安全和访问管理技术

Microsoft 托管桌面使用多种 Microsoft 技术来帮助保护托管设备和数据。 此外,Microsoft 托管桌面安全运营中心使用各种流程来运用这些技术。 具体来说:

流程 说明
设备安全性 Microsoft 托管桌面设备上的安全性和保护。
身份和访问管理 通过Microsoft Entra标识服务管理设备的安全使用。
网络安全 VPN 信息和 Microsoft 托管桌面建议的解决方案和设置。
信息安全 用于进一步保护敏感信息的可选的可用服务。

有关 Microsoft 托管桌面使用的数据存储、使用情况和安全做法的信息,请参阅 我们的白皮书

设备安全性

Microsoft托管桌面可确保托管设备受到保护,并使用以下服务尽早检测威胁:

服务 说明
防病毒 安装并配置Microsoft Defender防病毒
Microsoft Defender 防病毒定义是最新的。
完整卷加密 Microsoft托管桌面使用 Windows BitLocker 作为卷加密解决方案。

我们提供 XTS AES 128 系统驱动器加密,允许的异常为 256。 默认情况下,不需要 PIN/KEY,但 你可以请求 需要 PIN/KEY。 可移动媒体设置为加密 AES CBC 128。
监控 Microsoft Defender for Endpoint用于跨所有Microsoft托管桌面设备进行安全威胁监视。 Defender for Endpoint 允许企业客户在其公司网络中检测、调查、响应高级威胁。
操作系统更新 Microsoft 托管桌面设备始终由最新的安全更新进行保护。 有关详细信息,请参阅 软件更新管理
保护设备配置 Microsoft 托管桌面将实现 Microsoft 安全基线。 有关详细信息,请参阅 Windows 安全基线。 有关Microsoft托管桌面默认设置,请参阅 Microsoft托管桌面安全基线设置

标识和访问管理

身份和访问管理可保护公司资产和业务关键数据。 Microsoft托管桌面配置设备以确保安全使用Microsoft Entra托管标识。 客户有责任在其Microsoft Entra租户中维护准确的信息。

服务 说明
生物识别身份验证 Microsoft托管桌面提供配置选项,以确保由Windows Hello 企业版提供支持的安全身份验证。 Windows Hello 企业版提供比基于用户名和密码的身份验证更强的生物识别安全性。 客户负责实现其本地Microsoft Entra ID在混合配置中使用此服务所需的先决条件。
设备配置文件 为了保护系统并使其更安全,将为最终用户分配以下 设备配置文件之一:
  • Standard用户
  • Power 用户
  • 敏感数据用户
  • 展台

设备配置文件作为 Windows Autopilot 现成体验的一部分进行分配。

网络安全性

客户负责网络安全。

服务 说明
VPN 客户拥有其 VPN 基础结构,以确保有限的公司资源可以在 Intranet 外部公开。

Microsoft托管桌面需要:

  • Windows 10兼容且受支持的 VPN 解决方案
  • 设备必须支持Windows 10,并通过Intune进行打包和部署

有关详细信息,请与软件发布者联系。

建议:

  • Microsoft 建议使用可通过 Intune 轻松部署的新式 VPN 解决方案来推送 VPN 配置文件。 此方法提供了一种始终可用、无缝、可靠且安全的方式来访问公司网络。 有关详细信息,请参阅 intune 中的 VPN 设置
  • 使用 Microsoft 托管桌面时,Microsoft 不建议使用厚 VPN 客户端或较旧的 VPN 客户端,因为它可能会影响用户环境。
  • Microsoft建议传出 Web 流量直接转到 Internet,而无需通过 VPN,以避免出现任何性能问题。
  • 理想情况下,Microsoft建议使用Microsoft Entra应用程序代理而不是 VPN。

信息安全

可以配置这些可选服务来帮助保护高价值公司资产。

服务 说明
数据恢复 存储在设备上的密钥文件夹中的信息将备份到OneDrive for Business。 Microsoft托管桌面负责 OneDrive 客户端的安全功能及其数据在 Microsoft 365 应用版 中同步到 OneDrive For Business 后端。 但是,保护的实际数据不是Microsoft托管桌面支持团队的责任。 必须联系 OneDrive 支持人员。
Windows 信息保护 对于需要高级别信息安全的公司,建议使用 Windows 信息保护Azure 信息保护