Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Terzo Evento 09-02-2022 Windows 365 Security

Terzo Evento 09-02-2022 Windows 365 Security

Terzo evento della community italiana di Microsoft Endpoint Manager (MEM)
https://www.linkedin.com/groups/9007892/

Sessione dedicata a Windows 365 Security

Il video dell'evento verrà pubblicato sul canale YouTube della community
https://www.youtube.com/channel/UC4xrB6LJxAFR89FAI_mnpvg

Intune Italian User Group

February 11, 2022
Tweet

More Decks by Intune Italian User Group

Other Decks in Technology

Transcript

  1. 2 1. Introduzione 2. Funzionalità Security Microsoft 365 Business 3.

    Funzionalità Security Microsoft 365 Enterprise 1. MFA e Azure AD Conditional Access Policy 2. Microsoft Endpoint Manager 3. Microsoft Defender for Endpoint 4. Funzionalità security Azure Networking CONTENUTO Agenda
  2. 3 Windows 365 Editions Windows 365 Business • Per piccole/medie

    organizzazioni (max 300) con personale IT limitato • Distribuzione veloce e standardizzata • Portale base di amministrazione • Solo Azure AD Join • Immagini disponibili solo da galleria • Connessione all’ambiente on-premise non supportato • Endpoint Analytics non disponibile Windows 365 Enterprise • Per aziene di grandi dimensioni con personale IT presente e maturo • Distribuzione e configurazione inziale gestibile con MEM • Intero ciclo di vita del Cloud PC con MEM • Attualmente solo Azure AD Hybrid Join (a breve Azure AD Join) • Possibilità di connessione alle risorse locali • Immagini personalizzabili • Supporto a Endpoint Analytics
  3. 4 Da Windows 365 Business Security Features.. • Conditional Access

    Policy con licenza Azure AD P1 • MFA ma solo con Conditional Access Policy • xDR ma con licenza Microsoft Defender for Endpoint
  4. 6 Azure AD Conditional Access Policy e MFA Windows 365:

    User Experience Portal cloud app Azure Virtual Desktop: Remote Desktop Client cloud app Session – Sign-in frequency: re-enforce multi factor authentication (MFA)
  5. 7 Access PasswordLess a Windows 365 Windows Hello for Business

    Fido2 Security Key Da un computer joinato ad Azure AD dove è stato implementato WHfB è possible autenticarsi alla Remote Desktop Client App con WHfB Utilizzando il PIN o un riconoscimento biometrico WHfB è utilizzabile anche per accedere al desktop Windows 10/11 NB: Nell’autenticazione alla Remote Desktop App è possibile utilizzare anche un FIDO 2 Security Key Da un qualsiasi PC tramite browser è possible autenticarsi con una FIDO2 Security Key al portale Windows 365 L’autenticazione al desktop è però attualmente possible solo tramite password
  6. 8

  7. 9 MEM (Intune) – Compliance Policy e Azure AD Conditional

    Access Policy Le Compliance Policy di Intune consentono di identificare i dispositivi e gli utenti non conformi in modo che non possano accedere alle risorse aziendali fino a quando il livello di rischio del dispositivo non viene abbassato. Le impostazioni Windows health attestation non possono essere convalidate nelle macchine virtuali, inclusi i PC cloud. Data encryption in Windows 365: Per proteggere i dati dell'organizzazione, i dischi Windows 365 vengono crittografati con la crittografia Azure Storage server-side encryption (SSE). Gli oggetti Windows 365 che vengono automaticamente crittografati in-rest con chiavi gestite dalla piattaforma sono: Disks, Snapshots, Images
  8. 10 MEM (Intune) – Security Baseline Windows 365 Security Baselines

    sono un insieme di criteri composto da configurazioni suggerite per la sicurezza di Windows 10/11. Utilizzando le Security Baseline è possible ottenere suggerimenti sulle impostazioni di sicurezza che consentono di ridurre i rischi di compromissione
  9. 11 MEM (Intune) – Security Baseline + Configuration Profiles Aiuta

    a proteggere i Cloud PC da malintenzionati che cercano di aggirare funzionalità di sicurezza come la protezione antivirus. Le Attack Surface Reduction (ASR) sono regole che fanno parte di Windows Defender Exploit Guard e che bloccano determinati processi e task, con l’obiettivo di limitare comportamenti rischiosi ed aiutare a proteggere la vostra organizzazione. Gli attacchi possono essere di tipo malevole, presenti in classici eseguibili o nascosti nei documenti Office o PDF, o processi che potrebbero essere eseguiti dai siti web. Non tutte le configurazioni di sicurezza sono incluse all’interno delle Security Baseline ma possono essere integrate tramite i Configuration Profiles, come per esempio le alcune configurazioni di Microsoft Defender Exploit Guard
  10. 12 MEM (Intune) – Configurare proprietà RDP Group Policy Object

    (GPO) MEM – Configuration Profile Screen capture protection impedisce l'acquisizione di informazioni riservate sugli endpoint client. Quando si abilita questa funzione, il contenuto remoto viene automaticamente bloccato o nascosto negli screenshot e nelle condivisioni dello schermo. Sarà anche protetto da software malevole che potrebbe catturare continuamente il contenuto dello schermo. Per abilitarla, impostare la chiave di registro HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\EnableScreenCaptureProtection a 1 (DWORD)
  11. 15 Microsoft Defender for Endpoint P1 Key Differentiators: - Exploit

    Protection (ASR) - Network Protection (ASR) - Controlled Folder Access (ASR) - Cloud Protection (NGP) Microsoft Endpoint Manager (Intune)
  12. 16

  13. 17

  14. 18

  15. 19

  16. 20

  17. 21

  18. 22 Microsoft Defender for Endpoint Plan 1 ✓ Next gen

    protection ✓ Attack surface reduction ✓ Unified security experience ✓ APIs 1) Sold as standalone SKU • Entitlement for up to 5 devices • Generally available late 2021 2) Included as part of Microsoft 365 E3/A3 • All existing Microsoft 365 E3/A3 customers will be “upgraded” to Microsoft Defender for Endpoint Plan 1 Microsoft 365 E3 ✓ Microsoft Defender for Endpoint Plan 1 ✓ Office 365 Apps ✓ Email and calendar ✓ Meetings (Teams) ✓ Social and intranet ✓ Files and content ✓ Work management ✓ MyAnalytics ✓ Device and app management ✓ Identity and access management (AAD P1) ✓ Threat protection (ATA) ✓ Information protection (AIP P1) ✓ Security management ✓ Compliance management Plan 1 Licensing
  19. 25 Microsoft Defender for Endpoint P2, which was previously called

    Microsoft Defender for Endpoint, is available as a standalone license and as part of the following plans: 1) Windows 11 Enterprise E5/A5 2) Windows 10 Enterprise E5/A5 3) Microsoft 365 E5/A5/G5 (which includes Windows 10 or Windows 11 Enterprise E5) 4) Microsoft 365 E5/A5/G5/F5 Security 5) Microsoft 365 F5 Security & Compliance Plan 2 Licensing
  20. 26 Reverse Connect Azure Active Directory Azure virtual desktop control

    plane (PaaS) RD Gateway Cloud PC Tenant Managed by Microsoft Tenant Managed by Customer Active Directory TCP 443 RDP Data (TLS)
  21. 27 Azure Firewall Premium TLS Inspection Built-in TLS Inspection for

    Outbound and East-West traffic Inbound TLS termination is supported with Azure Application Gateway Customer provided key pair via Azure Key Vault integration Intrusion Detection Prevention System (IDPS) Detect alert and block inbound/outbound malicious traffic Supported for both encrypted and plain text protocols Signature-based detection that is continuously updated URL Filtering Restrict user access to HTTP/HTTPS Web content Support for URL wildcards Web Categories Allow or deny user access to website categories such as gambling, social media and others Web categories maintained and continuously updated URL based category matching Central VNet On-premises Spoke 1 Spoke 2 Spoke VNets Internet Web Categories TLS Inspection IDPS URL Filtering