Delen via


Windows 365 beveiliging

Windows 365 biedt een end-to-end verbindingsstroom voor gebruikers om hun werk effectief en veilig uit te voeren. Windows 365 is gebouwd met Zero Trust in gedachten en vormt de basis voor het implementeren van besturingselementen om uw omgeving beter te beveiligen binnen de 6 pijlers van Zero Trust. U kunt Zero Trust besturingselementen implementeren voor de volgende categorieën:

  • De toegang tot de cloud-pc beveiligen
    • Sluit aan bij het beveiligen van de identiteit, waar u meer metingen kunt opgeven voor wie toegang heeft tot de cloud-pc en onder welke voorwaarden.
  • Het cloud-pc-apparaat zelf beveiligen
    • Sluit aan bij het beveiligen van het eindpunt, waar u meer metingen kunt plaatsen op de cloud-pc-apparaten, omdat dat het apparaat is dat wordt gebruikt voor toegang tot organisatiegegevens.
  • De cloud-pc-gegevens en andere gegevens beveiligen die beschikbaar zijn tijdens het gebruik van de cloud-pc
    • Sluit aan bij het beveiligen van de gegevens, waar u meer metingen kunt plaatsen op de gegevens zelf of op de wijze waarop de cloud-pc-gebruiker toegang heeft tot de gegevens.

Bekijk de volgende secties voor een beter inzicht in de onderdelen en functies die beschikbaar zijn voor het beveiligen van uw cloud-pc-omgeving.

Toegang tot cloud-pc's beveiligen

De eerste overweging voor het beveiligen van uw omgeving is het beveiligen van de toegang tot de cloud-pc.

Zoals beschreven in identiteit en verificatie, zijn er twee verificatie-uitdagingen voor toegang tot de cloud-pc:

  • De Windows 365 service.
  • De cloud-pc.

Het primaire besturingselement voor het beveiligen van toegang is met behulp van Microsoft Entra voorwaardelijke toegang om voorwaardelijke toegang te verlenen aan de Windows 365-service. Zie Beleid voor voorwaardelijke toegang instellen om de toegang tot de cloud-pc te beveiligen.

Pc-apparaten in de cloud beveiligen

De tweede overweging voor het beveiligen van uw omgeving is het beveiligen van het cloud-pc-apparaat zelf.

Beveiligingsfuncties die standaard zijn ingeschakeld

Op alle nieuwe cloud-pc's zijn standaard de volgende beveiligingsonderdelen ingeschakeld:

  • vTPM: een vTPM is een virtuele trusted platformmodule en biedt cloud-pc's hun eigen toegewezen TPM-exemplaar dat fungeert als een beveiligde kluis voor sleutels en metingen. Zie vTPM voor meer informatie.
  • Beveiligd opstarten: Beveiligd opstarten is een functie die voorkomt dat het Windows-besturingssysteem opstart als niet-vertrouwde rootkits of opstartkits op de computer zijn geïnstalleerd. Zie Beveiligd opstarten voor meer informatie.

Als beide beveiligingsonderdelen zijn ingeschakeld, ondersteunt Windows 365 het inschakelen van de volgende Windows-beveiligingsfuncties:

Beveiligingsfuncties waarvoor specifieke SKU's of configuratie van cloud-pc's zijn vereist

De volgende beveiligingsonderdelen zijn standaard ingeschakeld voor specifieke SKU's of configuraties voor cloud-pc's:

Opmerking

Gezien de technologische complexiteit geldt de beveiligingsbelofte van Microsoft Defender Application Guard (MDAG) mogelijk niet op vm's en in VDI-omgevingen. Daarom wordt MDAG momenteel niet officieel ondersteund op VM's en in VDI-omgevingen. Voor test- en automatiseringsdoeleinden op niet-productiemachines kunt u MDAG echter inschakelen op een VIRTUELE machine door geneste Hyper-V-virtualisatie op de host in te schakelen.

Microsoft Purview-klanten-lockbox

Microsoft Purview Customer Lockbox kan worden ingeschakeld door een beheerder. Customer Lockbox zorgt ervoor dat Microsoft geen toegang heeft tot de inhoud van een klant om servicebewerkingen uit te voeren zonder uw expliciete goedkeuring. U kunt Customer Lockbox in- of uitschakelen in de Microsoft 365-beheercentrum. Zie Microsoft Purview Customer Lockbox voor meer informatie.

Cloud-pc-gegevens beveiligen

De derde overweging voor het beveiligen van uw omgeving is het beveiligen van de cloud-pc-gegevens en andere gegevens die beschikbaar worden gesteld met behulp van de cloud-pc.

Beveiliging van cloud-pc-gegevens

De gegevens van de cloud-pc-gegevens zelf worden beveiligd door versleuteling. Zie gegevensversleuteling in Windows 365 voor meer informatie.

Beveiliging van gegevens die beschikbaar zijn op de cloud-pc

Het beveiligen van de gegevens die beschikbaar zijn voor gebruikers op hun cloud-pc's moet niet anders zijn dan het beveiligen van de gegevens die beschikbaar zijn voor gebruikers op windows-pc's die aan het werk zijn toegewezen. De cloud-pc moet toegankelijk zijn via Remote Desktop Protocol (RDP).

Zie RDP-apparaatomleidingen voor cloud-pc's beheren om RDP-functies te beheren die beschikbaar zijn voor de gebruiker tijdens de cloud-pc-verbinding.

Clientupdatebeveiliging

Windows 365 Cloud-pc's zijn toegankelijk vanaf verschillende besturingssysteemplatforms en clients die beschikbaar zijn op deze platforms.

  • Windows-besturingssysteemplatforms: Windows 365 zijn toegankelijk met behulp van de extern bureaublad-client voor Windows en de Windows 365-app. Beide apps ontvangen updates via de Windows Update-service. Zie Windows Update beveiliging voor meer informatie.
  • Apple-apparaten (macOS en iOS): Client-apps voor extern bureaublad en de bijbehorende updates worden gedistribueerd door de App Store van Apple. Zie Apple Platform Security voor meer informatie over beveiligingsmaatregelen voor MacOS en iOS.
  • Android-platforms: Android-platform-apps die zijn gedownload van Google Play Stores voldoen aan de voorwaarden van de Google Play Store. Zie Servicevoorwaarden voor Google Play voor meer informatie.

Volgende stappen

Zie Windows Update beveiliging voor meer informatie over Windows Update beveiliging.