微软在 7 月 6 日和 6 月 15 日的"What’s New"更新中发布了三项重要的 Windows 365 功能更新 — 涵盖策略管理、加密控制和身份联合。每项更新都解决了 IT 管理员长期要求微软解决的不同痛点。让我们详细分析新功能、重要性以及您需要采取的行动。
1. 设置策略重排序(公共预览版)
解决的问题
如果您管理 Windows 365 云电脑有一段时间了,一定遇到过这种情况:多个设置策略针对同一台云电脑,在某个设置上产生冲突,而您无法轻松控制哪个策略生效。安全团队有一个强制执行 BitLocker 的策略,但部门级策略意外覆盖了相关的加密设置。结果是难以排查的策略行为不可预测问题。
新功能
Windows 365 现在在公共预览版中支持重排序设置策略。管理员可以通过以下方式明确指定策略优先级:
- 更改排名 — 分配明确的优先级值
- 拖放控件 — 在管理中心可视化重排序策略
- 上下移动策略列表
当云电脑收到多个涉及相同设置的策略时,排名最高的策略决定最终值。这使得策略优先级变得明确、可见且可管理。
优先级规则
典型的分层模式:
- 硬平台约束/合规要求(不可通过重排序覆盖)
- 最高排名的 Windows 365 设置策略
- 策略类型优先级(安全基线可能仍覆盖低重要性配置策略)
- 范围平局(设备范围 vs 用户范围)
- 相同排名和类型的最后写入者胜(罕见,不推荐)
IT 管理员行动项
- 审查当前策略冲突,定义组织优先级方案
- 在试点组中测试重排序后再广泛推出
- 将排名变更视为变更控制操作,记录文档
- 所需角色:Cloud PC 管理员或 Intune 策略管理员
了解更多:设置概览
2. Windows 365 Reserve 客户管理加密(公共预览版)
解决的问题
Windows 365 Reserve 为设备故障、差旅或临时访问等场景提供按需云电脑容量。但在此之前,Reserve 云电脑依赖微软管理的加密密钥 — 数据已加密,但组织无法控制加密密钥本身。对于医疗、金融、政府等受监管行业,这是一个合规差距。
新功能
Windows 365 Reserve 现在在公共预览版中支持 Microsoft Purview Customer Key (CMK)。管理员可以使用存储在 Azure Key Vault 中的客户管理密钥加密 Reserve 云电脑磁盘。
工作原理:
- 微软使用数据加密密钥 (DEK) 加密 Reserve 云电脑静态数据
- DEK 由存储在您 Azure Key Vault 中的客户提供的密钥加密密钥 (KEK) 保护
- 没有您的 Key Vault 密钥,微软无法解密数据
- 撤销或删除 KEK 可使云电脑数据不可恢复 — 即加密擦除
关键能力
- 密钥轮换: 在 Key Vault 中更新 KEK,DEK 自动重新包装
- 密钥撤销: 禁用或删除 KEK 使云电脑数据不可读
- 审计: 通过 Key Vault 诊断日志获取完整的密钥使用审计跟踪
- 合规对齐: 帮助满足 HIPAA、FedRAMP 等监管要求
设置要求
- Azure Key Vault 中满足 Microsoft 支持密钥类型的 RSA 密钥
- 启用软删除和清除保护
- 具有 get、unwrapKey、wrapKey 权限的托管标识
- 为 Windows 365 工作负载启用 Purview Customer Key 配置
- 引用 Key Vault 密钥 URI 和版本的 Customer Key 策略
- 绑定到 Customer Key 策略的 Reserve 预配策略
IT 管理员行动项
- 如果已为 Enterprise 云电脑使用 CMK:审查现有 Key Vault 设置,决定是否对 Reserve 使用相同密钥
- 如果 CMK 是新概念:让安全团队设计密钥管理生命周期,建立 Key Vault 治理流程
- 关键: 密钥删除不可逆,将永久锁定云电脑数据
- 合规团队:记录 CMK for Reserve 如何满足特定监管要求
了解更多:Microsoft Purview Customer Key 设置和 W365 支持
3. 外部身份无域联合支持
解决的问题
Windows 365 已支持外部身份访问云电脑,但联合需要基于域的身份 — 必须在 Entra ID 中注册和验证 DNS 域。这在多租户合作伙伴、不映射到单一 DNS 命名空间的 IdP、以及顾问和承包商等场景中存在限制。
新功能
随着 Entra ID 中无域 SAML IdP 联合的正式发布,Windows 365 现在支持为电子邮件域名与 SAML IdP 配置域名不同的外部身份预配云电脑。
联合现在在租户/应用级别配置,不绑定到特定 DNS 域。SAML IdP 发出包含任何标识符(NameID、电子邮件、主题声明)的断言,Entra ID 信任这些断言,无需 DNS 域所有权。
无域联合 vs 基于域的联合
| 方面 | 基于域的联合 | 无域联合 |
|---|---|---|
| 信任锚 | 已验证的 DNS 域 | 租户/应用级信任 |
| 用户 ID 格式 | 绑定到域的 UPN | 任何 SAML 断言标识符 |
| DNS 所有权 | 必需 | 不需要 |
| 用例 | 内部企业身份 | 外部合作伙伴、B2B |
云电脑预配流程
- 在 Entra ID 中配置外部 IdP — 添加 SAML 元数据
- 创建外部身份对象 — B2B 式用户记录
- 为外部身份对象分配 Windows 365 许可证
- 将预配策略定向到外部身份或组
- 用户通过其本地 IdP 身份验证 → SAML 断言 → Entra ID 验证 → 云电脑访问
重要: 外部用户必须在登录 Windows App 之前兑换其邀请。
安全影响
优势: 外部用户使用其本地组织凭据认证,更强的内外部身份分离,减少合作伙伴身份管理开销
风险: 信任边界延伸到外部 IdP 的安全态势;声明映射配置错误可能导致过度授权
安全最佳实践: 要求外部 IdP 强制执行 MFA;为外部身份应用条件访问策略;将外部用户分段到专用预配策略
IT 管理员行动项
- 身份管理员:配置 SAML 联合元数据,规划证书轮换
- Windows 365/Intune 管理员:为外部身份创建专用预配策略,应用条件访问
- 安全架构师:设计信任关系,建立监控和离场流程
了解更多:外部身份 和 无域 SAML IdP 联合
总体展望
这三项更新共同解决了治理、安全和身份 — 决定组织能否自信扩展 Windows 365 部署的三大支柱:
- 策略重排序 赋予管理员对配置优先级的明确控制
- Reserve 的 CMK 弥合了受监管工作负载的加密控制差距
- 无域联合 消除了合作伙伴和承包商云电脑访问的最后一个身份摩擦
行动项汇总
- 策略重排序: 审计当前策略冲突,定义优先级方案,在试点组中测试
- Reserve 的 CMK: 让安全团队参与,设计密钥生命周期,设置带清除保护的 Key Vault
- 无域联合: 确定合作伙伴 IdP,配置 SAML 元数据,为外部用户创建专用预配策略
Big Hat Group 帮助组织部署和优化 Windows 365 和 Microsoft Intune 环境。需要策略治理、加密策略或外部身份配置方面的帮助?联系我们。
在 X 上关注我们 @kkaminski 获取每日微软生态系统更新。