Sicurezza di Windows 365
Windows 365 fornisce un flusso di connessione end-to-end per consentire agli utenti di svolgere il proprio lavoro in modo efficace e sicuro. Windows 365 si basa su Zero Trust, fornendo le basi per implementare i controlli per proteggere meglio l'ambiente nei 6 pilastri della Zero Trust. È possibile implementare controlli Zero Trust per le categorie seguenti:
- Protezione dell'accesso al Cloud PC
- Si allinea alla protezione dell'identità, in cui è possibile adottare altre misure su chi può accedere al CLOUD PC e in quali condizioni.
- Protezione del dispositivo Cloud PC stesso
- Si allinea alla protezione dell'endpoint, in cui è possibile applicare più misure ai dispositivi Cloud PC, poiché si tratta del dispositivo usato per accedere ai dati dell'organizzazione.
- Protezione dei dati cloud pc e di altri dati disponibili durante l'uso del CLOUD PC
- Si allinea alla protezione dei dati, in cui è possibile applicare più misure ai dati stessi o al modo in cui l'utente di Cloud PC accede ai dati.
Esaminare le sezioni seguenti per comprendere meglio i componenti e le funzionalità disponibili per proteggere l'ambiente Cloud PC.
La prima considerazione per la protezione dell'ambiente consiste nel proteggere l'accesso al CLOUD PC.
Come descritto in Identità e autenticazione, esistono due problemi di autenticazione per accedere al CLOUD PC:
- Servizio Windows 365.
- The Cloud PC.
Il controllo principale per la protezione dell'accesso consiste nell'usare Microsoft Entra'accesso condizionale per concedere in modo condizionale l'accesso al servizio Windows 365. Per proteggere l'accesso al CLOUD PC, vedere Impostare i criteri di accesso condizionale.
La seconda considerazione per proteggere l'ambiente consiste nel proteggere il dispositivo Cloud PC stesso.
Tutti i nuovi PC cloud hanno i componenti di sicurezza seguenti abilitati per impostazione predefinita:
- vTPM: abbreviazione del modulo virtual Trusted Platform, vTPM fornisce ai PC cloud la propria istanza TPM dedicata che funge da insieme di credenziali sicuro per le chiavi e le misurazioni. Per altre informazioni, vedere vTPM.
- Avvio protetto: l'avvio protetto è una funzionalità che impedisce l'avvio del sistema operativo Windows se nel computer sono installati rootkit non attendibili o kit di avvio. Per altre informazioni, vedere Avvio protetto.
Con entrambi i componenti di sicurezza abilitati, Windows 365 supporta l'abilitazione delle funzionalità di sicurezza di Windows seguenti:
- Integrità del codice hypervisor (HVCI)
- Microsoft Defender Credential Guard
I componenti di sicurezza seguenti sono abilitati per impostazione predefinita in specifici SKU o configurazioni di PC cloud:
-
Carichi di lavoro basati su virtualizzazione
- Descrizione: i carichi di lavoro basati sulla virtualizzazione richiedono in genere che il dispositivo Windows abiliti la funzionalità Hyper-V ed eservi i carichi di lavoro in uno spazio isolato, per proteggere il sistema operativo Windows da eventuali minacce alla sicurezza.
- Funzionalità di sicurezza:
- Configurazione necessaria: il PC cloud deve avere 4 vCPU e 16 GB di RAM o più. Per altre informazioni, vedere Configurare il supporto dei carichi di lavoro basati su virtualizzazione.
Nota
Data la complessità tecnologica, la promessa di sicurezza di Microsoft Defender Application Guard (MDAG) potrebbe non essere valida nelle macchine virtuali e negli ambienti VDI. MdAG non è attualmente supportato ufficialmente nelle macchine virtuali e negli ambienti VDI. Tuttavia, per scopi di test e automazione in computer non di produzione, è possibile abilitare MDAG in una macchina virtuale abilitando la virtualizzazione annidata Hyper-V nell'host.
Microsoft Purview Customer Lockbox può essere attivato da un amministratore. Customer Lockbox garantisce che Microsoft non possa accedere al contenuto di un cliente per eseguire operazioni di servizio senza l'approvazione esplicita. È possibile attivare o disattivare Customer Lockbox nel interfaccia di amministrazione di Microsoft 365. Per altre informazioni, vedere Microsoft Purview Customer Lockbox.
La terza considerazione per la protezione dell'ambiente consiste nel proteggere i dati del CLOUD PC e altri dati resi disponibili usando il CLOUD PC.
I dati dei dati del CLOUD PC stessi sono protetti tramite crittografia. Per altre informazioni, vedere Crittografia dei dati in Windows 365.
La protezione dei dati disponibili per gli utenti nei PC cloud non deve essere diversa dalla protezione dei dati disponibili per gli utenti nei PC Windows assegnati al lavoro. È necessario accedere al CLOUD PC tramite RDP (Remote Desktop Protocol).
Per gestire le funzionalità RDP disponibili per l'utente durante la connessione Cloud PC, vedere Gestire i reindirizzamenti dei dispositivi RDP per i PC cloud.
Windows 365 PC cloud sono accessibili da diverse piattaforme del sistema operativo e client disponibili in tali piattaforme.
- Piattaforme del sistema operativo Windows: è possibile accedere a Windows 365 usando il client Desktop remoto per Windows e l'app di Windows. Entrambe queste app ricevono gli aggiornamenti usando il servizio Windows Update. Per altre informazioni, vedere sicurezza Windows Update.
- Dispositivi Apple (macOS e iOS): le app client Desktop remoto e i relativi aggiornamenti vengono distribuiti dall'App Store di Apple. Per altre informazioni sulle misure di sicurezza di MacOS e iOS, vedere Sicurezza della piattaforma Apple.
- Piattaforme Android: le app della piattaforma Android scaricate da Google Play Store sono conformi ai termini e alle condizioni di Google Play Store. Per altre informazioni, vedere Condizioni per il servizio Google Play.
Per altre informazioni sulla sicurezza Windows Update, vedere sicurezza Windows Update.