Технологии безопасности в Microsoft Managed DesktopSecurity technologies in Microsoft Managed Desktop

Microsoft Managed Desktop использует несколько технологий Майкрософт для защиты управляемых устройств и данных.Microsoft Managed Desktop uses several Microsoft technologies to help secure managed devices and data. Кроме того, Центр операций безопасности управляемых настольных компьютеров Майкрософт использует различные процессы в сочетании с этими технологиями.In addition, the Microsoft Managed Desktop Security Operations Center uses various processes in conjunction with these technologies.

Это означает следующее:Specifically:

Сведения о практиках хранения, использования и безопасности, используемых Microsoft Managed Desktop, см. в нашем whitepaper. https://aka.ms/mmd-dataFor information about data storage, usage, and security practices used by Microsoft Managed Desktop, see our whitepaper at https://aka.ms/mmd-data.

Безопасность устройствDevice security

Microsoft Managed Desktop обеспечивает безопасность и защиту всех управляемых устройств и выявляет угрозы как можно раньше с помощью следующих служб:Microsoft Managed Desktop ensures all managed devices are secured and protected, and detects threats as early as possible using the following services:

СлужбаService ОписаниеDescription
Защита от вирусовAntivirus Microsoft Defender AV установлен и настроенMicrosoft Defender AV is installed and configured
Определения AV Microsoft Defender устарелиMicrosoft Defender AV definitions are up to date
Шифрование полного томаFull Volume Encryption Windows BitLocker — это решение шифрования громкости для устройств Microsoft Managed Desktop.Windows BitLocker is the volume encryption solution for Microsoft Managed Desktop devices.

После того как организация будет встроена в службу, устройства будут шифроваться с помощью Windows BitLocker со встроенным модулем платформы доверия (TPM), чтобы предотвратить несанкционированный доступ к локальным данным, когда устройство находится в режиме сна или отключено.Once an organization is onboarded into the service, devices will be encrypted using Windows BitLocker with built-in Trust Platform Module (TPM) to prevent unauthorized access to local data when the device is in sleep mode, or off.
МониторингMonitoring Microsoft Defender для конечной точки используется для мониторинга угроз безопасности на всех управляемых настольных устройствах Майкрософт.Microsoft Defender for Endpoint is used for security threat monitoring across all Microsoft Managed Desktop devices. Defender for Endpoint позволяет корпоративным клиентам обнаруживать, исследовать и реагировать на расширенные угрозы в корпоративной сети.Defender for Endpoint allows enterprise customers to detect, investigate, and respond to advanced threats in their corporate network. Дополнительные сведения см. в веб-сайте Microsoft Defender для конечной точки.For more information, see Microsoft Defender for Endpoint.
Обновления операционной системыOperating system updates Устройства Microsoft Managed Desktop всегда защищены последними обновлениями безопасности.Microsoft Managed Desktop devices are always secured with the latest security updates.
Безопасная конфигурация устройстваSecure Device Configuration Microsoft Managed Desktop реализует базовый уровень безопасности Майкрософт.Microsoft Managed Desktop implements the Microsoft Security Baseline. Дополнительные сведения см. в базовых данных по безопасности Windows.For more information, see Windows security baselines.

Управление идентификацией и доступомIdentity and access management

Управление удостоверениями и доступом защищает корпоративные активы и критически важные для бизнеса данные.Identity and access management protects corporate assets and business-critical data. Microsoft Managed Desktop настраивает устройства для обеспечения безопасного использования с помощью управляемых удостоверений Azure Active Directory (Azure AD).Microsoft Managed Desktop configures devices to ensure secure use with Azure Active Directory (Azure AD) managed identities. Клиент несет ответственность за ведение точных сведений в клиенте Azure AD.It is the customer's responsibility to maintain accurate information in their Azure AD tenant.

СлужбаService ОписаниеDescription
Биометрическая проверка подлинностиBiometric Authentication Windows Hello позволяет пользователям войти с помощью их лица или ПИН-кода, что усложняет возможность забыть или украсть пароли.Windows Hello allows users to sign in by using their face or a PIN, making passwords harder to forget or steal. Клиенты несут ответственность за реализацию необходимых предварительных условий для локального Active Directory для использования этой службы в гибридной конфигурации.Customers are responsible for implementing the necessary pre-requisites for their on-premises Active Directory for use of this service in a hybrid configuration. Дополнительные сведения см. в windows Hello.For more information, see Windows Hello.
Стандартные разрешения пользователейStandard user permission Чтобы защитить систему и сделать ее более безопасной, пользователю будут назначены стандартные разрешения пользователей.To protect the system and make it more secure, the user will be assigned Standard User Permissions. Это разрешение назначено в рамках работы windows Autopilot вне окна.This permission is assigned as part of the Windows Autopilot out-of-box experience.

Сетевая безопасностьNetwork security

Клиенты несут ответственность за безопасность сети.Customers are responsible for network security.

СлужбаService ОписаниеDescription
VPNVPN Клиенты владеют своей инфраструктурой VPN, чтобы обеспечить доступ к ограниченным корпоративным ресурсам за пределами интрасети.Customers own their VPN infrastructure, to ensure limited corporate resources can be exposed outside the intranet.

Минимальное требование: Microsoft Managed Desktop требует совместимого и поддерживаемых VPN-решения Windows 10.Minimum requirement: Microsoft Managed Desktop requires a Windows 10 compatible and supported VPN solution. Если вашей организации требуется решение VPN, она должна поддерживать Windows 10 и быть упакованной и развертываемой через Intune.If your organization needs a VPN solution, it needs to support Windows 10 and be packaged and deployable through Intune. Дополнительные сведения обратитесь к издателю программного обеспечения.Contact your software publisher for more information.

Рекомендация:Recommendation:
— Корпорация Майкрософт рекомендует современное VPN-решение, которое можно легко развернуть через Intune для нажатия профилей VPN.- Microsoft recommends a modern VPN solution that could be easily deployed through Intune to push VPN profiles. Этот подход обеспечивает надежный, надежный и надежный способ доступа к корпоративной сети.This approach provides an always-on, seamless, reliable, and secure way to access corporate network. Дополнительные сведения см. в [ПАРАМЕТРЫ VPN в Intune].For more information, see [VPN settings in Intune].
- Толстые VPN-клиенты или более старые VPN-клиенты не рекомендуется Корпорацией Майкрософт при использовании Microsoft Managed Desktop, так как это может повлиять на среду пользователей.- Thick VPN clients, or older VPN clients, are not recommended by Microsoft while using Microsoft Managed Desktop as it can impact the user environment.
— Корпорация Майкрософт рекомендует, чтобы исходяющий веб-трафик напрямую переходить в Интернет без доступа к VPN, чтобы избежать проблем с производительностью.- Microsoft recommends that the outgoing web traffic goes directly to Internet without going through the VPN to avoid any performance issues.
— В идеале Корпорация Майкрософт рекомендует использовать прокси-сервер приложения Azure Active Directory вместо VPN.- Ideally, Microsoft recommends the use of Azure Active Directory App Proxy instead of a VPN.

Информационная безопасностьInformation security

Вы можете настроить эти необязательные службы для защиты корпоративных ценных активов.You can configure these optional services to help protect corporate high-value assets.

СлужбаService ОписаниеDescription
Восстановление данныхData recovery Сведения, хранимые в папках ключей на устройстве, хранятся в OneDrive для бизнеса.Information stored in key folders on the device is backed up to OneDrive for Business. Microsoft Managed Desktop не несет ответственности за данные, которые не синхронизируются с OneDrive для бизнеса.Microsoft Managed Desktop is not responsible for data that isn’t synchronized with OneDrive for Business.
Windows Information ProtectionWindows Information Protection Для компаний, которые требуют высокого уровня информационной безопасности, мы рекомендуем Windows Information Protection и Azure Information Protection..For companies that require high levels of information security, we recommend Windows Information Protection and Azure Information Protection..