你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 Azure 虚拟桌面会话主机加入 Microsoft Purview 内部风险管理中的法庭证据
法庭证据是 Microsoft Purview 内部风险管理中的可选加载项功能,使安全团队能够直观地了解潜在的内部数据安全事件。 法庭证据包括可自定义的事件触发器和内置的用户隐私保护控制,使安全团队能够更好地调查、了解和响应潜在的内部数据风险,例如未经授权的敏感数据的数据外泄。
你为组织设置正确的策略,包括用于捕获法庭证据的最高等级风险事件、最敏感的数据以及激活取证捕获时是否通知用户。
将 Azure 虚拟桌面与法庭证据一起使用时,可设置策略以自动触发桌面和 RemoteApp 会话的录制。 默认情况下,法庭证据捕获处于关闭状态,策略创建需要双重授权。
先决条件
需要具有以下项才能使用 Azure 虚拟桌面的法庭证据:
采用直接分配方式的个人桌面主机池。 不支持共用主机池。
运行 Windows 11 企业版 23H2 版并使用 VM SKU 的会话主机,至少具有 8 个 vCPU 和 16 GB 内存,例如标准 D8as v5。
会话主机必须已建立 Microsoft Entra ID 联接或已建立 Entra ID 混合联接并已向 Microsoft Intune 注册。
Microsoft 365 E5 许可证,其中包含 Intune 和内部风险管理许可证。
将会话主机加入法庭证据
将会话主机加入法庭证据:
确保使用直接分配将用户分配到个人桌面。 按照配置直接分配中的步骤,将用户分配到个人桌面。
需要将会话主机加入 Purview。 按照将 Windows 设备加入 Microsoft Purview 中的步骤加入会话主机。
安装 Purview 客户端并配置法庭证据。 按照内部风险管理法庭证据入门中的步骤,安装 Purview 客户端并配置法庭证据。