Seguridad de Windows 365
Windows 365 proporciona un flujo de conexión de un extremo a otro para que los usuarios realicen su trabajo de forma eficaz y segura. Windows 365 se crea teniendo en cuenta Confianza cero, lo que proporciona la base para implementar controles para proteger mejor el entorno en los 6 pilares de Confianza cero. Puede implementar controles de Confianza cero para las categorías siguientes:
- Protección del acceso al equipo en la nube
- Se alinea con la protección de la identidad, donde puede establecer más medidas sobre quién puede acceder al equipo en la nube y en qué condiciones.
- Protección del propio dispositivo de PC en la nube
- Se alinea con la protección del punto de conexión, donde puede colocar más medidas en los dispositivos de PC en la nube, ya que es el dispositivo que se usa para acceder a los datos de la organización.
- Protección de los datos del equipo en la nube y otros datos disponibles mientras se usa el equipo en la nube
- Se alinea con la protección de los datos, donde puede colocar más medidas en los propios datos o en cómo el usuario del equipo en la nube accede a los datos.
Eche un vistazo a las secciones siguientes para comprender mejor los componentes y las características disponibles para proteger el entorno de pc en la nube.
Protección del acceso a pc en la nube
La primera consideración para proteger el entorno es proteger el acceso al equipo en la nube.
Como se describe en identidad y autenticación, hay dos desafíos de autenticación para acceder al equipo en la nube:
- El servicio de Windows 365.
- El PC en la nube.
El control principal para proteger el acceso es mediante Microsoft Entra acceso condicional para conceder acceso condicional al servicio Windows 365. Para proteger el acceso al equipo en la nube, consulte Establecimiento de directivas de acceso condicional.
Protección de dispositivos de PC en la nube
La segunda consideración para proteger el entorno es proteger el propio dispositivo de PC en la nube.
Características de seguridad habilitadas de forma predeterminada
Todos los nuevos equipos en la nube tienen los siguientes componentes de seguridad habilitados de forma predeterminada:
- vTPM: abreviatura del módulo de plataforma de confianza virtual, una vTPM proporciona a los equipos en la nube su propia instancia de TPM dedicada que actúa como un almacén seguro para las claves y las medidas. Para obtener más información, consulte vTPM.
- Arranque seguro: Arranque seguro es una característica que impide que el sistema operativo Windows arranque si se instalan rootkits o kits de arranque que no son de confianza en el equipo. Para obtener más información, consulte Arranque seguro.
Con ambos componentes de seguridad habilitados, Windows 365 admite la habilitación de las siguientes características de seguridad de Windows:
- Integridad del código del hipervisor (HVCI)
- Microsoft Defender Credential Guard
Características de seguridad que requieren una configuración o SKU de PC en la nube específicas
Los siguientes componentes de seguridad están habilitados de forma predeterminada en configuraciones o SKU de PC en la nube específicas:
- Cargas de trabajo basadas en virtualización
- Descripción: las cargas de trabajo basadas en virtualización normalmente requieren que el dispositivo Windows habilite la característica Hyper-V y ejecute las cargas de trabajo en un espacio aislado para proteger el sistema operativo Windows de cualquier amenaza de seguridad.
- Características de seguridad:
- Configuración necesaria: el equipo en la nube debe tener 4 vCPU y 16 GB de RAM o más. Para obtener más información, consulte Configuración de la compatibilidad con cargas de trabajo basadas en virtualización.
Nota:
Dada la complejidad tecnológica, es posible que la promesa de seguridad de Protección de aplicaciones de Microsoft Defender (MDAG) no se cumpla en las máquinas virtuales y en los entornos de VDI. Por lo tanto, MDAG no se admite oficialmente actualmente en máquinas virtuales y en entornos de VDI. Sin embargo, con fines de prueba y automatización en máquinas que no son de producción, puede habilitar MDAG en una máquina virtual habilitando la virtualización anidada de Hyper-V en el host.
Caja de seguridad del cliente de Microsoft Purview
Un administrador puede activar la caja de seguridad del cliente de Microsoft Purview. La caja de seguridad del cliente garantiza que Microsoft no puede acceder al contenido de un cliente para realizar operaciones de servicio sin su aprobación explícita. Puede activar o desactivar la caja de seguridad del cliente en el Centro de administración de Microsoft 365. Para obtener más información, consulte Caja de seguridad del cliente de Microsoft Purview.
Protección de datos de PC en la nube
La tercera consideración para proteger el entorno es proteger los datos del equipo en la nube y otros datos que están disponibles mediante el equipo en la nube.
Seguridad de los datos de PC en la nube
Los datos de los propios datos del equipo en la nube se protegen a través del cifrado. Para obtener más información, consulte Cifrado de datos en Windows 365.
Seguridad de los datos disponibles en el equipo en la nube
Proteger los datos disponibles para los usuarios en sus equipos en la nube no debe ser diferente de proteger los datos disponibles para los usuarios en equipos Windows asignados al trabajo. Se debe acceder al equipo en la nube a través del Protocolo de Escritorio remoto (RDP).
Para administrar las características de RDP disponibles para el usuario durante su conexión de PC en la nube, consulte Administración de redireccionamientos de dispositivos RDP para equipos en la nube.
Seguridad de actualización de cliente
Windows 365 pc en la nube se puede acceder desde varias plataformas de sistema operativo y clientes disponibles en esas plataformas.
- Plataformas del sistema operativo Windows: se puede acceder a Windows 365 mediante el cliente de Escritorio remoto para Windows y la aplicación de Windows 365. Ambas aplicaciones reciben actualizaciones mediante el servicio Windows Update. Para obtener más información, consulte seguridad de Windows Update.
- Dispositivos Apple (macOS e iOS): las aplicaciones cliente de Escritorio remoto y sus actualizaciones se distribuyen por la tienda de aplicaciones de Apple. Para obtener más información sobre las medidas de seguridad de MacOS e iOS, consulte Seguridad de la plataforma de Apple.
- Plataformas Android: las aplicaciones de plataforma Android descargadas de las tiendas de Google Play se ajustan a los términos y condiciones de Google Play Store. Para obtener más información, consulte Términos de servicio de Google Play.
Pasos siguientes
Para obtener más información sobre Windows Update seguridad, consulte seguridad de Windows Update.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de