Placer en revue un PC Windows 365 Entreprise Cloud
Dans le cadre d’une demande d’investigation numérique, vous pouvez être invité à fournir un instantané d’un PC cloud aux enquêteurs internes ou externes. Le fait de placer un PC cloud sous révision permet d’enregistrer un instantané du PC cloud dans votre compte de stockage Azure. À partir de là, vous pouvez fournir la capture instantané à l’enquêteur.
Remarque
Jusqu’à 10 PC cloud peuvent être examinés simultanément. Lorsque plus de 10 demandes sont passées en revue à la fois, les demandes sont mises en file d’attente pour traitement, mais le risque d’expiration des délais augmente si les demandes restent trop longues dans la file d’attente. Si vous rencontrez des délais d’expiration, il est recommandé d’échelonner les demandes afin de laisser suffisamment de temps pour que les requêtes précédentes s’exécutent en premier.
Conditions requises
Pour passer en revue un PC cloud, vous devez répondre aux exigences suivantes :
- Une licence Windows 365 Entreprise.
- Un compte stockage Azure dans le même locataire, configuré conformément aux exigences ci-dessous.
Configurer votre compte de stockage Azure
Pour passer en revue un PC cloud, vous devez d’abord disposer d’un compte de stockage Azure dans le même locataire que le PC cloud. Pour plus d’informations pour vous aider à déterminer le type de compte qui répond à vos besoins, consultez la Vue d’ensemble du compte de stockage. Nous vous recommandons de créer et de gérer un compte de stockage dédié avec des contrôles d’accès dédiés pour l’audit des PC cloud. Dans le cadre du processus de révision des PC cloud, Windows 365 nécessite les rôles Contributeur de compte de stockage et Contributeur aux données Blob du stockage pour votre compte de stockage Azure.
Créez un compte de stockage dans l’abonnement Azure de votre choix. Pour créer le compte, vous pouvez utiliser PowerShell, Azure CLI, le modèle Azure Resource Manager ou le portail Azure.
Configurez le compte de stockage avec les paramètres suivants :
-
Détails de l’instance
- Région : même région que CloudPC suggérée pour les performances. Il n’existe aucune restriction sur la région.
- Performances : Premium (prend en charge le niveau d’accès à chaud) ou Standard (prend en charge tous les niveaux d’accès).
- Type de compte Premium : Objets blob de pages
-
Sécurité
- Version TLS minimale : version 1.2.
- Vérifiez que l’option Autoriser l’accès anonyme aux objets blob est désactivée (valeur par défaut).
- Désactivez Activer l’accès à la clé du compte de stockage.
-
Mise en réseau
- Accès réseau : activer l’accès public à partir de tous les réseaux
FACULTATIF : si vous souhaitez copier votre compte de stockage copié dans le stockage immuable, définissez les champs suivants :
- Sélectionnez Activer le contrôle de version pour les objets blob.
- Sélectionnez Activer la prise en charge de l’immuabilité au niveau de la version.
- Lorsque l’optionPremium Performance est sélectionnée, le stockage redondant interzone (ZRS) doit également être sélectionné. Le stockage localement redondant (LRS) n’est pas une option de stockage immuable prise en charge.
NON PRIS EN CHARGE : définition d’une étendue Autoriser pour les opérations de copie. Elle doit être (null), la valeur par défaut, pour permettre la copie de n’importe quel compte de stockage vers le compte de destination.
-
Détails de l’instance
Attribuez un rôle Azure pour l’accès aux données d’objet blob. Les autorisations minimales requises pour que le service Windows 365 place un PC cloud sous examen sont Contributeur de compte de stockage et Contributeur aux données Blob du stockage.
Placer un PC cloud en revue
Après avoir configuré un compte de stockage Azure avec des autorisations comme expliqué ci-dessus, vous pouvez passer en revue un PC cloud en procédant comme suit :
Connectez-vous au centre d’administration Microsoft Intune et sélectionnez Appareils>Tous les appareils choisissent> un appareil.
Sélectionnez les points de suspension (...) >Placez le PC cloud sous examen.
Sélectionnez l’abonnement, le compte de stockage et le niveau d’accès (les coûts les plus élevés tandis que les coûts d’archivage sont les moins élevés) auxquels le service Windows 365 a reçu les autorisations Contributeur de compte de stockage et Contributeur aux données Blob du stockage.
Seuls les objets blob de pages de niveau chaud peuvent être montés par une machine virtuelle. Tous les autres niveaux sont des objets blob de blocs, qui doivent être convertis en objet blob de pages si vous devez monter le disque sur une machine virtuelle. Le niveau archive étant un niveau hors connexion, la réhydratation en un niveau en ligne est nécessaire avant la conversion en objet blob de pages.
Standard niveaux de compte de stockage de performances : pour un compte de stockage de performances Standard, le niveau de l’objet blob copié de Windows 365 vers votre compte de stockage peut être différent. Si vous configurez un compte de stockage de niveau chaud, les autres objets seront chauds par défaut. Toutefois, vous pouvez définir l’image du PC cloud en cours d’examen pour qu’elle soit froide, froide ou archive.
Niveaux de compte de stockage de performances Premium : les performances Premium sont toujours un compte de stockage de niveau chaud. Le menu déroulant du niveau d’accès est ignoré pour les comptes de stockage de performances Premium.
Sous Accès pendant la révision, si vous choisissez
- Bloquer l’accès, le PC cloud est immédiatement éteint afin que l’utilisateur ne puisse pas accéder au PC cloud, puis le instantané est créé. Cela est utile dans les cas où vous pouvez contenir une menace de sécurité en arrêtant le PC cloud, puis en effectuant une analyse de l’instantané ultérieurement dans un environnement isolé.
- Autoriser l’accès. L’utilisateur du PC cloud peut continuer à utiliser le PC cloud même lorsque vous créez un instantané dans le compte de stockage.
Sélectionnez emplacement en cours d’examen. En fonction de la taille du disque du PC cloud et de la région de destination du compte de stockage, l’enregistrement de chaque instantané dans le compte de stockage peut varier de quelques minutes à quelques heures. Par exemple, cela peut prendre jusqu’à une heure ou plus par 128 Go de données de disque pour un compte de stockage dans la même région Azure.
Pour rendre la instantané inviolable, vous devez créer un hachage de fichier du instantané lorsqu’il a été enregistré dans le compte de stockage. L’une des façons de créer le hachage de fichier consiste à utiliser l’applet de commande Get-FileHash . Pour de meilleures performances, l’applet de commande Get-FileHash doit être exécutée sur une copie du fichier téléchargé ou sur l’instantané dans le compte de stockage Azure à partir d’une ressource située dans la même région Azure.
Supprimer un PC cloud de la révision
Connectez-vous au centre d’administration Microsoft Intune et sélectionnez Appareils>Tous les appareils choisissent> un appareil >...>Supprimer de la révision.
Actions en bloc
Vous pouvez également utiliser les actions d’appareil en bloc d’Intune pour passer en revue plusieurs PC cloud en même temps. Pour plus d’informations, consultez Utiliser des actions d’appareil en bloc.
Remarque
Jusqu’à 10 PC cloud peuvent être examinés simultanément. Lorsque plus de 10 sont examinés simultanément, les demandes sont mises en file d’attente et les délais d’expiration peuvent augmenter si la demande reste trop longtemps dans la file d’attente. Si vous rencontrez des délais d’expiration, il est recommandé d’échelonner les demandes afin de laisser suffisamment de temps pour que les requêtes précédentes s’exécutent en premier. Les temps d’achèvement dépendent de la taille du disque du PC cloud, ainsi que de l’emplacement et du type de votre compte de stockage Azure.
Gestion avec l’API
Vous pouvez utiliser la API Graph pour placer ou supprimer un PC cloud de la révision. Pour plus d’informations, consultez managedDevice : setCloudPcReviewStatus.
Prochaines étapes
En savoir plus sur la criminalistique numérique et les PC cloud.