随着一些地区开始摆脱过去 18 个月的挑战和破坏，我们看到一个新的工作环境正在出现。世界各地的组织都通过虚拟流程和远程协作实现了自我转型。随着人们采用混合工作模式，即回到办公室工作、继续在家工作或者两者兼而有之，一切又将不同。

但是，在需要时随时随地以任何方式开展工作的能力已经成为一种新常态。所有员工都希望使用熟悉、易于使用且跨设备可用的技术。在我们见过的最复杂的网络安全环境中，企业需要一种解决方案来帮助其员工进行协作、共享和创建，同时确保数据安全。 

我们有机会设计一些工具，以一种全新的角度以及云的强大功能和安全性来为这个新的混合工作环境提供支持。 

今天，我们很高兴地宣布推出 Windows 365，这是一项云服务，为从实习生和承包商到软件开发人员和工业设计师的员工提供了一种体验 Windows 10 或 Windows 11（在今年晚些时候将正式发布）的新方式。 Windows 365 将操作系统引入 Microsoft 云，将完整的 Windows 体验（包括所有应用、数据和设置）安全地流式传输到个人或公司设备。这种方法创建了一种专用于混合环境的全新个人计算类别：云电脑。

今天，我想与大家分享为什么我们认为将云革命引入个人计算对客户未来的工作方式以及将为我们的合作伙伴创造的机遇具有里程碑式的意义。

在任何设备上的云中提供强大、个性化、完整的 Windows 体验

我们最近的工作趋势指数显示，73% 的员工希望保留灵活的远程办公选项，但与此同时，67% 的员工表示他们还希望在疫情后进行更多的面对面协作。这就产生了混合工作悖论，使得世界各地的组织都在努力寻找在混合环境中建立联系，并为员工提供在家中、办公室和两者之间的其他任何地方访问组织资源的方法。

就像我们将云用于其他产品一样，我们对 Windows 365 云电脑的愿景是通过云的助力提供一种体验 Windows 的新方式，同时解决组织面临的新奇和传统挑战。这种新的范例不仅仅是允许和保护远程访问。用户体验对于吸引和留住人才、提高工作效率和确保安全性比以往任何时候都更加重要。

云电脑利用云的强大功能和设备的功能提供强大、简单且安全的完整 Windows 10 或 Windows 11 体验，你可以使用它来为工作人员提供支持，而不必考虑位置或设备。Windows 365 提供即时启动体验，使用户能够跨任何设备（包括 Mac、iPad、Linux 设备和 Android）从云流式传输其所有个性化应用程序、工具、数据和设置。无论使用何种设备，Windows 体验都保持一致。由于云电脑的状态保持不变（即使切换设备也是如此），你可以从之前停止的地方继续。你可以在酒店房间中使用笔记本电脑、约会期间在汽车上使用平板电脑或在办公室中使用台式机完成相同的工作。季节性员工还可以根据业务需求上下班，使组织能够在繁忙时期进行扩展，而无需面对发布新硬件所带来的复杂后勤和安全挑战。此外，公司可以更有针对性地为需要更强大计算能力和关键应用程序访问权限的创意、分析、工程或科学岗位专业人员提供支持。 

Windows 365 支持业务应用（Microsoft 365、Microsoft Dynamics 365、Microsoft Power Platform）和业务线应用等。对于 Windows 365，我们还恪守对与应用保证的应用兼容性的承诺，应用保证服务可以帮助拥有 150 名或更多用户的客户解决他们可能遇到的任何应用问题，而无需额外费用。

使用熟悉的工具提供更大的简单性

Windows 365 最重要的设计原则之一就是简单性。你可以根据每个用户每月的定价选择最能满足你需求的云电脑大小。组织可以在两个版本之间进行选择，包括完全基于云的服务和基于性能需求的多种云电脑配置：Windows 365 商业版和 Windows 365 企业版。

对于 IT，我们构建的 Windows 365 与你现在管理物理设备的方式保持一致。在 Microsoft Endpoint Manager 中，云电脑显示在物理设备旁边，你可以像对所有其他设备一样对其应用管理和安全策略。

Windows 365 在 Azure 虚拟桌面的基础上构建，但它简化了虚拟化体验，可为你处理所有细节。你可以扩展处理能力并监视云电脑的性能，以确保用户获得最佳体验。我们还在服务中内置了分析功能，用于查看跨网络的连接运行状况，以确保你的云电脑用户可以在网络上访问他们需要的所有内容，从而高效工作。在终结点分析仪表板上，可以轻松识别无法满足给定用户性能需求的云电脑环境，你不仅可以从中获得建议，还可以通过触碰按钮进行升级并立即应用，不会遗漏任何内容。我们新的监视器服务还会持续运行诊断，以帮助保持连接始终处于运行状态。如果诊断检查失败，我们会向你发出警报，甚至会提供有关如何纠正问题的建议。 

为了实现更大的自定义和灵活性，特别是如果你的组织具有虚拟化专长，我们建议使用 Azure 虚拟桌面，随着组织在云中实现 VDI 的现代化，Azure 虚拟桌面将继续得到广泛采用。可以在今天的技术社区博客中详细了解有关我们增加 Azure 虚拟桌面投资的信息。

有关管理体验的详细信息，请查看 Scott Manchester 的技术社区博客。

由零信任提供支持的云安全

Windows 365 专注于零信任体系结构，它还经过专门设计，在云中而非设备上设计、存储和保护信息，可帮助解决当今的关键安全挑战。多重身份验证 (MFA) 可通过与 Microsoft Azure Active Directory (Azure AD) 集成来显式验证对云电脑的任何登录或访问尝试。在 Microsoft Endpoint Manager 中，你可以将 MFA 与专用 Windows 365 条件访问策略结合使用，以即时评估每个会话的登录风险。我们还围绕最低权限访问原则设计了用户和管理员体验。例如，你可以使用特定角色委派特定权限，例如许可、设备管理和云电脑管理，这样你就无需成为全局管理员。你可以使用 Windows 10、Microsoft Defender for Endpoint 和 Microsoft Edge 的安全基线，就像你现在使用的物理设备一样，我们已经构建了一个特定于云电脑的安全基线来帮助你快速入门。 

如果你使用 Microsoft Defender for Endpoint 来保护你的设备，它还可以与你的云电脑无缝协作。你可以使用 Microsoft Endpoint Manager 快速加入云电脑，就像使用 Defender for Endpoint 加入其他设备一样。它不仅可以保护云电脑，还可以提供降低风险的安全建议，并帮助你快速发现和调查任何安全事件。

最后，全面使用加密。运行云电脑的所有托管磁盘都经过加密，所有存储的数据都经过静态加密，并且所有进出云电脑的网络流量也都经过加密。

对于合作伙伴，Windows 365 意味着新的机遇

Windows 365 为 Microsoft 生态系统中所有类型的合作伙伴创造了从云端提供新 Windows 体验的新机会。

独立软件供应商可以继续构建 Windows 应用，并且他们现在可以在云中交付这些应用以覆盖更广泛的受众。Windows 365 还提供了新的开发机会，利用合作伙伴可用的 API，使他们能够将自己的创新产品推向市场。事实上，可以查看技术社区博客，其中重点介绍了今天宣布的解决方案 ISV（如 Nerdio、UKG、Service Now 和 Net App），这些 ISV 可为不同的 Windows 365 用户方案提供支持。

我们的客户将寻求系统集成商和托管服务提供商的帮助，以最大限度地利用全部 Windows 资产，使用我们的合作伙伴（如 Accenture/Avanade、Atos、Crayon、Content and Cloud、Convergent、Coretek、DXC、Glueck & Kanja GAB、Insight 和 Netrix）提供的附加服务，继续将产品推向市场。对于中小型企业，Iconic IT LLC、MachineLogic LLC 和 Nitec Solutions 等合作伙伴已经支持 Windows 365，并且可以协助提供附加服务。原始设备制造商 (OEM) 有机会将 Windows 365 与其设备的强大功能和安全硬件一起集成到其广泛的服务项目组合中。

云电脑代表了云计算的下一个重要步骤，它以一种强大的新方式连接 Microsoft 云和个人设备。随着 Windows 365 的发布，我们将邀请组织、员工和合作伙伴重新构想 Windows 及其设备的体验，并期待为世界各地的用户创造新方案。

适用于混合环境的混合 Windows

我们非常高兴能够分享这种通过云的强大功能在你的所有设备上体验 Windows 10 或 Windows 11（如果可用）的新方式。我们相信，这将为各种规模的组织提供所需的功能、简单性和安全性，以满足采用混合工作模式时工作人员不断变化的需求。

Windows 365 将于 2021 年 8 月 2 日向各种规模的组织提供。在此期间，你可立即了解有关 Windows 365 的详细信息。

我们很高兴能一起踏上这段旅程，我们迫不及待地想要了解使用 Windows 365 完成工作的所有新方法。

The post 进入混合个人计算的新时代：Windows 365 云电脑 appeared first on Microsoft 365 Blog.

如今，精明的金融机构正在超越这种范例，转而采用一种新式的网络安全方法 -“零信任”模型。“零信任”模型的中心原则是默认情况下不信任任何人（无论是内部人员还是外部人员），并且在授予访问权限之前需要对每个人或每台设备进行严格的验证。

尽管城堡的外围防护仍然很重要，但是与不断加大投资力度来构建更坚固的城墙和更宽的护城河相比，“零信任”模型采用了一种更加细致入微的方法来管理对我们所谓城堡内的身份信息、数据和设备的访问。因此，无论是内部人员恶意或不经意的行为，亦或是隐蔽的攻击者突破了城墙，都无法获得对数据的自动访问。

“城堡和护城河”方法的限制

在谈到保护今天的企业数字财产安全时，“城堡和护城河”方法就突显出很大的局限性了，因为网络威胁的出现改变了我们对于防范和保护的定义。大型组织（包括银行）需要面对由员工、客户和合作伙伴现场或在线访问的数据和应用程序组成的分散网络。这使保护城堡的边界安全变得更加困难。即使护城河能有效地将敌人拦在城堡外，但对于身份已遭泄露的用户或其他潜伏在城墙内的内部威胁，它的作用则很有限。

以下做法都是导致暴露的安全隐患，而且这些做法在依赖于“城堡和护城河”网络安全方法的银行中很常见：

• 对员工的应用程序访问权限进行单一的年度审查。
• 由于经理的自行决定或出现员工调动时的治理缺失而导致访问权限策略出现模糊且不一致的情况。
• IT 过度使用有管理特权的帐户。
• 客户数据存储在多个文件共享中，却几乎不知道谁有相关的访问权限。
• 过度依赖密码来对用户进行身份验证。
• 缺乏数据分类和报告，导致不清楚具体数据的位置。
• 频繁使用 U 盘来传输包含高度敏感数据的文件。

“零信任”模型如何助力银行家和客户

“零信任”方法的好处已有据可查，并且有越来越多的实际例子表明，这种方法可以防止复杂的网络攻击。然而，如今许多银行仍然坚持与“零信任”原则相背离的做法。

采用“零信任”模型有助于银行加强他们的安全防护机制，使他们能自信地支持一些赋予员工和客户更多灵活性的举措。例如，银行高管都希望将他们面向客户的员工（例如关系经理和理财顾问）从办公桌上解放出来，使他们能在银行营业场所外部与客户会面。如今，许多金融机构是通过使用文件打印输出或他们顾问的静态视图等模拟工具来支持这种地理灵活性的。但是，银行员工和客户都期望能通过实时数据来获得更动态的体验。

依赖于“城堡和护城河”安全方法的银行在将数据分散到物理网络之外时会有诸多顾虑。因此，这些银行的银行家和理财顾问只有在银行营业场所内与客户进行会面时才能利用已经过验证且严格的投资策略的动态模型。

从历史上来看，对于忙碌的银行家或理财顾问来说，与其他银行家或贸易商共享实时模型更新或积极地展开协作是很麻烦的，至少在没有 VPN 的情况下是这样的。然而，这种灵活性正是做出可靠的投资决策和提高客户满意度的重要驱动力。“零信任”模型使关系经理或分析师能够利用来自市场数据提供者的见解，与他们各自的模型进行综合，并随时随地动态处理不同的客户场景。

好消息是，这是一个智能安全的新时代 – 由云和“零信任”体系结构提供支持 – 可以简化并实现银行安全性和符合性的现代化。

Microsoft 365 助力银行安全性的转型

借助 Microsoft 365，银行通过部署三个关键策略即可立即迈向“零信任”安全性：

• 标识和身份验证 – 首先，银行需要确保用户的身份与他们自己所述的身份一致，然后根据他们的角色提供访问权限。借助 Azure Active Directory (Azure AD)，银行可以使用单一登录 (SSO) 使已通过身份验证的用户能够从任何地方连接到应用，从而使移动办公的员工能够在不影响工作效率的情况下安全地访问资源。

银行还可以部署强身份验证方法，例如双因素或无密码的多重身份验证 (MFA)，从而使泄露风险降低 99.9%。Microsoft Authenticator 支持适用于任何 Azure AD 连接应用的推送通知、一次性密码以及生物识别。

对于 Windows 设备，银行员工可以使用 Windows Hello，这是一个用于登录设备的安全便捷的面部识别功能。最后，银行可以使用 Azure AD 条件访问来应用相应的访问策略，从而保护资源免受可疑请求的影响。Microsoft Intune 和 Azure AD 协同工作以确保仅托管和兼容的设备可以访问 Office 365 服务，包括电子邮件和本地应用。通过 Intune，还可以评估设备的合规性状态。是否强制执行条件访问策略取决于用户试图访问数据时设备的合规性状态。

条件访问插图。

• 威胁防护 – 借助 Microsoft 365，银行还可以利用 Microsoft 威胁防护集成和自动化的安全性来增强他们保护、检测和应对攻击的能力。它利用 Microsoft Intelligent Security Graph 中世界上最大的威胁信号源之一以及由人工智能 (AI) 提供支持的高级自动化来增强事件识别和响应能力，从而使安全团队能够准确、高效和及时地解决威胁。Microsoft 365 安全中心提供了一个集中化的中心和专用的工作区来管理和充分利用 Microsoft 365 智能安全解决方案，用于标识和访问管理、威胁防护、信息保护和安全管理。

Microsoft 365 安全中心。

• 信息保护 – 虽然标识和设备是网络攻击的主要对象，但数据才是网络罪犯的终极目标。借助 Microsoft 信息保护，银行可以增强对敏感信息的保护，无论这些信息位于何处或者会在何处传输。Microsoft 365 使客户能够 1) 标识他们的敏感数据并对这些数据进行分类；2) 应用灵活的保护策略；3) 监视并修复存在风险的敏感数据。

分类和保护场景的示例。

使用“零信任”简化安全管理

Microsoft 365 帮助简化新式“零信任”体系架构中的安全管理，从而实现利用所需的可见性、规模和情报来打击网络犯罪。

在考虑如何保护你现代“城堡”的安全时，“零信任”环境是应对现代网络安全威胁的最优选择。“零信任”环境要求对正在进行访问的人员和所访问的内容、访问位置、时间以及他们是否应具有访问权限进行即时的监督。

Microsoft 365 安全性和合规性功能帮助组织在信任用户或设备前对这些用户或设备进行验证。Microsoft 365 还提供完整的团队合作和高效工作解决方案。总而言之，Microsoft 365 提供了一个全面的解决方案，有助于银行高管将工作重点放在客户和创新上。

The post 为什么银行要采用新式的网络安全方法 -“零信任”模型 appeared first on Microsoft 365 Blog.