将 Windows 365 企业版云电脑置于审核状态
作为数字取证请求的一部分,系统可能会要求你向内部或外部调查员提供云电脑的快照。 将云电脑置于审核状态会将云电脑的快照保存到 Azure 存储帐户。 在这里,你可以向调查员提供快照。
注意
最多可以同时审查 10 台云电脑。 当一次审查超过 10 个请求时,请求将排队等待处理,但如果请求在队列中保持太长,则超时的可能性会增加。 如果遇到超时,建议对请求进行交错,以留出足够的时间先完成以前的请求。
要求
要将云电脑置于审核状态,必须满足以下要求:
- Windows 365 企业版许可证。
- 同一租户中的 Azure 存储帐户,根据以下要求进行设置。
设置 Azure 存储帐户
要将云电脑置于审核状态,必须先在云电脑所在租户中拥有 Azure 存储帐户。 有关帮助你确定哪种类型账户满足需求的详细信息,请参阅 存储帐户概述。 建议创建并维护具有专用访问控制的专用存储帐户,以将其用于审核云电脑。 在审核云电脑的过程中,Windows 365需要 Azure 存储帐户的存储帐户参与者和存储 Blob 数据参与者角色。
在所选的 Azure 订阅中创建存储帐户。 要创建帐户,可以使用 PowerShell、Azure CLI、Azure 资源管理器模板或Azure 门户。
使用以下设置配置存储帐户:
-
实例详细信息
- 区域:建议的与 CloudPC 性能相同的区域。 对哪个区域没有限制。
- 性能: 高级
- 高级帐户类型: 页 Blob
-
安全性
- 最低 TLS 版本: 版本 1.2
- 确认“ 允许 blob 匿名访问 ”已禁用 (默认)
-
网络
- 网络访问: 启用来自所有网络的公共访问
不支持:为 复制操作设置允许范围。 它必须 (null) 默认值,以允许从任何存储帐户复制到目标帐户。
-
实例详细信息
分配用于访问 Blob 数据的 Azure 角色。 Windows 365服务审核云电脑所需的最低权限是存储帐户参与者和存储 Blob 数据参与者。
将云电脑置于审核状态
设置具有上述权限的 Azure 存储帐户后,可以使用以下步骤将云电脑置于审核状态:
登录到Microsoft Intune管理中心,然后选择“设备”>“所有设备>”选择设备。
选择省略号 (...) >将云电脑置于评审之下。
选择向Windows 365服务授予存储帐户参与者和存储 Blob 数据参与者权限的 Azure 订阅和 Azure 存储帐户。
在 “评审期间访问”下,如果选择
- 阻止访问,云电脑将立即关闭电源,使用户无法访问云电脑,然后创建快照。 如果想要通过关闭云电脑,然后稍后在隔离环境中执行快照分析来遏制安全威胁,这非常有用。
- 允许访问,即使你在存储帐户中创建快照,云电脑用户也可以继续使用云电脑。
-
选择“置于审核状态”。 根据云电脑和存储帐户目标区域的磁盘大小,每个要保存到存储帐户快照的磁盘大小可以介于几分钟到几个小时之间。
若要使快照不可篡改,应在存储帐户中保存快照时创建文件哈希。 创建文件哈希的一种方法是使用 Get-FileHash cmdlet。 为了获得最佳性能,Get-FileHash cmdlet 应针对下载的文件的副本运行,或者针对 Azure 存储帐户中位于同一 Azure 区域中的资源中的快照运行。
从审核中删除云电脑
登录到Microsoft Intune管理中心,然后选择“设备>”“所有设备>”选择设备>...>从评审中删除。
批量操作
还可以使用 Intune 的批量设备操作同时将多个云电脑置于审核状态。 有关详细信息,请参阅 使用批量设备操作。
注意
最多可以同时审查 10 台云电脑。 当一次审查超过 10 个请求时,请求将排队,如果请求在队列中保留太长,则超时可能会增加。 如果遇到超时,建议对请求进行交错,以留出足够的时间先完成以前的请求。 完成时间取决于云电脑磁盘的大小以及 Azure 存储帐户的位置和类型。
使用 API 进行管理
可以使用图形 API从评审中放置或删除云电脑。 有关详细信息,请参阅 managedDevice: setCloudPcReviewStatus。