Delen via

Een Windows 365 Enterprise Cloud-pc controleren

  • Artikel

Als onderdeel van een digitaal forensisch verzoek wordt u mogelijk gevraagd om een momentopname van een cloud-pc te verstrekken aan interne of externe onderzoekers. Als u een cloud-pc onder controle plaatst, wordt een momentopname van de cloud-pc in uw Azure Storage-account opgeslagen. Van daaruit kunt u de momentopname aan de onderzoeker verstrekken.

Opmerking

Maximaal 10 cloud-pc's kunnen tegelijkertijd worden beoordeeld. Wanneer er meer dan 10 tegelijk worden beoordeeld, worden de aanvragen in de wachtrij geplaatst voor verwerking, maar de kans op time-outs neemt toe als de aanvragen te lang in de wachtrij blijven. Als u time-outs ondervindt, wordt u aangeraden de aanvragen te sluizen om voldoende tijd toe te staan voordat eerdere aanvragen eerst worden voltooid.

Vereisten

Als u een cloud-pc wilt controleren, moet u voldoen aan de volgende vereisten:

  • Een Windows 365 Enterprise licentie.
  • Een Azure Storage-account in dezelfde tenant, ingesteld volgens de onderstaande vereisten.

Uw Azure Storage-account instellen

Als u een cloud-pc wilt controleren, moet u eerst een Azure-opslagaccount hebben in dezelfde tenant als de cloud-pc. Zie Overzicht van opslagaccounts voor meer informatie om u te helpen bepalen welk type account bij uw behoeften past. U wordt aangeraden een toegewezen opslagaccount te maken en te onderhouden met speciale toegangsbeheer voor het controleren van cloud-pc's. Als onderdeel van het proces voor het controleren van cloud-pc's vereist Windows 365 de rollen Inzender voor opslagaccount en Inzender voor opslagblobgegevens voor uw Azure-opslagaccount.

  1. Maak een opslagaccount in het Azure-abonnement van uw keuze. Als u het account wilt maken, kunt u PowerShell, Azure CLI, Azure Resource Manager-sjabloon of Azure Portal gebruiken.

  2. Configureer het opslagaccount met de volgende instellingen;

    • Exemplaardetails
      • Regio: dezelfde regio als CloudPC wordt voorgesteld voor prestaties. Er is geen beperking voor welke regio.
      • Prestaties: Premium (ondersteunt dynamische toegangslaag) of Standard (ondersteunt alle toegangslagen).
      • Premium-accounttype: Pagina-blobs
    • Beveiliging
      • Minimale TLS-versie: versie 1.2.
      • Controleer of Anonieme toegang voor blob toestaan is uitgeschakeld (de standaardinstelling).
      • Schakel Toegang tot opslagaccountsleutel inschakelen uit.
    • Netwerken
      • Netwerktoegang: openbare toegang vanuit alle netwerken inschakelen

    OPTIONEEL: als u uw opslagaccount wilt kopiëren naar onveranderbare opslag, stelt u deze velden in:

    • Selecteer Versiebeheer inschakelen voor blobs.
    • Selecteer Onveranderbaarheidsondersteuning op versieniveau inschakelen.
    • Wanneer de optie Premium-prestaties is geselecteerd, moet zone-redundante opslag (ZRS) ook worden geselecteerd. Lokaal redundante opslag (LRS) is geen ondersteunde onveranderbare opslagoptie.

    NIET ONDERSTEUND: een machtigingsbereik instellen voor kopieerbewerkingen. Dit moet (null) zijn, de standaardwaarde, om het kopiëren van een opslagaccount naar het doelaccount toe te staan.

  3. Wijs een Azure-rol toe voor toegang tot blobgegevens. De minimale machtigingen die zijn vereist voor de Windows 365-service om een cloud-pc te controleren, zijn Inzender voor opslagaccount en Inzender voor opslagblobgegevens.

Een cloud-pc controleren

Nadat u een Azure-opslagaccount met machtigingen hebt ingesteld, zoals hierboven wordt uitgelegd, kunt u een cloud-pc controleren met behulp van de volgende stappen:

  1. Meld u aan bij het Microsoft Intune-beheercentrum en selecteer Apparaten>Alle apparaten> kies een apparaat. Schermopname van het kiezen van een apparaat

  2. Selecteer het beletselteken (...) >Controleer de cloud-pc. [Schermopname van de plaats van een cloud-pc die wordt beoordeeld.

  3. Selecteer de categorie Abonnement, Opslagaccount en Toegang (dynamische kosten het meest, terwijl archivering het minst kost) waaraan de Windows 365-service de machtigingen Inzender voor opslagaccount en Inzender voor opslagblobgegevens heeft gekregen.

    Alleen pagina-blobs met dynamische lagen kunnen door een VM worden gekoppeld. Alle andere lagen zijn blok-blobs, die moeten worden geconverteerd naar een pagina-blob als u de schijf op een VM wilt koppelen. De archieflaag is een offlinelaag, dus rehydratatie naar een onlinelaag is nodig voordat u converteert naar een pagina-blob.

    Opslagaccountlagen voor standaardprestaties: Voor een opslagaccount met standaardprestaties kan de laag voor de blob die van Windows 365 naar uw opslagaccount wordt gekopieerd, een andere laag zijn. Als u een opslagaccount met een dynamische laag instelt, zijn andere objecten standaard dynamisch. U kunt de afbeelding van de cloud-pc onder beoordeling echter instellen op cool, koud of archief.

    Opslagaccountlagen voor Premium-prestaties: Premium-prestaties zijn altijd een opslagaccount met een dynamische laag. De vervolgkeuzelijst voor de toegangslaag wordt genegeerd voor Opslagaccounts voor Premium-prestaties.

  4. Onder Toegang tijdens beoordeling, als u kiest voor

    • Toegang blokkeren. De cloud-pc wordt onmiddellijk uitgeschakeld, zodat de gebruiker geen toegang heeft tot de cloud-pc en de momentopname wordt gemaakt. Dit is handig in gevallen waarin u mogelijk een beveiligingsrisico wilt onder controle houden door de cloud-pc af te sluiten en de momentopname later in een geïsoleerde omgeving te analyseren.
    • Als u Toegang toestaat, kan de cloud-pc-gebruiker de cloud-pc blijven gebruiken, zelfs wanneer u een momentopname in het opslagaccount maakt.

    Schermopname van het kiezen van een abonnement en opslag

  5. Selecteer Onder controle plaatsen. Op basis van de schijfgrootte van de doelregio cloud-pc en opslagaccount kan dit variëren van minuten tot een paar uur voordat elke momentopname wordt opgeslagen in het opslagaccount. Het kan bijvoorbeeld een uur of meer duren per 128 GB aan schijfgegevens voor een opslagaccount in dezelfde Azure-regio.

Als u de manipulatie van de momentopname duidelijk wilt maken, moet u een bestands-hash van de momentopname maken wanneer deze is opgeslagen in het opslagaccount. Een manier om de bestands-hash te maken, is door de cmdlet Get-FileHash te gebruiken. Voor de beste prestaties moet de cmdlet Get-FileHash worden uitgevoerd op basis van een kopie van het gedownloade bestand of worden uitgevoerd op de momentopname in het Azure-opslagaccount van een resource in dezelfde Azure-regio.

Een cloud-pc uit de beoordeling verwijderen

Meld u aan bij het Microsoft Intune-beheercentrum en selecteer Apparaten>Alle apparaten> kies een apparaat >...>Verwijderen uit beoordeling.

Bulkacties

U kunt ook de bulksgewijze apparaatacties van Intune gebruiken om meerdere cloud-pc's tegelijk te controleren. Zie Bulksgewijze apparaatacties gebruiken voor meer informatie.

Opmerking

Maximaal 10 cloud-pc's kunnen tegelijkertijd worden beoordeeld. Wanneer meer dan 10 aanvragen tegelijk worden beoordeeld, worden aanvragen in de wachtrij geplaatst en kunnen time-outs toenemen als de aanvraag te lang in de wachtrij blijft staan. Als u time-outs ondervindt, wordt u aangeraden de aanvragen te sluizen om voldoende tijd toe te staan voordat eerdere aanvragen eerst worden voltooid. De voltooiingstijden zijn afhankelijk van de grootte van de cloud-pc-schijf en de locatie en het type van uw Azure Storage-account.

Beheer met API

U kunt de Graph API gebruiken om een cloud-pc te plaatsen of te verwijderen uit de beoordeling. Zie managedDevice: setCloudPcReviewStatus voor meer informatie.

Volgende stappen

Meer informatie over digitale forensische gegevens en cloud-pc's.