Технологии управления безопасностью и доступом

  • Статья

Microsoft Managed Desktop использует несколько технологий Microsoft для защиты управляемых устройств и данных. Кроме того, Microsoft Managed Desktop Security Operations Center использует различные процессы с этими технологиями. Это означает следующее:

Процесс Описание
Безопасность устройств Безопасность и защита на устройствах Microsoft Managed Desktop.
Управление удостоверениями и доступом Управление безопасным использованием устройств с помощью служб Microsoft Entra удостоверений.
Безопасность сети Информация о VPN и рекомендуемое решение и параметры Microsoft Managed Desktop.
Информационная безопасность Дополнительные доступные службы для лучшей защиты конфиденциальных сведений.

Сведения о хранении данных, использовании и методах безопасности, используемых Microsoft Managed Desktop, см. в нашем техническом документе.

Безопасность устройств

Microsoft Managed Desktop обеспечивает защиту и защиту управляемых устройств, а также обнаруживает угрозы как можно раньше с помощью следующих служб:

Служба Описание
антивирусная программа установлена и настроена антивирусная программа Microsoft Defender
Определения антивирусной программы Microsoft Defender обновлены.
Полное шифрование тома Microsoft Managed Desktop использует Windows BitLocker в качестве решения для шифрования томов.

Мы предлагаем шифрование системного диска XTS AES 128 с допустимыми исключениями для 256. По умолчанию ПИН-код или КЛЮЧ не требуется, но вы можете запросить требуемый ПИН-код или КЛЮЧ. Съемный носитель задается для шифрования AES CBC 128.
Мониторинг Microsoft Defender для конечной точки используется для мониторинга угроз безопасности на всех устройствах Microsoft Managed Desktop. Defender для конечной точки позволяет корпоративным клиентам обнаруживать, исследовать и реагировать на сложные угрозы в корпоративной сети.
Обновления операционной системы Устройства Microsoft Managed Desktop всегда защищены последними обновлениями безопасности. Дополнительные сведения см. в разделе Управление обновлениями программного обеспечения.
Безопасная конфигурация устройства Microsoft Managed Desktop реализует базовый план безопасности Майкрософт. Дополнительные сведения см. в разделе Базовые показатели безопасности Windows. Параметры по умолчанию для управляемого рабочего стола Майкрософт см. в разделе Параметры базовых показателей безопасности microsoft Managed Desktop.

Управление идентификацией и доступом

Управление удостоверениями и доступом защищает корпоративные активы и важные для бизнеса данные. Microsoft Managed Desktop настраивает устройства для обеспечения безопасного использования с Microsoft Entra управляемыми удостоверениями. Клиент несет ответственность за сохранение точных сведений в Microsoft Entra клиенте.

Служба Описание
Биометрическая проверка подлинности Microsoft Managed Desktop предлагает параметр конфигурации для обеспечения безопасной проверки подлинности на основе Windows Hello для бизнеса. Windows Hello для бизнеса обеспечивает биометрическую безопасность, которая является более надежной, чем проверка подлинности на основе имени пользователя и пароля. Клиенты несут ответственность за реализацию необходимых условий для локального Microsoft Entra идентификатора для использования этой службы в гибридной конфигурации.
Профили устройств Чтобы защитить систему и сделать ее более безопасной, пользователю будет назначен один из следующих профилей устройств:
  • Стандартный пользователь
  • Опытный пользователь
  • Пользователь конфиденциальных данных
  • Киоск

Профили устройств назначаются как часть встроенного интерфейса Windows Autopilot.

Сетевая безопасность

Клиенты несут ответственность за сетевую безопасность.

Служба Описание
VPN Клиенты владеют своей инфраструктурой VPN, чтобы обеспечить доступ к ограниченным корпоративным ресурсам за пределами интрасети.

Microsoft Managed Desktop требует:

  • Windows 10 совместимое и поддерживаемое VPN-решение
  • Устройство должно поддерживать Windows 10, упаковывать и развертывать с помощью Intune

Свяжитесь с издателем программного обеспечения для получения дополнительных сведений.

Рекомендации:

  • Корпорация Майкрософт рекомендует современное решение VPN, которое можно легко развернуть с помощью Intune для передачи профилей VPN. Этот подход обеспечивает постоянный, простой, надежный и безопасный способ доступа к корпоративной сети. Дополнительные сведения см. в разделе Параметры VPN в Intune.
  • Корпорация Майкрософт не рекомендует использовать толстые VPN-клиенты или более старые VPN-клиенты при использовании Microsoft Managed Desktop, поскольку они могут повлиять на пользовательскую среду.
  • Корпорация Майкрософт рекомендует, чтобы исходящий веб-трафик проходил непосредственно в Интернет, не проходя через VPN, чтобы избежать проблем с производительностью.
  • В идеале корпорация Майкрософт рекомендует использовать прокси-сервер приложения Microsoft Entra вместо VPN.

Информационная безопасность

Эти необязательные службы можно настроить для защиты ценных корпоративных ресурсов.

Служба Описание
Восстановление данных. Данные, хранящиеся в папках ключей на устройстве, архивируются до OneDrive для бизнеса. Microsoft Managed Desktop отвечает за безопасную функциональность клиента OneDrive и синхронизацию его данных с серверной частью OneDrive для бизнеса в Приложения Microsoft 365. Однако фактические защищенные данные не отвечают за группы поддержки Microsoft Managed Desktop. Обратитесь в службу поддержки OneDrive.
Windows Information Protection Для компаний, которым требуется высокий уровень информационной безопасности, мы рекомендуем Windows Information Protection и Azure Information Protection.