在具有默认模式的安全基础上构建Windows 365 Link为终结点设置高安全性状况。 以下功能支持此安全态势:
- 无法禁用且默认处于打开状态的安全功能。
- 最小作系统。
- 没有本地存储的企业数据。
- 自动Entra ID和Intune集成。
- 无密码身份验证选项。
默认情况下,安全性处于打开状态
默认情况下,Windows 365 Link启用安全性,并包含以下无法禁用的功能。
- 离散 受信任的平台模块 (TPM) 2.0 芯片建立硬件信任根,支持 BitLocker 和应用控制等其他安全功能。
- 硅辅助安全功能(例如 基于虚拟化的安全性 (VBS) )和 受虚拟机监控程序保护的代码完整性 (HVCI) 。 此功能有助于保护 kernal 免受恶意代码注入的影响。
- Windows 365 Link遵循统一可扩展固件接口 (UEFI) 安全启动标准。 此标准有助于确保只有经过授权的固件和具有受信任数字签名的软件才能执行。
- BitLocker 在安装过程中处于启用状态。
- 应用程序控制 代码完整性策略,无法修改,仅允许执行必要的软件。
最小的软件占用空间
Windows 365 Link具有名为 Windows CPC 的基于 Windows 的小型专用作系统,其功能可帮助减少攻击面。 此作系统仅包括针对Entra ID对用户进行安全身份验证并将其连接到其Windows 365 云电脑所需的基本组件。 为了帮助减少攻击面,默认情况下会启用这些功能,并且无法关闭:
- 适用的安全基线策略,无需定义此类配置并将其应用于终结点。
- 驱动程序安全性。 仅允许执行标准 Windows 类驱动程序和 OEM 安装的驱动程序。 禁用自动驱动程序获取。
- 管理员控件。 Windows 365 Link的所有管理都通过Intune进行管理,所有桌面体验都发生在 Windows 365 服务内的云电脑上。 因此,没有具有管理权限的本地用户,并且终结点上不会安装本地应用程序。
- 最终用户无权访问Windows 365 Link硬件设备上的本地存储,因此企业数据无法在设备上本地保存。
Microsoft Entra ID
作为 OOBE) (现成体验的一部分,Windows 365 Link Microsoft Entra加入租户并自动注册到Intune,从一开始就提供即时和完全的管理控制。
云支持的安全性
Windows 365安全功能在解决方案中启用,从Windows 365 Link硬件设备到Windows 365服务到云电脑。 其他云支持的安全措施包括:
- 从 Windows 365 Link 到 Windows 365 服务的所有连接都使用传输层安全性 (TLS) 1.2 或更高版本,确保对硬件设备和Windows 365之间的通信提供强有力的保护。
- 通过Intune合规性策略支持设备运行状况证明意味着可以在条件访问策略中使用有关Windows 365 Link的符合性声明,以确保只有合规设备可以连接到Windows 365服务。
- Windows 365 Link提供无密码体验,使用 FIDO2 安全密钥和 Web 登录作为终结点上唯一可用于登录的凭据提供程序。
- Windows 365 Link仅连接到配置为单一登录 (SSO) 的云电脑。
这些功能与 Entra 租户上设置的特定身份验证方法和条件访问策略相结合,意味着用户永远不需要输入密码即可使用其Windows 365 Link硬件设备。
后续步骤
有关详细信息,请参阅 Windows 365 安全性。