数字取证和 Windows 365 企业云电脑

与物理设备一样，可以使用Microsoft Intune部署、保护和管理Windows 365 企业版云电脑。 作为电脑所有权的一部分，可能会要求你向内部或第三方提交云电脑以进行数字取证。 数字取证是解决数字数据恢复和调查问题的科学，用于支持刑事调查和民事诉讼。

为了支持这些取证，Windows 365 提供了 将云电脑置于审阅状态的功能。 此操作将安全地将云电脑的快照保存到客户的 Azure 存储帐户。 转到该帐户后，客户拥有快照的完整所有权。 若要使快照防篡改，客户应在 azure 存储帐户中保存快照后立即创建快照的文件哈希。

调查员可以附加云电脑快照的磁盘副本，并将其传输到专用于取证分析的安全存储帐户。 无需重新创建、开机或访问原始源云电脑即可完成此过程。

应用场景

对于以下任何应用场景，可能需要将云电脑置于审阅状态：

1. 来自内部安全操作中心 （SOC） 团队的请求。
2. 对来自内部或外部第三方审核员的请求的响应。
3. 作为对挂起或正在进行的法律调查的响应。

数字取证的注意事项

为了响应存储在云电脑上的数据的法律请求，管理员必须证明他们提供的数字证据在整个证据获取、保留和访问过程中展示出有效的监管链 （CoC）。 因此，管理员应确保对以下项目提供足够的支持：

• 存取控制。 有关实时访问管理的详细信息，请参阅 Azure RBAC 的最佳做法和开始使用Privileged Identity Management。
• 数据保护和完整性。 只有包含快照的专用订阅中的虚拟网络才能访问存档证据的存储帐户和密钥保管库。 有关详细信息，请参阅 Microsoft适用于 Windows 365 云电脑的 Purview 客户密钥
• 监视和警报。 有关详细信息，请参阅 有关特权 Azure 角色分配的警报
• 日志记录和审核，职责分离。 只有有权访问存储帐户的管理员的小列表才能向调查人员授予对证据) 记录和批准的 (临时访问权限。

后续步骤

将云电脑置于审阅状态。

有关 Microsoft 对数字调查的支持的详细信息，请参阅 Azure 中的计算机取证监管链。