Einrichten von forensischen Microsoft Purview-Beweisen für Windows 365
Forensische Microsoft Purview-Beweise helfen Ihnen, bessere Einblicke in potenziell riskante sicherheitsbezogene Benutzeraktivitäten zu erhalten. Mit anpassbaren Ereignistriggern und integrierten Steuerelementen zum Schutz des Datenschutzes von Benutzern können Sie die erfassung visueller Aktivitäten geräteübergreifend anpassen. Forensische Beweise helfen Ihrem organization, potenzielle Datenrisiken wie nicht autorisierte Datenexfiltration vertraulicher Daten besser zu entschärfen, zu verstehen und darauf zu reagieren.
Sie legen die richtigen Richtlinien für Ihre organization fest, z. B.:
- Welche riskanten Ereignisse haben die höchste Priorität für die Erfassung forensischer Beweise.
- Welche Daten sind am sensibelsten.
- Gibt an, ob Benutzer benachrichtigt werden, wenn die forensische Erfassung aktiviert ist.
Die Erfassung forensischer Beweise ist standardmäßig deaktiviert, und die Richtlinienerstellung erfordert eine doppelte Autorisierung.
Anforderungen
Wenn die folgenden Anforderungen nicht erfüllt sind, treten möglicherweise Probleme mit dem Microsoft Purview-Client auf, und die Qualität der forensischen Erfassungen ist möglicherweise nicht zuverlässig.
Um forensische Beweise für Microsoft Purview einzurichten, muss Ihre Umgebung die folgenden Anforderungen erfüllen:
Gerätekonfigurationsanforderungen
- Katalogimagetyp
- Windows 11 Enterprise + Microsoft 365 Apps 23H2 oder höher
- Lizenzierungsoptionen
- Microsoft 365 E5
- Microsoft 365 E5 (kein Teams)
- Microsoft 365 E5 Compliance
- Microsoft 365 E5 Insider-Risikomanagement
- Jointyp und Netzwerk
- Microsoft Entra mit von Microsoft gehosteten Netzwerk- und Azure-Netzwerkverbindungen verknüpft
- Microsoft Entra hybrid eingebunden mit Azure-Netzwerkverbindung
- Microsoft Defender Antivirus in Windows Version 4.18.2110 oder höher
- Microsoft 365 Apps Version 16.0.14701.0 oder höher
- Das Gerät muss einem primären Benutzer zugewiesen werden.
- Cloud-PC-Größe
- Für eine optimale Leistung, 8 vCPU oder höher (weitere Informationen finden Sie unter Größenempfehlungen für Cloud-PCs).
Rollenanforderungen
- Das Konto muss über mindestens eine der folgenden Rollen verfügen:
- Microsoft Entra ID Rolle "Complianceadministrator"
- Microsoft Entra ID Rolle "Globaler Administrator"
- Microsoft Purview-Rollengruppe "Organisationsverwaltung"
- Rollengruppe „Microsoft Purview-Complianceadministrator“
- Rollengruppe "Insider-Risikomanagement"
- Rollengruppe "Insider-Risikomanagement-Administratoren"
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Weitere Informationen zu Insider-Risikomanagementrollen finden Sie unter Aktivieren von Berechtigungen für das Insider-Risikomanagement.
Aktivieren des Geräte-Onboardings
Öffnen Sie das Microsoft Purview-Portal. Wählen Sie Einstellungen>Geräte onboarding>Geräte>Onboarding aus.
Wählen Sie aus, welche Bereitstellungsmethode zum Bereitstellen des Konfigurationspakets verwendet werden soll:
Bereitstellen des Konfigurationspakets mithilfe von Intune
Melden Sie sich beim Microsoft Intune Admin Center>Endpunktsicherheit>an Microsoft Defender for Endpoint>Öffnen Sie die Microsoft Defender Security Center.
Legen Sie Microsoft Intune Verbindung auf Ein und dann Einstellungen speichern fest.
Kehren Sie zum Microsoft Defender for Endpoint zurück, und legen Sie die folgenden Optionen fest:
- Microsoft für Endpunkt das Erzwingen von Endpunktsicherheitskonfigurationen erlauben: Ein
- Verbinden Sie Windows-Geräte version 10.0.15063 und höher mit Microsoft Defender for Endpoint: Ein
Klicken Sie auf Speichern.
Wählen Sie Endpunktsicherheit>Endpunkterkennung und -antwort>Richtlinie erstellen aus.
Wählen Sie die folgenden Optionen aus:
- Plattform: Windows 10, Windows 11 und Windows Server
- Profiltyp: Endpunkterkennung und -antwort
Wählen Sie Erstellen aus.
Geben Sie alsNächstes einen Namen und eine Beschreibung> an.
Wählen Sie auf der Seite Konfigurationseinstellungen für Microsoft Defender for Endpoint Typ des ClientkonfigurationspaketsAuto from connector>Next aus.
Wählen Sie auf der Seite Bereichstags die Option Weiter aus.
Wählen Sie auf der Seite Zuweisungen die Gruppe aus, die den primären Benutzer des Cloud-PC >Next enthält.
Wenn Sie fertig sind, wählen Sie auf der Seite Überprüfen und erstellendie Option Erstellen aus.
Nachdem Sie die Richtlinie erstellt haben, muss sich ein Benutzer bei ihrem Gerät anmelden, bevor die Richtlinie angewendet und das Gerät in Microsoft Defender for Endpoint integriert wird.
Verwenden eines lokalen Skripts zum Bereitstellen des Konfigurationspakets
Befolgen Sie die Anweisungen unter Integrieren von Windows 10 und Windows 11 Geräten mithilfe eines lokalen Skripts. Dieses Skript kann hilfreich sein, wenn Sie eine Teilmenge von Cloud-PCs testen, bevor Sie mit dem Onboarding aller Cloud-PCs fortfahren.
Anzeigen der Liste der Onboardinggeräte
Öffnen Sie das Microsoft Purview-Portal>Einstellungen>Gerät onboarding>Geräte.
Überprüfen Sie die folgenden Spalten:
- Konfigurations-status: Zeigt an, ob das Gerät ordnungsgemäß konfiguriert ist.
- Richtliniensynchronisierung status: Zeigt an, ob das Gerät auf die neueste Richtlinienversion aktualisiert wurde. Geräte müssen aktiviert sein, um auf die neueste Richtlinie zu aktualisieren.
Nächste Schritte
Weitere Informationen zu Microsoft Purview finden Sie unter Informationen zu Microsoft Purview.
Weitere Informationen zu forensischen Beweiserfassungsoptionen in Microsoft Purview finden Sie unter Erfassungsoptionen.
Weitere Informationen zur Microsoft Purview-Kapazität und -Abrechnung finden Sie unter Kapazität und Abrechnung.