Prywatność, dane klientów i zawartość klienta w Windows 365
Windows 365 jest usługą opartą na chmurze, która umożliwia aprowizowanie komputera w chmurze i zarządzanie nimi dla użytkowników. Komputery w chmurze można zarządzać przy użyciu pozostałych urządzeń przy użyciu Microsoft Intune (Windows 365 Enterprise) lub środowiska samoobsługowego (Windows 365 Business). Ta dokumentacja zawiera szczegółowe informacje na temat zgodności platformy danych i prywatności dla Windows 365. O ile nie określono inaczej, termin Windows 365 w tym dokumencie odnosi się zarówno do Windows 365 Enterprise, jak i Windows 365 Business. Jeśli poniższe szczegóły różnią się, każdy produkt jest wywoływany indywidualnie.
Windows 365 źródła danych i przeznaczenie
Windows 365 zapewnia swoją usługę klientom, zbierając i korzystając z danych ze źródeł wymienionych poniżej. Te źródła zapewniają kompleksowy widok urządzeń, które Windows 365 zarządzane.
- Microsoft Windows Enterprise — do zarządzania środowiskiem konfiguracji urządzenia, zarządzania połączeniami z innymi usługami i obsługi operacyjnej dla specjalistów IT.
- Microsoft Intune rodziny produktów — do zarządzania urządzeniami i aplikacjami, zabezpieczeń danych i konfiguracji urządzeń.
- Analiza punktów końcowych — część Microsoft Intune rodziny produktów, w szczególności do analizy użycia urządzeń i aplikacji.
- Aplikacje platformy Microsoft 365 dla przedsiębiorstw — do zarządzania Aplikacje Microsoft 365.
Aby chronić i obsługiwać zarejestrowane urządzenia, Windows 365 przetwarzać i kopiować dane z Usługi online i potoków danych skonfigurowanych przez klienta do Windows 365. Po zintegrowaniu danych z tych usług w Windows 365 do danych mają zastosowanie również Warunki produktu i Zasady zachowania poufności informacji firmy Microsoft mające zastosowanie do Windows 365. Windows 365 zapewnia odpowiednią poufność danych, bezpieczeństwo i odporność. Windows 365 stosuje dodatkowe wewnętrzne środki ochrony prywatności i bezpieczeństwa w celu zapewnienia właściwego postępowania z danymi osobowymi.
Windows 365 magazynu danych
W zależności od regionu i preferencji dzierżawy Windows 365 przechowuje zawartość klienta w regionach platformy Azure w Ameryka Północna, Europie lub Regionie Azji i Pacyfiku. Dysk wirtualny komputera w chmurze, zawartość klienta, dane i magazyn skojarzony z komputerem w chmurze są przechowywane w regionie świadczenia usługi Azure, w ramach których aprowizowano komputer w chmurze. W przypadku Windows 365 Enterprise region jest definiowany w ustawieniach sieci hostowanej przez firmę Microsoft lub połączenia sieciowego platformy Azure (ANC) w ramach skojarzonych zasad aprowizacji komputera w chmurze. Windows 365 Business przechowuje dane klientów w regionie platformy Azure samego komputera w chmurze.
Aby zarządzać komputerem w chmurze, niektóre dane dotyczące komputera w chmurze (takie jak nazwa komputera, dane diagnostyczne i dane generowane przez usługę) są przechowywane w centrach danych platformy Azure w Ameryka Północna, Europie lub Regionie Azji i Pacyfiku zgodnie z definicją lokalizacji dzierżawy. Ten magazyn jest mapowany na podstawie kraju/regionu dzierżawy usługi Microsoft Online do najbliższego regionu platformy Azure.
Inne dane klienta, dane diagnostyczne lub dane generowane przez usługę mogą być zbierane przez usługę Azure Virtual Desktop lub Intune, ponieważ Windows 365 zależy od tych usług.
Aby uzyskać więcej informacji na temat lokalizacji danych, zobacz:
- Tożsamość Microsoft Entra — gdzie znajdują się dane?
- Lokalizacje danych dla usługi Azure Virtual Desktop
- Windows 365 obsługiwanych regionów
- Miejsce przechowywania danych klienta platformy Microsoft 365
Jak długo są przechowywane dane klienta i zawartość klienta?
Windows 365 traktuje dysk komputera w chmurze i dane na maszynie wirtualnej jako zawartość klienta.
Gdy użytkownik zostanie usunięty z Windows 365, Windows 365 przechowuje dane osobowe bez alertów przez maksymalnie 90 dni. W scenariuszach pasywnych dane są przechowywane przez co najmniej 90 dni i maksymalnie 180 dni. Aby uzyskać dostęp do danych klientów zapisanych w scenariuszu pasywnym, skontaktuj się z pomocą techniczną. Ze względów bezpieczeństwa dane alertów zbierane przez Ochrona punktu końcowego w usłudze Microsoft Defender są przechowywane przez 180 dni, jeśli klient korzysta z Ochrona punktu końcowego w usłudze Microsoft Defender.
Aby uzyskać więcej informacji na temat przechowywania danych, zobacz Przechowywanie, usuwanie i niszczenie danych na platformie Microsoft 365.
Windows 365 domyślnie Microsoft Intune standardową praktykę inspekcji, eksportowania lub usuwania danych osobowych.
Dane osobowe są przetwarzane w granicach zgodności z inspekcją usługi Intune w ramach technicznych środków bezpieczeństwa zapewnianych za pośrednictwem warunków usług online firmy Microsoft.
Aby uzyskać więcej informacji na temat poszczególnych zasad przechowywania danych i magazynu dla wszystkich usług zależnych, zobacz:
- Miejsce przechowywania danych klienta platformy Microsoft 365
- Zbieranie danych w Intune
- Przechowywanie i przetwarzanie danych w Intune
Izolacja i kontrola dostępu
Każda wewnętrzna subskrypcja danych klienta w Windows 365 Enterprise zawiera metadane usługi Azure Virtual Desktop (AVD), komputery w chmurze i magazyn z wielu dzierżaw. Każda maszyna wirtualna jest połączona z pojedynczą kartą sieci wirtualnej (NIC). Podczas aprowizacji komputera w chmurze ta karta sieciowa jest dołączana do pojedynczej sieci wirtualnej w subskrypcji platformy Azure klienta. Sieć wirtualna jest definiowana przez administratora dzierżawy. Każdy komputer w chmurze jest przypisywany do jednego użytkownika przy użyciu warstwy brokera połączeń AVD. Lista kontroli dostępu (ACL) dla warstwy AVD jest uwierzytelniona przez Tożsamość Microsoft Entra na poziomie dzierżawy i użytkownika. Dostęp sieciowy do i z komputera w chmurze w Windows 365 podlega kontroli i dyskrecji każdego administratora dzierżawy. W związku z tym użytkownicy w dzierżawie A nie mogą uzyskiwać dostępu do komputerów w chmurze W dzierżawie B, chyba że dzierżawa Administrator zdecyduje się zapewnić łączność poza Windows 365 i AVD w warstwie sieciowej w ramach własnej subskrypcji.
W przypadku Windows 365 Business co najmniej jedna dedykowana sieć wirtualna jest tworzona w dzierżawie. Usługa automatycznie tworzy więcej sieci w razie potrzeby i nie gwarantuje, że wszystkie komputery w chmurze Windows 365 Business w tej samej dzierżawie będą miały łączność sieciową ze sobą.
Cała opisana powyżej izolacja odbywa się dla poszczególnych użytkowników na komputerze w chmurze, ponieważ Windows 365 nie obsługuje scenariuszy obejmujących wielu użytkowników.
Pełny opis architektury Windows 365 można znaleźć w temacie architektura Windows 365. Aby uzyskać więcej informacji na temat izolacji w usłudze Microsoft 365, zobacz Izolacja i Access Control na platformie Microsoft 365. Aby uzyskać więcej informacji na temat zarządzania dostępem w usłudze Microsoft 365, zobacz Zarządzanie tożsamościami i dostępem — Microsoft Service Assurance.
Zgodność i zgodność prawna
Raporty inspekcji dla Windows 365 będą dostępne do pobrania w portalu zaufania usługi firmy Microsoft po zakończeniu. Portal zaufania usług firmy Microsoft służy jako centralne repozytorium dla usług Online Microsoft Enterprise.
Powiadomienie firmy Microsoft o ochronie prywatności dla użytkowników końcowych produktów dostarczanych przez klientów organizacyjnych — Zasady zachowania poufności informacji firmy Microsoft powiadamiają użytkowników końcowych, że po zalogowaniu się do produktów firmy Microsoft przy użyciu konta służbowego a) ich organizacja może kontrolować swoje konto (w tym kontrolować ustawienia związane z prywatnością) oraz uzyskiwać dostęp do danych i przetwarzać je, a b) Firma Microsoft może zbierać i przetwarzać dane w celu świadczenia usługi organizacji i użytkownikom końcowym.