安全性指導方針

若要協助改善雲端計算機的安全性，請考慮下列一般指導方針：

1. 套用條件式存取原則，以控制可連線到電子郵件和公司資源的裝置和應用程式。 使用條件式存取來保護存取使用者存取 Windows 365。具體而言，請考慮使用 Microsoft Entra 多重要素驗證來驗證使用者。 如需詳細資訊，請參閱什麼是 Microsoft Entra ID 條件式存取？

2. 使用 適用於端點的 Microsoft Defender 來識別威脅，並將裝置設定為不符合規範。 您可以輕鬆地將 適用於端點的 Microsoft Defender 連線到雲端電腦裝置、將裝置合規性政策套用至雲端電腦，以及使用條件式存取來識別威脅。 如需詳細資訊，請參閱在 Intune 中使用條件式存取強制 適用於端點的 Microsoft Defender 合規性。

3. 使用 Intune 合規性原則搭配雲端計算機的條件式存取原則。 這些原則有助於識別不符合規範的裝置和使用者，因此在降低裝置風險層級之前，他們無法存取公司資源。 如需詳細資訊，請參閱 Microsoft Intune 中的 Windows 10/11 合規性設定。

   注意事項

   雲端電腦不支援 BitLocker。 建議您從以雲端計算機為目標的合規性原則中排除此設定。

4. 裝置安全性最重要的元素之一是OS更新。 這些更新可確保裝置保持最新且安全，同時提供新功能和防禦弱點。 針對雲端計算機，IT 系統管理員可以使用端點管理員來設定 Intune Windows 10/11 更新通道和商務用 Windows Update 原則。 如需詳細資訊，請參閱在 Intune 中管理 Windows 10/11 軟體更新。

5. 根據預設 Windows 365 企業版，終端使用者不是其雲端計算機的系統管理員。 此原則與 Windows 10/11 安全性指引一致。 如需本指南的詳細資訊，請參閱 Windows 檔中的本機 帳戶 。

6. Windows 365 與 適用於端點的 Microsoft Defender整合。 了解為什麼 Microsoft Defender 防病毒軟體和 適用於端點的 Microsoft Defender 會更好。 安全性和端點系統管理員可以共同作業來管理其雲端計算機環境，就像管理實體端點一樣。 如果已訂閱，雲端電腦將會：

   • 將數據傳送至 Microsoft 365 安全分數。
   • 狀況不良的計算機會顯示在 適用於端點的 Microsoft Defender 資訊安全中心和威脅分析儀錶板上。
   • 像其他受管理的裝置一樣回應補救措施。
   • 支援使用Defender或 Intune進行竄改保護管理

7. Windows 365 與 Microsoft Purview 整合。 上線至適用於端點的Defender包含 Purview Endpoint Data Loss Protection (DLP) 。 DLP 會偵測何時使用和共用敏感性專案。 這可提供您所需的可見度和控制，以確保正確使用和保護數據，並協助防止可能危害數據的風險行為。 設定端點數據外洩防護設定 ，以防止數據取得：

   • 從雲端電腦剪貼簿/磁碟驅動器複製到未經授權的裝置。
   • 印表到未經授權的印表機。

後續步驟

部署安全性基準