1 Windows 365 security best practices Michele Sensalari (MVP) – Marco Moioli (Cloud Solution Architect)

2 1. Introduzione 2. Funzionalità Security Microsoft 365 Business 3. Funzionalità Security Microsoft 365 Enterprise 1. MFA e Azure AD Conditional Access Policy 2. Microsoft Endpoint Manager 3. Microsoft Defender for Endpoint 4. Funzionalità security Azure Networking CONTENUTO Agenda

3 Windows 365 Editions Windows 365 Business • Per piccole/medie organizzazioni (max 300) con personale IT limitato • Distribuzione veloce e standardizzata • Portale base di amministrazione • Solo Azure AD Join • Immagini disponibili solo da galleria • Connessione all’ambiente on-premise non supportato • Endpoint Analytics non disponibile Windows 365 Enterprise • Per aziene di grandi dimensioni con personale IT presente e maturo • Distribuzione e configurazione inziale gestibile con MEM • Intero ciclo di vita del Cloud PC con MEM • Attualmente solo Azure AD Hybrid Join (a breve Azure AD Join) • Possibilità di connessione alle risorse locali • Immagini personalizzabili • Supporto a Endpoint Analytics

4 Da Windows 365 Business Security Features.. • Conditional Access Policy con licenza Azure AD P1 • MFA ma solo con Conditional Access Policy • xDR ma con licenza Microsoft Defender for Endpoint

5 …a Windows 365 Enterprise Security Features

6 Azure AD Conditional Access Policy e MFA Windows 365: User Experience Portal cloud app Azure Virtual Desktop: Remote Desktop Client cloud app Session – Sign-in frequency: re-enforce multi factor authentication (MFA)

7 Access PasswordLess a Windows 365 Windows Hello for Business Fido2 Security Key Da un computer joinato ad Azure AD dove è stato implementato WHfB è possible autenticarsi alla Remote Desktop Client App con WHfB Utilizzando il PIN o un riconoscimento biometrico WHfB è utilizzabile anche per accedere al desktop Windows 10/11 NB: Nell’autenticazione alla Remote Desktop App è possibile utilizzare anche un FIDO 2 Security Key Da un qualsiasi PC tramite browser è possible autenticarsi con una FIDO2 Security Key al portale Windows 365 L’autenticazione al desktop è però attualmente possible solo tramite password

8

9 MEM (Intune) – Compliance Policy e Azure AD Conditional Access Policy Le Compliance Policy di Intune consentono di identificare i dispositivi e gli utenti non conformi in modo che non possano accedere alle risorse aziendali fino a quando il livello di rischio del dispositivo non viene abbassato. Le impostazioni Windows health attestation non possono essere convalidate nelle macchine virtuali, inclusi i PC cloud. Data encryption in Windows 365: Per proteggere i dati dell'organizzazione, i dischi Windows 365 vengono crittografati con la crittografia Azure Storage server-side encryption (SSE). Gli oggetti Windows 365 che vengono automaticamente crittografati in-rest con chiavi gestite dalla piattaforma sono: Disks, Snapshots, Images

10 MEM (Intune) – Security Baseline Windows 365 Security Baselines sono un insieme di criteri composto da configurazioni suggerite per la sicurezza di Windows 10/11. Utilizzando le Security Baseline è possible ottenere suggerimenti sulle impostazioni di sicurezza che consentono di ridurre i rischi di compromissione

11 MEM (Intune) – Security Baseline + Configuration Profiles Aiuta a proteggere i Cloud PC da malintenzionati che cercano di aggirare funzionalità di sicurezza come la protezione antivirus. Le Attack Surface Reduction (ASR) sono regole che fanno parte di Windows Defender Exploit Guard e che bloccano determinati processi e task, con l’obiettivo di limitare comportamenti rischiosi ed aiutare a proteggere la vostra organizzazione. Gli attacchi possono essere di tipo malevole, presenti in classici eseguibili o nascosti nei documenti Office o PDF, o processi che potrebbero essere eseguiti dai siti web. Non tutte le configurazioni di sicurezza sono incluse all’interno delle Security Baseline ma possono essere integrate tramite i Configuration Profiles, come per esempio le alcune configurazioni di Microsoft Defender Exploit Guard

12 MEM (Intune) – Configurare proprietà RDP Group Policy Object (GPO) MEM – Configuration Profile Screen capture protection impedisce l'acquisizione di informazioni riservate sugli endpoint client. Quando si abilita questa funzione, il contenuto remoto viene automaticamente bloccato o nascosto negli screenshot e nelle condivisioni dello schermo. Sarà anche protetto da software malevole che potrebbe catturare continuamente il contenuto dello schermo. Per abilitarla, impostare la chiave di registro HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\EnableScreenCaptureProtection a 1 (DWORD)

13 Demo

14 MEM (Intune) – Dagli aggiornamenti tramite Update Ring a Feature/Quality Update

15 Microsoft Defender for Endpoint P1 Key Differentiators: - Exploit Protection (ASR) - Network Protection (ASR) - Controlled Folder Access (ASR) - Cloud Protection (NGP) Microsoft Endpoint Manager (Intune)

16

17

18

19

20

21

22 Microsoft Defender for Endpoint Plan 1 ✓ Next gen protection ✓ Attack surface reduction ✓ Unified security experience ✓ APIs 1) Sold as standalone SKU • Entitlement for up to 5 devices • Generally available late 2021 2) Included as part of Microsoft 365 E3/A3 • All existing Microsoft 365 E3/A3 customers will be “upgraded” to Microsoft Defender for Endpoint Plan 1 Microsoft 365 E3 ✓ Microsoft Defender for Endpoint Plan 1 ✓ Office 365 Apps ✓ Email and calendar ✓ Meetings (Teams) ✓ Social and intranet ✓ Files and content ✓ Work management ✓ MyAnalytics ✓ Device and app management ✓ Identity and access management (AAD P1) ✓ Threat protection (ATA) ✓ Information protection (AIP P1) ✓ Security management ✓ Compliance management Plan 1 Licensing

23 Microsoft Defender for Endpoint P2 Web Content Filtering!!!

25 Microsoft Defender for Endpoint P2, which was previously called Microsoft Defender for Endpoint, is available as a standalone license and as part of the following plans: 1) Windows 11 Enterprise E5/A5 2) Windows 10 Enterprise E5/A5 3) Microsoft 365 E5/A5/G5 (which includes Windows 10 or Windows 11 Enterprise E5) 4) Microsoft 365 E5/A5/G5/F5 Security 5) Microsoft 365 F5 Security & Compliance Plan 2 Licensing

26 Reverse Connect Azure Active Directory Azure virtual desktop control plane (PaaS) RD Gateway Cloud PC Tenant Managed by Microsoft Tenant Managed by Customer Active Directory TCP 443 RDP Data (TLS)

27 Azure Firewall Premium TLS Inspection Built-in TLS Inspection for Outbound and East-West traffic Inbound TLS termination is supported with Azure Application Gateway Customer provided key pair via Azure Key Vault integration Intrusion Detection Prevention System (IDPS) Detect alert and block inbound/outbound malicious traffic Supported for both encrypted and plain text protocols Signature-based detection that is continuously updated URL Filtering Restrict user access to HTTP/HTTPS Web content Support for URL wildcards Web Categories Allow or deny user access to website categories such as gambling, social media and others Web categories maintained and continuously updated URL based category matching Central VNet On-premises Spoke 1 Spoke 2 Spoke VNets Internet Web Categories TLS Inspection IDPS URL Filtering

28 Coming Soon….. Windows 365 Security Pills https://www.youtube.com/user/OverNetEducation/videos