Компания Microsoft предоставила руководство о том, как организации могут защитить свои облачные ПК с Windows 365.

Прежде всего, важно знать, что на облачных компьютерах с Windows 365 предустановлен Microsoft Defender, а также используются образы ОС, которые автоматически обновляются с помощью Центра обновления Windows для бизнеса.

Мы уже знаем, что Windows 365 бывает двух видов: Business и Enterprise. Таким образом, существуют ключевые различия в конфигурациях безопасности для двух вариантов. Поскольку Business предназначен для небольших организаций с централизованным ИТ-персоналом, пользователи с облачными ПК в этой программе имеют права локального администратора. Microsoft утверждает, что это отражает то, что в настоящее время происходит в небольших компаниях, где физические компьютеры покупаются и настраиваются самими сотрудниками. Тем не менее, если у вас есть ИТ-отдел и вы хотите использовать Windows 365 Business, вы также можете использовать Microsoft Endpoint Manager. Для этого вам также рекомендуется зарегистрировать облачные ПК в службе с помощью автоматической регистрации, управлять локальной группой администраторов, включить многофакторную аутентификацию (MFA) и настроить правила уменьшения поверхности атаки (ASR) в Microsoft Defender.

Между тем, Windows 365 Enterprise рекомендуется более крупным компаниям с выделенными ИТ-отделами. Все облачные ПК в этой программе автоматически регистрируются в Microsoft Endpoint Manager и также не имеют прав локального администратора. Они могут быть предоставлены для каждого пользователя. Помимо этого, Microsoft рекомендует ограничить права локального администратора, развернуть базовый план безопасности Windows 365 и настроить условный доступ Azure Active Directory (AAD), включая MFA.

Microsoft отметила, что функция Trusted Launch еще не присутствует в Windows 365, хотя она доступна для Azure Virtual Desktop. Компания будет работать над тем, чтобы включить это, как только Windows 11 будет глобально запущена в Windows 365 позже в этом году.