Windows 365 安全
Windows 365为用户提供端到端连接流,以便高效安全地完成工作。 Windows 365在构建时考虑了零信任,为实施控制提供了基础,以便跨零信任的 6 大支柱更好地保护环境。 可以为以下类别实现零信任控件:
- 保护对云电脑的访问
- 与保护 标识一致,你可以在其中对谁可以访问云电脑以及哪些条件下进行更多度量。
- 保护云电脑设备本身
- 与保护 终结点一致,你可以在云电脑设备上放置更多度量值,因为这是用于访问组织数据的设备。
- 在使用云电脑时保护云电脑数据和其他可用数据
- 与保护 数据一致,你可以在其中对数据本身或云电脑用户访问数据的方式进行更多度量。
查看以下部分,以便更好地了解可用于保护云电脑环境的组件和功能。
保护环境的第一个考虑因素是保护对云电脑的访问。
如 标识和身份验证中所述,访问云电脑需要两个身份验证质询:
- Windows 365 服务。
- 云电脑。
保护访问的主要控制方法是使用Microsoft Entra条件访问来有条件地授予对Windows 365服务的访问权限。 若要保护对云电脑的访问,请参阅 设置条件访问策略。
保护环境的第二个注意事项是保护云电脑设备本身。
默认情况下,所有新的云电脑都启用了以下安全组件:
- vTPM:虚拟受信任的平台模块的缩写,vTPM 为云电脑提供自己的专用 TPM 实例,充当密钥和度量的安全保管库。 有关详细信息,请参阅 vTPM。
- 安全启动:安全启动是一项功能,在计算机上安装了不受信任的根工具包或启动工具包时,可阻止 Windows 操作系统启动。 有关详细信息,请参阅 安全启动。
启用这两个安全组件后,Windows 365支持启用以下 Windows 安全功能:
- 虚拟机监控程序代码完整性 (HVCI)
- Microsoft Defender Credential Guard
默认情况下,在特定云电脑 SKU 或配置上启用以下安全组件:
-
基于虚拟化的工作负载
- 说明:基于虚拟化的工作负载通常需要 Windows 设备启用 Hyper-V 功能并在隔离的空间中运行工作负载,以保护 Windows OS 免受任何安全威胁。
- 安全功能:
- 必需配置:云电脑必须具有 4 个 vCPU 和 16 GB RAM 或更多。 有关详细信息,请参阅 设置基于虚拟化的工作负载支持。
备注
鉴于技术的复杂性,Microsoft Defender 应用程序防护 (MDAG) 在 VM 和 VDI 环境中可能不一定能实现安全承诺。 因此,VM 和 VDI 环境中目前不支持 MDAG。 但是,为了在非生产计算机上进行测试和自动化,可以通过在主机上启用 Hyper-V 嵌套虚拟化,在 VM 上启用 MDAG。
Microsoft Purview 客户密码箱可由管理员打开。客户密码箱可确保Microsoft未经您的明确批准,无法访问客户的内容来执行服务操作。 可以在Microsoft 365 管理中心中打开或关闭客户密码箱。 有关详细信息,请参阅 Microsoft Purview 客户密码箱。
保护环境的第三个注意事项是保护云电脑数据以及使用云电脑提供的其他数据。
云电脑数据本身的数据通过加密进行保护。 有关详细信息,请参阅 Windows 365 中的数据加密。
保护云电脑上用户可用的数据应与保护工作分配的 Windows 电脑上的用户可用的数据没有区别。 应通过远程桌面协议 (RDP) 访问云电脑。
若要管理用户在云电脑连接期间可用的 RDP 功能,请参阅 管理云电脑的 RDP 设备重定向。
可以从各种操作系统平台和这些平台中可用的客户端访问Windows 365云电脑。
- Windows OS 平台:可以使用适用于 Windows 和 Windows 应用的远程桌面客户端访问Windows 365。 这两个应用都使用 Windows 更新 服务接收更新。 有关详细信息,请参阅Windows 更新安全性。
- apple 设备 (macOS 和 iOS) :远程桌面客户端应用及其更新由 Apple 的应用商店分发。 有关 MacOS 和 iOS 安全措施的详细信息,请参阅 Apple Platform Security。
- Android 平台:从 Google play 商店下载的 Android 平台应用符合 Google Play 商店条款和条件。 有关详细信息,请参阅 Google Play 服务条款。
有关Windows 更新安全性的详细信息,请参阅Windows 更新安全性。