保护工作信息

Microsoft Entra ID

Microsoft Entra ID是基于云的综合性标识管理解决方案，可帮助实现对应用程序、网络和其他资源的安全访问，并防范威胁。 Microsoft Entra ID还可以与 Windows Autopilot 配合使用，以零接触方式预配预配置了公司安全策略的设备。

组织可以部署Microsoft Entra ID加入的设备，以便能够访问云和本地应用和资源。 可以根据应用于设备的Microsoft Entra ID帐户和条件访问策略来控制对资源的访问。 为了获得最无缝且令人愉快的端到端单一登录 (SSO) 体验，我们建议用户在现用体验期间配置Windows Hello 企业版，以便轻松将无密码登录Entra ID 。

对于想要在其个人设备上连接到Microsoft Entra的用户，可以通过将其工作或学校帐户添加到 Windows 来执行此作。 此作会将用户的个人设备注册到 Microsoft Entra ID，使 IT 管理员能够支持用户将自己的设备 (BYOD) 方案中。 凭据已经过身份验证并绑定到已加入的设备，并且不能在没有显式混响的情况下复制到其他设备。

为了为 IT 提供更多安全性和控制力，并为用户提供无缝体验，Microsoft Entra ID可与应用和服务配合使用，包括本地软件和数千个软件即服务 (SaaS) 应用程序。 Microsoft Entra ID保护包括单一登录、多重身份验证、条件访问策略、标识保护、标识治理和特权标识管理。

Windows 11与 Microsoft Entra ID 配合使用，从任何位置提供对应用和服务的安全访问、标识管理和单一登录。 Windows 具有内置设置，可通过将设备配置同步到 Active Directory 域或Microsoft Entra ID租户来添加工作或学校帐户。

使用 Microsoft Intune^[4] Microsoft Entra ID加入和管理设备时，它将获得以下安全优势：

• 默认托管用户和设备设置和策略
• 所有 Microsoft Online Services 的单一登录
• 使用 Windows Hello 企业版 的完整身份验证管理功能套件
• 企业和 SaaS 应用程序的单一登录 (SSO)
• 不使用使用者Microsoft帐户标识

组织和用户可以使用 Microsoft Entra ID 加入或注册其 Windows 设备，以获得本机和 Web 应用程序的无缝体验。 此外，用户可以使用Microsoft Entra ID设置Windows Hello 企业版或 FIDO2 安全密钥，并通过无密码身份验证获得更高的安全性。

结合Microsoft Intune，Microsoft Entra ID通过条件访问提供强大的安全控制，以将组织资源的访问限制为正常且合规的设备。 请注意，Microsoft Entra ID仅在 Windows 专业版和企业版上受支持。

每个 Windows 设备都有一个内置的本地管理员帐户，该帐户必须受到保护，以缓解任何传递哈希 (PtH) 和横向遍历攻击。 许多客户一直在使用我们的独立本地 Windows 本地管理员密码解决方案 (LAPS) 来管理其已加入域的 Windows 计算机。 我们从许多客户了解到，在他们实现 Windows 环境现代化以直接加入到Microsoft Entra ID时，需要 LAPS 支持。

了解更多信息

• Microsoft Entra ID文档
• Microsoft Entra计划和定价

Microsoft Entra 专用访问

Microsoft Entra 专用访问使组织能够管理和授予用户访问专用或内部完全限定域名 (FQDN) 和 IP 地址的权限。 使用专用访问，可以现代化组织用户访问专用应用和资源的方式。 如果远程工作者安装了全局安全访问客户端，则无需使用 VPN 来访问这些资源。 客户端以静默方式无缝地将其连接到所需的资源。

了解更多信息

• Microsoft Entra 专用访问

Microsoft Entra Internet 访问

Microsoft Entra Internet 访问为软件即服务提供以标识为中心的安全 Web 网关 (SWG) 解决方案， (SaaS) 应用程序和其他 Internet 流量。 它通过一流的安全控制和流量日志的可见性，保护用户、设备和数据免受 Internet 的广泛威胁。

注意

Microsoft Entra 专用访问和Microsoft Entra Internet 访问都需要Microsoft Entra ID和Microsoft Entra联接的设备进行部署。 这两种解决方案使用适用于 Windows 的全局安全访问客户端，用于保护和控制功能。

了解更多信息

• Microsoft Entra Internet 访问
• 适用于 Windows 的全局安全访问客户端
• Microsoft Microsoft Entra Internet 访问概念证明安全服务边缘解决方案部署指南

企业状态漫游

企业状态漫游可供具有 Microsoft Entra ID Premium^[4] 许可证的任何组织使用，为用户提供跨 Windows 设备的统一 Windows 设置体验，并减少配置新设备所需的时间。

了解更多信息

• Microsoft Entra ID中的企业状态漫游

Azure 证明服务

远程证明有助于确保设备符合安全策略，并在允许设备访问资源之前处于受信任的状态运行。 Microsoft Intune^[4] 与 Azure 证明 服务集成，以全面查看 Windows 设备运行状况，并将此信息与 Microsoft Entra ID^[4] 条件访问相连接。

证明策略在 Azure 证明 服务中配置，然后可以：

• 通过验证签名并确保平台配置寄存器 (PCR) 重播测量的启动日志来验证 Windows 证明组件提供的证据的完整性
• 验证 TPM 是否具有经过身份验证的 TPM 颁发的有效证明标识密钥
• 验证安全功能是否处于预期状态

完成此验证后，证明服务会将具有安全功能状态的已签名报告返回给信赖方（例如Microsoft Intune），以评估平台相对于管理员配置的设备符合性规范的可信度。 然后，根据设备的符合性授予或拒绝条件访问。

了解更多信息

• Azure 证明概述

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint^[4] 是一种企业终结点检测和响应解决方案，可帮助安全团队检测、中断、调查和响应高级威胁。 组织可以使用 Defender for Endpoint 提供的丰富事件数据和攻击见解来调查事件。

Defender for Endpoint 汇集了以下元素，以更全面地了解安全事件：

• 终结点行为传感器：嵌入 Windows 中，这些传感器从作系统收集和处理行为信号，并将此传感器数据发送到专用的隔离云实例Microsoft Defender for Endpoint
• 使用自动攻击中断使用 AI、机器学习和Microsoft 安全智能来分析整个攻击并在事件级别做出响应，从而能够包含设备和/或用户，从而减少勒索软件、人为攻击和其他高级攻击的影响。
• 云安全分析：将行为信号转换为对高级威胁的见解、检测和建议响应。 这些分析利用跨 Windows 生态系统、企业云产品（如 Microsoft 365^[4] 和联机资产）的大数据、设备学习和独特的Microsoft光学
• 威胁情报：Microsoft每 24 小时处理一次超过 43 万亿个安全信号，从而深入了解不断变化的威胁形势。 结合我们的全球安全专家团队和尖端人工智能和机器学习，我们可以看到其他人忽略的威胁。 这种威胁情报有助于为客户提供无与伦比的保护。 我们的平台和产品内置的保护阻止了包括 310 亿个标识威胁和 320 亿个电子邮件威胁的攻击
• 丰富的响应功能：Defender for Endpoint 使 SecOps 团队能够隔离、修正和远程访问计算机，以进一步调查和阻止其环境中的活动威胁，以及阻止文件、网络目标并为其创建警报。 此外，自动调查和修正可以通过自动执行其他手动步骤进行修正并提供详细的调查结果，帮助降低 SOC 上的负载

Defender for Endpoint 也是Microsoft Defender XDR的一部分，我们的端到端云原生扩展检测和响应 (XDR) 解决方案结合了最佳终结点、电子邮件和标识安全产品。 它使组织能够通过通过跨 Microsoft 365 环境和其他平台利用的原始信号（全部合成为单个仪表板）提供的深入可见性、精细上下文和可作见解，防止、检测、调查和修正攻击。 此解决方案为任何规模的组织提供了巨大的价值，尤其是那些希望摆脱多点解决方案增加的复杂性的组织，使其免受复杂攻击，并节省 IT 和安全团队的时间和资源。

了解更多信息

• Microsoft Defender for Endpoint
• Microsoft 365 Defender

云原生设备管理

Microsoft建议使用基于云的设备管理，以便 IT 专业人员可以管理公司安全策略和业务应用程序，而不会影响公司或员工拥有的设备上的用户隐私。 借助云原生设备管理解决方案（如 Microsoft Intune^[4]），IT 可以使用行业标准协议管理Windows 11。 为了简化用户的设置，管理功能直接内置于 Windows 中，无需单独的设备管理客户端。

Windows 11内置管理功能包括：

• 注册客户端，用于注册和配置设备以安全地与企业设备管理服务器通信
• 管理客户端，它定期与管理服务器同步，以检查更新并应用 IT 设置的最新策略

了解更多信息

• 移动设备管理概述

远程擦除

当设备丢失或被盗时，IT 管理员可能希望远程擦除存储在内存和硬盘中的数据。 支持人员代理可能还希望重置设备，以修复远程工作者遇到的问题。 远程擦除还可用于为新用户准备以前使用的设备。

Windows 11支持远程擦除配置服务提供程序 (CSP) ，以便设备管理解决方案可以远程启动以下任何作：

• 重置设备并删除用户帐户和数据
• 重置设备并清理驱动器
• 重置设备，但保留用户帐户和数据

了解更多信息

• 远程擦除 CSP

Microsoft Intune

Microsoft Intune^[4] 是一种全面的云原生终结点管理解决方案，可帮助保护、部署和管理用户、应用和设备。 Intune将 Microsoft Configuration Manager 和 Windows Autopilot 等技术汇集在一起，以简化整个组织的预配、配置管理和软件更新。

Intune使用Microsoft Entra ID来管理安全功能和过程，包括多重身份验证和条件访问。

组织可以降低成本，同时按照公司策略^[11]通过云保护和管理远程设备。 例如，组织可以通过使用 Windows Autopilot 为远程员工预配预配置设备来节省时间和金钱。

Windows 11使 IT 专业人员能够迁移到云，同时一致地强制实施安全策略。 Windows 11为Microsoft Intune^[4]等云原生设备管理解决方案中) 的组策略管理模板 (ADMX 支持的策略提供了扩展支持，使 IT 专业人员能够轻松地将相同的安全策略应用于本地和远程设备。

客户要求使用适用于企业的应用控制 (以前称为 Windows Defender 应用程序控制) ，以长期支持管理安装程序。 现在，可以启用 Win32 应用的允许列表，以主动减少恶意软件感染的数量。

了解更多信息

• 什么是Microsoft Intune

Windows 注册证明

当设备注册到设备管理中时，管理员希望它收到适当的策略来保护和管理电脑。 但是，在某些情况下，恶意执行组件可能会删除注册证书并在非托管电脑上使用它们，使其显示为已注册，但没有预期的安全和管理策略。

使用 Windows 注册证明，Microsoft Entra和Microsoft Intune证书使用受信任的平台模块 (TPM) 绑定到设备。 这可确保证书无法从一台设备传输到另一台设备，从而保持注册过程的完整性。

了解更多信息

• Windows 注册证明

Microsoft 云 PKI

Microsoft 云 PKI是Microsoft Intune Suite^[4] 中包含的基于云的服务，可简化和自动管理组织的公钥基础结构 (PKI) 。 与 Active Directory 证书服务 (AD CS) 结合用于Microsoft Intune的证书连接器相比 Microsoft，它无需本地服务器、硬件和连接器，从而更轻松地设置和管理 PKI。

关键功能包括：

• 证书生命周期管理：自动执行由 Intune 管理的所有设备的证书生命周期，包括颁发、续订和吊销
• 多平台支持：支持 Windows、iOS/iPadOS、macOS 和 Android 设备的证书管理
• 增强的安全性：为 Wi-Fi、VPN 和其他方案启用基于证书的身份验证，提高传统基于密码的方法的安全性。 所有证书请求都利用简单证书注册协议 (SCEP) ，确保私钥永远不会离开请求客户端
• 简化管理：简化证书颁发机构 (CA) 、注册机构 (CA) 、证书吊销列表 (CRL) 、监视和报告

借助Microsoft 云 PKI，组织可以加速其数字化转型，并实现完全托管的云 PKI 服务，且工作量最少。

了解更多信息

• Microsoft Intune Microsoft 云 PKI概述

终结点特权管理 (EPM)

Intune Endpoint Privilege Management 通过帮助组织实现以最低特权运行的广泛用户群，同时仍允许用户运行组织允许的提升任务，从而保持高效，从而支持组织零信任旅程。

了解更多信息

• 终结点特权管理

移动应用程序管理 (MAM)

借助 Intune，组织还可以将 MAM 应用配置、MAM 应用保护和应用保护条件访问功能扩展到 Windows。 这使用户无需由 IT 管理设备即可访问受保护的组织内容。 支持 Windows MAM 的第一个应用程序是 Microsoft Edge。

了解更多信息

• 适用于 Windows MAM 的数据保护

安全基线

每个组织都会面临安全威胁。 但是，不同的组织可能关注不同类型的安全威胁。 例如，电子商务公司可能专注于保护其面向 Internet 的 Web 应用，而医院则专注于保护患者机密信息。 所有组织共有的需求是使其应用和设备保持安全。 这些设备必须符合由组织定义的安全标准（或安全基线）。

安全基线是一组Microsoft建议的配置设置，用于解释其安全隐患。 这些设置基于来自 Microsoft 安全工程团队、产品组、合作伙伴和客户的反馈。

了解更多信息

• 安全基线

基于云的设备管理解决方案的安全基线

可以使用Microsoft的安全基线配置Windows 11，该基线专为基于云的设备管理解决方案（如 Microsoft Intune^[4]）而设计。 这些安全基线的功能类似于基于组策略的安全基线，并且可以轻松地集成到现有设备管理工具中。

安全基线包括以下策略：

• Microsoft收件箱安全技术，例如 BitLocker、Microsoft Defender SmartScreen、基于虚拟化的安全性、Exploit Guard、Microsoft Defender防病毒和 Windows 防火墙
• 限制对设备的远程访问
• 设置密码和 PIN 的凭据要求
• 限制旧技术的使用

了解更多信息

• Intune安全基线概述
• Intune 中 Windows 安全基线中的设置列表

Windows 本地管理员密码解决方案 (LAPS)

Windows 本地管理员密码解决方案 (LAPS) 是一项功能，可自动管理和备份已加入Microsoft Entra和已加入 Active Directory 的设备上的本地管理员帐户的密码。 它通过定期轮换和管理本地管理员帐户密码、防止传递哈希和横向遍历攻击来帮助增强安全性。

可以通过组策略或设备管理解决方案（如 Microsoft Intune^{[4]）配置 Windows LAPS}。

Windows 11版本 24H2 中的新增功能

进行了多项增强，以提高可管理性和安全性。 管理员现在可以将 LAPS 配置为自动创建托管的本地帐户，并与现有策略集成以增强安全性和效率。 策略设置已更新，以通过忽略某些字符来生成更多可读密码，并支持生成可读通行短语，以及从三个单独的单词源列表中进行选择并控制通行短语长度的选项。 此外，LAPS 可以检测计算机何时回滚到上一个映像，从而确保计算机与 Active Directory 之间的密码一致性。

了解更多信息

• Windows LAPS 概述

Windows Autopilot

传统上，IT 专业人员花费大量时间构建和自定义稍后将部署到设备的映像。 如果要购买新设备或管理设备刷新周期，可以使用 Windows Autopilot 来设置和预配置新设备，使其可供高效使用。 Autopilot 可帮助确保设备已锁定并符合公司安全策略。 该解决方案还可用于重置、重新利用和恢复 IT 团队零接触且无需管理基础结构的设备，从而通过简单而简单的流程提高效率。

使用 Windows Autopilot，无需在向用户提供设备之前重置映像或手动设置设备。 硬件供应商可以直接将其交付给用户，随时可供使用。 从用户的角度来看，他们打开设备，联机，Windows Autopilot 提供应用和设置。

借助 Windows Autopilot，你可以：

• 通过Microsoft Entra混合联接自动将设备加入Microsoft Entra ID或 Active Directory
• 自动将设备注册到设备管理解决方案（如 Microsoft Intune^[4] (需要配置Microsoft Entra ID Premium 订阅)
• 根据设备的配置文件创建设备并将其自动分配到配置组
• 自定义 (OOBE) 特定于组织的内容的现用体验

还可以使用 Windows Autopilot 重置为新用户快速准备现有设备。 重置功能在中断/修复方案中也很有用，可快速将设备恢复到业务就绪状态。

了解更多信息

• Windows Autopilot
• Windows Autopilot 重置

适用于企业的 Windows 更新

Windows 更新 for Business 使 IT 管理员能够确保其组织的 Windows 客户端设备始终具有最新的安全更新和功能。 通过将这些系统直接连接到Windows 更新服务，管理员可以保持高级别的安全性和功能。

管理员可以利用组策略或设备管理解决方案（如 Microsoft Intune^[4]），为企业设置配置Windows 更新。 这些设置控制应用更新的时间和方式，允许在整个组织中部署更新之前，对一部分设备进行彻底的可靠性和性能测试。

此方法不仅提供对更新过程的控制，而且可确保为组织中的所有用户提供无缝且积极的更新体验。 通过使用 Windows 更新 for Business，组织可以实现更安全、更高效的作环境。

了解更多信息

• Windows 更新商业版文档

Windows 自动更新

网络罪犯通常利用过时或未修补的软件来渗透网络。 必须维护当前更新以弥补安全漏洞。 Windows Autopatch 是一项云服务，可自动执行 Windows、Microsoft 365 企业应用、Microsoft Edge 和 Microsoft Teams 更新，以提高整个组织的安全性和工作效率。 自动修补有助于最大程度地减少稀缺的 IT 资源参与更新的规划和部署，以便 IT 管理员可以专注于其他活动和任务。

关于 Windows Autopatch，还有很多内容要了解：此 Forrester Consulting Total Economic Impact™ Study 由 Microsoft 委托进行，介绍部署 Windows Autopatch 的客户提供的见解及其对组织的影响。 你还可以在定期发布的 Windows IT 专业人员博客和 Windows 自动修补社区中找到有关新自动修补功能和该服务的未来的详细信息。

了解更多信息

• Windows Autopatch 文档
• Windows 更新 API 概述
• Windows IT 专业人员博客
• Windows 自动修补社区

Windows 热补丁

Windows 热补丁是一项专为即时安全合规性和最小化中断而设计的功能。 借助 Windows 热补丁，组织无需重启系统即可应用关键安全更新，从提供更新的那一刻起，采用安全更新的时间减少了 60%。 热补丁更新简化了安装过程，提高了合规性效率，并提供所有设备的更新状态的按策略级别视图。 重要的是，热补丁更新消除了由于更新延迟或延迟而导致的组织安全合规性延迟，从而确保在整个租户中及时且一致的部署。

通过 Windows 自动修补利用热修补，Windows 更新的系统重启次数可以从每年 12 次减少到仅 4 次。 这意味着更少的停机时间、简化的用户体验以及降低安全风险。 通过在不影响用户工作效率或系统可用性的情况下立即解决安全漏洞，热补丁可确保企业环境保持安全、合规和运营高效。 此技术在 Azure Server 环境中得到证实，现在也适用于在 Windows 自动修补中注册Windows 11客户端设备。

了解更多信息

• Windows 热补丁文档
• 热补丁常见问题解答
• 热补丁用户就绪指南
• Windows 11热补丁发布日历
• Windows Autopatch 文档
• 用于Windows Server的热补丁

适用于工作或学校的 OneDrive

OneDrive for work or school 是一种云存储服务，允许用户存储、共享和协作处理文件。 它是 Microsoft 365 的一部分，旨在帮助组织保护其数据并遵守法规。 适用于工作或学校的 OneDrive 在传输和静态时都受到保护。

当数据从客户端或数据中心之间传输到服务时，将使用传输层安全性 (TLS) 加密对其进行保护。 OneDrive 仅允许安全访问。

不允许通过 HTTP 进行经过身份验证的连接，而是重定向到 HTTPS。

有几种方法可以保护 OneDrive for Work 或 School 的静态：

• 物理保护：Microsoft了解保护客户数据的重要性，并致力于保护包含数据的数据中心。 Microsoft数据中心的设计、构建和运营严格限制对存储客户数据的区域的物理访问。 数据中心的物理安全性符合深层防御原则。 实施了多种安全措施，以降低未经授权的用户访问数据和其他数据中心资源的风险。 请在此处了解详细信息。
• 网络保护：网络和标识与公司网络隔离。 防火墙限制从未经授权的位置进入环境的流量
• 应用程序安全性：构建功能的工程师遵循安全开发生命周期。 自动和手动分析有助于识别可能的漏洞。 Microsoft安全响应中心可帮助对传入的漏洞报告进行会审并评估缓解措施。 通过 Microsoft云 Bug 赏金条款，世界各地的用户可以通过报告漏洞来赚钱
• 内容保护：使用唯一的 AES-256 密钥对每个文件进行静态加密。 这些唯一密钥使用存储在 Azure 中的一组主密钥进行加密密钥保管库

了解更多信息

• OneDrive 如何保护云中的数据

通用打印

通用打印无需本地打印服务器。 它还无需从用户的 Windows 设备打印驱动程序，并使设备安全，从而减少通常利用驱动程序模型中漏洞的恶意软件攻击。 它使具有本机支持的通用打印就绪打印机 () 直接连接到 Microsoft 云。 所有主要打印机 OEM 都有这些 型号。 它还使用通用打印附带的连接器软件支持现有打印机。

与依赖于 Windows 打印服务器的传统打印解决方案不同，通用打印是一种Microsoft托管的云订阅服务，在使用通用打印就绪打印机时支持零信任安全模型。 客户可以启用打印机（包括通用打印连接器软件）与组织其余资源的网络隔离。 用户及其设备无需与打印机或通用打印连接器位于同一本地网络上。

通用打印要求以下项支持零信任安全性：

• 对通用打印云服务的每个连接和 API 调用都需要通过 Microsoft Entra ID^[4] 验证身份验证。 黑客必须知道正确的凭据才能成功连接到通用打印服务
• 用户设备 (客户端) 、打印机或其他云服务与通用打印云服务建立的每个连接都使用 SSL 和 TLS 1.2 保护。 这可以保护流量的网络窥探，以获取对敏感数据的访问权限
• 注册到通用打印的每个打印机在客户的Microsoft Entra ID租户中创建为设备对象，并颁发其自己的设备证书。 来自打印机的每个连接都使用此证书进行身份验证。 打印机只能访问自己的数据，而不能访问其他设备的数据
• 应用程序可以使用用户、设备或应用程序身份验证连接到通用打印。 为确保数据安全，强烈建议仅云应用程序使用应用程序身份验证
• 每个作应用程序都必须向 Microsoft Entra ID 注册，并指定它所需的权限范围集。 Microsoft自己的作应用程序（例如通用打印连接器）注册到 Microsoft Entra ID 服务。 客户管理员需要同意所需的权限范围，作为将应用程序载入其租户的一部分
• 使用来自执行应用程序的Microsoft Entra ID的每个身份验证都无法扩展代理客户端应用定义的权限范围。 这可以防止应用在应用被泄露时请求其他权限

此外，Windows 11还包括设备管理支持，以简化用户的打印机设置。 借助 Microsoft Intune^[4] 的支持，管理员现在可以配置策略设置，将特定打印机预配到用户的 Windows 设备上。

通用打印将打印数据安全地存储在 Office 存储中的云中，该存储与其他 Microsoft 365 产品使用的存储相同。

有关处理 Microsoft 365 数据 (包括通用打印数据) 的详细信息，可 在此处找到。

通用打印安全发布平台可确保用户隐私、保护组织数据并减少打印时间。 用户无需在发送打印作业后立即赶到共享打印机，以确保没有人看到私人或机密内容。 有时，打印的文档被其他人拾取或根本没有拿起并丢弃。 可 在此处找到详细的支持和配置信息。

通用打印支持 Microsoft Entra ID 中的管理单元，以便向组织中的特定团队分配打印机管理员角色。 分配的团队只能配置属于同一管理单元的打印机。

对于想要继续使用打印服务器的客户，我们建议使用 Microsoft IPP 打印驱动程序。 对于标准 IPP 驱动程序所涵盖的功能以外的功能，请使用相应打印机 OEM 提供的适用于 Windows 的打印支持应用程序 (PSA) 。

了解更多信息

• 通用打印
• 通用打印中的数据处理
• 使用管理单元委托打印机管理
• 打印支持应用设计指南