重要事項
Windows Cloud IO Protection 目前處於公開預覽階段。 請參閱 Microsoft Azure 預覽的補充使用條款,了解適用於 Beta、預覽或尚未正式釋出的 Azure 功能所用的法律術語。
概述:保護 Windows 365 雲端電腦的輸入
Windows 365 雲端電腦已經會加密會話,並強制執行基於身份驗證的驗證方法,如多重驗證(MFA),以防止劫持與中間人攻擊。 然而,端點裝置常駐威脅針對 Windows 雲端會話,如金鑰記錄器,仍可能入侵敏感資料,導致合規風險與財務損失。
Windows Cloud IO Protection 則以核心層級驅動程式與系統層級加密,安全地將鍵盤輸入直接導向雲端 PC,繞過易受惡意軟體侵害的作業系統層。 當此功能在雲端 PC 或 Azure 虛擬桌面會話主機上啟用時,會強制執行嚴格的信任模型:
只有受保護的端點實體裝置才能連線。
端點必須安裝 Windows Cloud IO Protect MSI 才能受到保護。
如果缺少 MSI,連線會被封鎖並跳出錯誤訊息。 這確保了 Windows 應用程式與雲端 PC/Azure 虛擬桌面會話主機之間的安全通道,提供無損的輸入保護。
安裝 Windows Cloud Input Protect MSI 的步驟
先修條件:
終端必須是實體裝置 (虛擬機不支援,) Windows 11。 端點裝置必須使用 TPM 2.0
要安裝 Windows Cloud IO Protect MSI,使用者需要擁有本地管理員權限。
當使用者嘗試從未使用 Windows Cloud Input Protect MSI) 的實體裝置 (連接 Windows 365 雲端電腦 或 Azure 虛擬桌面會話主機時,會出現以下錯誤訊息。
使用者可選擇兩種 MSI 安裝程式來安裝 Windows Cloud Input Protect msi。
-
請依照 msi 安裝精靈的步驟操作,如下方所示。
Windows App 前置條件
此功能僅在最新版本Windows App上可用 (版本應為 2.0.704.0 或更新) 。 你可以更新到Microsoft Market上的最新版本。
在 Cloud PC/Azure 虛擬桌面會話主機上配置 Windows Cloud Input Protection
目前此功能只能透過群組原則啟用。
注意事項
群組原則物件步驟僅適用於混合環境。 Entra 加入客戶的支援將很快提供。 如今,可以透過手動新增登錄金鑰,啟用 Entra join 客戶的此功能,如下所示。
- 開啟登錄檔編輯器應用程式
- 導航到 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
- 建立一個名為 fWCIOKeyboardInputProtection 的新 DWORD,值為 1。
設定 Windows 雲端輸入保護的步驟
要在您的虛擬桌面 (Azure 會話主機啟用 Windows Cloud 鍵盤輸入保護,並使用 Active Directory 網域中的 群組原則 Windows 365) :
請依照「使用虛擬桌面管理範本」中的步驟,讓您的網域中Azure虛擬桌面的管理範本可用Azure。
在你用來管理 Active Directory 網域的裝置上開啟群組原則管理主控台。
建立或編輯一個政策,針對提供遠端會話的電腦,你想設定。
導航至電腦配置>政策>管理範本>Windows 元件>遠端桌面服務>遠端桌面會話 HostAzure>虛擬桌面。
雙擊「 啟用鍵盤輸入保護 」政策設定即可開啟。
選取 已啟用。 完成後,選擇 確定。
一旦政策套用到提供遠端會話的電腦,請重新啟動它們,讓設定生效。
注意事項
此功能支援以下用途:
- Windows Cloud PC/Azure 虛擬桌面會話主機,搭配最新 Microsoft 支援的 Windows 用戶端作業系統版本
- 支援客戶。 Windows 11 實體裝置運行支援的原生用戶端,且安裝了 Windows Cloud IO Protect MSI。
- 不支援的客戶端。 虛擬終端裝置 (VM) 、MAC OS、iOS、Android、網頁及非 Windows Cloud IO 保護的 Windows 裝置,包括 Windows 365 Link 裝置。