Windows 365 中的隐私、客户数据和客户内容
Windows 365 是一项基于云的服务,可用于为用户预配和管理云电脑。 使用Microsoft Intune (Windows 365 企业版) 或自助服务体验 (Windows 365 商业版) 管理其余设备的云电脑。 本文档提供有关 Windows 365 数据平台和隐私合规性的详细信息。 除非另行指定,否则本文档中的术语 Windows 365 同时指称 Windows 365 企业版和 Windows 365 商业版。 如果下面的详细信息有所不同,则将单独调用每个产品。
Windows 365 数据源和用途
Windows 365 通过从下面列出的源收集和使用数据来为客户提供服务。 这些源提供 Windows 365 管理的设备的全面视图。
- Microsoft Windows Enterprise - 用于管理设备安装体验、管理与其他服务的连接,以及对 IT 专业人员的运营支持。
- Microsoft Intune产品系列 – 用于设备和应用管理、数据安全性和设备配置。
- 终结点分析 - Microsoft Intune产品系列的一部分,专用于有关设备和应用使用情况的分析见解。
- Microsoft 365企业应用版 - 用于管理Microsoft 365 应用版。
为了保护和维护已注册的设备,Windows 365 会处理数据,并将数据从客户配置的联机服务和数据管道复制到 Windows 365。 将数据从这些服务集成到 Windows 365 后,适用于 Windows 365 的 产品条款 和 Microsoft 隐私声明 也将适用于数据。 Windows 365 确保适当的数据保密性、安全性和复原能力。 Windows 365 采用额外内部隐私和安全措施来确保正确处理个人数据。
Windows 365 数据存储
根据租户的区域和首选项,Windows 365 将其客户内容存储在北美、欧洲或亚太地区的 Azure 区域中。 与云电脑关联的云电脑虚拟磁盘、客户内容、数据和存储位于 预配 云电脑的 Azure 区域中。 对于Windows 365 企业版,区域在Microsoft托管网络或 Azure 网络连接中定义, (ANC) 云电脑的关联预配策略中的设置。 Windows 365 商业版将客户数据存储在云电脑本身的 Azure 区域中。
为了管理云电脑,与云电脑相关的某些数据 ((如计算机名称、诊断数据和服务生成的数据) )存储在租户位置定义的北美、欧洲或亚太地区的 Azure 数据中心。 此存储基于 Microsoft Online 租户的国家/地区映射到最近的 Azure 区域。
Azure 虚拟桌面或Intune可能会收集其他客户数据、诊断数据或服务生成的数据,因为Windows 365依赖于这些服务。
有关你的数据位于何处的详细信息,请参阅:
客户数据和客户内容的存储时间有多长?
Windows 365 将云电脑磁盘和 VM 本身上的数据视为客户内容。
从 Windows 365 中删除用户时,Windows 365 将非警报个人数据保留最多 90 天。 在被动方案中,数据至少保留 90 天,最多保留 180 天。 若要访问被动方案中保存的客户数据,请联系支持人员。 出于安全考虑,由 Microsoft Defender for Endpoint 收集的警报数据存储 180 天(如果客户使用 Microsoft Defender for Endpoint)。
有关数据保留的详细信息,请参阅 Microsoft 365 中的数据保留、删除和销毁。
Windows 365默认采用Microsoft Intune的标准做法来审核、导出或删除个人数据。
个人数据是根据通过 Microsoft 在线服务条款 (OST) 确保的技术安全措施在 Intune 服务的已审核合规性范围内处理的。
有关所有相关服务的单个数据保留和存储策略的详细信息,请参阅:
隔离和访问控制
Windows 365 企业版中的每个内部客户数据订阅都包含来自多个租户的 Azure 虚拟桌面 (AVD) 元数据、云电脑和存储。 每个 VM 都连接到单个虚拟网络接口卡 (NIC)。 在预配云电脑期间,该 NIC 将附加到客户 Azure 订阅中的单个虚拟网络。 虚拟网络由租户管理员定义。 每个云电脑都通过使用 AVD 连接中转层分配给单个用户。 AVD 层 (ACL) 访问控制列表由租户和用户级别的Microsoft Entra ID进行身份验证。 Windows 365 中进出云电脑的网络访问权限由每个租户管理员自行控制和决定。 因此,租户 B 中的用户无法访问租户 A 中的云电脑,除非租户 A 管理员选择在其订阅的网络层提供 Windows 365 和 AVD 之外的连接。
对于 Windows 365 商业版,将在租户中创建一个或多个专用虚拟网络。 该服务根据需要自动创建更多网络,并且不保证同一租户中的所有 Windows 365 商业版云电脑将彼此建立网络连接。
上述所有隔离都基于每个用户(每个云电脑)进行,因为 Windows 365 不支持多用户方案。
有关 Windows 365 体系结构的完整说明,请参阅 Windows 365 体系结构。 有关 Microsoft 365 中隔离的详细信息,请参阅 Microsoft 365 中的隔离和访问控制。 有关 Microsoft 365 中访问管理的详细信息,请参阅 标识和访问管理 - Microsoft 服务保证。
合规性和法律信息
完成 Windows 365 的审核报告后,将可在 Microsoft 服务信任门户 下载。 Microsoft 服务信任门户充当 Microsoft 企业在线服务的中心存储库。
Microsoft 向组织客户提供的产品最终用户的隐私声明 - Microsoft 隐私声明 通知最终用户在使用工作帐户登录 Microsoft 产品时,a) 其组织可以控制和管理其帐户(包括控制与隐私相关的设置),并且可以访问和处理其数据;b) Microsoft 可以收集和处理数据,以向组织和最终用户提供服务。