Windows 365の Microsoft Purview フォレンジック証拠を設定する

Microsoft Purview フォレンジック証拠 は、リスクの高いセキュリティ関連のユーザー アクティビティに関するより良い分析情報を得るのに役立ちます。 カスタマイズ可能なイベント トリガーと組み込みのユーザー プライバシー保護コントロールを使用すると、フォレンジック証拠を使用して、デバイス間で視覚的なアクティビティキャプチャをカスタマイズできます。 フォレンジック証拠は、機密データの不正なデータ流出などの潜在的なデータ リスクの軽減、理解、対応をorganizationするのに役立ちます。

次のように、organizationに適切なポリシーを設定します。

• フォレンジック証拠をキャプチャするための最優先事項は、どのような危険なイベントですか。
• 最も機密性の高いデータ。
• フォレンジック キャプチャがアクティブ化されたときにユーザーに通知されるかどうか。

フォレンジック証拠のキャプチャは既定ではオフであり、ポリシーの作成にはデュアル承認が必要です。

要件

次の要件が満たされていない場合は、Microsoft Purview クライアントの問題が発生し、フォレンジック キャプチャの品質が信頼できない可能性があります。

Microsoft Purview フォレンジック証拠を設定するには、環境が次の要件を満たす必要があります。

デバイス構成の要件

• ギャラリー イメージの種類
  • Windows 11 Enterprise + Microsoft 365 Apps 23H2 以降
• ライセンス オプション
  • Microsoft 365 E5
  • Microsoft 365 E5 (Teams なし)
  • Microsoft 365 E5 Compliance
  • Microsoft 365 E5 インサイダー リスク管理
• 結合の種類とネットワーク
  • Microsoft Entra Microsoft ホスト型ネットワーク接続と Azure ネットワーク接続で参加しています
  • Microsoft Entraハイブリッドが Azure ネットワーク接続と結合されている
• Windows バージョン 4.18.2110 以降のMicrosoft Defender ウイルス対策
• Microsoft 365 Apps バージョン 16.0.14701.0 以降
• デバイスをプライマリ ユーザーに割り当てる必要がある
• クラウド PC サイズ
  • 最適なパフォーマンスを得るには、8vCPU 以上 (詳細については、「 クラウド PC のサイズに関する推奨事項」を参照してください)

ロールの要件

• アカウントには、次のロールの少なくとも 1 つが必要です。
  • Microsoft Entra IDコンプライアンス管理者ロール
  • グローバル管理者ロールのMicrosoft Entra ID
  • Microsoft Purview Organization Management ロール グループ
  • Microsoft Purview コンプライアンス管理者の役割グループ
  • Insider Risk Management ロール グループ
  • Insider Risk Management Admins ロール グループ

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

インサイダー リスク管理ロールの詳細については、「インサイダー リスク 管理のアクセス許可を有効にする」を参照してください。

デバイスのオンボードを有効にする

1. Microsoft Purview ポータルを開きます。 [設定>デバイスのオンボード>Devices>Onboarding を選択します。

2. 構成パッケージのデプロイに使用するデプロイ 方法 を選択します。

   • Intune: モバイル デバイス管理ツールまたはMicrosoft Intuneを使用します。
   • ローカル スクリプト: ローカル スクリプトを使用します。

Intuneを使用して構成パッケージをデプロイする

1. Microsoft Intune管理センター>Endpoint セキュリティ>Microsoft Defender for Endpoint>Microsoft Defender セキュリティ センターを開きます。

2. Microsoft Intune接続を [オン] に設定し、[Save preferences]\(基本設定を保存\) に設定します。

3. Microsoft Defender for Endpointに戻り、次のオプションを設定します。

   • Microsoft for Endpoint にエンドポイント セキュリティ構成の適用を許可する: オン
   • Windows デバイス バージョン 10.0.15063 以降を Microsoft Defender for Endpoint に接続する: オン

4. [保存] を選択します。

5. [ エンドポイント セキュリティ>エンドポイントの検出と応答>ポリシーの作成] を選択します。

6. 次のオプションを選択します。

   • プラットフォーム: Windows 10、Windows 11、および Windows Server
   • プロファイルの種類: エンドポイントの検出と応答

7. [作成] を選択します。

8. Name と Description>Next を指定します。

9. [構成設定] ページの [Microsoft Defender for Endpoint クライアント構成パッケージの種類] で、[コネクタから自動>次へ] を選択します。

10. [スコープ タグ] ページで [次へ] を選択します。

11. [割り当て] ページで、Cloud PC >Next のプライマリ ユーザーを含むグループを選択します。

12. [ 確認と作成 ] ページで、完了したら [ 作成] を選択します。

ポリシーを作成した後、ポリシーが適用され、デバイスがMicrosoft Defender for Endpointにオンボードされる前に、ユーザーがデバイスにサインインする必要があります。

ローカル スクリプトを使用して構成パッケージをデプロイする

「ローカル スクリプトを使用してWindows 10とWindows 11デバイスをオンボードする」の手順に従います。 このスクリプトは、すべてのクラウド PC のオンボードに進む前に、クラウド PC のサブセットをテストするときに役立ちます。

オンボード デバイスの一覧を表示する

1. Microsoft Purview ポータル>Settings>Device オンボード>Devices を開きます。

2. 次の列を確認します。

   • 構成状態: デバイスが正しく構成されているかどうかを示します。
   • ポリシー同期の状態: デバイスが最新のポリシー バージョンに更新されたかどうかを示します。 最新のポリシーに更新するには、デバイスがオンである必要があります。

次の手順

Microsoft Purview の詳細については、「Microsoft Purview について」を参照してください。

Microsoft Purview フォレンジック証拠のキャプチャ オプションの詳細については、「 キャプチャ オプション」を参照してください。

Microsoft Purview の容量と課金の詳細については、「 容量と課金」を参照してください。