Compartir a través de

Enviar un equipo de Windows 365 Enterprise Cloud a revisión

  • Artículo

Como parte de una solicitud forense digital, es posible que se le pida que proporcione una instantánea de un equipo de Cloud a investigadores internos o externos. Al enviar un equipo de Cloud a revisión, se guarda una instantánea del equipo en la nube en la cuenta de Azure Storage. Desde allí, puede proporcionar la instantánea al investigador.

Nota:

Se pueden revisar simultáneamente hasta 10 equipos en la nube. Cuando se revisan más de 10 a la vez, las solicitudes se ponen en cola para su procesamiento, pero la posibilidad de tiempos de espera aumenta si las solicitudes permanecen demasiado tiempo en la cola. Si experimenta tiempos de espera, se recomienda escalonar las solicitudes para permitir tiempo suficiente para que las solicitudes anteriores se completen primero.

Requisitos

Para enviar un equipo de Cloud a revisión, debe cumplir los siguientes requisitos:

  • Tener una licencia de Windows 365 Enterprise.
  • Tener una cuenta de Azure Storage en el mismo inquilino, configurada según los requisitos a continuación.

Configuración de la cuenta de Azure Storage

Para enviar un equipo de Cloud a revisión, primero debe tener una cuenta de almacenamiento de Azure en el mismo inquilino que el equipo de Cloud. Para obtener más información que le ayude a decidir qué tipo de cuenta se ajusta a sus necesidades, consulte Información general de la cuenta de almacenamiento. Se recomienda crear y mantener una cuenta de almacenamiento dedicada con controles de acceso dedicados para auditar equipos de Cloud. Como parte del proceso para revisar los equipos en la nube, Windows 365 requiere los roles Colaborador de la cuenta de almacenamiento y Colaborador de datos de Storage Blob para la cuenta de Azure Storage.

  1. Cree una cuenta de almacenamiento en la suscripción de Azure que prefiera. Para crear la cuenta, puede usar PowerShell, la CLI de Azure, la plantilla de Azure Resource Manager o Azure Portal.

  2. Configure la cuenta de almacenamiento con los siguientes valores;

    • Detalles de la instancia
      • Región: la misma región que CloudPC sugerida para el rendimiento. No hay ninguna restricción en qué región.
      • Rendimiento: Premium (admite el nivel de acceso frecuente) o Standard (admite todos los niveles de acceso).
      • Tipo de cuenta Premium: blobs en páginas
    • Seguridad
      • Versión mínima de TLS: versión 1.2.
      • Confirme que permitir el acceso anónimo de blobs está deshabilitado (valor predeterminado).
      • Deshabilite Habilitar el acceso a la clave de la cuenta de almacenamiento.
    • Redes
      • Acceso a la red: habilitar el acceso público desde todas las redes

    OPCIONAL: Si desea copiar la cuenta de almacenamiento copiada en un almacenamiento inmutable, establezca estos campos:

    • Seleccione Habilitar control de versiones para blobs.
    • Seleccione Habilitar compatibilidad con inmutabilidad de nivel de versión.
    • Cuando se selecciona la opción Rendimientopremium, también debe seleccionarse el almacenamiento con redundancia de zona (ZRS). El almacenamiento con redundancia local (LRS) no es una opción de almacenamiento inmutable compatible.

    NO COMPATIBLE: establecer un ámbito de permiso para las operaciones de copia. Debe ser (null), el valor predeterminado, para permitir la copia desde cualquier cuenta de almacenamiento a la cuenta de destino.

  3. Asignar un rol de Azure para acceder a los datos de blob. Los permisos mínimos necesarios para que el servicio de Windows 365 coloque un equipo en la nube en revisión son Colaborador de cuenta de almacenamiento y Colaborador de datos de Blob de Almacenamiento.

Enviar un equipo de Cloud a revisión

Después de configurar una cuenta de almacenamiento de Azure con permisos como se explicó anteriormente, puede enviar un equipo de Cloud a revisión mediante los pasos siguientes:

  1. Inicie sesión en el centro de administración de Microsoft Intune y seleccione Dispositivos>Todos los dispositivos> elija un dispositivo. Captura de pantalla de elegir un dispositivo

  2. Seleccione los puntos suspensivos (...) >Coloque el equipo en la nube en revisión. [Captura de pantalla de colocar un equipo en la nube en revisión.

  3. Seleccione la suscripción, la cuenta de almacenamiento y el nivel de acceso (los costos de acceso frecuentes son los que más cuesta mientras que el archivo cuesta menos) a los que se concedieron permisos al servicio Windows 365 colaborador de la cuenta de almacenamiento y colaborador de datos de Storage Blob.

    Solo los blobs en páginas de nivel de acceso frecuente se pueden montar mediante una máquina virtual. Todos los demás niveles son blobs en bloques, que se deben convertir en un blob en páginas si necesita montar el disco en una máquina virtual. El nivel de archivo es un nivel sin conexión, por lo que la rehidratación a un nivel en línea es necesaria antes de convertirla en un blob en páginas.

    Standard niveles de cuenta de almacenamiento de rendimiento: para una cuenta de almacenamiento de rendimiento de Standard, el nivel del blob que se copia de Windows 365 a la cuenta de almacenamiento puede ser un nivel diferente. Si configura una cuenta de almacenamiento de nivel de acceso frecuente, otros objetos estarán activos de forma predeterminada. Sin embargo, puede establecer que el equipo en la nube en la imagen de revisión sea esporádico, frío o de archivo.

    Niveles de cuenta de almacenamiento de rendimiento Premium: el rendimiento Premium siempre es una cuenta de almacenamiento de nivel de acceso frecuente. El menú desplegable del nivel de acceso se omite para las cuentas de almacenamiento de rendimiento Premium.

  4. En Acceso durante la revisión, si elige

    • Bloquear acceso, el equipo en la nube se apagará inmediatamente para que el usuario no pueda acceder al equipo en la nube y, a continuación, se creará la instantánea. Esto resulta útil en los casos en los que es posible que desee contener una amenaza de seguridad cerrando el equipo en la nube y, a continuación, realizando el análisis de la instantánea más adelante en un entorno aislado.
    • Permitir acceso, el usuario del equipo en la nube puede seguir usando el equipo en la nube incluso cuando cree una instantánea en la cuenta de almacenamiento.

    Captura de pantalla de elegir una suscripción y un almacenamiento

  5. Seleccione Enviar a revisión. En función del tamaño del disco del equipo en la nube y la región de destino de la cuenta de almacenamiento, puede oscilar entre minutos y unas pocas horas para que cada instantánea se guarde en la cuenta de almacenamiento. Por ejemplo, puede tardar hasta una hora o más por cada 128 GB de datos de disco para una cuenta de almacenamiento en la misma región de Azure.

Para que la manipulación de la instantánea sea evidente, debe crear un hash de archivo de la instantánea cuando se haya guardado en la cuenta de almacenamiento. Una forma de crear el hash de archivo es usar el cmdlet Get-FileHash . Para obtener el mejor rendimiento, el cmdlet Get-FileHash debe ejecutarse en una copia del archivo descargado o ejecutarse en la instantánea de la cuenta de Almacenamiento de Azure desde un recurso ubicado en la misma región de Azure.

Quitar un equipo de Cloud de la revisión

Inicie sesión en el centro de administración de Microsoft Intune y seleccione Dispositivos>Todos los dispositivos> elija un dispositivo>...>Quitar de la revisión.

Acciones masivas

También puede usar las acciones de dispositivo masivas de Intune para enviar varios equipos de Cloud a revisión al mismo tiempo. Para obtener información relacionada, consulte Usar acciones masivas de dispositivo.

Nota:

Se pueden revisar simultáneamente hasta 10 equipos en la nube. Cuando se revisan más de 10 a la vez, las solicitudes se ponen en cola y los tiempos de espera pueden aumentar si la solicitud permanece en la cola durante demasiado tiempo. Si experimenta tiempos de espera, se recomienda escalonar las solicitudes para permitir tiempo suficiente para que las solicitudes anteriores se completen primero. Los tiempos de finalización dependerán del tamaño del disco del equipo en la nube, así como de la ubicación y el tipo de la cuenta de Azure Storage.

Administración con API

Puede usar el Graph API para colocar o quitar un equipo en la nube de la revisión. Para obtener más información, vea managedDevice: setCloudPcReviewStatus.

Pasos siguientes

Obtenga más información sobre el análisis forense digital y los equipos de Cloud.