安全性指導方針

若要協助改善雲端電腦的安全性,請考慮下列一般指導方針:

  1. 套用條件式存取原則,以控制可連線到電子郵件和公司資源的裝置和應用程式。 使用條件式存取來保護存取使用者存取Windows 365。具體而言,考慮使用 Azure Active Directory (Azure AD) Multi-Factor Authentication 來驗證使用者。 如需詳細資訊,請 參閱什麼是 Azure Active Directory 中的條件式存取?

  2. 使用適用於端點的 Microsoft Defender來識別威脅,並將裝置設定為不符合規範。 您可以輕鬆地將適用於端點的 Microsoft Defender連線到雲端電腦裝置、將裝置合規性原則套用至雲端電腦,以及使用條件式存取來識別威脅。 如需詳細資訊,請參閱在Intune 中使用條件式存取強制適用於端點的 Microsoft Defender合規性

  3. 使用Intune合規性原則搭配雲端電腦的條件式存取原則。 這些原則有助於識別不符合規範的裝置和使用者,因此在降低裝置風險層級之前,他們無法存取公司資源。 如需詳細資訊,請參閱 Microsoft Intune 中的 Windows 10/11 合規性設定

    注意

    雲端電腦不支援 BitLocker。 建議您從以雲端電腦為目標的合規性原則中排除此設定。

  4. 裝置安全性最重要的元素之一是 OS 更新。 這些更新可確保裝置保持最新且安全,同時提供新功能和防禦弱點。 針對雲端電腦,端點管理員可供 IT 系統管理員用來設定商務用 Windows Update 的 Intune Windows 10/11 更新通道和原則。 如需詳細資訊,請參閱在 Intune 中管理 Windows 10/11 軟體更新

  5. 根據預設Windows 365 企業版,終端使用者不是其雲端電腦的系統管理員。 此原則與 Windows 10/11 安全性指引一致。 如需本指南的詳細資訊,請參閱 Windows 檔中的本機 帳戶

  6. Windows 365與適用於端點的 Microsoft Defender整合。 安全性和端點系統管理員可以共同作業來管理其雲端電腦環境,就像管理實體端點一樣。 如果已訂閱,雲端電腦將會:

    • 將資料傳送至 Microsoft 365 安全分數。
    • 狀況不良的電腦會顯示在適用於端點的 Microsoft Defender資訊安全中心和威脅分析儀表板上。
    • 雲端電腦會像其他受管理的裝置一樣,回應補救措施。

後續步驟

部署安全性基準