安全指南
若要提高云电脑的安全性,请考虑以下通用指南:
应用条件访问策略来控制可以连接到电子邮件和公司资源的设备和应用。 使用条件访问来保护最终用户对Windows 365的访问。具体而言,考虑使用Microsoft Entra多重身份验证对用户进行身份验证。 有关详细信息,请参阅什么是Microsoft Entra ID中的条件访问?
使用 Microsoft Defender for Endpoint 识别威胁,并将设备设置为不合规。 你可以轻松地将 Microsoft Defender for Endpoint 连接到云电脑设备,将设备合规性策略应用于云电脑,并使用条件访问来识别威胁。 有关详细信息,请参阅在 Intune 中使用条件访问强制执行 Microsoft Defender for Endpoint 的合规性。
将 Intune 合规性策略与云电脑的条件访问策略结合使用。 这些策略有助于识别不合规的设备和用户,从而阻止这些设备和用户访问公司资源,直到降低设备风险级别为止。 有关详细信息,请参阅 Microsoft Intune 中的 Windows 10/11 合规性设置。
注意
云电脑不支持 BitLocker。 建议将此设置从针对云电脑的合规性策略中排除。
设备安全性最重要的元素之一是 OS 更新。 这些更新可以确保设备保持最新状态且安全,同时提供新功能和针对漏洞的防御。 对于云电脑,IT 管理员可以使用 Endpoint Manager 为适用于企业的 Windows 更新配置 Intune Windows 10/11 更新通道和策略。 有关详细信息,请参阅在 Intune 中管理 Windows 10/11 软件更新。
默认情况下,Windows 365 企业版最终用户不是其云电脑的管理员。 此策略符合 Windows 10/11 安全指南。 有关本指南的详细信息,请参阅 Windows文档中的本地帐户。
Windows 365 与 Microsoft Defender for Endpoint 的集成。 了解为什么Microsoft Defender防病毒和Microsoft Defender for Endpoint在一起更好。 安全和终结点管理员可以像管理物理终结点一样,共同管理其云电脑环境。 如果已订阅,云电脑将:
Windows 365与 Microsoft Purview 集成。 加入 Defender for Endpoint 包括 Purview Endpoint 数据丢失保护 (DLP) 。 DLP 检测何时使用和共享敏感项。 这为你提供了所需的可见性和控制,以确保正确使用和保护数据,并帮助防止可能危及数据的安全行为。 配置终结点数据丢失防护设置 ,以防止数据获取:
- 从云电脑剪贴板/驱动器复制到未经授权的设备。
- 打印到未经授权的打印机。