Microsoft Purview インサイダー リスク管理からフォレンジック エビデンスに Azure Virtual Desktop セッション ホストをオンボードする
フォレンジック エビデンスは、Microsoft Purview インサイダー リスク管理のオプトイン アドオン機能であり、インサイダーによるデータ セキュリティ インシデントの可能性に関する視覚的な分析情報をセキュリティ チームに提供します。 フォレンジック エビデンスには、カスタマイズ可能なイベント トリガーと組み込みのユーザー プライバシー保護コントロールが含まれており、セキュリティ チームは、機密データの不正なデータ流出などのインサイダー データ リスクの可能性の調査、把握、対応を強化できます。
フォレンジック エビデンスのキャプチャに関して最も優先度の高いリスク イベント、最も機密性の高いデータ、フォレンジック キャプチャがアクティブになったらユーザーに通知するかどうかなど、組織に適したポリシーを設定します。
フォレンジック エビデンスで Azure Virtual Desktop を使うときは、デスクトップと RemoteApp のセッションの記録を自動的にトリガーするようにポリシーを設定できます。 フォレンジック エビデンスのキャプチャは既定ではオフになっており、ポリシーの作成には二重認可が必要です。
前提条件
Azure Virtual Desktop にフォレンジック エビデンスを使うには、その前に次のものが必要です。
直接割り当てが使われている個人用デスクトップ ホスト プール。 プールされたホスト プールはサポートされていません。
Windows 11 Enterprise バージョン 23H2 を実行し、少なくとも 8 個の vCPU と 16 GB のメモリを備えた VM SKU (Standard D8as v5 など) を使用するセッション ホスト。
セッション ホストは、Microsoft Entra ID 参加済みまたは Entra ID ハイブリッド参加済みであり、Microsoft Intune に登録されている必要があります。
Microsoft 365 E5 ライセンス。これには、Intune とインサイダー リスク管理の両方のライセンスが含まれています。
セッション ホストをフォレンジック エビデンスにオンボードする
セッション ホストをフォレンジック エビデンスにオンボードするには:
ユーザーが直接割り当てを使って個人用デスクトップに割り当てられていることを確認します。 「直接割り当てを構成する」の手順のようにして、ユーザーを個人用デスクトップに割り当てます。
セッション ホストを Purview にオンボードする必要があります。 Microsoft Purview への Windows デバイスのオンボードに関する記事の手順に従って、セッション ホストをオンボードします。
Purview クライアントをインストールし、フォレンジック エビデンスを構成します。 「インサイダー リスク管理のフォレンジック証拠の使用を開始する」の手順のようにして、Purview クライアントをインストールし、フォレンジック エビデンスを構成します。