Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Importante
La protection des E/S cloud Windows est en préversion publique. Consultez les conditions d’utilisation supplémentaires de Microsoft Azure Previews pour connaître les conditions légales applicables aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore mises en disponibilité générale.
Vue d’ensemble : Sécurisation des entrées pour les PC cloud Windows 365
Windows 365 PC cloud chiffrent déjà les sessions et appliquent des méthodes d’authentification basées sur l’identité telles que l’authentification multifacteur pour empêcher le détournement et les attaques de l’intercepteur. Toutefois, les menaces résidentes de l’appareil de point de terminaison ciblant les sessions cloud Windows telles que les enregistreurs d’événements de clés qui peuvent toujours compromettre des données sensibles, entraînant des risques de conformité et des pertes financières.
Windows Cloud IO Protection résout cette lacune avec un pilote au niveau du noyau et un chiffrement au niveau du système qui achemine en toute sécurité les frappes de touches directement vers le PC cloud, en contournant les couches de système d’exploitation vulnérables aux programmes malveillants. Lorsque cette fonctionnalité est activée sur un PC cloud ou Azure hôte de session Virtual Desktop, elle applique un modèle d’approbation strict :
Seuls les appareils physiques de point de terminaison protégé peuvent se connecter.
Pour protéger les points de terminaison, l’interface MSI Windows Cloud IO Protect doit être installée.
Si le MSI est manquant, la connexion est bloquée et un message d’erreur s’affiche. Cela garantit un canal sécurisé entre l’application Windows et l’hôte de session pc cloud/Azure Virtual Desktop, offrant ainsi une protection d’entrée sans compromis.
Étapes d’installation de l’msi de protection des entrées cloud Windows
Conditions préalables:
Le point de terminaison doit être un appareil physique (les machines virtuelles ne sont pas prises en charge) avec Windows 11. L’appareil de point de terminaison doit utiliser TPM 2.0
Pour installer l’interface MSI de protection des E/S cloud Windows, l’utilisateur doit disposer de droits d’Administration locale.
Lorsque l’utilisateur tente de se connecter à partir d’un appareil physique (sans msi windows Cloud Input Protect) à un hôte de session Windows 365 PC Cloud ou Azure Virtual Desktop, le message d’erreur suivant s’affiche.
L’utilisateur peut choisir entre deux types de programme d’installation MSI pour installer le msi De protection d’entrée cloud Windows.
-
Suivez les étapes de l’Assistant Installation msi, comme indiqué ci-dessous.
Windows App prérequis
Cette fonctionnalité est disponible uniquement sur la dernière version Windows App (la version doit être 2.0.704.0 ou ultérieure). Vous pouvez effectuer une mise à jour vers la dernière version disponible sur Microsoft Market.
Configurer la protection d’entrée cloud Windows sur les hôtes de session PC/Azure Virtual Desktop cloud
Actuellement, la fonctionnalité ne peut être activée qu’à l’aide de stratégie de groupe.
Remarque
stratégie de groupe étapes d’objet s’appliquent uniquement aux environnements hybrides. Le support pour les clients entra join sera bientôt disponible. Aujourd’hui, vous pouvez activer la fonctionnalité pour les clients de jonction Entra, en ajoutant les clés de Registre manuellement, comme indiqué ci-dessous.
- Ouvrir l’application Éditeur du Registre
- Accédez à HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
- Créez un DWORD avec le nom fWCIOKeyboardInputProtection et la valeur 1.
Étapes de configuration de la protection d’entrée cloud Windows
Pour activer la protection d’entrée du clavier cloud Windows sur vos hôtes de session (Azure Virtual Desktop et Windows 365) à l’aide de stratégie de groupe dans un domaine Active Directory :
Rendez le modèle d’administration pour Azure Virtual Desktop disponible dans votre domaine en suivant les étapes décrites dans Utiliser le modèle d’administration pour Azure Virtual Desktop.
Ouvrez la console de gestion stratégie de groupe sur un appareil que vous utilisez pour gérer le domaine Active Directory.
Créez ou modifiez une stratégie qui cible les ordinateurs qui fournissent une session à distance que vous souhaitez configurer.
Accédez à Stratégies de configuration>> ordinateurModèles> d’administrationComposants> WindowsServices>Bureau à distance Hôte> de session Bureau à distance Azure Bureau virtuel.
Double-cliquez sur le paramètre de stratégie Activer la protection des entrées clavier pour l’ouvrir.
Sélectionnez Activé. Une fois que vous avez terminé, sélectionnez OK.
Une fois que la stratégie s’applique aux ordinateurs qui fournissent une session à distance, redémarrez-les pour que les paramètres prennent effet.
Remarque
Cette fonctionnalité est prise en charge pour les éléments suivants :
- Pc cloud Windows/hôte de session Azure Virtual Desktop avec les dernières versions de système d’exploitation client Windows prises en charge par Microsoft
- Clients pris en charge. Windows 11 appareils physiques exécutant des clients natifs pris en charge qui ont windows Cloud IO Protect msi installé sur eux.
- Clients non pris en charge. L’appareil de point de terminaison virtuel (VM), MAC OS, iOS, Android, Web et les E/S cloud non Windows protègent les appareils Windows activés, y compris les appareils Windows 365 Link.