微软在 7 月 6 日和 6 月 15 日的"What’s New"更新中发布了三项重要的 Windows 365 功能更新 — 涵盖策略管理、加密控制和身份联合。每项更新都解决了 IT 管理员长期要求微软解决的不同痛点。让我们详细分析新功能、重要性以及您需要采取的行动。


1. 设置策略重排序(公共预览版)

解决的问题

如果您管理 Windows 365 云电脑有一段时间了,一定遇到过这种情况:多个设置策略针对同一台云电脑,在某个设置上产生冲突,而您无法轻松控制哪个策略生效。安全团队有一个强制执行 BitLocker 的策略,但部门级策略意外覆盖了相关的加密设置。结果是难以排查的策略行为不可预测问题。

新功能

Windows 365 现在在公共预览版中支持重排序设置策略。管理员可以通过以下方式明确指定策略优先级:

  • 更改排名 — 分配明确的优先级值
  • 拖放控件 — 在管理中心可视化重排序策略
  • 上下移动策略列表

当云电脑收到多个涉及相同设置的策略时,排名最高的策略决定最终值。这使得策略优先级变得明确、可见且可管理

优先级规则

典型的分层模式:

  1. 硬平台约束/合规要求(不可通过重排序覆盖)
  2. 最高排名的 Windows 365 设置策略
  3. 策略类型优先级(安全基线可能仍覆盖低重要性配置策略)
  4. 范围平局(设备范围 vs 用户范围)
  5. 相同排名和类型的最后写入者胜(罕见,不推荐)

IT 管理员行动项

  • 审查当前策略冲突,定义组织优先级方案
  • 在试点组中测试重排序后再广泛推出
  • 将排名变更视为变更控制操作,记录文档
  • 所需角色:Cloud PC 管理员或 Intune 策略管理员

了解更多:设置概览


2. Windows 365 Reserve 客户管理加密(公共预览版)

解决的问题

Windows 365 Reserve 为设备故障、差旅或临时访问等场景提供按需云电脑容量。但在此之前,Reserve 云电脑依赖微软管理的加密密钥 — 数据已加密,但组织无法控制加密密钥本身。对于医疗、金融、政府等受监管行业,这是一个合规差距。

新功能

Windows 365 Reserve 现在在公共预览版中支持 Microsoft Purview Customer Key (CMK)。管理员可以使用存储在 Azure Key Vault 中的客户管理密钥加密 Reserve 云电脑磁盘。

工作原理:

  • 微软使用数据加密密钥 (DEK) 加密 Reserve 云电脑静态数据
  • DEK 由存储在您 Azure Key Vault 中的客户提供的密钥加密密钥 (KEK) 保护
  • 没有您的 Key Vault 密钥,微软无法解密数据
  • 撤销或删除 KEK 可使云电脑数据不可恢复 — 即加密擦除

关键能力

  • 密钥轮换: 在 Key Vault 中更新 KEK,DEK 自动重新包装
  • 密钥撤销: 禁用或删除 KEK 使云电脑数据不可读
  • 审计: 通过 Key Vault 诊断日志获取完整的密钥使用审计跟踪
  • 合规对齐: 帮助满足 HIPAA、FedRAMP 等监管要求

设置要求

  1. Azure Key Vault 中满足 Microsoft 支持密钥类型的 RSA 密钥
  2. 启用软删除和清除保护
  3. 具有 get、unwrapKey、wrapKey 权限的托管标识
  4. 为 Windows 365 工作负载启用 Purview Customer Key 配置
  5. 引用 Key Vault 密钥 URI 和版本的 Customer Key 策略
  6. 绑定到 Customer Key 策略的 Reserve 预配策略

IT 管理员行动项

  • 如果已为 Enterprise 云电脑使用 CMK:审查现有 Key Vault 设置,决定是否对 Reserve 使用相同密钥
  • 如果 CMK 是新概念:让安全团队设计密钥管理生命周期,建立 Key Vault 治理流程
  • 关键: 密钥删除不可逆,将永久锁定云电脑数据
  • 合规团队:记录 CMK for Reserve 如何满足特定监管要求

了解更多:Microsoft Purview Customer Key 设置和 W365 支持


3. 外部身份无域联合支持

解决的问题

Windows 365 已支持外部身份访问云电脑,但联合需要基于域的身份 — 必须在 Entra ID 中注册和验证 DNS 域。这在多租户合作伙伴、不映射到单一 DNS 命名空间的 IdP、以及顾问和承包商等场景中存在限制。

新功能

随着 Entra ID 中无域 SAML IdP 联合的正式发布,Windows 365 现在支持为电子邮件域名与 SAML IdP 配置域名不同的外部身份预配云电脑。

联合现在在租户/应用级别配置,不绑定到特定 DNS 域。SAML IdP 发出包含任何标识符(NameID、电子邮件、主题声明)的断言,Entra ID 信任这些断言,无需 DNS 域所有权。

无域联合 vs 基于域的联合

方面基于域的联合无域联合
信任锚已验证的 DNS 域租户/应用级信任
用户 ID 格式绑定到域的 UPN任何 SAML 断言标识符
DNS 所有权必需不需要
用例内部企业身份外部合作伙伴、B2B

云电脑预配流程

  1. 在 Entra ID 中配置外部 IdP — 添加 SAML 元数据
  2. 创建外部身份对象 — B2B 式用户记录
  3. 为外部身份对象分配 Windows 365 许可证
  4. 将预配策略定向到外部身份或组
  5. 用户通过其本地 IdP 身份验证 → SAML 断言 → Entra ID 验证 → 云电脑访问

重要: 外部用户必须在登录 Windows App 之前兑换其邀请。

安全影响

优势: 外部用户使用其本地组织凭据认证,更强的内外部身份分离,减少合作伙伴身份管理开销

风险: 信任边界延伸到外部 IdP 的安全态势;声明映射配置错误可能导致过度授权

安全最佳实践: 要求外部 IdP 强制执行 MFA;为外部身份应用条件访问策略;将外部用户分段到专用预配策略

IT 管理员行动项

  • 身份管理员:配置 SAML 联合元数据,规划证书轮换
  • Windows 365/Intune 管理员:为外部身份创建专用预配策略,应用条件访问
  • 安全架构师:设计信任关系,建立监控和离场流程

了解更多:外部身份无域 SAML IdP 联合


总体展望

这三项更新共同解决了治理、安全和身份 — 决定组织能否自信扩展 Windows 365 部署的三大支柱:

  • 策略重排序 赋予管理员对配置优先级的明确控制
  • Reserve 的 CMK 弥合了受监管工作负载的加密控制差距
  • 无域联合 消除了合作伙伴和承包商云电脑访问的最后一个身份摩擦

行动项汇总

  1. 策略重排序: 审计当前策略冲突,定义优先级方案,在试点组中测试
  2. Reserve 的 CMK: 让安全团队参与,设计密钥生命周期,设置带清除保护的 Key Vault
  3. 无域联合: 确定合作伙伴 IdP,配置 SAML 元数据,为外部用户创建专用预配策略

Big Hat Group 帮助组织部署和优化 Windows 365 和 Microsoft Intune 环境。需要策略治理、加密策略或外部身份配置方面的帮助?联系我们

在 X 上关注我们 @kkaminski 获取每日微软生态系统更新。