Configurare le prove forensi di Microsoft Purview per Windows 365
Le prove forensi di Microsoft Purview consentono di ottenere informazioni migliori sulle attività utente potenzialmente rischiose correlate alla sicurezza. Con trigger di eventi personalizzabili e controlli predefiniti per la protezione della privacy degli utenti, le prove forensi consentono di personalizzare l'acquisizione di attività visive tra dispositivi. Le prove forensi consentono all'organizzazione di mitigare, comprendere e rispondere meglio ai potenziali rischi di dati, ad esempio l'esfiltrazione non autorizzata di dati sensibili.
Si impostano i criteri corretti per l'organizzazione, ad esempio:
- Quali eventi rischiosi sono la massima priorità per l'acquisizione di prove forensi.
- Quali dati sono più sensibili.
- Indica se gli utenti ricevono una notifica quando viene attivata l'acquisizione forense.
L'acquisizione di prove forensi è disattivata per impostazione predefinita e la creazione di criteri richiede la doppia autorizzazione.
Requisiti
Se i requisiti seguenti non vengono soddisfatti, è possibile che si verifichino problemi del client Microsoft Purview e la qualità delle acquisizioni forensi potrebbe non essere affidabile.
Per configurare le prove forensi di Microsoft Purview, l'ambiente deve soddisfare i requisiti seguenti:
Requisiti di configurazione del dispositivo
- Tipo di immagine della raccolta
- Windows 11 Enterprise + Microsoft 365 Apps 23H2 o versioni successive
- Opzioni di licenza
- Microsoft 365 E5
- Microsoft 365 E5 (nessun teams)
- Conformità Microsoft 365 E5
- Gestione dei rischi Insider Microsoft 365 E5
- Tipo di join e rete
- Microsoft Entra aggiunto alla rete ospitata da Microsoft e alle connessioni di rete di Azure
- Microsoft Entra ibrido aggiunto alla connessione di rete di Azure
- Microsoft Defender Antivirus in Windows versione 4.18.2110 o successiva
- Microsoft 365 Apps versione 16.0.14701.0 o successiva
- Il dispositivo deve essere assegnato a un utente primario
- Dimensioni del PC cloud
- Per prestazioni ottimali, 8vCPU o superiore (per altre informazioni, vedere Consigli sulle dimensioni del PC cloud)
Requisiti del ruolo
- L'account deve avere almeno uno di questi ruoli:
- ruolo amministratore conformità Microsoft Entra ID
- Microsoft Entra ID ruolo Amministratore globale
- Gruppo di ruoli Microsoft Purview Organization Management
- Gruppo di ruoli dell’Amministratore di conformità di Microsoft Purview
- Gruppo di ruoli Gestione rischi Insider
- Gruppo di ruoli Insider Risk Management Admins
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Per altre informazioni sui ruoli di gestione dei rischi Insider, vedere Abilitare le autorizzazioni per la gestione dei rischi Insider.
Attivare l'onboarding dei dispositivi
Aprire il portale di Microsoft Purview. Scegliere Impostazioni>Onboarding dispositivi>Onboarding>dispositivi.
Selezionare il metodo di distribuzione da usare per distribuire il pacchetto di configurazione:
Distribuire il pacchetto di configurazione usando Intune
Accedere all'interfaccia di amministrazione> Microsoft IntuneSicurezza degli endpoint>Microsoft Defender per endpoint>Aprire il Microsoft Defender Security Center.
Impostare Microsoft Intune connessione su Sì e quindi salvare le preferenze.
Tornare alla Microsoft Defender per endpoint e impostare le opzioni seguenti:
- Consenti a Microsoft for Endpoint di applicare le configurazioni di Endpoint Security: On
- Connettere dispositivi Windows versione 10.0.15063 e successive a Microsoft Defender per endpoint: Attivato
Seleziona Salva.
Selezionare Endpoint security>Endpoint detection and response (Rilevamento endpoint e risposta>) Create policy (Crea criteri).
Selezionare le opzioni seguenti:
- Piattaforma: Windows 10, Windows 11 e Windows Server
- Tipo di profilo: rilevamento e risposta degli endpoint
Selezionare Crea.
Specificare un nome e una descrizione>avanti.
Nella pagina Impostazioni di configurazione, per Microsoft Defender per endpoint tipo di pacchetto di configurazione client selezionare Auto from connector Next (Auto from connector>Next).
Nella pagina Tag di ambito selezionare Avanti.
Nella pagina Assegnazioni selezionare il gruppo che include l'utente primario di Cloud PC Next.On the Assignments page, select the group that includes the primary user of the Cloud PC > Next.
Al termine, nella pagina Rivedi e crea selezionare Crea.
Dopo aver creato il criterio, un utente deve accedere al dispositivo prima che venga applicato il criterio e il dispositivo venga caricato in Microsoft Defender per endpoint.
Usare uno script locale per distribuire il pacchetto di configurazione
Seguire le istruzioni in Eseguire l'onboarding di Windows 10 e dispositivi Windows 11 usando uno script locale. Questo script può essere utile quando si testa un subset di PC cloud prima di procedere all'onboarding di tutti i PC cloud.
Visualizzare l'elenco dei dispositivi di onboarding
Aprire leimpostazionidel portale >di Microsoft PurviewDispositivi >di onboarding del> dispositivo.
Controllare le colonne seguenti:
- Stato configurazione: indica se il dispositivo è configurato correttamente.
- Stato di sincronizzazione dei criteri: indica se il dispositivo è stato aggiornato alla versione più recente dei criteri. I dispositivi devono essere attivi per eseguire l'aggiornamento ai criteri più recenti.
Passaggi successivi
Per altre informazioni su Microsoft Purview, vedere Informazioni su Microsoft Purview.
Per altre informazioni sulle opzioni di acquisizione delle prove forensi di Microsoft Purview, vedere Opzioni di acquisizione.
Per altre informazioni sulla capacità e la fatturazione di Microsoft Purview, vedere Capacità e fatturazione.