Sécurité Windows 365
Windows 365 fournit un flux de connexion de bout en bout pour permettre aux utilisateurs d’effectuer leur travail efficacement et en toute sécurité. Windows 365 est conçu avec Confiance nulle à l’esprit, ce qui vous permet d’implémenter des contrôles afin de mieux sécuriser votre environnement sur les 6 piliers de Confiance nulle. Vous pouvez implémenter des contrôles Confiance nulle pour les catégories suivantes :
- Sécurisation de l’accès au PC cloud
- S’aligne sur la sécurisation de l’identité, où vous pouvez placer davantage de mesures sur les personnes autorisées à accéder au PC cloud et dans quelles conditions.
- Sécurisation de l’appareil PC cloud lui-même
- S’aligne sur la sécurisation du point de terminaison, où vous pouvez placer davantage de mesures sur les appareils PC cloud, car il s’agit de l’appareil utilisé pour accéder aux données de l’organisation.
- Sécurisation des données du PC cloud et d’autres données disponibles lors de l’utilisation du PC cloud
- S’aligne sur la sécurisation des données, où vous pouvez placer davantage de mesures sur les données elles-mêmes ou sur la façon dont l’utilisateur du PC cloud accède aux données.
Consultez les sections suivantes pour mieux comprendre les composants et les fonctionnalités disponibles pour sécuriser votre environnement PC cloud.
La première considération à prendre en compte pour sécuriser votre environnement consiste à sécuriser l’accès au PC cloud.
Comme décrit dans identité et authentification, il existe deux défis d’authentification pour accéder au PC cloud :
- Le service Windows 365
- PC Cloud
Le contrôle principal pour la sécurisation de l’accès consiste à utiliser Microsoft Entra l’accès conditionnel pour accorder de manière conditionnelle l’accès au service Windows 365. Pour sécuriser l’accès au PC cloud, consultez Définir des stratégies d’accès conditionnel.
La deuxième considération à prendre en compte pour sécuriser votre environnement consiste à sécuriser l’appareil PC cloud lui-même.
Les composants de sécurité suivants sont activés par défaut pour tous les nouveaux PC cloud :
- vTPM : abréviation de module de plateforme sécurisée virtuelle, un vTPM fournit aux PC cloud leurs propres instance TPM dédiés qui jouent le rôle de coffre sécurisé pour les clés et les mesures. Pour plus d’informations, consultez vTPM.
- Démarrage sécurisé : le démarrage sécurisé est une fonctionnalité qui empêche le système d’exploitation Windows de démarrer si des rootkits ou des kits de démarrage non approuvés sont installés sur l’ordinateur. Pour plus d’informations, consultez Démarrage sécurisé.
Avec les deux composants de sécurité activés, Windows 365 prend en charge l’activation des fonctionnalités de sécurité Windows suivantes :
- Intégrité du code de l’hyperviseur (HVCI)
- Microsoft Defender Credential Guard
Fonctionnalités de sécurité nécessitant une configuration ou des références SKU pc cloud spécifiques
Les composants de sécurité suivants sont activés par défaut sur des références SKU ou des configurations spécifiques de PC cloud :
-
Charges de travail basées sur la virtualisation
- Description : Les charges de travail basées sur la virtualisation nécessitent généralement que l’appareil Windows active la fonctionnalité Hyper-V et exécute les charges de travail dans un espace isolé, afin de protéger le système d’exploitation Windows contre les menaces de sécurité.
- Fonctionnalités de sécurité :
- Configuration requise : le PC cloud doit avoir 4 processeurs virtuels et 16 Go de RAM ou plus. Pour plus d’informations, consultez Configurer la prise en charge des charges de travail basées sur la virtualisation.
Notes
Compte tenu de la complexité technologique, la promesse de sécurité de Protection d'application Microsoft Defender (MDAG) peut ne pas être vraie sur les machines virtuelles et dans les environnements VDI. Par conséquent, MDAG n’est actuellement pas officiellement pris en charge sur les machines virtuelles et dans les environnements VDI. Toutefois, à des fins de test et d’automatisation sur des machines hors production, vous pouvez activer MDAG sur une machine virtuelle en activant la virtualisation imbriquée Hyper-V sur l’hôte.
Microsoft Purview Customer Lockbox peut être activé par un administrateur. Customer Lockbox garantit que Microsoft ne peut pas accéder au contenu d’un client pour effectuer des opérations de service sans votre approbation explicite. Vous pouvez activer ou désactiver Customer Lockbox dans le Centre d’administration Microsoft 365. Pour plus d’informations, consultez Microsoft Purview Customer Lockbox.
La troisième considération à prendre en compte pour sécuriser votre environnement consiste à sécuriser les données du PC cloud et les autres données mises à disposition à l’aide du PC cloud.
Les données des données du PC cloud elles-mêmes sont sécurisées par chiffrement. Pour plus d’informations, consultez Chiffrement des données dans Windows 365.
La sécurisation des données disponibles pour les utilisateurs sur leurs PC cloud ne doit pas être différente de la sécurisation des données disponibles pour les utilisateurs sur des PC Windows attribués au travail. Le PC cloud doit être accessible via le protocole RDP (Remote Desktop Protocol).
Pour gérer les fonctionnalités RDP disponibles pour l’utilisateur lors de sa connexion pc cloud, consultez Gérer les redirections d’appareils RDP pour les PC cloud.
Windows 365 PC cloud sont accessibles à partir de différentes plateformes de système d’exploitation et clients disponibles sur ces plateformes.
- Plateformes de système d’exploitation Windows : Windows 365 sont accessibles à l’aide du client Bureau à distance pour Windows et de l’application Windows. Ces deux applications reçoivent des mises à jour à l’aide du service Windows Update. Pour plus d’informations, consultez Windows Update sécurité.
- Appareils Apple (macOS et iOS) : les applications clientes bureau à distance et leurs mises à jour sont distribuées par l’App Store d’Apple. Pour plus d’informations sur les mesures de sécurité MacOS et iOS, consultez Sécurité de la plateforme Apple.
- Plateformes Android : les applications de plateforme Android téléchargées à partir de Google Play Store sont conformes aux conditions générales du Google Play Store. Pour plus d’informations, consultez Conditions d’utilisation de Google Play.
Pour plus d’informations sur la sécurité Windows Update, consultez sécurité Windows Update.