Datenschutz, Kundendaten und Kundeninhalte in Windows 365
Windows 365 ist ein cloudbasierter Dienst, mit dem Sie Cloud-PCs für Ihre Benutzer bereitstellen und verwalten können. Sie verwalten die Cloud-PCs mit dem Rest Ihrer Geräte mithilfe von Microsoft Intune (Windows 365 Enterprise) oder einer Self-Service-Erfahrung (Windows 365 Business). Diese Dokumentation enthält Details zur Datenplattform und Datenschutzkonformität für Windows 365. Sofern nicht anders angegeben, bezieht sich der Begriff Windows 365 in diesem Dokument sowohl auf Windows 365 Enterprise als auch auf Windows 365 Business. Wenn sich die folgenden Details unterscheiden, wird jedes Produkt einzeln genannt.
Windows 365 – Datenquellen und Zweck
Windows 365 stellt seinen Dienst für Kunden bereit, indem Daten aus den unten aufgeführten Quellen gesammelt und verwendet werden. Diese Quellen bieten eine umfassende Übersicht über die Geräte, die von Windows 365 verwaltet werden.
- Microsoft Windows Enterprise – für die Verwaltung der Geräteeinrichtung, die Verwaltung von Verbindungen mit anderen Diensten und die betriebsbezogene Unterstützung für IT-Spezialisten.
- Microsoft Intune-Produktfamilie – für Geräte- und App-Verwaltung, Datensicherheit und Gerätekonfigurationen.
- Endpunktanalyse – Teil der Microsoft Intune-Produktfamilie, insbesondere für analytische Erkenntnisse zur Geräte- und App-Nutzung.
- Microsoft 365 Apps for Enterprise – für die Verwaltung von Microsoft 365 Apps.
Um registrierte Geräte zu schützen und zu warten, verarbeitet und kopiert Windows 365 Daten aus Onlinedienste und Datenpipelines, die vom Kunden konfiguriert wurden, in Windows 365. Nachdem Daten aus diesen Diensten in Windows 365 integriert wurden, gelten die Produktbedingungen und Microsoft-Datenschutzbestimmungen, die für Windows 365 gelten, auch für die Daten. Windows 365 stellt eine angemessene Vertraulichkeit, Sicherheit und Resilienz von Daten sicher. Windows 365 setzt zusätzliche interne Datenschutz- und Sicherheitsmaßnahmen ein, um den ordnungsgemäßen Umgang mit personenbezogenen Daten sicherzustellen.
Windows 365-Datenspeicherung
Je nach Region und Präferenz eines Mandanten speichert Windows 365 seine Kundeninhalte in Azure-Regionen in Nordamerika, Europa oder Asien-Pazifik. Virtueller Cloud-PC-Datenträger, Kundeninhalte, Daten und Speicher, die dem Cloud-PC zugeordnet sind, befinden sich in der Azure-Region, in der der Cloud-PC bereitgestellt wird. Für Windows 365 Enterprise wird die Region in der Einstellung Virtuelles Netzwerk der Azure-Netzwerkverbindung (ANC) definiert. Windows 365 Business speichert Kundendaten in der Azure-Region des Cloud-PCs selbst.
Zum Verwalten des Cloud-PCs werden bestimmte Daten im Zusammenhang mit dem Cloud-PC (z. B. name des Computers, Diagnosedaten und vom Dienst generierte Daten) in Azure-Rechenzentren in Nordamerika, Europa oder Asien-Pazifik gespeichert, wie durch den Standort des Mandanten definiert. Dieser Speicher wird basierend auf dem Land/der Region des Microsoft Online-Mandanten der nächstgelegenen Azure-Region zugeordnet.
Andere Kundendaten, Diagnosedaten oder vom Dienst generierte Daten können von Azure Virtual Desktop oder Intune gesammelt werden, da Windows 365 von diesen Diensten abhängig ist.
Weitere Informationen zum Speicherort Ihrer Daten finden Sie unter:
- Microsoft Entra ID: Wo befinden sich Ihre Daten?
- Datenspeicherorte für Azure Virtual Desktop
- Windows 365 unterstützte Regionen
- Informationen dazu, wo Ihre Microsoft 365-Kundendaten gespeichert werden
Wie lange werden Kundendaten und Kundeninhalte gespeichert?
Windows 365 behandelt sowohl den Cloud-PC-Datenträger als auch die Daten auf dem virtuellen Computer selbst als Kundeninhalte.
Wenn ein Benutzer aus Windows 365 entfernt wird, speichert Windows 365 personenbezogene Daten, die keine Warnungen enthalten, maximal 90 Tage lang. In passiven Szenarien werden Daten mindestens 90 Tage und maximal 180 Tage lang aufbewahrt. Wenden Sie sich an den Support, um auf Kundendaten zuzugreifen, die in einem passiven Szenario gespeichert sind. Aus Sicherheitsgründen werden von Microsoft Defender für Endpunkt gesammelte Warnungsdaten 180 Tage lang gespeichert, wenn der Kunde Microsoft Defender für Endpunkt verwendet.
Weitere Informationen zur Datenaufbewahrung finden Sie unter Datenaufbewahrung, -löschung und -zerstörung in Microsoft 365.
Windows 365 verwendet standardmäßig die Standardmethode von Microsoft Intune, um personenbezogene Daten zu überwachen, zu exportieren oder zu löschen.
Personenbezogene Daten werden in der überwachten Konformitätsgrenzen des Intune-Diensts im Rahmen der technischen Sicherheitsmaßnahmen verarbeitet, die in den Microsoft-Bestimmungen für Onlinedienste zugesichert werden.
Weitere Informationen zu einzelnen Datenaufbewahrungs- und Speicherrichtlinien aller abhängigen Dienste finden Sie unter:
- Informationen dazu, wo Ihre Microsoft 365-Kundendaten gespeichert werden
- Datensammlung in Intune
- Datenspeicherung und -verarbeitung in Intune
Isolierung und Zugriffssteuerung
Jedes interne Kundendatenabonnement in Windows 365 Enterprise enthält Azure Virtual Desktop-Metadaten (AVD), Cloud-PCs und Speicher von mehreren Mandanten. Jeder virtuelle Computer ist mit einer einzelnen virtuellen Netzwerkschnittstellenkarte (NIC) verbunden. Während der Bereitstellung des Cloud-PCs wird diese NIC an ein einzelnes virtuelles Netzwerk im Azure-Abonnement eines Kunden angefügt. Das virtuelle Netzwerk wird vom Mandantenadministrator definiert. Jeder Cloud-PC wird einem einzelnen Benutzer über die AVD-Verbindungsbrokerebene zugewiesen. Die Zugriffssteuerungsliste (Access Control List, ACL) für die AVD-Ebene wird durch die Microsoft Entra-ID auf Mandanten- und Benutzerebene authentifiziert. Der Netzwerkzugriff auf und von einem Cloud-PC in Windows 365 liegt in der Kontrolle und dem Ermessen jedes Mandantenadministrators. Auf Cloud-PCs in Mandant A kann daher nicht von Benutzern in Mandant B zugegriffen werden, es sei denn, der Administrator von Mandant A entscheidet sich für die Bereitstellung von Konnektivität außerhalb von Windows 365 und AVD auf Netzwerkebene in ihrem eigenen Abonnement.
Für Windows 365 Business wird mindestens ein dediziertes virtuelles Netzwerk in einem Mandanten erstellt. Der Dienst erstellt bei Bedarf automatisch weitere Netzwerke und garantiert nicht, dass alle Windows 365 Business Cloud-PCs im selben Mandanten über Netzwerkkonnektivität miteinander verfügen.
Die oben beschriebene Isolation erfolgt pro Benutzer und pro Cloud-PC, da Windows 365 keine Szenarien mit mehreren Benutzern unterstützt.
Eine vollständige Beschreibung der Windows 365-Architektur finden Sie unter Windows 365-Architektur. Weitere Informationen zur Isolation in Microsoft 365 finden Sie unter Isolation und Zugriffssteuerung in Microsoft 365. Weitere Informationen zur Zugriffsverwaltung in Microsoft 365 finden Sie unter Identitäts- und Zugriffsverwaltung – Microsoft Service Assurance.
Compliance und rechtliche Hinweise
Überwachungsberichte für Windows 365 stehen nach Abschluss des Vorgangs im Microsoft Service Trust Portal zum Download zur Verfügung. Das Microsoft Service Trust Portal dient als zentrales Repository für Microsoft Enterprise-Onlinedienste.
Datenschutzhinweise von Microsoft für Endbenutzer von Produkten, die von Organisationskunden bereitgestellt werden – Die Microsoft-Datenschutzerklärung benachrichtigt Endbenutzer, dass ihre Organisation, wenn sie sich mit einem Geschäftskonto bei Microsoft-Produkten anmelden, a) ihr Konto steuern und verwalten kann (einschließlich der Kontrolle datenschutzbezogener Einstellungen) und auf ihre Daten zugreifen und diese verarbeiten kann, und b) Microsoft kann die Daten sammeln und verarbeiten, um den Dienst für die Organisation und Endbenutzer bereitzustellen.