微軟在 7 月 6 日和 6 月 15 日的"What’s New"更新中發布了三項重要的 Windows 365 功能更新 — 涵蓋策略管理、加密控制和身分聯合。每項更新都解決了 IT 管理員長期要求微軟解決的不同痛點。讓我們詳細分析新功能、重要性以及您需要採取的行動。


1. 設定策略重新排序(公開預覽版)

解決的問題

如果您管理 Windows 365 雲端電腦有一段時間了,一定遇到過這種情況:多個設定策略針對同一台雲端電腦,在某個設定上產生衝突,而您無法輕鬆控制哪個策略生效。安全團隊有一個強制執行 BitLocker 的策略,但部門級策略意外覆蓋了相關的加密設定。結果是難以排查的策略行為不可預測問題。

新功能

Windows 365 現在在公開預覽版中支援重新排序設定策略。管理員可以通過以下方式明確指定策略優先級:

  • 更改排名 — 分配明確的優先級值
  • 拖放控制項 — 在管理中心視覺化重新排序策略
  • 上下移動策略列表

當雲端電腦收到多個涉及相同設定的策略時,排名最高的策略決定最終值。這使得策略優先級變得明確、可見且可管理

優先級規則

典型的分層模式:

  1. 硬平台約束/合規要求(不可通過重新排序覆蓋)
  2. 最高排名的 Windows 365 設定策略
  3. 策略類型優先級(安全基線可能仍覆蓋低重要性配置策略)
  4. 範圍平局(裝置範圍 vs 使用者範圍)
  5. 相同排名和類型的最後寫入者勝(罕見,不推薦)

IT 管理員行動項

  • 審查目前策略衝突,定義組織優先級方案
  • 在試點組中測試重新排序後再廣泛推出
  • 將排名變更視為變更控制操作,記錄文件
  • 所需角色:Cloud PC 管理員或 Intune 策略管理員

了解更多:設定概覽


2. Windows 365 Reserve 客戶管理加密(公開預覽版)

解決的問題

Windows 365 Reserve 為裝置故障、差旅或臨時存取等場景提供按需雲端電腦容量。但在此之前,Reserve 雲端電腦依賴微軟管理的加密金鑰 — 資料已加密,但組織無法控制加密金鑰本身。對於醫療、金融、政府等受監管行業,這是一個合規差距。

新功能

Windows 365 Reserve 現在在公開預覽版中支援 Microsoft Purview Customer Key (CMK)。管理員可以使用存儲在 Azure Key Vault 中的客戶管理金鑰加密 Reserve 雲端電腦磁碟。

工作原理:

  • 微軟使用資料加密金鑰 (DEK) 加密 Reserve 雲端電腦靜態資料
  • DEK 由存儲在您 Azure Key Vault 中的客戶提供的金鑰加密金鑰 (KEK) 保護
  • 沒有您的 Key Vault 金鑰,微軟無法解密資料
  • 撤銷或刪除 KEK 可使雲端電腦資料不可恢復 — 即加密擦除

關鍵能力

  • 金鑰輪換: 在 Key Vault 中更新 KEK,DEK 自動重新包裝
  • 金鑰撤銷: 停用或刪除 KEK 使雲端電腦資料不可讀
  • 稽核: 通過 Key Vault 診斷日誌獲取完整的金鑰使用稽核跟踪
  • 合規對齊: 幫助滿足 HIPAA、FedRAMP 等監管要求

設定要求

  1. Azure Key Vault 中滿足 Microsoft 支援金鑰類型的 RSA 金鑰
  2. 啟用軟刪除和清除保護
  3. 具有 get、unwrapKey、wrapKey 權限的受控身分
  4. 為 Windows 365 工作負載啟用 Purview Customer Key 配置
  5. 引用 Key Vault 金鑰 URI 和版本的 Customer Key 策略
  6. 綁定到 Customer Key 策略的 Reserve 預配策略

IT 管理員行動項

  • 如果已為 Enterprise 雲端電腦使用 CMK:審查現有 Key Vault 設定,決定是否對 Reserve 使用相同金鑰
  • 如果 CMK 是新概念:讓安全團隊設計金鑰管理生命週期,建立 Key Vault 治理流程
  • 關鍵: 金鑰刪除不可逆,將永久鎖定雲端電腦資料
  • 合規團隊:記錄 CMK for Reserve 如何滿足特定監管要求

了解更多:Microsoft Purview Customer Key 設定和 W365 支援


3. 外部身分無網域聯合支援

解決的問題

Windows 365 已支援外部身分存取雲端電腦,但聯合需要基於網域的身分 — 必須在 Entra ID 中註冊和驗證 DNS 網域。這在多租戶合作夥伴、不映射到單一 DNS 命名空間的 IdP、以及顧問和承包商等場景中存在限制。

新功能

隨著 Entra ID 中無網域 SAML IdP 聯合的正式發布,Windows 365 現在支援為電子郵件網域與 SAML IdP 配置網域不同的外部身分預配雲端電腦。

聯合現在在租戶/應用級別配置,不綁定到特定 DNS 網域。SAML IdP 發出包含任何識別碼(NameID、電子郵件、主題聲明)的斷言,Entra ID 信任這些斷言,無需 DNS 網域所有權。

無網域聯合 vs 基於網域的聯合

方面基於網域的聯合無網域聯合
信任錨已驗證的 DNS 網域租戶/應用級信任
使用者 ID 格式綁定到網域的 UPN任何 SAML 斷言識別碼
DNS 所有權必需不需要
用例內部企業身分外部合作夥伴、B2B

雲端電腦預配流程

  1. 在 Entra ID 中配置外部 IdP — 新增 SAML 中繼資料
  2. 建立外部身分物件 — B2B 式使用者記錄
  3. 為外部身分物件分配 Windows 365 授權
  4. 將預配策略定向到外部身分或群組
  5. 使用者通過其本地 IdP 身分驗證 → SAML 斷言 → Entra ID 驗證 → 雲端電腦存取

重要: 外部使用者必須在登入 Windows App 之前兌換其邀請。

安全影響

優勢: 外部使用者使用其本地組織憑證認證,更強的內外部身分分離,減少合作夥伴身分管理開銷

風險: 信任邊界延伸到外部 IdP 的安全態勢;聲明映射配置錯誤可能導致過度授權

安全最佳實踐: 要求外部 IdP 強制執行 MFA;為外部身分應用條件存取策略;將外部使用者分段到專用預配策略

IT 管理員行動項

  • 身分管理員:配置 SAML 聯合中繼資料,規劃憑證輪換
  • Windows 365/Intune 管理員:為外部身分建立專用預配策略,應用條件存取
  • 安全架構師:設計信任關係,建立監控和離場流程

了解更多:外部身分無網域 SAML IdP 聯合


總體展望

這三項更新共同解決了治理、安全和身分 — 決定組織能否自信擴展 Windows 365 部署的三大支柱:

  • 策略重新排序 賦予管理員對配置優先級的明確控制
  • Reserve 的 CMK 彌合了受監管工作負載的加密控制差距
  • 無網域聯合 消除了合作夥伴和承包商雲端電腦存取的最後一個身分摩擦

行動項匯總

  1. 策略重新排序: 審計目前策略衝突,定義優先級方案,在試點組中測試
  2. Reserve 的 CMK: 讓安全團隊參與,設計金鑰生命週期,設定帶清除保護的 Key Vault
  3. 無網域聯合: 確定合作夥伴 IdP,配置 SAML 中繼資料,為外部使用者建立專用預配策略

Big Hat Group 幫助組織部署和優化 Windows 365 和 Microsoft Intune 環境。需要策略治理、加密策略或外部身分配置方面的幫助?聯絡我們

在 X 上關注我們 @kkaminski 取得每日微軟生態系統更新。