Enviar un equipo de Windows 365 Enterprise Cloud a revisión

  • Artículo

Como parte de una solicitud forense digital, es posible que se le pida que proporcione una instantánea de un equipo de Cloud a investigadores internos o externos. Al enviar un equipo de Cloud a revisión, se guarda una instantánea del equipo en la nube en la cuenta de Azure Storage. Desde allí, puede proporcionar la instantánea al investigador.

Requisitos

Para enviar un equipo de Cloud a revisión, debe cumplir los siguientes requisitos:

  • Tener una licencia de Windows 365 Enterprise.
  • Tener una cuenta de Azure Storage en el mismo inquilino, configurada según los requisitos a continuación.

Configuración de la cuenta de Azure Storage

Para enviar un equipo de Cloud a revisión, primero debe tener una cuenta de almacenamiento de Azure en el mismo inquilino que el equipo de Cloud. Para obtener más información que le ayude a decidir qué tipo de cuenta se ajusta a sus necesidades, consulte Información general de la cuenta de almacenamiento. Se recomienda crear y mantener una cuenta de almacenamiento dedicada con controles de acceso dedicados para auditar equipos de Cloud. Como parte del proceso para revisar los equipos en la nube, Windows 365 requiere los roles Colaborador de la cuenta de almacenamiento y Colaborador de datos de Storage Blob para la cuenta de Azure Storage.

  1. Cree una cuenta de almacenamiento en la suscripción de Azure que prefiera. Para crear la cuenta, puede usar PowerShell, la CLI de Azure, la plantilla de Azure Resource Manager o Azure Portal.

  2. Configure la cuenta de almacenamiento con los siguientes valores;

    • Detalles de la instancia
      • Región: la misma región que CloudPC sugerida para el rendimiento. No hay ninguna restricción en qué región.
      • Rendimiento: Premium
      • Tipo de cuenta Premium: blobs en páginas
    • Seguridad
      • Versión mínima de TLS: versión 1.2
    • Redes
      • Acceso a la red: habilitar el acceso público desde todas las redes

    NO COMPATIBLE: establecer un ámbito de permiso para las operaciones de copia. Debe ser (null), el valor predeterminado, para permitir la copia desde cualquier cuenta de almacenamiento a la cuenta de destino.

  3. Asignar un rol de Azure para acceder a los datos de blob. Los permisos mínimos necesarios para que el servicio de Windows 365 coloque un equipo en la nube en revisión son Colaborador de cuenta de almacenamiento y Colaborador de datos de Blob de Almacenamiento.

Enviar un equipo de Cloud a revisión

Después de configurar una cuenta de almacenamiento de Azure con permisos como se explicó anteriormente, puede enviar un equipo de Cloud a revisión mediante los pasos siguientes:

  1. Inicie sesión en el centro de administración de Microsoft Intune y seleccione Dispositivos>Todos los dispositivos> elija un dispositivo. Captura de pantalla de elegir un dispositivo

  2. Seleccione los puntos suspensivos (...) >Coloque el equipo en la nube en revisión. Captura de pantalla de la ubicación de un equipo en la nube en revisión

  3. Seleccione la suscripción de Azure y la cuenta de Almacenamiento de Azure a la que se concedió al servicio Windows 365 los permisos Colaborador de cuenta de almacenamiento y Colaborador de datos de Blob de Almacenamiento.

    En Acceso durante la revisión, si elige

    • Bloquear acceso, el equipo en la nube se apagará inmediatamente para que el usuario no pueda acceder al equipo en la nube y, a continuación, se creará la instantánea. Esto resulta útil en los casos en los que es posible que desee contener una amenaza de seguridad cerrando el equipo en la nube y, a continuación, realizando el análisis de la instantánea más adelante en un entorno aislado.
    • Permitir acceso, el usuario del equipo en la nube puede seguir usando el equipo en la nube incluso cuando cree una instantánea en la cuenta de almacenamiento.
    • Captura de pantalla de elegir una suscripción y un almacenamiento

  4. Seleccione Enviar a revisión. En función del tamaño del disco del equipo en la nube y la región de destino de la cuenta de almacenamiento, puede oscilar entre minutos y unas pocas horas para que cada instantánea se guarde en la cuenta de almacenamiento.

Para que la manipulación de la instantánea sea evidente, debe crear un hash de archivo de la instantánea cuando se haya guardado en la cuenta de almacenamiento. Una forma de crear el hash de archivo es usar el cmdlet Get-FileHash . Para obtener el mejor rendimiento, el cmdlet Get-FileHash debe ejecutarse en una copia del archivo descargado o ejecutarse en la instantánea de la cuenta de Almacenamiento de Azure desde un recurso ubicado en la misma región de Azure.

Quitar un equipo de Cloud de la revisión

Inicie sesión en el centro de administración de Microsoft Intune y seleccione Dispositivos>Todos los dispositivos> elija un dispositivo>...>Quitar de la revisión.

Acciones masivas

También puede usar las acciones de dispositivo masivas de Intune para enviar varios equipos de Cloud a revisión al mismo tiempo. Para obtener información relacionada, consulte Usar acciones masivas de dispositivo.

Pasos siguientes

Obtenga más información sobre el análisis forense digital y los equipos de Cloud.