Dienstvorgänge durchzuführen. Sie können die Kunden-Lockbox im Microsoft 365 Admin Center aktivieren oder deaktivieren. Weitere Informationen finden Sie unter Microsoft Purview-Kunden-Lockbox.
Die dritte Überlegung zum Schutz Ihrer Umgebung besteht darin, die Cloud-PC-Daten und andere Daten zu schützen, die mithilfe des Cloud-PCs zur Verfügung gestellt werden.
Die Daten der Cloud-PC-Daten selbst werden durch Verschlüsselung gesichert. Weitere Informationen finden Sie unter Datenverschlüsselung in Windows 365.
Das Schützen der Daten, die Benutzern auf ihren Cloud-PCs zur Verfügung stehen, sollte sich nicht von der Sicherung der Daten unterscheiden, die Benutzern auf arbeitsseitig zugewiesenen Windows-PCs zur Verfügung stehen. Auf den Cloud-PC sollte über das Remotedesktopprotokoll (RDP) zugegriffen werden.
Informationen zum Verwalten von RDP-Features, die dem Benutzer während der Cloud-PC-Verbindung zur Verfügung stehen, finden Sie unter Verwalten von RDP-Geräteumleitungen für Cloud-PCs.
Windows 365 Cloud-PCs kann von verschiedenen Betriebssystemplattformen und Clients aus zugegriffen werden, die auf diesen Plattformen verfügbar sind.
- Windows-Betriebssystemplattformen: Auf Windows 365 kann über den Remotedesktopclient für Windows und die Windows-App zugegriffen werden. Beide Apps erhalten Updates mithilfe des Windows Update-Diensts. Weitere Informationen finden Sie unter Windows Update Sicherheit.
- Apple-Geräte (macOS und iOS): Remotedesktop-Client-Apps und deren Updates werden über den App Store von Apple verteilt. Weitere Informationen zu macOS- und iOS-Sicherheitsmaßnahmen finden Sie unter Apple Platform Security.
- Android-Plattformen: Android-Plattform-Apps, die aus Google Play Stores heruntergeladen wurden, entsprechen den Google Play Store-Geschäftsbedingungen. Weitere Informationen finden Sie unter Nutzungsbedingungen für Google Play.
Weitere Informationen zur Windows Update Sicherheit finden Sie unter Windows Update Sicherheit.