zabezpieczenia Windows 365

Windows 365 zapewnia kompleksowy przepływ połączeń umożliwiający użytkownikom efektywne i bezpieczne wykonywanie pracy. Windows 365 jest zbudowany z myślą o Zero Trust, co stanowi podstawę do zaimplementowania mechanizmów kontroli w celu lepszego zabezpieczenia środowiska w ramach 6 filarów Zero Trust. Kontrolki Zero Trust można zaimplementować dla następujących kategorii:

• Zabezpieczanie dostępu do komputera w chmurze
  • Dopasowuje się do zabezpieczania tożsamości, gdzie można umieścić więcej miar na tym, kto może uzyskać dostęp do komputera w chmurze i w jakich warunkach.
• Zabezpieczanie samego urządzenia z komputerem w chmurze
  • Jest on zgodny z zabezpieczeniami punktu końcowego, w którym można umieścić więcej miar na urządzeniach z komputerem w chmurze, ponieważ jest to urządzenie używane do uzyskiwania dostępu do danych organizacji.
• Zabezpieczanie danych komputera w chmurze i innych danych dostępnych podczas korzystania z komputera w chmurze
  • Dopasowuje się do zabezpieczania danych, gdzie można umieścić więcej miar na samych danych lub w jaki sposób użytkownik komputera w chmurze uzyskuje dostęp do danych.

Zapoznaj się z poniższymi sekcjami, aby lepiej zrozumieć składniki i funkcje dostępne w celu zabezpieczenia środowiska komputera w chmurze.

Bezpieczny dostęp do komputera w chmurze

Pierwszą kwestią podczas zabezpieczania środowiska jest zabezpieczenie dostępu do komputera w chmurze.

Zgodnie z opisem w temacie Identity and authentication (Tożsamość i uwierzytelnianie) istnieją dwa wyzwania związane z uwierzytelnianiem, które mogą zostać spełnione w celu uzyskania dostępu do komputera w chmurze:

• Usługa Windows 365.
• Komputer w chmurze.

Podstawową kontrolą zabezpieczania dostępu jest użycie Microsoft Entra dostępu warunkowego w celu warunkowego udzielenia dostępu do usługi Windows 365. Aby zabezpieczyć dostęp do komputera w chmurze, zobacz ustawianie zasad dostępu warunkowego.

Zabezpieczanie urządzeń z komputerem w chmurze

Drugą kwestią dotyczącą zabezpieczania środowiska jest zabezpieczenie samego urządzenia z komputerem w chmurze.

Funkcje zabezpieczeń domyślnie włączone

Wszystkie nowe komputery w chmurze mają domyślnie włączone następujące składniki zabezpieczeń:

• vTPM: skrót od wirtualnego modułu zaufanej platformy, program vTPM udostępnia komputerom w chmurze własne dedykowane wystąpienie modułu TPM, które działa jako bezpieczny magazyn kluczy i pomiarów. Aby uzyskać więcej informacji, zobacz vTPM.
• Bezpieczny rozruch: bezpieczny rozruch to funkcja, która uniemożliwia rozruch systemu operacyjnego Windows, jeśli na maszynie są zainstalowane niezaufane zestawy rootkit lub zestawy rozruchowe. Aby uzyskać więcej informacji, zobacz bezpieczny rozruch.

Po włączeniu obu składników zabezpieczeń Windows 365 obsługuje włączanie następujących funkcji zabezpieczeń systemu Windows:

• Integralność kodu funkcji Hypervisor (HVCI)
• Microsoft Defender Credential Guard

Funkcje zabezpieczeń wymagające określonych jednostek SKU komputera w chmurze lub konfiguracji

Następujące składniki zabezpieczeń są domyślnie włączone dla określonych jednostek SKU lub konfiguracji komputera w chmurze:

• Obciążenia oparte na wirtualizacji
  • Opis: Obciążenia oparte na wirtualizacji zwykle wymagają, aby urządzenie z systemem Windows włączało funkcję Hyper-V i uruchamiało obciążenia w izolowanej przestrzeni, aby chronić system operacyjny Windows przed wszelkimi zagrożeniami bezpieczeństwa.
  • Funkcje zabezpieczeń:
    • Microsoft Defender Application Guard
    • Piaskownica systemu Windows
  • Wymagana konfiguracja: komputer w chmurze musi mieć co najmniej 4 procesory wirtualne i 16 GB pamięci RAM. Aby uzyskać więcej informacji, zobacz konfigurowanie obsługi obciążeń opartych na wirtualizacji.

Uwaga

Ze względu na złożoność technologiczną obietnica zabezpieczeń Microsoft Defender Application Guard (MDAG) może nie być spełniona na maszynach wirtualnych i w środowiskach VDI. W związku z tym rozwiązanie MDAG nie jest obecnie oficjalnie obsługiwane na maszynach wirtualnych i w środowiskach VDI. Jednak na potrzeby testowania i automatyzacji na maszynach nieprodukcyjnych można włączyć funkcję MDAG na maszynie wirtualnej, włączając wirtualizację zagnieżdżoną funkcji Hyper-V na hoście.

Skrytka klienta w Microsoft Purview

Skrytka klienta usługi Microsoft Purview może zostać włączona przez administratora. Skrytka klienta gwarantuje, że firma Microsoft nie może uzyskać dostępu do zawartości klienta w celu wykonywania operacji usług bez twojej jawnej zgody. W Centrum administracyjne platformy Microsoft 365 można włączyć lub wyłączyć skrytki klienta. Aby uzyskać więcej informacji, zobacz Microsoft Purview Customer Lockbox (Skrytka klienta usługi Microsoft Purview).

Zabezpieczanie danych komputera w chmurze

Trzecią kwestią podczas zabezpieczania środowiska jest zabezpieczenie danych komputera w chmurze i innych danych udostępnianych przy użyciu komputera w chmurze.

Bezpieczeństwo danych komputera w chmurze

Dane samych danych komputera w chmurze są zabezpieczone za pomocą szyfrowania. Aby uzyskać więcej informacji, zobacz szyfrowanie danych w Windows 365.

Zabezpieczenia danych dostępnych na komputerze w chmurze

Zabezpieczanie danych dostępnych dla użytkowników na komputerach w chmurze nie powinno różnić się od zabezpieczania danych dostępnych dla użytkowników na komputerach z systemem Windows przypisanych do pracy. Dostęp do komputera w chmurze powinien być uzyskiwany za pośrednictwem protokołu RDP (Remote Desktop Protocol).

Aby zarządzać funkcjami PROTOKOŁU RDP dostępnymi dla użytkownika podczas połączenia z komputerem w chmurze, zobacz Zarządzanie przekierowaniami urządzeń RDP dla komputerów w chmurze.

Zabezpieczenia aktualizacji klienta

Windows 365 komputery w chmurze są dostępne z różnych platform systemu operacyjnego i klientów dostępnych na tych platformach.

• Platformy systemu operacyjnego Windows: dostęp do Windows 365 można uzyskać za pomocą klienta pulpitu zdalnego dla systemu Windows i aplikacji systemu Windows. Obie te aplikacje otrzymują aktualizacje przy użyciu usługi Windows Update. Aby uzyskać więcej informacji, zobacz zabezpieczenia Windows Update.
• Urządzenia firmy Apple (macOS i iOS): aplikacje klienckie pulpitu zdalnego i ich aktualizacje są dystrybuowane przez sklep Apple App Store. Aby uzyskać więcej informacji na temat środków zabezpieczeń systemu MacOS i iOS, zobacz Zabezpieczenia platformy Firmy Apple.
• Platformy systemu Android: aplikacje platformy systemu Android pobrane ze sklepów Google Play są zgodne z warunkami i postanowieniami sklepu Google Play. Aby uzyskać więcej informacji, zobacz Warunki korzystania z usługi Google Play.

Następne kroki

Aby uzyskać więcej informacji na temat zabezpieczeń Windows Update, zobacz zabezpieczenia Windows Update.