隐私

Microsoft 托管桌面是面向企业云客户的 IT 即服务 (ITaaS)服务，旨在持续部署和更新员工的 Windows 设备。

它还提供 IT 服务管理和运营、监视安全和事件响应以及用户支持。 本文提供更多有关 Microsoft 托管桌面的数据平台和隐私合规性的详细信息。

Microsoft 托管桌面数据源和用途

Microsoft 托管桌面为企业客户提供服务，并使用来自各种源的数据以正确管理客户的已注册设备。

这些源包括Microsoft Entra ID、Microsoft Intune、Microsoft Windows 10/11 和 Microsoft Defender for Endpoint。 它们提供 Microsoft 托管桌面管理的设备的全面视图。 该服务还使用这些 Microsoft 服务使 Microsoft 托管桌面能够提供 ITaaS 功能:

数据源	用途
Microsoft Windows 10/11 企业版	管理设备安装体验、管理与其他服务的连接，以及对 IT 专业人员的运营支持。
适用于企业的 Windows 更新	使用 Windows 10/11 企业诊断数据提供有关 Windows 10/11 更新的其他信息。
Microsoft Intune产品系列	设备管理和确保数据安全。 以下数据源属于Microsoft Intune系列： Microsoft Entra ID：所有用户帐户的身份验证和标识。 Microsoft Intune: 分发设备配置、设备管理和应用程序管理。 终结点分析: 有关设备和应用使用情况的分析见解。 Windows Autopilot: 设备预配和部署。 Microsoft Defender for Endpoint: 提供安全服务，例如设备安全监视和安全智能数据。
Microsoft 托管桌面	运行服务期间客户提供的数据或服务生成的数据。
Microsoft 365 企业应用版	管理 Microsoft 365 应用。

Microsoft 托管桌面数据处理和存储

Microsoft 托管桌面依赖来自多个 Microsoft 产品和服务的数据，从而为企业客户提供服务。

为了保护和维护已注册的设备，我们会处理来自这些服务的数据并将其复制到 Microsoft 托管桌面。 处理数据时，我们会遵循你提供的记录说明，如 联机服务条款 和 Microsoft 隐私声明 中所述。

Microsoft 托管桌面的处理者职责包括确保适当的保密性、安全性和复原能力。 Microsoft 托管桌面采用其他隐私和安全措施，从而确保正确处理个人身份数据。

Microsoft 托管桌面数据存储和员工位置

Microsoft 托管桌面会根据数据驻留情况将其数据存储在 Azure 数据中心。 有关详细信息，请参阅 Microsoft 365 数据中心位置。

重要

• 自 2022 年 11 月 8 日起，只有 (欧盟、英国、非洲、中东) 的新 Microsoft 托管桌面客户才会将其数据传送到欧洲数据中心。
• 现有的欧盟 (欧盟) Microsoft 托管桌面客户将在 2022 年底之前从北美数据中心迁移到欧洲数据中心。
• 如果你是现有的 Microsoft 托管桌面客户，但不是欧盟的一部分，则明年将从北美迁移到各自的数据驻留。

Microsoft 托管桌面和其他服务获取的数据是保持服务正常运行所必需的。 如果从 Microsoft 托管桌面中删除设备，我们会将数据保留最多 30 天。 但是，出于安全目的，Microsoft Defender for Endpoint 收集的警报数据会存储 180 天。 有关数据保留的详细信息，请参阅 Microsoft 365 中的数据保留、删除和销毁。

Microsoft 托管桌面工程运营和安全运营团队位于美国、印度和罗马尼亚。

Microsoft Windows 10/11 诊断数据

Microsoft 托管桌面使用 Windows 10/11 增强的诊断数据来确保 Windows 安全、最新、解决问题并改进产品。

增强型诊断数据设置包括更多有关在 Microsoft 托管桌面中注册的设备及其设置、功能和设备运行状况的详细信息。 选择增强型诊断数据后，会收集数据(包括所需的诊断数据)。 有关详细信息，请参阅有关 Windows 10/11 诊断数据设置和数据收集的 Windows 诊断数据收集的更改。

Windows 的未来版本中将更改诊断数据术语。 Microsoft 托管桌面承诺仅处理服务所需的数据。 虽然这意味着诊断级别将更改为 可选，但Microsoft 托管桌面将实施有限的诊断策略，从而微调服务所需的诊断数据收集。 有关详细信息，请参阅 对 Windows 诊断数据收集的更改。

Microsoft 托管桌面仅处理和存储来自 Windows 10/11 可选诊断数据的系统级数据，这些数据源自已注册设备，例如应用程序和设备可靠性，以及性能信息。 Microsoft 托管桌面不会处理和存储客户的数据，例如聊天和浏览器历史记录、语音、文本或语音数据。

有关 Microsoft Windows 10/11 诊断数据收集的详细信息，请参阅 Microsoft 隐私声明的存储和处理数据的位置部分。

有关如何使用 Windows 诊断数据的详细信息，请参阅：

• 组织中的 Windows 诊断数据
• 需要 Windows 诊断数据的功能

租户访问

Microsoft 托管桌面会在租户中创建企业应用程序。 此企业应用程序用于运行 Microsoft 托管桌面服务。

企业应用程序名称	用法	权限
新式工作场所管理	新式工作区管理应用程序： 管理服务 发布基线配置更新 维护整体服务运行状况	DeviceManagementApps.ReadWrite.All DeviceManagementConfiguration.ReadWrite.All DeviceManagementManagedDevices.PriviligedOperation.All DeviceManagementManagedDevices.ReadWrite.All DeviceManagementRBAC.ReadWrite.All DeviceManagementServiceConfig.ReadWrite.All Directory.Read.All Group.Create Policy.Read.All WindowsUpdates.ReadWrite.All

Microsoft Windows Update for Business

Microsoft Windows Update for Business 使用 Windows 诊断中的数据来分析更新状态和故障。 Microsoft 托管桌面使用这些数据并将其用于缓解和解决问题，从而确保所有已注册设备都根据预定义的更新节奏保持最新状态。

Microsoft Entra ID

Microsoft 托管桌面使用的标识数据按Microsoft Entra ID 存储在地理位置中。 地理位置基于组织在订阅 Microsoft 联机服务时提供的位置，例如适用于 Microsoft 企业应用版和 Azure。 有关Microsoft Entra数据所在位置的详细信息，请参阅Microsoft Entra ID - 数据位于何处？

Microsoft Intune

Microsoft Intune 收集、处理数据并将其共享到 Microsoft 托管桌面，从而支持业务运营和服务。 有关 Intune 中收集的数据的详细信息，请参阅 Intune 中的数据收集

有关 Microsoft Intune 数据位置的详细信息，请参阅 Microsoft 365 客户数据的存储位置。 Intune 遵循管理员为客户数据选择的存储位置。

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint 收集并存储在Microsoft 托管桌面中注册的设备的信息，以用于管理、跟踪和报告目的。 收集的信息包括:

• 文件数据(例如文件名、大小和哈希)
• 进程数据(正在运行的进程、哈希)
• 注册表数据
• 网络连接数据
• 设备详细信息(例如设备标识符、设备名称和操作系统版本)

有关 Microsoft Defender for Endpoint 的数据收集和存储位置的详细信息，请参阅 Microsoft Defender for Endpoint 数据存储和隐私。

Microsoft 365 企业应用版

Microsoft 365 企业应用版收集数据并将其与 Microsoft 托管桌面共享，从而确保这些应用保持为最新版本。 这些更新基于由 Microsoft 托管桌面管理的预定义更新频道。 有关 Microsoft 365 应用的数据收集和存储位置的详细信息，请参阅 Microsoft Defender for Endpoint 数据存储和隐私。

重大数据更改通知

Microsoft 托管桌面遵循服务通信框架中所述的更改控制流程。

我们通过 Microsoft 365 消息中心和Microsoft Intune管理中心通知客户安全事件和服务的重大更改。

对收集的数据类型及其存储位置的更改被视为重大更改。 我们将根据 Microsoft 365 产品和服务的标准做法，提供至少 30 天的有关此更改的高级通知。 有关详细信息，请参阅 服务更改和通信。

合规性

Microsoft 托管桌面进行了外部审核，并获得了一组全面的合规性产品/服务。 可以在 合规性 中查找详细信息。 审核报告可在 Microsoft 服务信任门户 中下载，该门户充当 Microsoft Enterprise Online Services 的中心存储库。 “监视和管理”类别下的这些文档中列出了 Microsoft 托管桌面。

数据主体请求

Microsoft 托管桌面遵循 GDPR 和 CCPA 隐私法规，为数据主体提供对其数据的特定权限。

这些权限包括:

• 获取数据副本
• 请求更正副本
• 限制处理副本
• 删除副本
• 以电子格式接收副本，以便将其移动到另一个控制器。

更多有关数据主体请求(DSR)的常规信息，请参阅 数据主体请求以及 GDPR 和 CCPA。

要对 Microsoft 托管桌面事例管理系统收集的数据执行数据主体请求，请参阅以下数据主体请求:

数据主体请求	说明
来自 Microsoft Defender for Endpoint 警报的数据	安全管理员可以通过提交报告请求来请求删除或提取与Microsoft Defender for Endpoint警报相关的数据。 请提供下列信息： 请求类型: 更改请求 类别: 安全性 子类别 其他 说明: 提供相关的设备名称。
来自 Microsoft 托管桌面支持请求的数据	IT 管理员可以通过 提交报告请求来请求删除或提取与数据相关的支持请求。 请提供下列信息： 请求类型: 更改请求 类别: 安全性 子类别 其他 说明: 提供相关的设备名称或用户名。

有关与服务相关的其他产品的 DSR，请参阅以下文章:

• Windows 诊断数据
• Microsoft Intune 数据
• Azure Active Directory 数据

法律

面向组织客户提供的产品的最终用户的 Microsoft 隐私声明:

Microsoft 隐私声明 通知最终用户，当他们使用工作帐户登录到 Microsoft 产品时:

1. 他们的组织可以控制并管理其帐户(包括控制与隐私相关的设置)，以及访问并处理其数据。
2. Microsoft 可能会收集并处理这些数据，从而向组织和最终用户提供服务。