Configuración de pruebas forenses de Microsoft Purview para Windows 365

Las pruebas forenses de Microsoft Purview le ayudan a obtener mejor información sobre las actividades de usuario potencialmente relacionadas con la seguridad. Con desencadenadores de eventos personalizables y controles integrados de protección de la privacidad del usuario, la evidencia forense permite personalizar la captura de actividad visual entre dispositivos. Las pruebas forenses ayudan a su organización a mitigar, comprender y responder mejor a posibles riesgos de datos, como la filtración no autorizada de datos confidenciales.

Establezca las directivas adecuadas para su organización, como:

• ¿Qué eventos de riesgo son la prioridad más alta para capturar pruebas forenses?
• Qué datos son más confidenciales.
• Si se notifica a los usuarios cuando se activa la captura forense.

La captura de pruebas forenses está desactivada de forma predeterminada y la creación de directivas requiere una autorización doble.

Requisitos

Si no se cumplen los siguientes requisitos, es posible que se encuentre con problemas de cliente de Microsoft Purview y que la calidad de las capturas forenses no sea confiable.

Para configurar pruebas forenses de Microsoft Purview, el entorno debe cumplir los siguientes requisitos:

Requisitos de configuración del dispositivo

• Tipo de imagen de la galería
  • Windows 11 Enterprise + Aplicaciones de Microsoft 365 23H2 o posterior
• Opciones de licencia
  • Microsoft 365 E5
  • Cumplimiento de Microsoft 365 E5
  • Administración de riesgos internos de Microsoft 365 E5
• Tipo de combinación y red
  • Microsoft Entra unido a la red hospedada de Microsoft y las conexiones de red de Azure
  • Microsoft Entra híbrido unido a una conexión de red de Azure
• Antivirus de Microsoft Defender en Windows versión 4.18.2110 o posterior
• Aplicaciones de Microsoft 365 versión 16.0.14701.0 o posterior
• El dispositivo debe asignarse a un usuario principal
• Tamaño del equipo en la nube
  • Para obtener un rendimiento óptimo, 8vCPU o superior (para obtener más información, consulte Recomendaciones de tamaño de PC en la nube)

Requisitos de rol

• La cuenta debe tener al menos uno de estos roles:
  • Rol de administrador de cumplimiento de identificadores de Microsoft Entra
  • Rol de administrador global de id. de Microsoft Entra
  • Grupo de roles de administración de organización de Microsoft Purview
  • Grupo de roles Administrador de cumplimiento de Microsoft Purview
  • Grupo de roles de Administración de riesgos internos
  • Grupo de roles Administradores de administración de riesgos internos

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Para obtener más información sobre los roles de administración de riesgos internos, consulte Habilitación de permisos para la administración de riesgos internos.

Activar la incorporación de dispositivos

1. Abra el portal de Microsoft Purview. Elija Configuración Incorporación>de dispositivos de incorporación de>dispositivos>.

2. Seleccione el método de implementación que se usará para implementar el paquete de configuración:

   • Intune: use herramientas de administración de dispositivos móviles o Microsoft Intune.
   • Script local: use un script local.

Implementación del paquete de configuración mediante Intune

1. Inicie sesión en el Centro> de administración de Microsoft IntuneSeguridad> de puntos de conexiónde Microsoft Defender para punto de conexión>Abra el Centro de seguridad de Microsoft Defender.

2. Establezca la conexión de Microsoft Intuneen Activado y, a continuación, guarde las preferencias.

3. Vuelva a Microsoft Defender para punto de conexión y establezca las siguientes opciones:

   • Permitir que Microsoft for Endpoint aplique configuraciones de seguridad de punto de conexión: Activado
   • Conexión de dispositivos Windows versión 10.0.15063 y posteriores a Microsoft Defender para punto de conexión: Activado

4. Haga clic en Guardar.

5. Seleccione Endpoint security>Endpoint detection and response Create policy (Detección de puntos de conexión y respuesta>Crear directiva).

6. Seleccione las siguientes opciones:

   • Plataforma: Windows 10, Windows 11 y Windows Server
   • Tipo de perfil: detección y respuesta de puntos de conexión

7. Seleccione Crear.

8. Proporcione un nombre y una descripción>siguiente.

9. En la página Configuración , en Tipo de paquete de configuración de cliente de Microsoft Defender para punto de conexión, seleccione Auto del conector>Siguiente.

10. En la página Etiquetas del ámbito, seleccione Siguiente.

11. En la página Asignaciones , seleccione el grupo que incluye el usuario principal de Cloud PC >Next.

12. En la página Revisar y crear , cuando haya terminado, seleccione Crear.

Después de crear la directiva, un usuario debe iniciar sesión en su dispositivo antes de que se aplique la directiva y el dispositivo se incorpore a Microsoft Defender para punto de conexión.

Uso de un script local para implementar el paquete de configuración

Siga las instrucciones de Incorporación de dispositivos Windows 10 y Windows 11 mediante un script local. Esto puede resultar útil al probar un subconjunto de equipos en la nube antes de continuar con la incorporación de todos los equipos en la nube.

Visualización de la lista de dispositivos de incorporación

1. Abra el portal > de Microsoft PurviewConfiguración>Dispositivos de incorporación de>dispositivos.

2. Compruebe las columnas siguientes:

   • Estado de configuración: muestra si el dispositivo está configurado correctamente.
   • Estado de sincronización de directivas: muestra si el dispositivo se actualizó a la versión de directiva más reciente. Los dispositivos deben estar activados para actualizar a la directiva más reciente.

Siguientes pasos

Para obtener más información sobre Microsoft Purview, consulte Información sobre Microsoft Purview.