Linee guida per la configurazione per Windows 365 allineate al progetto ASD
Windows 365 Enterprise Cloud PC è un Desktop-as-a Service (DaaS) basato sul cloud che crea automaticamente Windows 365 macchina virtuale (PC cloud) per gli utenti finali. Offre i vantaggi di produttività, sicurezza, conformità a livello protetto e collaborazione di Microsoft 365.
Una valutazione IRAP (Australian Government Infosec Registered Assessors Program) di Microsoft 365 disponibile nel portale microsoft service trust include Windows 365 nell'ambito dei servizi valutati. Il servizio viene valutato per mantenere il livello di dati protetto . Protected è il livello più alto di valutazione della sicurezza applicabile a un servizio cloud pubblico in Australia. Il servizio viene compilato con Zero Trust ed è crittografato durante il transito e inattivi.
Tuttavia, come per qualsiasi nuovo servizio distribuito in un ambiente sensibile, l'introduzione di Windows 365 richiede una configurazione specifica. Questa guida alla pianificazione della configurazione è dedicata ad affrontare le considerazioni necessarie per la corretta distribuzione di Windows 365 all'interno di un framework operativo che gestisce le informazioni riservate. Queste linee guida presuppongono l'accesso alle licenze di sottoscrizione Windows 365 e Microsoft 365 Enterprise E3 o E5, in linea con le linee guida per la configurazione del progetto Australian Signals Directorate (ASD) per Secure Cloud per Microsoft 365. Questa guida deve essere usata con i documenti seguenti:
- Guida di Microsoft Protective Security Policy Framework (PSPF): indicazioni prescrittive sull'uso dei prodotti Microsoft per rispettare i requisiti PSPF.
- Guida di Microsoft Essential 8: indicazioni prescrittive sull'uso dei prodotti Microsoft per l'adesione a Essential 8 for Maturity Levels da 1 a 3.
- Australian Signals Directorate (ASD) Blueprint for Secure Cloud: collegamento al progetto ASD, che fornisce indicazioni pratiche per le organizzazioni da considerare insieme ai requisiti di ISM e PSPF durante la progettazione, la configurazione e la distribuzione di aree di lavoro cloud.
Pianificazione Windows 365
La documentazione Windows 365 Enterprise è una guida completa per Windows 365 distribuzione cloud. Per allinearsi al progetto ASD e ai settori altamente regolamentati in Australia, questo articolo deve essere usato con la documentazione di Windows 365 Enterprise.
Consiglio
Sia i PC cloud che i PC fisici possono essere gestiti tramite Intune, consentendo l'uso di controlli esistenti come le baseline di sicurezza, tra cui Essential 8, controllo degli accessi in base al ruolo, analisi applicabile ai dispositivi fisici da applicare anche ai PC cloud.
Configurazione di un criterio di provisioning
Seguire le istruzioni in base ai criteri di creazione del provisioning per Windows 365 linee guida, con i passaggi specifici seguenti per allinearsi al progetto ASD.
Scheda Generale
Nei dettagli del tipo di join è consigliabile selezionare Microsoft Entra join e la rete ospitata da Microsoft quando possibile. Questa selezione offre un'esperienza ottimale per l'utente finale combinata con facilità amministrativa di gestione, sicurezza e semplicità. Dal punto di vista della rete e della sicurezza, questa configurazione considera il PC cloud come un dispositivo isolato che può connettersi solo alle risorse private locali e specificate tramite una VPN sicura.
Per gli utenti di Cloud PC che richiedono l'accesso locale, vedere Creare connessioni di rete di Azure per Windows 365. È consigliabile creare due criteri di provisioning: uno per gli utenti di join ibridi per limitare l'accesso non necessario in base al principio di protezione 11 di Information Security Manual (ISM) e un altro che non richiede l'accesso locale, garantendo prestazioni e sicurezza ottimali.
L'ISM non ha requisiti obbligatori per quanto riguarda l'archiviazione della posizione dei dati. Microsoft consiglia di effettuare il provisioning dei PC cloud nell'area più vicina da cui si connettono gli utenti. Per le applicazioni sensibili all'elevata latenza, possono anche trarre vantaggio dall'assegnazione di aree più vicine ai sistemi utente o back-end per garantire un'esperienza utente finale ottimale. Per i casi d'uso più comuni che seguono il progetto ASD, gli utenti si trovano in Australia, ad esempio, per Microsoft Entra Join e la rete ospitata da Microsoft:
Selezionare GeographyAustralia.
Selezionare Areaautomatica (scelta consigliata)
Per altre informazioni su altre aree geografiche e aree di Azure disponibili per il provisioning di un Windows 365 Cloud PC, vedere Aree geografiche e aree supportate per il provisioning di CLOUD PC.
Selezionare Use Microsoft Entra Single Sign-On (SSO). L'accesso Single Sign-On deve essere abilitato come impostazione predefinita. Per altre informazioni, vedere Windows 365 l'identità e l'autenticazione.
Seleziona Avanti.
Scheda Configurazione
Impostazioni di Windows
Per Lingua e area geografica selezionare Inglese (Nuova Zelanda).
Nota
L'inglese (australiano) non è ancora disponibile per Windows 365. È consigliabile selezionare l'opzione Nuova Zelanda più simile all'inglese australiano.
Denominazione dei PC cloud
Per la denominazione di Cloud PC, se non è necessario avere una convenzione di denominazione specifica, è consigliabile lasciare questa casella deselezionata, perché Microsoft crea automaticamente un nome PC quando viene effettuato il provisioning del PC cloud. Il nome predefinito di Cloud PC è preceduto CPCda .
Servizi aggiuntivi
Microsoft consiglia di usare Autopatch per la modalità dedicata Windows 365 Enterprise e frontline. Aiuta l'organizzazione a raggiungere il livello di maturità 3 essenziale 8 per gli endpoint.
Per altre informazioni sull'uso di Autopatch in un'impostazione allineata a Essential 8, vedere Indicazioni di Essential 8 sull'uso di Autopatch per Windows 365.
Seleziona Avanti. Il provisioning dei PC cloud viene avviato dopo aver selezionato Crea.
I passaggi rimanenti per i tag di ambito, l'assegnazione e la revisione e la creazione sono indicati nella guida ai criteri di provisioning per Windows 365.
Consiglio
I tag di ambito vengono usati per fornire un controllo amministrativo granulare in un ambiente. Per altre informazioni, vedere Uso del controllo degli accessi in base al ruolo e dei tag di ambito.
Suggerimenti per l'applicazione Window 365
Windows App offre agli utenti un'esperienza unificata per connettersi a uno qualsiasi di Microsoft DaaS, ad esempio Windows 365 PC cloud, Desktop virtuale Azure o Dev Box. L'accesso desktop è disponibile tramite il client installabile leggero o un browser HTML5 moderno.
Scaricare il Windows App in una delle posizioni seguenti:
- https://windows365.microsoft.com
- App di Microsoft Store e ricerca di Windows App
Per proteggere ulteriormente l'accesso a un desktop Cloud PC usando Windows App (client o browser), usare i criteri di accesso condizionale per l'autorizzazione e la conformità e/o i criteri di configurazione di Gestione applicazioni mobili (MAM) per la governance dei dati.
Impostazioni consigliate del progetto in Intune
Windows 365 baseline di sicurezza
Distribuire la baseline di sicurezza Windows 365nell'interfaccia di amministrazione di Microsoft Intune. Per istruzioni dettagliate, vedere Windows 365 Baseline di sicurezza.
Gestire i reindirizzamenti dei dispositivi RDP per i Cloud PC
Intune impostazioni di reindirizzamento RDP (Remote Desktop Protocols) determinano il modo in cui gli utenti accedono al PC cloud e le funzionalità specifiche a cui hanno accesso, che possono essere personalizzate in base ai requisiti dell'organizzazione e degli utenti finali.
Consiglio
Asd consiglia che le organizzazioni "considerino il progetto insieme ai propri requisiti univoci, alla propensione al rischio e alla cultura organizzativa". I reindirizzamenti suggeriti devono essere valutati e adattati al caso d'uso specifico dell'organizzazione.
| Reindirizzamento | Guida dettagliata | Impostazione predefinita | Note |
|---|---|---|---|
| Reindirizzamento audio e video | Configurare il reindirizzamento audio e video | Il valore predefinito è Il reindirizzamento della riproduzione audio e video è abilitato per consentire il reindirizzamento al computer locale. | Se si modifica questa impostazione, prendere in considerazione i consigli sull'accessibilità nel progetto ASD. Mantenere questa impostazione predefinita. |
| Reindirizzamento dell'acquisizione audio | Configurare il reindirizzamento dell'acquisizione audio | L'impostazione predefinita è che il reindirizzamento della registrazione audio non è bloccato e il PC cloud abilita il reindirizzamento della registrazione audio. |
Il progetto ASD consiglia di bloccare la registrazione audio. Configurare l'impostazione da Consenti reindirizzamento> registrazione audioDisabilitato. |
| Acquisizione di fotocamere, webcam e video | Configurare il reindirizzamento di fotocamera, webcam e acquisizione video | Per impostazione predefinita, il reindirizzamento delle periferiche di acquisizione video, webcam e fotocamera è abilitato e può essere reindirizzato al computer locale. | Se si modifica questa impostazione, prendere in considerazione i consigli sull'accessibilità nel progetto ASD. Mantenere questa impostazione predefinita. |
| Appunti | Configurare il reindirizzamento degli Appunti tramite il protocollo Desktop remoto | L'impostazione predefinita è Che il reindirizzamento degli Appunti non sia bloccato. Gli Appunti vengono reindirizzati in entrambe le direzioni tra la sessione remota e il dispositivo locale. | Il progetto ASD consiglia di bloccare il reindirizzamento degli Appunti. Configurare l'impostazione da Non consentire il reindirizzamento> degli AppuntiAbilitato. |
| Unità e archiviazione | Configurare il reindirizzamento delle unità fisse, rimovibili e di rete | Il valore predefinito è che tutte le unità vengono reindirizzate dal dispositivo locale a una sessione remota, incluse quelle connesse in un secondo momento. |
Il progetto ASD consiglia di bloccare il reindirizzamento delle unità. Configurare l'impostazione da Non consentire il reindirizzamento> delle unitàAbilitato. |
| Posizione | Configurare il reindirizzamento della posizione | L'impostazione predefinita è controlli utente che condividono le informazioni sulla posizione. | Force Location On consente di identificare le anomalie della posizione, ad esempio i viaggi impossibili usando i criteri di rilevamento anomalie di Defender for Cloud App che seguono le raccomandazioni del progetto ASD per la protezione di SaaS. |
| MTP e PTP | Configurare il reindirizzamento di Media Transfer Protocol e Picture Transfer Protocol in Windows | Il valore predefinito è MTP e il reindirizzamento PTP è abilitato. | Configurare le impostazioni da Non consentire il reindirizzamento> dei dispositivi supportato Plug and Playabilitato. |
| Stampanti | Configurare il reindirizzamento della stampante | Il valore predefinito è che tutte le stampanti vengono reindirizzate dal dispositivo locale a una sessione remota e la stampante predefinita nel dispositivo locale è la stampante predefinita nel PC cloud. |
Il progetto ASD consiglia di abilitare la stampa solo per l'uso in office. Non consentire il reindirizzamento> della stampante clientAbilitato. In alternativa, la stampa sicura nelle stampanti per ufficio designate può essere ottenuta usando la stampa universale. |
| Porte seriali/COM | Configurare il reindirizzamento della porta seriale o COM | Il valore predefinito è seriale o le porte COM vengono reindirizzate dal dispositivo locale al PC cloud. | Configurare le impostazioni da Non consentire il reindirizzamento> delle porte COMAbilitato. |
| Smart card | Configurare il reindirizzamento dei dispositivi smart card | Il valore predefinito è che i dispositivi smart card vengono reindirizzati dal dispositivo locale al PC cloud. | Configurare le impostazioni da Non consentire il reindirizzamento> del dispositivo smart cardAbilitato. |
| USB | Configurare il reindirizzamento USB in Windows | Il reindirizzamento USB predefinito non è consentito. | Configurare le impostazioni da Non consentire il reindirizzamento> dei dispositivi supportato Plug and Playabilitato. |
| WebAuthn | Configurare il reindirizzamento WebAuthn | Il valore predefinito è Cloud PC abilita il reindirizzamento WebAuthn | Mantenere questa impostazione predefinita (consenti reindirizzamento WebAuthn), perché l'accesso SSO usa WebAuthn. |
Esistono alcune sfumature per il reindirizzamento del dispositivo, a seconda del sistema operativo dell'endpoint client in uso. Per altre informazioni sul confronto delle funzionalità tra gli endpoint, vedere Confrontare le funzionalità delle app Desktop remoto tra piattaforme e dispositivi.
Esempi RDP comuni
Questa sezione contiene esempi di reindirizzamento dei dispositivi RDP basati su modelli di casi d'uso comuni di Cloud PC nelle organizzazioni governative. Usare queste impostazioni come punto di partenza e personalizzate in base alle esigenze dell'organizzazione.
Esempio 1: Utente aziendale dal dispositivo gestito dell'organizzazione
Quando un utente aziendale accede da un dispositivo gestito dell'organizzazione, è consigliabile che il CLOUD PC erediti le configurazioni aziendali esistenti.
| Reindirizzamento | Impostazione suggerita |
|---|---|
| Reindirizzamento audio e video | Ereditato (nessuna modifica) |
| Reindirizzamento dell'acquisizione audio | Ereditato (nessuna modifica) |
| Fotocamera, webcam e acquisizione video | Ereditato (nessuna modifica) |
| Appunti | Ereditato (nessuna modifica) |
| Unità e archiviazione | Ereditato (nessuna modifica) |
| Posizione | Ereditato (nessuna modifica) |
| MTP e PTP | Ereditato (nessuna modifica) |
| Stampanti | Ereditato (nessuna modifica) |
| Porte seriali/COM | Ereditato (nessuna modifica) |
| Smart card | Ereditato (nessuna modifica) |
| USB | Ereditato (nessuna modifica) |
| WebAuthn | Ereditato (nessuna modifica) |
Esempio 2: Appaltatore BYOD
Un caso d'uso comune nelle impostazioni per enti pubblici consiste nel fornire un PC cloud ai terzisti che usano comunemente i reindirizzamenti dei dispositivi RDP per il caso d'uso di un caso d'uso dell'appaltatore Bring Your Own Device (BYOD).
| Reindirizzamento | Impostazione suggerita |
|---|---|
| Reindirizzamento audio e video | Lasciare come predefinito |
| Reindirizzamento dell'acquisizione audio | Disabilitato (blocca l'acquisizione audio) |
| Fotocamera, webcam e acquisizione video | Lasciare come predefinito |
| Appunti | Abilita (blocca il reindirizzamento degli Appunti) |
| Unità e archiviazione | Abilita (unità di blocco e reindirizzamento dell'archiviazione) |
| Posizione | Forza posizione attivata |
| MTP e PTP | Abilitato (blocco MTP e PTP) |
| Stampanti |
Abilitato (reindirizzamento della stampante a blocchi) In alternativa, usare Stampa universale per indirizzare tutta la stampa alle stampanti per ufficio approvate dall'organizzazione. |
| Porte seriali/COM | Abilitato (blocca porte seriali/COM) |
| Smart card | Abilitato (blocca smart card) |
| USB | Abilitato (blocco USB) |
| WebAuthn | Lasciare come predefinito |
Esempio 3: Enclave sicuro
Gli enclave sicuri sono in genere organizzazioni piccole e separate progettate per dati di classificazione più elevati rispetto a quelli gestiti dall'organizzazione principale. Ciò consente agli utenti con una maggiore autorizzazione e una necessità di sapere di ottenere l'accesso a questi dati.
| Reindirizzamento | Impostazione suggerita |
|---|---|
| Reindirizzamento audio e video | Disabilitato (blocca il reindirizzamento audio e video) |
| Reindirizzamento dell'acquisizione audio | Disabilitato (blocca l'acquisizione audio) |
| Fotocamera, webcam e acquisizione video | Abilita (blocca il reindirizzamento dell'acquisizione video) |
| Appunti | Abilita (blocca il reindirizzamento degli Appunti) |
| Unità e archiviazione | Abilita (unità di blocco e reindirizzamento dell'archiviazione) |
| Posizione | Forza posizione attivata |
| MTP e PTP | Abilitato (blocco MTP e PTP) |
| Stampanti |
Abilitato (reindirizzamento della stampante a blocchi) In alternativa, usare Stampa universale per reindirizzare tutta la stampa alle stampanti con classificazione protetta specificate. |
| Porte seriali/COM | Abilitato (blocca porte seriali/COM) |
| Smart card | Abilitato (blocca smart card) |
| USB | Abilitato (blocco USB) |
| WebAuthn | Lasciare come predefinito |
Esempio 4: Jump host
Le attività amministrative condotte tramite jump host sono accettabili in ISM 1387 (ML 2 e 3). Un PC cloud è un modo semplice ed efficace per ottenere un jump host.
| Reindirizzamento | Impostazione suggerita |
|---|---|
| Reindirizzamento audio e video | Disabilitato (blocca il reindirizzamento audio e video) |
| Reindirizzamento dell'acquisizione audio | Disabilitato (blocca l'acquisizione audio) |
| Fotocamera, webcam e acquisizione video | Abilita (blocca il reindirizzamento dell'acquisizione video) |
| Appunti | Abilita (blocca il reindirizzamento degli Appunti) |
| Unità e archiviazione | Abilita (unità di blocco e reindirizzamento dell'archiviazione) |
| Posizione | Forza posizione attivata |
| MTP e PTP | Abilitato (blocco MTP e PTP) |
| Stampanti |
Abilitato (reindirizzamento della stampante a blocchi) In alternativa, usare Stampa universale per reindirizzare tutta la stampa alle stampanti protette specificate. |
| Porte seriali/COM | Abilitato (blocca porte seriali/COM) |
| Smart card | Abilitato (blocca smart card) |
| USB | Abilitato (blocco USB) |
| WebAuthn | Lasciare come predefinito |
Importante
Per soddisfare ISM 1175 e soddisfare Essential 8 ML 1, 2 e 3 per gli host jump, seguire le linee guida per limitare i servizi di Office 365 ai PC cloud. Per altre informazioni per limitare l'accesso amministrativo per soddisfare Essential 8, vedere Limitare i privilegi amministrativi di Essential Eight.