为Windows 365设置Microsoft Purview 取证证据

Microsoft Purview 取证证据可帮助你更好地了解潜在的安全相关用户活动。借助可自定义的事件触发器和内置的用户隐私保护控件，取证证据可让你自定义跨设备的视觉活动捕获。取证证据可帮助组织更好地缓解、了解和应对潜在的数据风险，例如未经授权的数据泄露敏感数据。

为组织设置正确的策略，例如：

默认情况下，取证证据捕获处于关闭状态，策略创建需要双重授权。

要求

如果不满足以下要求，可能会遇到 purview 客户端Microsoft问题，并且取证捕获的质量可能不可靠。

若要设置 Microsoft Purview 取证证据，环境必须满足以下要求：

库映像类型
- Windows 11 企业版 + Microsoft 365 应用版 23H2 或更高版本
许可选项
- Microsoft 365 E5
- Microsoft 365 E5 (没有 Teams)
- Microsoft 365 E5 合规
- Microsoft 365 E5 内部风险管理
联接类型和网络
- Microsoft Entra已加入Microsoft托管网络和 Azure 网络连接
- Microsoft Entra混合联接 Azure 网络连接
在 Windows 版本 4.18.2110 或更高版本中Microsoft Defender防病毒
Microsoft 365 应用版版本 16.0.14701.0 或更高版本
必须将设备分配给主要用户
云电脑大小
- 若要获得最佳性能、8vCPU 或更好的 (，有关详细信息，请参阅云电脑大小建议)

重要

Microsoft 建议使用权限最少的角色。这有助于提高组织的安全性。全局管理员是一个权限很高的角色，应仅限于在无法使用现有角色的紧急情况下使用。

有关内部风险管理角色的详细信息，请参阅启用内部风险管理的权限。

登录到 Microsoft Intune 管理中心>终结点安全性>Microsoft Defender for Endpoint>打开Microsoft Defender 安全中心。
将Microsoft Intune连接设置为“开”，然后将“保存首选项”。
返回到Microsoft Defender for Endpoint并设置以下选项：
- 允许终结点Microsoft强制实施终结点安全配置：打开
- 将 Windows 设备版本 10.0.15063 及更高版本连接到Microsoft Defender for Endpoint：打开
选择“保存”。
选择 “终结点安全>终结点检测和响应>”“创建策略”。
选择以下选项：
- 平台：Windows 10、Windows 11和Windows Server
- 配置文件类型： 终结点检测和响应
选择“创建”。
接下来提供名称和说明>。
在“配置设置”页上，对于Microsoft Defender for Endpoint客户端配置包类型，选择“从连接器>自动下一步”。
在“作用域标记页，选择“下一页”。
在 “分配” 页上，选择包含云电脑 >“下一步”的主要用户的组。
在 “查看和创建 ”页上，完成后，选择“ 创建”。

创建策略后，用户必须登录到其设备，然后应用策略，并将设备载入到Microsoft Defender for Endpoint。

按照使用本地脚本载入Windows 10和Windows 11设备中的说明进行作。在继续载入所有云电脑之前测试部分云电脑时，此脚本非常有用。

有关 Microsoft Purview 的详细信息，请参阅了解 Microsoft Purview。

有关 Microsoft Purview 取证证据捕获选项的详细信息，请参阅捕获选项。

有关 purview 容量和计费Microsoft的详细信息，请参阅容量和计费。