Einrichten von forensischen Microsoft Purview-Beweisen für Windows 365

Forensische Microsoft Purview-Beweise helfen Ihnen, bessere Einblicke in potenziell riskante sicherheitsbezogene Benutzeraktivitäten zu erhalten. Mit anpassbaren Ereignistriggern und integrierten Steuerelementen zum Schutz des Datenschutzes von Benutzern können Sie die erfassung visueller Aktivitäten geräteübergreifend anpassen. Forensische Beweise helfen Ihrer Organisation, potenzielle Datenrisiken wie nicht autorisierte Datenexfiltration vertraulicher Daten besser zu entschärfen, zu verstehen und darauf zu reagieren.

Sie legen die richtigen Richtlinien für Ihre Organisation fest, z. B.:

• Welche riskanten Ereignisse haben die höchste Priorität für die Erfassung forensischer Beweise.
• Welche Daten sind am sensibelsten.
• Gibt an, ob Benutzer benachrichtigt werden, wenn die forensische Erfassung aktiviert ist.

Die Erfassung forensischer Beweise ist standardmäßig deaktiviert, und die Richtlinienerstellung erfordert eine doppelte Autorisierung.

Anforderungen

Wenn die folgenden Anforderungen nicht erfüllt sind, treten möglicherweise Probleme mit dem Microsoft Purview-Client auf, und die Qualität der forensischen Erfassungen ist möglicherweise nicht zuverlässig.

Um forensische Beweise für Microsoft Purview einzurichten, muss Ihre Umgebung die folgenden Anforderungen erfüllen:

Gerätekonfigurationsanforderungen

• Katalogimagetyp
  • Windows 11 Enterprise + Microsoft 365 Apps 23H2 oder höher
• Lizenzierungsoptionen
  • Microsoft 365 E5
  • Microsoft 365 E5 Compliance
  • Microsoft 365 E5 Insider-Risikomanagement
• Jointyp und Netzwerk
  • Microsoft Entra mit von Microsoft gehosteten Netzwerk- und Azure-Netzwerkverbindungen verknüpft
  • Microsoft Entra hybrid eingebunden mit Azure-Netzwerkverbindung
• Microsoft Defender Antivirus in Windows Version 4.18.2110 oder höher
• Microsoft 365 Apps, Version 16.0.14701.0 oder höher
• Das Gerät muss einem primären Benutzer zugewiesen werden.
• Cloud-PC-Größe
  • Für eine optimale Leistung, 8 vCPU oder höher (weitere Informationen finden Sie unter Größenempfehlungen für Cloud-PCs).

Rollenanforderungen

• Das Konto muss über mindestens eine der folgenden Rollen verfügen:
  • Rolle "Microsoft Entra ID Compliance Administrator"
  • Rolle "Globaler Microsoft Entra ID-Administrator"
  • Microsoft Purview-Rollengruppe "Organisationsverwaltung"
  • Rollengruppe „Microsoft Purview-Complianceadministrator“
  • Rollengruppe "Insider-Risikomanagement"
  • Rollengruppe "Insider-Risikomanagement-Administratoren"

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Weitere Informationen zu Insider-Risikomanagementrollen finden Sie unter Aktivieren von Berechtigungen für das Insider-Risikomanagement.

Aktivieren des Geräte-Onboardings

1. Öffnen Sie das Microsoft Purview-Portal. Wählen Sie Einstellungen>Geräte onboarding>Geräte>Onboarding aus.

2. Wählen Sie aus, welche Bereitstellungsmethode zum Bereitstellen des Konfigurationspakets verwendet werden soll:

   • Intune: Verwenden Sie Verwaltungstools für mobile Geräte oder Microsoft Intune.
   • Lokales Skript: Verwenden Sie ein lokales Skript.

Bereitstellen des Konfigurationspakets mithilfe von Intune

1. Melden Sie sich beim Microsoft Intune Admin Center>Endpunktsicherheit>Microsoft Defender für Endpunkt>an Öffnen Sie das Microsoft Defender Security Center.

2. Legen Sie Microsoft Intune-Verbindung auf Ein und dann Einstellungen speichern fest.

3. Kehren Sie zu Microsoft Defender für Endpunkt zurück, und legen Sie die folgenden Optionen fest:

   • Microsoft für Endpunkt das Erzwingen von Endpunktsicherheitskonfigurationen erlauben: Ein
   • Verbinden von Windows-Geräten Version 10.0.15063 und höher mit Microsoft Defender für Endpunkt: Ein

4. Klicken Sie auf Speichern.

5. Wählen Sie Endpunktsicherheit>Endpunkterkennung und -antwort>Richtlinie erstellen aus.

6. Wählen Sie die folgenden Optionen aus:

   • Plattform: Windows 10, Windows 11 und Windows Server
   • Profiltyp: Endpunkterkennung und -antwort

7. Wählen Sie Erstellen aus.

8. Geben Sie alsNächstes einen Namen und eine Beschreibung> an.

9. Wählen Sie auf der Seite Konfigurationseinstellungen für den Clientkonfigurationspakettyp Microsoft Defender für Endpunktdie Option Automatisch aus Connector>Weiter aus.

10. Wählen Sie auf der Seite Bereichstags die Option Weiter aus.

11. Wählen Sie auf der Seite Zuweisungen die Gruppe aus, die den primären Benutzer des Cloud-PC >Next enthält.

12. Wenn Sie fertig sind, wählen Sie auf der Seite Überprüfen und erstellendie Option Erstellen aus.

Nachdem Sie die Richtlinie erstellt haben, muss sich ein Benutzer bei ihrem Gerät anmelden, bevor die Richtlinie angewendet und das Gerät in Microsoft Defender für Endpunkt integriert wird.

Verwenden eines lokalen Skripts zum Bereitstellen des Konfigurationspakets

Befolgen Sie die Anweisungen unter Onboarding von Windows 10- und Windows 11-Geräten mithilfe eines lokalen Skripts. Dies kann hilfreich sein, wenn Sie eine Teilmenge von Cloud-PCs testen, bevor Sie mit dem Onboarding aller Cloud-PCs fortfahren.

Anzeigen der Liste der Onboardinggeräte

1. Öffnen Sie das Microsoft Purview-Portal>Einstellungen>Gerät onboarding>Geräte.

2. Überprüfen Sie die folgenden Spalten:

   • Konfigurationsstatus: Zeigt an, ob das Gerät ordnungsgemäß konfiguriert ist.
   • Richtliniensynchronisierungsstatus: Zeigt an, ob das Gerät auf die neueste Richtlinienversion aktualisiert wurde. Geräte müssen aktiviert sein, um auf die neueste Richtlinie zu aktualisieren.

Nächste Schritte

Weitere Informationen zu Microsoft Purview finden Sie unter Informationen zu Microsoft Purview.