Wytyczne dotyczące zabezpieczeń
Aby zwiększyć bezpieczeństwo komputerów w chmurze, należy wziąć pod uwagę następujące ogólne wytyczne:
Zastosuj zasady dostępu warunkowego, aby kontrolować urządzenia i aplikacje, które mogą łączyć się z twoją pocztą e-mail i zasobami firmy. Użyj dostępu warunkowego, aby zabezpieczyć dostęp użytkownika końcowego dostępu do systemu Windows 365.W szczególności, rozważając użycie uwierzytelniania wieloskładnikowego Microsoft Entra do uwierzytelniania użytkowników. Aby uzyskać więcej informacji, zobacz Co to jest dostęp warunkowy w usłudze Microsoft Entra ID?
Użyj usługi Microsoft Defender for Endpoint, aby zidentyfikować zagrożenia i ustawić urządzenia jako niezgodne. Możesz łatwo połączyć usługę Microsoft Defender for Endpoint z urządzeniami z komputerami w chmurze, zastosować zasady zgodności urządzeń do komputerów w chmurze i użyć dostępu warunkowego do identyfikowania zagrożeń. Aby uzyskać więcej informacji, zobacz Wymuszanie zgodności dla usługi Microsoft Defender dla punktu końcowego przy użyciu dostępu warunkowego w usłudze Intune.
Użyj zasad zgodności usługi Intune z zasadami dostępu warunkowego dla komputerów w chmurze. Te zasady pomagają zidentyfikować niezgodne urządzenia i użytkowników, aby nie mogli uzyskać dostępu do zasobów firmy, dopóki poziom ryzyka urządzenia nie zostanie obniżony. Aby uzyskać więcej informacji, zobacz Ustawienia zgodności systemu Windows 10/11 w usłudze Microsoft Intune.
Uwaga
Komputery w chmurze nie obsługują funkcji BitLocker. Zalecamy wykluczenie tego ustawienia z zasad zgodności przeznaczonych dla komputerów w chmurze.
Jednym z najważniejszych elementów zabezpieczeń urządzeń są aktualizacje systemu operacyjnego. Te aktualizacje zapewniają, że urządzenia są aktualne i bezpieczne, zapewniając jednocześnie nowe funkcje i zabezpieczenia przed lukami w zabezpieczeniach. W przypadku komputerów w chmurze program Endpoint Manager może być używany przez administratorów IT do konfigurowania pierścieni aktualizacji i zasad systemu Windows 10/11 usługi Intune dla usługi Windows Update dla firm. Aby uzyskać więcej informacji, zobacz Zarządzanie aktualizacjami oprogramowania systemu Windows 10/11 w usłudze Intune.
Domyślnie użytkownicy końcowi nie są administratorami swoich komputerów w chmurze w systemie Windows 365 Enterprise. Te zasady są zgodne ze wskazówkami dotyczącymi zabezpieczeń systemu Windows 10/11. Aby uzyskać więcej informacji na temat tych wskazówek, zobacz Konta lokalne w dokumentacji systemu Windows.
System Windows 365 integruje się z usługą Microsoft Defender for Endpoint. Dowiedz się, dlaczego program antywirusowy Microsoft Defender i usługa Microsoft Defender dla punktu końcowego są razem lepsze. Administratorzy zabezpieczeń i punktów końcowych mogą współpracować w celu zarządzania środowiskiem komputera w chmurze, tak jak w przypadku zarządzania fizycznym punktem końcowym. Jeśli subskrypcja jest subskrybowana, komputery w chmurze będą:
- Wyślij dane do usługi Microsoft 365 Secure Score.
- Komputery w złej kondycji będą wyświetlane na pulpitach nawigacyjnych usługi Microsoft Defender for Endpoint Security Center i analizie zagrożeń.
- Odpowiadanie na miary korygowania, podobnie jak inne urządzenia zarządzane.
- Obsługa zarządzania ochroną przed naruszeniami przy użyciu usługi Defender lub Intune
System Windows 365 integruje się z usługą Microsoft Purview. Dołączanie do usługi Defender for Endpoint obejmuje usługę Purview Endpoint Data Loss Protection (DLP). DLP wykrywa, kiedy są używane i udostępniane poufne elementy. Zapewnia to wgląd i kontrolę, których potrzebujesz, aby upewnić się, że dane są prawidłowo używane i chronione, oraz aby zapobiec ryzykownemu zachowaniu, które może je naruszyć. Skonfiguruj ustawienia zapobiegania utracie danych punktu końcowego , aby uniemożliwić pobieranie danych:
- Skopiowano z schowka/dysku komputera w chmurze do nieautoryzowanych urządzeń.
- Drukowane na nieautoryzowanych drukarkach.