当前位置: 首页 > Modern Workplace > 正文

现代化云桌面之Windows 365安全管理篇(上)

Windows 365是一个完全遵循零信任的企业安全产品,在Windows 365中可以和Microsoft 企业移动性与安全性 (Microsoft Enterprise Mobility + Security,EMS)服务套件相结合,EMS是云原生的企业移动性和安全性管理平台,包括了 Azure Active Directory Premium(AADP),Microsoft Intune,Azure 信息保护 (AIP)等组件,全方位保护身份、设备、数据资产。秉持”从不信任,总是验证”的理念,EMS 的智能防护帮助企业打造”可信”基因,随时随地在任何设备上保护企业信息安全,为员工提供更加灵活、高效和安全的工作环境。同时,还能为企业抵御攻击和风险,提供全方位企业级智能防护。

AADP与Windows 365集成,允许企业员工使用一套账户和密码实现单点登录,并可通过自助密码重置功能自助找回密码,破除只能依赖IT的魔咒,让身份安全快速归位。AADP 的条件访问机制,可自动智能判断qi也员工身份及访问的安全性,确保只有受信用户才能访问企业内部信息,例如邮件、OneDrive,企业员工身份和企业安全,提升员工”归属感”。

AIP 作为云解决方案,能对数据进行智能分析、归类、保护,严格根据敏感数据策略保护企业内部或是离开企业内部的数据,亦或是云端、本地和各类移动存储设备之上的数据,禁止对无操作权限的数据进行编辑转发、复制截屏、打印等操作;还可实时追踪检测数据的分享时间、访问记录、访问地理位置、IP、共享状态等多种踪迹,为信息保护赋予完整的数据生命周期管理,在保证业务合规性的前提下,对企业数据资产进行”无死角”保护。


部署安全基线

安全基线是一组建立在安全最佳做法和实际实现经验之上的策略模板。可以使用安全基线获取有助于降低风险的安全建议。可借助安全基线实现 Windows 10、11、Edge 和 Microsoft Defender for Endpoint 的安全配置。它们包括版本控制功能,有助于客户选择何时将用户策略更新到最新版本。

    在Microsoft Endpoint Manager中已经内置一个基于Windows 365的安全基线,作为企业管理员拿来即用,然后根据企业安全要求进行一定的参数适配。

登录到 Microsoft Endpoint Manager 管理中心,选择”终结点安全” > “查看安全基线”


选择”Windows 365安全基线(预览版)”


选择”创建配置文件”,并定义配置文件的名称。在”配置设置”选项卡上,查看所选基线中可用的设置组。



本文以启用”阻止用户忽略SmartScreen警告”为例:如果将此项设置为”是”,则 SmartScreen 不会向用户提供忽略警告并运行应用的选项。系统将显示警告,但用户可以绕过该警告。如果将此项设置为”未配置”,则会将该设置恢复为 Windows 默认值,即允许用户进行覆盖。此设置要求启用”启用 Windows SmartScreen”设置。


在”分配”选项卡上,选择包含云电脑的设备组,然后将基线分配给一个或多个包含云电脑的组。



配置文件一经创建,便会推送到已分配的组,并可能会立即得以应用。等待分配完成。为了加速安全基线下发到云电脑,我们进行”同步”



查看SmartScreen结果


设置条件访问策略

条件访问是Azure Active Directory Premium中使用最频繁的一个功能,借助条件访问功能,在授予对内容的访问权限之前满足某些条件来保护系统中受管控的内容,如果用户想要访问资源,那么他们必须完成某项操作。例如,企业员工如果想要想要访问他们自己的邮箱,但需要执行多重身份验证才能访问。

在使用AzureAD条件访问时,请确认您具备Azure Active Directory Premium许可


登录到 Microsoft Endpoint Manager 管理中心,选择”终结点安全性” > “条件访问” > “新建策略”,定义条件访问策略的”名称”



在”新策略”选项卡中的”用户和组”下,选择”包含的特定用户”;


在”云应用或操作”下,选择”未选择云应用、操作或身份验证上下文”,选择”云应用” > “包含” > “选择应用”,本文以”Windows 365″和”Windows 虚拟桌面’为例


在”条件”中,设置仅允许使用”浏览器”登录


在”授权”下,控制访问强制以阻止或授予访问权限


在”启用策略”下,将”仅报告”设置为”关闭”。 如果将其设置为”开启”,则将在创建策略后立即应用。选择 “创建” 以创建策略


使用浏览器重新登录https://windows365.microsoft.com/ 页面,此时强制员工开启MFA双因素身份验证






本文固定链接: http://365vcloud.net/2022/01/27/windows-365-security-management-one/ | 365vCloud的云计算之旅

该日志由 TingXu 于2022年01月27日发表在 Modern Workplace 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: 现代化云桌面之Windows 365安全管理篇(上) | 365vCloud的云计算之旅
关键字: ,

现代化云桌面之Windows 365安全管理篇(上):等您坐沙发呢!

发表评论

您必须 [ 登录 ] 才能发表留言!