与 ASD 蓝图一致的Windows 365配置指南
Windows 365 企业版云电脑是基于云的桌面即服务 (DaaS) ,可自动为最终用户创建Windows 365虚拟机 (云电脑) 。 它提供 Microsoft 365 的生产力、安全性、 受保护 级别的合规性和协作优势。
Microsoft服务信任门户中提供的澳大利亚政府信息安全注册评估员计划 (IRAP) 评估Microsoft 365 包括评估服务范围内的Windows 365。 对服务进行评估,以容纳 受保护的 数据级别。 受保护 是适用于澳大利亚公有云服务的最高安全评估级别。 该服务使用零信任生成,并在传输中和静态时加密。
但是,与部署到敏感环境中的任何新服务一样,引入Windows 365需要一些特定的配置。 此配置规划指南专门介绍在处理敏感信息的操作框架中成功部署Windows 365所需的注意事项。 本指南假定访问Windows 365订阅许可和Microsoft 365 企业版 E3 或 E5,这与澳大利亚信号局 (ASD) 蓝图的安全云配置指南Microsoft 365 一致。 本指南旨在与以下文档一起使用:
- Microsoft保护安全策略框架 (PSPF) 指南:有关使用Microsoft产品遵守 PSPF 要求的规范性指导。
- Microsoft Essential 8 指南:有关使用Microsoft产品遵循 Essential 8 的成熟度级别 1 至 3 的规范性指南。
- 澳大利亚信号局 (ASD) 安全云蓝图:链接到 ASD 蓝图,为组织在设计、配置和部署云工作区时考虑 ISM 和 PSPF 的要求提供了实用指导。
规划Windows 365
Windows 365 企业版文档是Windows 365云部署的综合指南。 为了与澳大利亚的 ASD 蓝图和高度监管的行业保持一致,本文应与 Windows 365 企业版 文档一起使用。
提示
云电脑和物理电脑都可以通过Intune进行管理,从而允许使用安全基线等现有控制措施,包括 Essential 8、基于角色的访问控制 (RBAC) 、适用于物理设备的分析,以便也应用于云电脑。
设置预配策略
按照为Windows 365指南创建预配策略的说明进行操作,并按照以下特定步骤与 ASD 蓝图保持一致。
“常规”选项卡
在联接类型详细信息中,建议尽可能选择Microsoft Entra联接和Microsoft托管网络。 此选择提供了最佳的最终用户体验,同时具有管理简易性、安全性和简单性。 从网络和安全的角度来看,此配置将云电脑视为只能通过安全 VPN 连接到本地和指定的专用资源的隔离设备。
对于需要本地访问权限的云电脑用户,请参阅为Windows 365创建 Azure 网络连接。 建议创建两个预配策略:一个用于混合加入用户,以根据 信息安全手册 (ISM) 保护原则 11 限制不必要的访问,另一个用户不需要本地访问,确保最佳性能和安全性。
ISM 对数据的位置存储没有强制性要求。 Microsoft建议将云电脑预配到用户连接的最近区域,以获得最佳最终用户体验。 对于对高延迟敏感的应用程序,它们还可以从更靠近用户或后端系统的区域中受益,以确保最佳的最终用户体验。 对于 ASD 蓝图之后的大多数常见用例,用户位于澳大利亚,例如,Microsoft Entra Join 和 Microsoft 托管网络:
选择“澳大利亚地理”。
选择 “区域自动 (建议)
有关可用于预配Windows 365 云电脑的其他 Azure 地理位置和区域的详细信息,请参阅云电脑预配支持的地理位置和区域。
选择“使用Microsoft Entra单一登录 (SSO) ”。 应 启用 SSO 作为默认设置。 有关详细信息,请参阅Windows 365标识和身份验证。
选择 下一步。
“配置”选项卡
Windows 设置
对于“语言和区域”,请选择“ 英语 (新西兰) 。
注意
英语 (澳大利亚) 尚不可用于Windows 365。 建议选择“新西兰”选项与澳大利亚英语最相似。
云电脑命名
对于云电脑命名,如果你不需要具有特定的命名约定,我们建议取消选中此框,因为Microsoft在预配云电脑时自动创建电脑名称。 默认云电脑名称的 CPC前缀为 。
其他服务
Microsoft建议对Windows 365 企业版和一线专用模式使用自动修补。 它有助于组织实现终结点的基本 8 成熟度级别 3。
有关在 Essential 8 对齐设置中使用自动修补的详细信息,请参阅使用适用于Windows 365的 Autopatch 的 Essential 8 指南。
选择 下一步。 选择“ 创建”后,将开始预配云电脑。
范围标记、分配和评审 + 创建的其他步骤按照Windows 365的预配策略指南执行。
提示
范围标记用于在环境中提供精细的管理控制。 有关详细信息,请参阅 使用 RBAC 和范围标记。
窗口 365 应用程序建议
Windows App为用户提供统一的体验,以便用户连接到Microsoft DaaS 中的任何一个,例如Windows 365云电脑、Azure 虚拟桌面或 Dev Box。 可通过轻型可安装客户端或新式 HTML5 浏览器进行桌面访问。
在以下位置之一下载Windows App:
- https://windows365.microsoft.com
- Microsoft应用商店应用并搜索Windows App
若要使用 Windows App (客户端或浏览器) 进一步保护对云电脑桌面的访问,请使用用于授权和合规性的条件访问策略,以及/或移动应用程序管理 (MAM) 配置策略进行数据治理。
Intune中建议的蓝图设置
Windows 365安全基线
在 Microsoft Intune 管理中心部署Windows 365安全基线。有关分步说明,请参阅Windows 365安全基线。
管理云电脑的 RDP 设备重定向
Intune远程桌面协议 (RDP) 重定向设置确定用户如何访问其云电脑,以及他们有权访问哪些特定功能可以根据组织和最终用户的要求进行定制。
提示
ASD 建议组织“考虑蓝图及其独特的要求、风险偏好和组织文化”。 建议的重定向应根据组织的特定用例进行评估和定制。
| 重定向 | 详细指南 | 默认设置 | 注意 |
|---|---|---|---|
| 音频和视频重定向 | 配置音频和视频重定向 | 默认值为 “音频和视频播放重定向”已启用,允许重定向到本地计算机。 | 如果更改此设置,请考虑 ASD 蓝图中的辅助功能建议。 将此设置保留 为默认值。 |
| 音频捕获重定向 | 配置音频捕获重定向 | 默认为不阻止音频录制重定向,并且云电脑启用音频录制重定向。 |
ASD 蓝图建议阻止录音。 从 “允许音频录制重定向>已禁用”配置设置。 |
| 相机、摄像头和视频捕获 | 配置相机、网络摄像头和视频捕获重定向 | 默认为相机、网络摄像头和视频捕获外围设备重定向已启用,并且可以重定向到本地计算机。 | 如果更改此设置,请考虑 ASD 蓝图中的辅助功能建议。 将此设置保留 为默认值。 |
| 剪贴板 | 通过远程桌面协议配置剪贴板重定向 | 默认值为剪贴板重定向未阻止。 剪贴板在远程会话和本地设备之间双向重定向。 |
ASD 蓝图建议阻止剪贴板重定向。 从“ 不允许剪贴板重定向>”中配置设置。 |
| 驱动器和存储 | 配置固定、可移动和网络驱动器重定向 | 默认情况下,所有驱动器都从本地设备重定向到远程会话,包括稍后连接的驱动器。 |
ASD 蓝图建议阻止驱动器重定向。 从“ 不允许驱动器重定向>”中配置设置。 |
| Location | 配置位置重定向 | 默认为共享位置信息的用户控件。 | “强制定位启用”有助于识别位置异常,例如,使用遵循 ASD 蓝图保护 SaaS 的 ASD 蓝图建议的 Defender for Cloud App 异常情况检测策略无法旅行。 |
| MTP 和 PTP | 在 Windows 上配置媒体传输协议和图片传输协议重定向 | 默认值为 MTP,并启用 PTP 重定向。 | 从“不允许支持即插即用设备重定向>”中配置设置。 |
| Printers | 配置打印机重定向 | 默认值是将所有打印机从本地设备重定向到远程会话,本地设备上的默认打印机是云电脑中的默认打印机。 |
ASD 蓝图建议启用打印功能,仅供办公室使用。 不允许客户端打印机重定向>已启用。 或者,可以使用通用打印实现对指定办公室打印机进行安全 打印。 |
| 串行/COM 端口 | 配置串行或 COM 端口重定向 | 默认为串行端口或 COM 端口从本地设备重定向到云电脑。 | 从“ 不允许 COM 端口重定向>”中配置设置。 |
| 智能卡 | 配置智能卡设备重定向 | 默认为智能卡设备从本地设备重定向到云电脑。 | 从“不允许智能卡设备重定向>”中配置设置。 |
| USB | 在 Windows 上配置 USB 重定向 | 默认为不允许 USB 重定向。 | 从“不允许支持即插即用设备重定向>”中配置设置。 |
| WebAuthn | 配置 WebAuthn 重定向 | 默认为 Cloud PC 启用 WebAuthn 重定向 | 将此设置保留 为默认设置 , (允许 WebAuthn 重定向) ,因为 SSO 使用 WebAuthn。 |
设备重定向有一些细微差别,具体取决于所使用的客户端终结点 OS。 有关跨终结点的功能比较的详细信息,请参阅 跨平台和设备比较远程桌面应用功能。
常见 RDP 示例
本部分包含政府组织中常见云电脑用例的模板化 RDP 设备重定向示例。 使用这些设置作为起点,并根据组织需求进行定制。
示例 1:来自组织托管设备的公司用户
如果企业用户从组织托管设备登录,则建议云电脑继承现有的公司配置。
| 重定向 | 建议的设置 |
|---|---|
| 音频和视频重定向 | 继承 (无更改) |
| 音频捕获重定向 | 继承 (无更改) |
| 相机、摄像头和视频捕获 | 继承 (无更改) |
| 剪贴板 | 继承 (无更改) |
| 驱动器和存储 | 继承 (无更改) |
| 位置 | 继承 (无更改) |
| MTP 和 PTP | 继承 (无更改) |
| 打印机 | 继承 (无更改) |
| 串行/COM 端口 | 继承 (无更改) |
| 智能卡 | 继承 (无更改) |
| USB | 继承 (无更改) |
| WebAuthn | 继承 (无更改) |
示例 2:承包商 BYOD
政府设置中的一个常见用例是,为自带设备 (BYOD) 承包商用例的承包商提供常用的 RDP 设备重定向云电脑。
| 重定向 | 建议的设置 |
|---|---|
| 音频和视频重定向 | 保留 为默认值 |
| 音频捕获重定向 | 禁用 (阻止音频捕获) |
| 相机、摄像头和视频捕获 | 保留 为默认值 |
| 剪贴板 | 启用 (块剪贴板重定向) |
| 驱动器和存储 | 启用 (块驱动器和存储重定向) |
| 位置 | 强制启用位置 |
| MTP 和 PTP | 已启用 (块 MTP 和 PTP) |
| 打印机 |
已启用 (块打印机重定向) 或者,使用 通用打印 将所有打印定向回组织批准的办公室打印机。 |
| 串行/COM 端口 | 启用 (块串行/COM 端口) |
| 智能卡 | 启用 (阻止智能卡) |
| USB | 已启用 (阻止 USB) |
| WebAuthn | 保留 为默认值 |
示例 3:安全 enclave
安全 enclave 通常是小型的、独立的组织,专为比main组织处理的数据更高的分类数据而设计。 这允许具有更高权限和需要知道的人员获得此数据的访问权限。
| 重定向 | 建议的设置 |
|---|---|
| 音频和视频重定向 | 禁用 (阻止音频和视频重定向) |
| 音频捕获重定向 | 禁用 (阻止音频捕获) |
| 相机、摄像头和视频捕获 | 启用 (块视频捕获重定向) |
| 剪贴板 | 启用 (块剪贴板重定向) |
| 驱动器和存储 | 启用 (块驱动器和存储重定向) |
| 位置 | 强制启用位置 |
| MTP 和 PTP | 已启用 (块 MTP 和 PTP) |
| 打印机 |
已启用 (块打印机重定向) 或者使用 通用打印 将所有打印定向回指定的 受保护 分级打印机。 |
| 串行/COM 端口 | 启用 (块串行/COM 端口) |
| 智能卡 | 启用 (阻止智能卡) |
| USB | 已启用 (阻止 USB) |
| WebAuthn | 保留 为默认值 |
示例 4:跳转主机
根据 ISM 1387 (ML 2 和 3) ,可以通过跳转主机执行管理活动。 云电脑是实现跳转主机的一种简单有效方法。
| 重定向 | 建议的设置 |
|---|---|
| 音频和视频重定向 | 禁用 (阻止音频和视频重定向) |
| 音频捕获重定向 | 禁用 (阻止音频捕获) |
| 相机、摄像头和视频捕获 | 启用 (块视频捕获重定向) |
| 剪贴板 | 启用 (块剪贴板重定向) |
| 驱动器和存储 | 启用 (块驱动器和存储重定向) |
| 位置 | 强制启用位置 |
| MTP 和 PTP | 已启用 (块 MTP 和 PTP) |
| 打印机 |
已启用 (块打印机重定向) 或者使用 通用打印 将所有打印定向回指定的 受保护 打印机。 |
| 串行/COM 端口 | 启用 (块串行/COM 端口) |
| 智能卡 | 启用 (阻止智能卡) |
| USB | 已启用 (阻止 USB) |
| WebAuthn | 保留 为默认值 |
重要
若要满足 ISM 1175 并满足适用于跳转主机的 Essential 8 ML 1、2 和 3,请按照指南将Office 365服务限制为云电脑。 有关限制管理访问权限以满足 Essential 8 的详细信息,请参阅 Essential Eight 限制管理权限。