Windows 365 安全性

  • 發行項

Windows 365 提供端對端連線流程,讓使用者有效且安全地執行其工作。 Windows 365 是以 零信任 為建置基礎,可讓您實作控件,以在 零信任 的 6 個要件上更妥善地保護您的環境。 您可以針對下列類別實作 零信任 控制項:

  • 保護雲端電腦的存取
    • 與保護身分識別一 致,您可以在其中對誰可以存取雲端計算機,以及在哪些情況下採取更多措施。
  • 保護雲端電腦裝置本身
    • 與保護 端點一致,您可以在雲端電腦裝置上放置更多量值,因為這是用來存取組織數據的裝置。
  • 保護使用雲端電腦時的雲端計算機數據和其他可用數據
    • 與保護 數據一致,您可以在其中對數據本身或雲端計算機使用者存取數據的方法放置更多量值。

請參閱下列各節,以進一步瞭解可用來保護雲端計算機環境的元件和功能。

保護雲端電腦存取

保護環境的第一個考慮是保護雲端計算機的存取。

如身分 識別和驗證中所述,存取雲端電腦有兩個驗證挑戰:

  • Windows 365 服務。
  • 雲端電腦。

保護存取權的主要控件是使用 Microsoft Entra 條件式存取,有條件地將存取權授與 Windows 365 服務。 若要保護雲端計算機的存取,請參閱 設定條件式存取原則

保護雲端電腦裝置

保護環境的第二個考慮是保護雲端電腦裝置本身。

默認啟用的安全性功能

所有新的雲端電腦預設都會啟用下列安全性元件:

  • vTPM:虛擬信賴平臺模組的簡短資訊,vTPM 提供雲端計算機自己的專用 TPM 實例,作為密鑰和度量的安全保存庫。 如需詳細資訊,請參閱 vTPM
  • 安全開機:安全開機是一項功能,可防止 Windows 操作系統在計算機上安裝不受信任的 rootkit 或開機套件時開機。 如需詳細資訊,請參閱 安全開機

啟用這兩個安全性元件後,Windows 365 支援啟用下列 Windows 安全性功能:

需要特定雲端電腦 SKU 或設定的安全性功能

下列安全性元件預設會在特定雲端電腦 SKU 或設定上啟用:

注意事項

由於技術複雜性,Microsoft Defender 應用程式防護 (MDAG) 的安全性承諾在 VM 和 VDI 環境中可能不成立。 因此,VM 和 VDI 環境中目前不正式支援 MDAG。 不過,為了在非生產機器上進行測試和自動化,您可以在主機上啟用 Hyper-V 巢狀虛擬化,以在 VM 上啟用 MDAG。

Microsoft Purview 客戶加密箱

系統管理員可以開啟 Microsoft Purview 客戶加密箱。客戶加密箱可確保 Microsoft 在未經明確核准的情況下,無法存取客戶的內容來執行服務作業。 您可以在 Microsoft 365 系統管理中心 中開啟或關閉客戶加密箱。 如需詳細資訊,請參閱 Microsoft Purview 客戶加密箱

保護雲端計算機數據

保護環境的第三個考慮是保護雲端計算機數據,以及使用雲端電腦提供的其他數據。

雲端電腦數據的安全性

雲端計算機數據本身的數據是透過加密來保護。 如需詳細資訊,請參閱 Windows 365 中的數據加密

雲端電腦上可用數據的安全性

保護使用者在其雲端計算機上可用的數據,應該與保護工作指派 Windows 計算機上的使用者可用數據並無不同。 雲端電腦應該透過遠端桌面通訊協定 (RDP) 來存取。

若要管理使用者在雲端電腦連線期間可用的 RDP 功能,請參閱 管理雲端電腦的 RDP 裝置重新導向

用戶端更新安全性

Windows 365 雲端電腦可以從這些平臺中可用的各種作業系統平臺和用戶端存取。

  • Windows OS 平臺:Windows 365 可以使用適用於 Windows 的遠端桌面用戶端和 Windows 365 應用程式來存取。 這兩個應用程式都會使用 Windows Update 服務來接收更新。 如需詳細資訊,請參閱 Windows Update 安全性
  • macOS 和 iOS) (Apple 裝置 :遠端桌面用戶端應用程式及其更新會由 Apple 的應用程式市集散發。 如需 MacOS 和 iOS 安全性措施的詳細資訊,請參閱 Apple Platform Security
  • Android 平臺:從Google Play商店下載的Android平臺應用程式符合Google Play商店條款及條件。 如需詳細資訊,請參閱 Google Play服務條款

後續步驟

如需 Windows Update 安全性的詳細資訊,請參閱 Windows Update 安全性