操作系统
所有 Microsoft 托管桌面用户都需要 Microsoft 365 企业版许可。 有关服务许可要求的详细信息,请参阅 Microsoft 托管桌面的先决条件。
本文汇总了所需企业许可证中包含的组件,以及服务如何将每个组件用于 Microsoft 托管桌面设备。 Microsoft 托管桌面文档中详细介绍了每个区域的具体角色和职责。
带有 Microsoft Defender for Endpoint 的 Windows 10 企业版 E5 或 E3
IT 管理员必须配置的设置
建议 IT 管理员配置以下设置。
注意
Microsoft 托管桌面不包含这些设置或不将其作为一部分进行管理。
| 产品 | 信息 |
|---|---|
| Windows Hello 企业版 | 应实现 Windows Hello 企业版,将密码替换为 Microsoft 托管桌面设备的强双因素身份验证。 有关详细信息,请参阅 Windows Hello 企业版。 |
| 应用程序虚拟化 | 可以使用 Intune Win32 应用管理客户端部署应用程序虚拟化 (App-V) 包。 有关详细信息,请参阅应用程序虚拟化。 |
| Microsoft 365 数据丢失防护 | 应实现 Microsoft 365 数据丢失防护来监视对确定为敏感的项目所执行的操作,并帮助防止意外共享这些项目。 有关详细信息,请参阅 Microsoft 365 数据丢失防护。 |
Microsoft 托管桌面包含和管理的功能
以下功能作为 Microsoft 托管桌面的一部分包含和管理:
| 产品 | 信息 |
|---|---|
| BitLocker 驱动器加密 | BitLocker 驱动器加密用于加密所有系统驱动器。 有关详细信息,请参阅 BitLocker 驱动器加密。 |
| Windows Defender System Guard | 在启动时保护系统的完整性,并验证系统完整性是否确实得到维护。 有关详细信息,请参阅 Windows Defender System Guard。 |
| Windows Defender Credential Guard | Windows Defender Credential Guard 使用基于虚拟化的安全性来隔离机密,以便只有拥有相应权限的系统软件才能访问它们。 有关详细信息,请参阅 Windows Defender System Guard。 |
| Microsoft Defender for Endpoint - 终结点检测和响应 | Microsoft 托管桌面安全运营团队会响应警报并采取措施,使用终结点检测和响应来修正威胁。 有关详细信息,请参阅 Microsoft Defender for Endpoint - 终结点检测和响应。 |
| Microsoft Defender for Endpoint - 威胁专家 | Microsoft 托管桌面通过目标攻击通知与威胁专家见解和数据进行了集成。 在启用此服务之前,需要提供额外许可。 有关详细信息,请参阅 Microsoft Defender for Endpoint - 威胁专家。 |
| Microsoft Defender for Endpoint - 威胁和漏洞管理 | 将来需要在 Microsoft 托管桌面服务计划中使用。 有关详细信息,请参阅 Microsoft Defender for Endpoint - 威胁和漏洞管理。 |
| Microsoft Defender for Endpoint - 攻击面减少 | 针对经常被攻击者滥用的风险软件行为。 有关详细信息,请参阅 Microsoft Defender for Endpoint - 攻击面减少。 |
| Microsoft Defender for Endpoint - 攻击保护 | 防止恶意软件使用攻击来感染设备,并通过自动将攻击缓解技术应用于操作系统进程和应用来传播攻击。 有关详细信息,请参阅 Microsoft Defender for Endpoint - 攻击保护。 |
| Microsoft Defender for Endpoint - 网络保护 | 扩展 Microsoft Defender SmartScreen 的范围,以阻止尝试连接到低信誉源的所有出站 HTTP 和 HTTPS 流量。 有关详细信息,请参阅 Microsoft Defender for Endpoint - 网络保护。 |
| Microsoft Defender 篡改防护 | Windows 篡改防护用于防止防病毒防护等安全设置被篡改。 有关详细信息,请参阅 Microsoft Defender 篡改防护。 |
| Microsoft Defender 防病毒基于行为的启发式实时防病毒保护 | 始终启用以扫描可能未检测为恶意软件的文件和进程威胁。 有关详细信息,请参阅 Microsoft Defender 防病毒基于行为的启发式实时防病毒保护。 |
| Microsoft Defender 防病毒云提供的保护 | 针对新的和新出现的威胁提供动态的近即时自动保护。 有关详细信息,请参阅 Microsoft Defender 防病毒云提供的保护。 |
| Microsoft Defender for Endpoint -“一见阻止” | 在 Windows 检测到可疑或未知文件时,检测和阻止新的恶意软件。 有关详细信息,请参阅 Microsoft Defender for Endpoint - 一见阻止。 |
| Microsoft Defender 防病毒可能不需要的应用程序 | 用于阻止具有以下特征的应用:导致计算机运行缓慢、显示意外广告,或最糟的是安装其他意外的或不需要的软件。 有关详细信息,请参阅 Microsoft Defender 防病毒可能不需要的应用程序。 |
| 提供高级安全性的 Windows Defender 防火墙 | 设备的基于主机的双向网络流量筛选,Windows Defender 防火墙会阻止未经授权的网络流量流入或流出本地设备。 有关详细信息,请参阅提供高级安全性的 Windows Defender 防火墙。 |
| 用户帐户控制 | 当任务或操作需要管理员帐户类型访问权限时,“用户帐户控制”将切换到安全桌面。 Microsoft 托管桌面用户在注册时将获得标准用户访问权限。 有关详细信息,请参阅用户帐户控制。 |
企业移动性 + 安全性 E5
| 产品 | 信息 |
|---|---|
| 企业移动性 + 安全性 E3 Microsoft Entra ID P2 |
可以使用企业移动性 + 安全性 E3 的所有功能来管理 MDM 设备。 可以将 Microsoft Entra ID P2 用作 Microsoft 托管桌面的可选功能。 |
| Microsoft Defender for Cloud Apps | 可以将此可选功能与 Microsoft 托管桌面配合使用。 |
| Azure 信息保护 P2 | 可以将此可选功能与 Microsoft 托管桌面配合使用。 |