Windows 365 säkerhet

Windows 365 tillhandahåller ett anslutningsflöde från slutpunkt till slutpunkt som användarna kan utföra sitt arbete på ett effektivt och säkert sätt. Windows 365 är byggt med Nolltillit i åtanke, vilket utgör grunden för dig att implementera kontroller för att bättre skydda din miljö i de 6 pelarna i Nolltillit. Du kan implementera Nolltillit kontroller för följande kategorier:

• Skydda åtkomsten till Cloud PC
  • Överensstämmer med att skydda identiteten, där du kan placera fler mått på vem som kan komma åt molndatorn och under vilka villkor.
• Skydda själva Cloud PC-enheten
  • Överensstämmer med att skydda slutpunkten, där du kan placera fler mått på Cloud PC-enheter eftersom det är den enhet som används för att komma åt organisationsdata.
• Skydda Cloud PC-data och andra data som är tillgängliga när du använder Cloud PC
  • Överensstämmer med att skydda data, där du kan placera fler mått på själva data eller på hur Cloud PC-användaren kommer åt data.

Ta en titt på följande avsnitt för att bättre förstå de komponenter och funktioner som är tillgängliga för dig för att skydda din Cloud PC-miljö.

Säker åtkomst till molndator

Det första du bör tänka på när du skyddar din miljö är att skydda åtkomsten till molndatorn.

Som beskrivs i identitet och autentisering finns det två autentiseringsutmaningar för att få åtkomst till Cloud PC:

• Tjänsten Windows 365.
• Molndatorn.

Den primära kontrollen för att skydda åtkomst är att använda Microsoft Entra villkorlig åtkomst för att villkorligt bevilja åtkomst till Windows 365-tjänsten. Information om hur du skyddar åtkomsten till molndatorn finns i Ange principer för villkorsstyrd åtkomst.

Säkra Cloud PC-enheter

Det andra övervägandet för att skydda din miljö är att skydda själva Cloud PC-enheten.

Säkerhetsfunktioner aktiverade som standard

Alla nya molndatorer har följande säkerhetskomponenter aktiverade som standard:

• vTPM: En vTPM är en förkortning av den virtuella betrodda plattformsmodulen och ger molndatorer sin egen dedikerade TPM-instans som fungerar som ett säkert valv för nycklar och mått. Mer information finns i vTPM.
• Säker start: Säker start är en funktion som förhindrar att Windows-operativsystemet startar om ej betrodda rootkits eller startpaket är installerade på datorn. Mer information finns i Säker start.

När båda säkerhetskomponenterna är aktiverade stöder Windows 365 aktivering av följande Windows-säkerhetsfunktioner:

• Hypervisor-kodintegritet (HVCI)
• Microsoft Defender Credential Guard

Säkerhetsfunktioner som kräver specifika Cloud PC-SKU:er eller konfiguration

Följande säkerhetskomponenter är aktiverade som standard på specifika SKU:er eller konfigurationer för Cloud PC:

• Virtualiseringsbaserade arbetsbelastningar
  • Beskrivning: Virtualiseringsbaserade arbetsbelastningar kräver vanligtvis att Windows-enheten aktiverar Hyper-V-funktionen och kör arbetsbelastningarna i ett isolerat utrymme för att skydda Windows-operativsystemet mot eventuella säkerhetshot.
  • Säkerhetsfunktioner:
    • Microsoft Defender Application Guard
    • Windows Sandbox-miljö
  • Nödvändig konfiguration: Cloud PC måste ha 4 vCPU och 16 GB RAM-minne eller mer. Mer information finns i Konfigurera stöd för virtualiseringsbaserade arbetsbelastningar.

Obs!

Med tanke på den tekniska komplexiteten kanske säkerhetslöftet för Microsoft Defender Application Guard (MDAG) inte gäller för virtuella datorer och i VDI-miljöer. Därför stöds MDAG för närvarande inte officiellt på virtuella datorer och i VDI-miljöer. Men för testning och automatisering på icke-produktionsdatorer kan du aktivera MDAG på en virtuell dator genom att aktivera Kapslad Hyper-V-virtualisering på värden.

Microsoft Purview Customer Lockbox

Microsoft Purview Customer Lockbox kan aktiveras av en administratör. Customer Lockbox säkerställer att Microsoft inte kan komma åt en kunds innehåll för att utföra tjänståtgärder utan ditt uttryckliga godkännande. Du kan aktivera eller inaktivera Customer Lockbox i Administrationscenter för Microsoft 365. Mer information finns i Microsoft Purview Customer Lockbox.

Skydda data för cloud pc

Det tredje övervägandet för att skydda din miljö är att skydda cloud pc-data och andra data som görs tillgängliga med hjälp av Cloud PC.

Säkerhet för Cloud PC-data

Data för själva Cloud PC-data skyddas via kryptering. Mer information finns i datakryptering i Windows 365.

Säkerhet för data som är tillgängliga på Cloud PC

Att skydda data som är tillgängliga för användare på deras molndatorer bör inte skilja sig från att skydda data som är tillgängliga för användare på arbetstilldelade Windows-datorer. Cloud PC bör nås via Remote Desktop Protocol (RDP).

Information om hur du hanterar RDP-funktioner som är tillgängliga för användaren under anslutningen till molndatorn finns i Hantera RDP-enhetsomdirigeringar för molndatorer.

Säkerhet för klientuppdatering

Windows 365 Molndatorer kan nås från olika operativsystemplattformar och klienter som är tillgängliga på dessa plattformar.

• Windows OS-plattformar: Windows 365 kan nås med fjärrskrivbordsklienten för Windows och Windows App. Båda dessa appar tar emot uppdateringar med hjälp av Windows Update-tjänsten. Mer information finns i Windows Update säkerhet.
• Apple-enheter (macOS och iOS): Klientappar för fjärrskrivbord och deras uppdateringar distribueras av Apples appbutik. Mer information om säkerhetsåtgärder för MacOS och iOS finns i Apple Platform Security.
• Android-plattformar: Android-plattformsappar som laddas ned från Google Play-butiker överensstämmer med Google Play Store-villkoren. Mer information finns i Användarvillkor för Google Play.

Nästa steg

Mer information om Windows Update säkerhet finns i Windows Update säkerhet.