Freigeben über

Stellen Sie einen Windows 365 Enterprise Cloud-PC unter Überprüfung

  • Artikel

Im Rahmen einer Anforderung der digitalen Forensik werden Sie möglicherweise aufgefordert, internen oder externen Ermittlern ein Snapshot eines Cloud-PCs zur Verfügung zu stellen. Wenn Sie einen Cloud-PC unter Überprüfung stellen, wird ein Snapshot des Cloud-PCs in Ihrem Azure Speicherkonto gespeichert. Von dort aus können Sie das Snapshot dem Ermittler bereitstellen.

Hinweis

Bis zu 10 Cloud-PCs können gleichzeitig überprüft werden. Wenn mehr als 10 gleichzeitig überprüft werden, werden die Anforderungen für die Verarbeitung in die Warteschlange eingereiht, aber die Möglichkeit von Timeouts erhöht sich, wenn die Anforderungen zu lang in der Warteschlange bleiben. Wenn Timeouts auftreten, empfiehlt es sich, die Anforderungen zu staffeln, um ausreichend Zeit für vorherige Anforderungen zuzulassen.

Anforderungen

Um einen Cloud-PC unter Überprüfung zu stellen, müssen Sie die folgenden Anforderungen erfüllen:

  • Eine Windows 365 Enterprise-Lizenz.
  • Ein Azure Speicherkonto im selben Mandanten, das gemäß den nachstehenden Anforderungen eingerichtet wurde.

Einrichten Ihres Azure Speicherkontos

Um einen Cloud-PC unter Überprüfung zu stellen, müssen Sie zuerst über ein Azure Speicherkonto im selben Mandanten wie der Cloud-PC verfügen. Weitere Informationen, die Ihnen bei der Entscheidung helfen, welcher Kontotyp Ihren Anforderungen entspricht, finden Sie in der Übersicht über das Speicherkonto. Es wird empfohlen, ein dediziertes Speicherkonto mit dedizierten Zugriffssteuerungen für die Überwachung von Cloud-PCs zu erstellen und zu verwalten. Im Rahmen des Prozesses zum Überprüfen von Cloud-PCs erfordert Windows 365 die Rollen Speicherkontomitwirkender und Mitwirkender an Storage-Blobdaten für Ihr Azure-Speicherkonto.

  1. Erstellen Sie ein Speicherkonto im Azure-Abonnement Ihrer Wahl. Zum Erstellen des Kontos können Sie PowerShell, Azure CLI, Azure Resource Manager-Vorlage oder Azure-Portal verwenden.

  2. Konfigurieren Sie das Speicherkonto mit den folgenden Einstellungen:

    • Instanzdetails
      • Region: Dieselbe Region wie CloudPC für die Leistung vorgeschlagen. Es gibt keine Einschränkung für welche Region.
      • Leistung: Premium (unterstützt heiße Zugriffsebene) oder Standard (unterstützt alle Zugriffsebenen).
      • Premium-Kontotyp: Seitenblobs
    • Sicherheit
      • TLS-Mindestversion: Version 1.2.
      • Vergewissern Sie sich, dass anonymen Blobzugriff zulassen deaktiviert ist (Standardeinstellung).
      • Deaktivieren Sie Speicherkontoschlüsselzugriff aktivieren.
    • Netzwerk
      • Netzwerkzugriff: Aktivieren des öffentlichen Zugriffs aus allen Netzwerken

    OPTIONAL: Wenn Sie Ihr Speicherkonto kopieren möchten, das in unveränderlichen Speicher kopiert wurde, legen Sie diese Felder fest:

    • Wählen Sie Versionsverwaltung für Blobs aktivieren aus.
    • Wählen Sie Unterstützung für Unveränderlichkeit auf Versionsebene aktivieren aus.
    • Wenn die Option Premium-Leistung ausgewählt ist, muss auch zonenredundanter Speicher (ZRS) ausgewählt werden. Lokal redundanter Speicher (LRS) ist keine unterstützte unveränderliche Speicheroption.

    NICHT UNTERSTÜTZT: Festlegen eines Berechtigungsbereichs für Kopiervorgänge. Er muss (NULL) sein, der Standardwert, um das Kopieren aus einem beliebigen Speicherkonto in das Zielkonto zu ermöglichen.

  3. Weisen Sie eine Azure-Rolle für den Zugriff auf Blobdaten zu. Die mindestens erforderlichen Berechtigungen für den Windows 365-Dienst, um einen Cloud-PC zu überprüfen, sind Speicherkontomitwirkender und Mitwirkender an Storage-Blobdaten.

Stellen Sie einen Cloud-PC unter Überprüfung

Nachdem Sie ein Azure-Speicherkonto mit den oben erläuterten Berechtigungen eingerichtet haben, können Sie einen Cloud-PC mithilfe der folgenden Schritte unter Überprüfung stellen:

  1. Melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Geräte>Alle Geräte> ein Gerät auswählen aus. Screenshot: Auswählen eines Geräts

  2. Wählen Sie die Auslassungspunkte (...) aus. >Stellen Sie cloud-PC unter Überprüfung. [Screenshot: Überprüfen eines Cloud-PCs.

  3. Wählen Sie das Abonnement, das Speicherkonto und die Zugriffsebene (heiße Kosten, archivkosten am wenigsten) aus, für die der Windows 365 Dienst die Berechtigungen Speicherkontomitwirkender und Mitwirkender an Storage-Blobdaten erhalten hat.

    Nur Heiße Seitenblobs können von einem virtuellen Computer bereitgestellt werden. Alle anderen Ebenen sind Blockblobs, die in ein Seitenblob konvertiert werden müssen, wenn Sie den Datenträger auf einem virtuellen Computer einbinden müssen. Die Archivebene ist eine Offlineebene, sodass vor der Konvertierung in ein Seitenblob eine Aktivierung auf eine Onlineebene erforderlich ist.

    Standard Speicherkontoebenen für die Leistung: Bei einem Standard Speicherkonto kann die Ebene für das Blob, das aus Windows 365 in Ihr Speicherkonto kopiert wird, eine andere Ebene sein. Wenn Sie ein Speicherkonto der heißen Ebene einrichten, sind andere Objekte standardmäßig heiß. Sie können jedoch festlegen, dass das Image des cloudbasierten PCs unter "Kalt", "Kalt" oder "Archiv" angezeigt wird.

    Storage Premium-Leistungskontoebenen: Die Premium-Leistung ist immer ein Speicherkonto der heißen Ebene. Das Dropdownmenü für die Zugriffsebene wird für Speicherkonten mit Premium-Leistung ignoriert.

  4. Wenn Sie unter Zugriff während der Überprüfung auswählen

    • Zugriff blockieren: Der Cloud-PC wird sofort ausgeschaltet, sodass der Benutzer nicht auf den Cloud-PC zugreifen kann, und dann wird die Momentaufnahme erstellt. Dies ist nützlich in Fällen, in denen Sie möglicherweise eine Sicherheitsgefährdung eindämmen möchten, indem Sie den Cloud-PC herunterfahren und dann die Momentaufnahme später in einer isolierten Umgebung analysieren.
    • Zugriff zulassen: Der Cloud-PC-Benutzer kann den Cloud-PC weiterhin verwenden, auch wenn Sie eine Momentaufnahme im Speicherkonto erstellen.

    Screenshot: Auswählen eines Abonnements und Speichers

  5. Wählen Sie "Unter Überprüfung stellen“ aus. Basierend auf der Datenträgergröße des Cloud-PCs und der Zielregion des Speicherkontos kann es zwischen Minuten und einigen Stunden dauern, bis jede Momentaufnahme im Speicherkonto gespeichert werden soll. Dies kann beispielsweise bis zu einer Stunde oder mehr pro 128 GB An Datenträgerdaten für ein Speicherkonto in derselben Azure-Region dauern.

Um die Momentaufnahme manipulationssicher zu machen, sollten Sie einen Dateihash des Momentaufnahme erstellen, wenn er im Speicherkonto gespeichert wurde. Eine Möglichkeit zum Erstellen des Dateihashs ist die Verwendung des Cmdlets Get-FileHash . Um eine optimale Leistung zu erzielen, sollte das Cmdlet Get-FileHash für eine Kopie der heruntergeladenen Datei oder für die Momentaufnahme im Azure-Speicherkonto von einer Ressource in derselben Azure-Region ausgeführt werden.

Entfernen eines Cloud-PCs aus der Überprüfung

Melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Geräte>Alle Geräte> gerät auswählen >...>Aus Überprüfung entfernen.

Massenaktionen

Sie können die Massengeräteaktionen von Intune auch verwenden, um mehrere Cloud-PCs gleichzeitig unter Überprüfung zu stellen. Weitere Informationen finden Sie unter Verwenden von Massengeräteaktionen.

Hinweis

Bis zu 10 Cloud-PCs können gleichzeitig überprüft werden. Wenn mehr als 10 gleichzeitig überprüft werden, werden Anforderungen in die Warteschlange gestellt, und Die Timeouts können sich erhöhen, wenn die Anforderung zu lange in der Warteschlange verbleibt. Wenn Timeouts auftreten, empfiehlt es sich, die Anforderungen zu staffeln, um ausreichend Zeit für vorherige Anforderungen zuzulassen. Die Abschlusszeiten hängen von der Größe des Cloud-PC-Datenträgers sowie vom Standort und Typ Ihres Azure Storage-Kontos ab.

Verwaltung mit DER API

Sie können die Graph-API verwenden, um einen Cloud-PC zu überprüfen oder aus der Überprüfung zu entfernen. Weitere Informationen finden Sie unter managedDevice: setCloudPcReviewStatus.

Nächste Schritte

Erfahren Sie mehr über die digitale Forensik und Cloud-PCs.