Gerir provas forenses de gestão de riscos internos

Importante

As provas forenses são uma funcionalidade de suplemento opt-in na Gestão de Riscos Internos que fornece às equipas de segurança informações visuais sobre potenciais incidentes de segurança de dados internos, com a privacidade dos utilizadores incorporada. As provas forenses incluem acionadores de eventos personalizáveis e controlos de proteção de privacidade de utilizadores incorporados, permitindo que as equipas de segurança investiguem, compreendam e respondam melhor a potenciais riscos de dados internos, como a transferência não autorizada de dados confidenciais.

As organizações definem as políticas certas para si mesmas, incluindo que eventos de risco são a prioridade mais alta para capturar provas forenses e quais os dados mais sensíveis. As provas forenses estão desativadas por predefinição, a criação de políticas requer autorização dupla e os nomes de utilizador podem ser mascarados com pseudonimização (que está ativada por predefinição para a Gestão de Riscos Internos). A configuração de políticas e a revisão de alertas de segurança na Gestão de Riscos Internos tira partido de controlos de acesso baseados em funções fortes (RBAC), garantindo que as pessoas designadas na organização estão a tomar as ações certas com capacidades de auditoria adicionais.

Importante

Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar potenciais riscos internos maliciosos ou inadvertidos, como roubo de IP, fuga de dados e violações de segurança. A gestão de riscos internos permite que os clientes criem políticas para gerir a segurança e a conformidade. Criados com privacidade por predefinição, os utilizadores são pseudonimizados por predefinição e os controlos de acesso baseados em funções e os registos de auditoria estão implementados para ajudar a garantir a privacidade ao nível do utilizador.

Depois de concluir os passos de configuração e criar a sua política de provas forenses, começará a ver alertas para atividades de utilizador potencialmente arriscadas relacionadas com segurança que cumprem as condições dos indicadores definidos na política.

Dica

Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.

Painel

As provas forenses dashboard é a vista de resumo das principais áreas da configuração de provas forenses na sua organização. Para a pré-visualização, o dashboard inclui apenas uma secção de estado de funcionamento do dispositivo de provas forenses. Selecione Ver relatório de estado de funcionamento do dispositivo para abrir o separador Estado de funcionamento do dispositivo e o relatório. Outras secções serão incluídas em versões futuras.

Gerenciar usuários

Tem de pedir e aprovar utilizadores específicos antes de serem elegíveis para captura de provas forenses. Adicionar utilizadores a uma política de provas forenses não torna automaticamente esses utilizadores elegíveis para captura. Pode pedir e aprovar utilizadores antes ou depois da criação de políticas de provas forenses, mas as capturas de clip associadas aos indicadores de política só serão criadas e estarão disponíveis para revisão assim que os utilizadores forem aprovados.

Os utilizadores atribuídos aos grupos de funções Gestão de Risco Interno ou Administradores de Gestão de Risco Interno podem submeter pedidos de aprovação aos utilizadores atribuídos ao grupo de funções Aprovadores da Gestão de Riscos Internos .

Pedir aprovações de captura

Tem de pedir que a captura de provas forenses seja ativada para utilizadores específicos. Quando um pedido é submetido, os aprovadores na sua organização são notificados por e-mail e podem aprovar ou rejeitar o pedido. Se for aprovado, o utilizador ou aparecerá no separador Utilizadores aprovados e será elegível para captura. Se não for resolvido, o pedido irá expirar 6 meses a partir do dia em que foi submetido.

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.

2. Aceda à solução Gestão de Riscos Internos.

3. Selecione Provas forenses no painel de navegação esquerdo e, em seguida, selecione Gestão de utilizadores.

4. Selecione o separador Gerir pedidos de provas forenses .

5. Selecione Criar pedido.

6. Na página Utilizadores , selecione Adicionar utilizadores.

7. Utilize a opção Procurar para localizar um utilizador específico ou selecionar um ou mais utilizadores na lista. Selecione Próximo, e em seguidaAvançar.

8. Na página Política de provas forenses , selecione uma política de provas forenses para os utilizadores adicionados. A política que escolher determina o âmbito da atividade a capturar para os utilizadores.

9. Selecione Avançar.

10. Na página Justificação , informe o revisor sobre o motivo pelo qual está a pedir que a captura seja ativada para os utilizadores que adicionou na caixa Justificação para ativar a captura de texto de provas forenses . Esse é um campo obrigatório. Ao concluir, selecione Avançar.

11. Na página de notificações do Email, pode utilizar um modelo de notificação para enviar um e-mail aos utilizadores informando-os de que a captura de provas forenses será ativada para o respetivo dispositivo de acordo com as políticas da sua organização. O e-mail só será enviado aos utilizadores se o pedido for aprovado.

    Selecione a caixa de marcar Enviar uma notificação por e-mail aos utilizadores aprovados. Escolha um modelo existente ou crie um novo. Para criar um novo modelo, selecione Criar um modelo de notificação e preencha os seguintes campos necessários no painel Novo modelo de notificação por e-mail .

12. Selecione Avançar.

13. Na página Concluir , reveja as definições antes de submeter o pedido. Selecione Editar utilizadores ou Editar justificação para alterar qualquer um dos valores do pedido ou selecione Submeter para criar e enviar o pedido aos revisores.

Portal de Conformidade

1. Entre no Portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365.

2. Aceda à solução Gestão de Riscos Internos.

3. Aceda a Provas >forensesGestão de utilizadores.

4. Selecione o separador Gerir pedidos de provas forenses .

5. Selecione Criar pedido.

6. Na página Utilizadores , selecione Adicionar utilizadores.

7. Utilize a opção Procurar para localizar um utilizador específico ou selecionar um ou mais utilizadores na lista. Selecione Próximo, e em seguidaAvançar.

8. Na página Política de provas forenses , selecione uma política de provas forenses para os utilizadores adicionados. A política que escolher determina o âmbito da atividade a capturar para os utilizadores.

9. Selecione Avançar.

10. Na página Justificação , informe o revisor sobre o motivo pelo qual está a pedir que a captura seja ativada para os utilizadores que adicionou na caixa Justificação para ativar a captura de texto de provas forenses . Esse é um campo obrigatório. Ao concluir, selecione Avançar.

11. Na página de notificações do Email, pode utilizar um modelo de notificação para enviar um e-mail aos utilizadores informando-os de que a captura de provas forenses será ativada para o respetivo dispositivo de acordo com as políticas da sua organização. O e-mail só será enviado aos utilizadores se o pedido for aprovado.

    Selecione a caixa de marcar Enviar uma notificação por e-mail aos utilizadores aprovados. Escolha um modelo existente ou crie um novo. Para criar um novo modelo, selecione Criar um modelo de notificação e preencha os seguintes campos necessários no painel Novo modelo de notificação por e-mail .

12. Selecione Avançar.

13. Na página Concluir , reveja as definições antes de submeter o pedido. Selecione Editar utilizadores ou Editar justificação para alterar qualquer um dos valores do pedido ou selecione Submeter para criar e enviar o pedido aos revisores.

Para ver pedidos de aprovação pendentes, aceda a Gestão> de riscos internosProvas>forenses Pedidos pendentes. Aqui, verá os utilizadores com pedidos pendentes, o respetivo endereço de e-mail, a data de submissão do pedido e quem submeteu o pedido de aprovação. Se não forem apresentados utilizadores, não existem pedidos de aprovação pendentes para os utilizadores.

Os utilizadores atribuídos ao grupo de funções Aprovadores de Gestão de Riscos Internos podem selecionar um utilizador no separador Pedido de provas forenses e rever o pedido. Depois de rever o pedido, estes utilizadores podem aprovar ou rejeitar o pedido de captura de provas forenses. Aprovar ou rejeitar o pedido de captura remove o pedido pendente para os utilizadores desta vista.

Aprovar ou rejeitar a captura de pedidos

Após a conclusão dos pedidos, os utilizadores atribuídos ao grupo de funções Aprovadores da Gestão de Riscos Internos receberão uma notificação por e-mail para o pedido de aprovação.

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Aceda à solução Gestão de Riscos Internos.
3. Selecione Provas forenses no painel de navegação esquerdo e, em seguida, selecione Pedidos pendentes.
4. Selecione um utilizador a rever.
5. No painel Rever pedido de provas forenses (pré-visualização), reveja a justificação apresentada pelo requerente. Selecione Aprovar ou Rejeitar conforme aplicável.
6. Na página Pedido aprovado ou Pedido rejeitado , selecione Fechar.

Portal de Conformidade

1. Entre no Portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Aceda à solução Gestão de Riscos Internos.
3. Aceda a Provas >forensescom pedidos pendentes.
4. Selecione um utilizador a rever.
5. No painel Rever pedido de provas forenses (pré-visualização), reveja a justificação apresentada pelo requerente. Selecione Aprovar ou Rejeitar conforme aplicável.
6. Na página Pedido aprovado ou Pedido rejeitado , selecione Fechar.

Revogar a captura de aprovações

Se necessário, pode revogar a aprovação de utilizadores específicos e excluê-los da captura de provas forenses. Revogar a aprovação não elimina nem remove quaisquer capturas existentes para estes utilizadores, apenas a captura futura de atividade para estes utilizadores está desativada.

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Inicie sessão no portal do Microsoft Purview como membro do grupo de funções Aprovadores de Gestão de Riscos Internos .
2. Aceda à solução Gestão de Riscos Internos.
3. Selecione Provas forenses no painel de navegação esquerdo e, em seguida, selecione Gestão de utilizadores.
4. Selecione o separador Utilizadores aprovados .
5. Selecione um utilizador e, em seguida, selecione Remover.
6. Na página de confirmação de remoção, selecione Remover para revogar a captura de aprovação.

Portal de Conformidade

1. Inicie sessão no portal de Conformidade como membro do grupo de funções Aprovadores de Gestão de Riscos Internos .
2. Aceda à solução Gestão de Riscos Internos.
3. Aceda a Provas >forensesGestão de utilizadores.
4. Selecione o separador Utilizadores aprovados .
5. Selecione um utilizador e, em seguida, selecione Remover.
6. Na página de confirmação de remoção, selecione Remover para revogar a captura de aprovação ou selecione Cancelar para fechar a página de confirmação.

Criar e gerir modelos de notificação

Pode criar e utilizar um modelo de notificação para enviar um e-mail aos utilizadores informando-os de que a captura de provas forenses será ativada para o respetivo dispositivo de acordo com as políticas da sua organização. O e-mail só é enviado aos utilizadores se o pedido for aprovado.

Criar um novo modelo de notificação

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Aceda à solução Gestão de Riscos Internos.
3. Selecione Provas forenses no painel de navegação esquerdo e, em seguida, selecione Modelos de notificação.
4. Selecione Criar modelo de notificação.
5. No painel Novo modelo de notificação por e-mail , preencha os seguintes campos necessários:
   • Nome do modelo
   • Enviar a partir de
   • Assunto
   • Corpo da mensagem
6. Selecione Salvar.

Portal de Conformidade

1. Entre no Portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Aceda à solução Gestão de Riscos Internos.
3. Aceda a Provas forenses>Modelos de notificação.
4. Selecione Criar modelo de notificação.
5. No painel Novo modelo de notificação por e-mail , preencha os seguintes campos necessários:
   • Nome do modelo
   • Enviar a partir de
   • Assunto
   • Corpo da mensagem
6. Selecione Salvar.

Observação

Para eliminar um modelo de notificação existente, selecione o modelo e, em seguida, selecione Eliminar.

Ver clips capturados

Pode ver e explorar clips capturados ao selecionar o separador Provas forenses quando abrir Gerenciamento de Risco Interno do Microsoft Purview. Também pode selecionar o separador Provas forenses de outras áreas na solução para ver uma lista de clips capturados em contexto:

• Alertas dashboard. Os clips acessíveis a partir dos Alertas dashboard correspondem à opção de capturar atividades específicas do utilizador quando a política de provas forenses é criada. Os clips capturados são definidos por indicadores selecionados na política de provas forenses.
• Relatórios de atividade do utilizador. Os clips acessíveis a partir de relatórios de atividade do Utilizador correspondem à opção de capturar qualquer atividade relacionada com segurança realizada por utilizadores incluídos em políticas de provas forenses.
• Casos dashboard. Os clips acessíveis a partir da dashboard Casos são alertas que foram escalados para casos.

Observação

Se for membro do grupo de funções Investigadores de Gestão de Riscos Internos e do grupo de funções Administradores de Gestão de Riscos Internos, verá Rever clips capturados quando abrir Gerenciamento de Risco Interno do Microsoft Purview. Se selecionar Rever clips capturados, este muda para Abrir definições de provas forenses. Estas ações são para alternar entre a lista de clips capturados e as definições se tiver ambas as funções. Saiba mais sobre grupos de funções

Quando seleciona o separador Provas forenses , os clips capturados e as informações associadas são apresentados numa lista. Se selecionar um clip capturado na lista, é apresentado um leitor de vídeo no centro do ecrã e é apresentada uma transcrição de atividades e eventos do clip à direita do leitor de vídeo.

Cada clip capturado inclui as seguintes informações:

• Data/hora (UTC): a data, hora (UTC) e a duração da captura. A duração da captura é o tempo total que a captura abrange. O comprimento real da captura pode ser mais curto, uma vez que a gestão de riscos internos elimina automaticamente frames idênticos.
• Dispositivo: o nome do dispositivo em Windows 10/11.
• Atividades: o tipo de atividade de gestão de riscos internos incluído na captura. Estas atividades baseiam-se em indicadores globais e de política atribuídos à política associada.
• Utilizador: o nome do utilizador.
• URL (se aplicável): o URL ao qual o utilizador estava a aceder quando a atividade ocorreu.
• Aplicação (se aplicável): a aplicação a que o utilizador estava a aceder quando a atividade ocorreu.
• Título da janela ativa: o título da janela a que o utilizador estava a aceder quando a atividade ocorreu.

Para ver um clip capturado:

1. Se necessário, configure os filtros na parte superior da lista.

2. Selecione um clip na lista.

3. Utilizando os controlos do leitor de vídeo, selecione o controlo Reproduzir para rever todo o clip do início ao fim.

4. Para definir o âmbito da revisão para uma atividade ou evento específico no clip, selecione a atividade ou evento na transcrição. Também pode utilizar a caixa de pesquisa acima da transcrição para procurar atividades ou eventos específicos.

   Observação

   Um triângulo vermelho na transcrição indica uma atividade.

Filtrar a lista de clips capturados

Pode utilizar os filtros acima da lista de clips capturados para filtrar atividades e informações específicas. Cada filtro suporta até 10 IDs exclusivos, pelo que, por exemplo, pode filtrar até 10 utilizadores de uma só vez. A tabela seguinte descreve os diferentes filtros.

Nome do filtro	Descrição
Nome de usuário	Filtre por qualquer nome de utilizador.
Atividade	Selecione uma atividade específica para filtrar, como Imprimir ficheiros ou a Palavra-passe utilizada para iniciar sessão no dispositivo foi reutilizada.
Nome do dispositivo	Filtre por qualquer nome de dispositivo.
URL	Filtre por um nome de domínio ou procure qualquer palavra-chave após filtrar um nome de domínio. Exemplo: introduzir "SharePoint" como um palavra-chave devolve qualquer URL que inclua "SharePoint" em qualquer parte do URL.
App	Filtrar por nome da aplicação. Pode selecionar Contém qualquer um ouContém todos com este filtro. Exemplo: se selecionar Contém um de e introduzir "Contoso.com,Contoso2.com", poderá ter um clip que capture Contoso.com e outro que capture Contoso2.com. Se selecionar Contém tudo e introduzir "Contoso.com,Contoso2.com", as capturas terão de conter ambos os domínios.
Título da janela ativa	Filtre pelo título da janela ativa. Pode selecionar Contém qualquer um dos ou Contém todos para filtrar da mesma forma que o filtro da Aplicação .

A eliminar clips

Os utilizadores atribuídos ao grupo de funções Investigadores de Gestão de Risco Interno podem eliminar clips individuais da lista de clips capturados. Para fazer isso:

1. Selecione a caixa de marcar junto à captura.
2. Selecione Excluir.

Os utilizadores atribuídos ao grupo de funções Administradores de Gestão de Riscos Internos podem efetuar eliminações em massa através das definições.

Efetuar uma eliminação em massa

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Inicie sessão no portal do Microsoft Purview como membro do grupo de funções Administradores de Gestão de Riscos Internos .
2. Aceda à solução Gestão de Riscos Internos.
3. Selecione Provas forenses no painel de navegação esquerdo e, em seguida, selecione Definições de provas forenses.
4. Certifique-se de que a opção Permitir a eliminação de dados de utilizadores forenses por um Administrador ou Investigador está definida como Ativado.
5. Em Eliminar dados de um utilizador , selecione Selecionar um utilizador e, em seguida, selecione o utilizador para o qual pretende eliminar clips.

Portal de Conformidade

1. Inicie sessão no portal de conformidade do Microsoft Purview como membro do grupo de funções Administradores da Gestão de Riscos Internos.
2. Aceda à solução Gestão de Riscos Internos.
3. Aceda a Provas>forenses, provas forenses.
4. Certifique-se de que a opção Permitir a eliminação de dados de utilizadores forenses por um Administrador ou Investigador está definida como Ativado.
5. Em Eliminar dados de um utilizador , selecione Selecionar um utilizador e, em seguida, selecione o utilizador para o qual pretende eliminar clips.

Importante

Os clips de provas forenses são eliminados 120 dias depois de serem capturados. Pode exportar ou transferir clips de provas forenses antes de serem eliminados.

Alertas dashboard

Para alertas gerados por políticas, pode rever as capturas de provas forenses no separador Provas forenses no dashboard Alertas. Se uma ou mais capturas estiverem disponíveis para o alerta, também verá uma ligação Ver notificação de provas forenses na atividade que gera uma secção de cabeçalho de alerta. Pode selecionar a ligação de notificação ou o separador Provas forenses para rever uma lista de capturas de atividade.

Rever um alerta para atividades potencialmente arriscadas que possam conter capturas de provas forenses é essencialmente o mesmo que rever um alerta sem capturas de provas forenses. A diferença significativa é a inclusão de quaisquer capturas aplicáveis. O separador Provas forenses fornece acesso a todas as capturas disponíveis associadas ao alerta.

Casos dashboard

Se os alertas forem escalados para casos, todas as capturas de provas forenses associadas são incluídas como parte do caso. Rever as capturas de provas forenses para casos segue o mesmo processo que rever capturas de alertas.

Relatórios de atividade do usuário

Os relatórios de atividade do utilizador permitem-lhe examinar atividades de utilizadores específicos durante um período de tempo definido sem ter de as atribuir temporariamente ou explicitamente a uma política de gestão de riscos internos. Se estas atividades de utilizador incluírem atividades suportadas pela captura de provas forenses, os clips são incluídos na atividade do utilizador.

Se tiver configurado provas forenses para capturar todas as atividades de utilizador relacionadas com a segurança, independentemente de estarem incluídas numa política de provas forenses, para rever estas capturas:

1. Selecione Insider risk management Overview (Descrição Geral da gestão> de riscosinternos).
2. Na parte inferior do ecrã Descrição geral , em Investigar atividade do utilizador, selecione Gerir relatórios.
3. Selecione um utilizador específico e, em seguida, selecione o separador Provas forenses .
4. Veja as instruções acima.

Relatório de estado de funcionamento do dispositivo (pré-visualização)

Depois de os dispositivos serem configurados para suportar provas forenses, pode rever o status de estado de funcionamento do Cliente do Microsoft Purview para todos os dispositivos na sua organização ao navegar para Insider risk management>Provas forenses>de estado de funcionamento do dispositivo.

Para obter uma lista dos requisitos mínimos de dispositivo e configuração, veja Saiba mais sobre as provas forenses. Para integrar dispositivos suportados, conclua os passos descritos no artigo Descrição geral carregar Windows 10 e Windows 11 dispositivos no Microsoft 365.

O relatório Estado de funcionamento do dispositivo permite-lhe ver a status e o estado de funcionamento de todos os dispositivos que têm o agente de provas forenses instalado. Cada widget de relatório no relatório apresenta informações das últimas 24 horas.

• Dispositivos online: o número total de dispositivos atualmente online.
• Dispositivos offline: o número total de dispositivos atualmente offline.
• Dispositivos com avisos: o número total de dispositivos com um aviso.
• Dispositivos com erros: o número total de dispositivos com um erro.

A fila de estado de funcionamento do dispositivo lista todos os dispositivos configurados para provas forenses na sua organização. Além disso, o relatório lista os status dos seguintes atributos de dispositivo:

• Nome do dispositivo: o nome do dispositivo, definido pelo atributo ComputerName do dispositivo.
• Status do dispositivo: a status do Cliente do Microsoft Purview no dispositivo. Os valores de estado são os seguintes:
  • Bom estado de funcionamento: o cliente no dispositivo está a funcionar corretamente e as funcionalidades de captura de provas forenses são totalmente suportadas.
  • Aviso: O cliente no dispositivo tem um aviso e as funcionalidades de captura de provas forenses podem não ser totalmente suportadas.
  • Erro: O cliente no dispositivo tem um erro e as funcionalidades de captura de provas forenses estão desativadas ou não são totalmente suportadas.
• Detalhes do estado: mais informações sobre o dispositivo status.
• Última sincronização (UTC): data e hora da última sincronização de status do dispositivo.
• Nome de utilizador: o nome de utilizador do utilizador com sessão iniciada no dispositivo quando a sincronização status foi executada.
• Versão do Windows: a versão do Microsoft Windows instalada no dispositivo.
• Versão do cliente: a versão do Cliente do Microsoft Purview instalada no dispositivo.

O status de estado de funcionamento do dispositivo fornece-lhe informações sobre potenciais problemas com os seus dispositivos e o Cliente do Microsoft Purview. A coluna Status dispositivo na página Estado de funcionamento do dispositivo pode alertá-lo para problemas do dispositivo que podem impedir a captura da atividade do utilizador ou o motivo pelo qual o volume de captura de provas forenses é invulgar. O status de estado de funcionamento do dispositivo também pode confirmar que os dispositivos incluídos na captura de provas forenses estão em bom estado de funcionamento e não precisam de atenção ou de alterações de configuração. A tabela seguinte lista potenciais status mensagens detalhadas e ações recomendadas que pode tomar para resolver avisos e erros:

Detalhes do Estado	Status	Ação Sugerida
Erro interno do servidor. Como resultado, os dados de captura podem estar em falta.	Erro	Criar um pedido de suporte com a Microsoft para uma investigação mais aprofundada
A largura de banda de carregamento atingiu 90% do limite configurado neste dispositivo. As capturas poderão ser substituídas em breve.	Aviso	Aumente o limite de largura de banda de carregamento na página de definições de provas forenses .
O limite de largura de banda de carregamento configurado foi atingido neste dispositivo. Não serão carregadas mais capturas para o dia.	Erro	Aumente o limite de largura de banda de carregamento na página de definições de provas forenses .
O armazenamento offline atingiu 90% do limite configurado neste dispositivo. As capturas poderão ser substituídas em breve.	Aviso	Aumente o limite de cache de captura offline na página Definições de provas forenses .
O limite de armazenamento offline configurado foi atingido neste dispositivo. Como resultado, as capturas offline estão a ser substituídas.	Erro	Aumente o limite de cache de captura offline na página Definições de provas forenses .
A utilização da CPU no dispositivo excedeu o limiar máximo.	Erro	O processo de captura foi parado e será reiniciado dentro de alguns minutos.
A utilização da memória no dispositivo excedeu o limiar máximo.	Erro	O processo de captura foi parado e será reiniciado dentro de alguns minutos.
A utilização da GPU no dispositivo excedeu o limiar máximo.	Erro	O processo de captura foi parado e será reiniciado dentro de alguns minutos.
O Cliente do Microsoft Purview instalado no dispositivo não consegue sincronizar com a política de provas forenses.	Aviso	Ligar ao cliente de reinstalação de & de rede
O Cliente do Microsoft Purview instalado no dispositivo não é sincronizado com a política de provas forenses há mais de 24 horas.	Erro	Ligar ao cliente de reinstalação de & de rede
O Cliente do Microsoft Purview não consegue capturar a atividade porque não é detetado nenhum gráfico card neste dispositivo.	Erro	Adicione um gráfico card ou substitua o dispositivo por um que tenha um gráfico card
O Cliente do Microsoft Purview não consegue capturar a atividade porque não são detetados monitores de visualização neste dispositivo.	Erro	Adicionar monitores de visualização para este dispositivo
O Cliente do Microsoft Purview não consegue capturar a atividade porque os monitores de visualização neste dispositivo foram desativados ou desligados.	Erro	Ligar/Ativar monitores de visualização para o dispositivo
O dispositivo não consegue aceder ao diretório que armazena as capturas de provas forenses.	Erro	Reinstalar o cliente neste dispositivo
Falha na inicialização do codificador.	Erro	Reinstale o cliente neste dispositivo.

Contacte Suporte da Microsoft se as ações recomendadas não resolve problemas com o cliente.

Capacidade e faturação

Quando as provas forenses estiverem configuradas, pode optar por comprar o suplemento de provas forenses para a Gestão de Riscos Internos para os seus clips capturados. O suplemento está disponível para organizações com qualquer uma das seguintes licenças: Microsoft 365 E5, Microsoft 365 E5 Compliance ou Microsoft 365 E5 Gestão de Riscos Internos.

As organizações podem comprar o suplemento em unidades de 100 GB por mês. A capacidade comprada aplica-se à ingestão de provas forenses a partir da data de compra e reposições no primeiro dia do mês. A capacidade não utilizada não é transferida. Recomendamos que compre a licença no início do mês para maximizar o valor da licença. 100 GB é aproximadamente igual a cerca de 1.100 horas de capturas de provas forenses por inquilino, numa resolução de vídeo de 1080p. Pode transferir a calculadora de capacidade para ajudar a estimar o número de GBs necessários por mês.

Assim que as provas forenses forem ingeridas, serão retidas por 120 dias. Pode exportar provas forenses, se necessário, após o período de retenção de 120 dias.

Planos de pagamento

Existem dois planos de pagamento disponíveis ao comprar o suplemento através do Centro de administração do Microsoft 365:

• Pagar anualmente (disponível em todos os canais). A opção de alocação anual permite-lhe comprar o número de licenças que especificar todos os meses durante 12 meses. É adequado para clientes que pretendem garantir que têm capacidade disponível todos os meses para ingerir provas forenses sem interrupções. Este plano de pagamento irá repor automaticamente o número de licenças compradas todos os meses. A capacidade comprada aplica-se à ingestão de provas forenses a partir da data de compra e reposições no primeiro dia do mês. A capacidade não utilizada não é transferida. Os clientes podem optar por ser faturados uma vez ou dividir a fatura em 12 pagamentos mensais.
• Pagar mensalmente (apenas disponível na Web direta). Se não quiser fazer um compromisso anual, pode comprar o número de licenças necessárias todos os meses. A capacidade comprada aplica-se à ingestão de provas forenses a partir da data de compra e reposições no primeiro dia do mês. A capacidade não utilizada não é transferida.

Posso tentar a capacidade forense antes de a comprar?

Cada inquilino que tenha uma licença Microsoft 365 E5, Microsoft 365 E5 Compliance ou Microsoft 365 E5 Insider Risk Management pode inscrever-se numa licença de avaliação de 20 GB para experimentar a capacidade de provas forenses.

Observação

A licença de avaliação de 20 GB só está disponível para clientes na plataforma de comércio legada.

Os 20 GB de capacidade disponíveis através da licença de avaliação estão disponíveis até que utilize os 20 GB completos ou até um ano a partir da ativação da licença de avaliação, o que for anterior. Se comprar uma licença de suplemento de provas forenses antes de utilizar a capacidade de avaliação, poderá utilizar a capacidade de avaliação restante até ser utilizada antes de o sistema começar a medir a capacidade comprada.

Se utilizar até 20 GB de capacidade de avaliação e, posteriormente, não comprar o suplemento forense para a Gestão de Riscos Internos, poderá ver quaisquer clips que já tenha ingerido, mas não poderá ingerir novos clips.

Inscrever-se na licença de avaliação de 20 GB

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.

2. Aceda à solução Gestão de Riscos Internos.

3. Selecione Provas forenses no painel de navegação esquerdo e, em seguida, selecione Capacidade e faturação.

   Observação

   Também pode inscrever-se na licença de avaliação no separadorDashboard deprovas> forenses da gestão> de riscos internos.

4. Selecione Reclamar 20 GB de capacidade.

5. Siga as instruções na Centro de administração do Microsoft 365.

Portal de Conformidade

1. Entre no Portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365.

2. Aceda à solução Gestão de Riscos Internos.

3. Aceda a Provas>forenses Capacidade e faturação.

   Observação

   Também pode inscrever-se na licença de avaliação no separadorDashboard deprovas> forenses da gestão> de riscos internos.

4. Selecione Reclamar 20 GB de capacidade.

5. Siga as instruções na Centro de administração do Microsoft 365.

Comprar o suplemento forense para Gestão de Riscos Internos

1. Aceda a Centro de administração do Microsoft 365>Marketplace>Todos os produtos.
2. Procure "provas forenses".

Analisar a sua capacidade

Após comprar capacidade (ou inscrever-se na licença de avaliação de 20 GB), pode utilizar a página Capacidade para analisar a capacidade que utilizou e a quantidade de capacidade restante. Também pode analisar a quantidade de capacidade que está a utilizar todos os meses ao selecionar a partir da lista Utilização da capacidade em GB ou ao selecionar Ver toda a utilização da capacidade.

Observação

A plataforma de comércio tem uma plataforma de faturação legada e uma plataforma de faturação moderna. A faturação da gestão de riscos internos foi concebida para funcionar com a plataforma de faturação moderna. A capacidade comprada é imposta na ingestão de provas forenses mensalmente, a partir da data de compra e reposição do primeiro de cada mês. Qualquer capacidade comprada pode ser totalmente utilizada nesse mês e será reposta no primeiro mês seguinte. Pode continuar a utilizar a capacidade até à data em que a licença expirar.