Gérer les preuves forensiques de gestion des risques internes
Importante
La preuve forensique est une fonctionnalité complémentaire d’adhésion dans la gestion des risques internes qui donne aux équipes de sécurité des insights visuels sur les incidents potentiels de sécurité des données internes, avec la confidentialité des utilisateurs intégrée. Les preuves d’investigation incluent des déclencheurs d’événements personnalisables et des contrôles intégrés de protection de la confidentialité des utilisateurs, ce qui permet aux équipes de sécurité de mieux examiner, comprendre et répondre aux risques potentiels liés aux données internes, comme l’exfiltration de données sensibles non autorisées.
Les organisations définissent les stratégies appropriées pour elles-mêmes, notamment les événements à risque qui sont prioritaires pour la capture des preuves d’investigation et les données les plus sensibles. La preuve forensique est désactivée par défaut, la création de stratégie nécessite une double autorisation et les noms d’utilisateur peuvent être masqués avec le pseudonyme (qui est activé par défaut pour la gestion des risques internes). La configuration de stratégies et l’examen des alertes de sécurité dans La gestion des risques internes tirent parti de contrôles d’accès en fonction du rôle (RBAC), garantissant que les personnes désignées dans le organization prennent les mesures appropriées avec des fonctionnalités d’audit supplémentaires.
Importante
Gestion des risques internes Microsoft Purview met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. La gestion des risques internes permet aux clients de créer des stratégies pour gérer la sécurité et la conformité. Créés avec la confidentialité par défaut, les utilisateurs sont pseudonymisés par défaut, et des contrôles d’accès en fonction du rôle et des journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.
Une fois que vous avez terminé les étapes de configuration et créé votre stratégie de preuve d’investigation, vous commencez à voir des alertes pour les activités potentiellement risquées des utilisateurs liées à la sécurité qui répondent aux conditions pour les indicateurs définis dans la stratégie.
Conseil
Bien démarrer avec Microsoft Copilot pour la sécurité afin d’explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Copilot pour la sécurité dans Microsoft Purview.
Tableau de bord
Le tableau de bord des preuves forensiques est la vue récapitulative des zones clés de la configuration des preuves forensiques dans votre organization. Pour la préversion, le tableau de bord inclut uniquement une section Relative à l’intégrité de l’appareil des preuves judiciaires . Sélectionnez Afficher le rapport d’intégrité de l’appareil pour ouvrir l’onglet État de l’appareil et le rapport. D’autres sections seront incluses dans les versions ultérieures.
Gestion des utilisateurs
Vous devez demander et approuver des utilisateurs spécifiques avant qu’ils ne soient éligibles à la capture de preuves forensiques. Le simple fait d’ajouter des utilisateurs à une stratégie de preuve d’investigation ne rend pas automatiquement ces utilisateurs éligibles pour la capture. Vous pouvez demander et approuver des utilisateurs avant ou après la création de stratégies de preuve d’investigation, mais les captures de clip associées aux indicateurs de stratégie ne seront créées et disponibles pour révision qu’une fois les utilisateurs approuvés.
Les utilisateurs affectés aux groupes de rôles Gestion des risques internes ou Administrateurs de gestion des risques internes peuvent envoyer des demandes d’approbation aux utilisateurs affectés au groupe de rôles Approbateurs de gestion des risques internes .
Demande d’approbations de capture
Vous devez demander que la capture des preuves d’investigation soit activée pour des utilisateurs spécifiques. Lorsqu’une demande est envoyée, les approbateurs de votre organization sont avertis par e-mail et peuvent approuver ou rejeter la demande. S’il est approuvé, l’utilisateur ou s’affiche sous l’onglet Utilisateurs approuvés et peut être capturé. Si elle n’est pas traitée, la demande expirera 6 mois à compter du jour où elle a été envoyée.
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
Accédez à la solution de gestion des risques internes .
Sélectionnez Preuve d’investigation dans le volet de navigation de gauche, puis Sélectionnez Gestion des utilisateurs.
Sélectionnez l’onglet Gérer les demandes de preuves forensiques .
Sélectionnez Créer une demande.
Dans la page Utilisateurs , sélectionnez Ajouter des utilisateurs.
Utilisez La recherche pour localiser un utilisateur spécifique ou sélectionnez un ou plusieurs utilisateurs dans la liste. Sélectionnez Ajouter, puis Suivant.
Dans la page Stratégie de preuve d’investigation , sélectionnez une stratégie de preuve d’investigation pour les utilisateurs ajoutés. La stratégie que vous choisissez détermine l’étendue de l’activité à capturer pour les utilisateurs.
Sélectionnez Suivant.
Dans la page Justification , indiquez au réviseur pourquoi vous demandez que la capture soit activée pour les utilisateurs que vous avez ajoutés dans la zone de texte Justification de l’activation de la capture des preuves d’investigation . Ce champ est obligatoire. Une fois terminé, sélectionnez Suivant.
Dans la page notifications Email, vous pouvez utiliser un modèle de notification pour envoyer un e-mail aux utilisateurs leur informant que la capture des preuves d’investigation sera activée pour leur appareil conformément aux stratégies de votre organization. L’e-mail est envoyé aux utilisateurs uniquement si leur demande est approuvée.
Sélectionnez la zone Envoyer une notification par e-mail aux utilisateurs approuvés case activée. Choisissez un modèle existant ou créez-en un. Pour créer un modèle, sélectionnez Créer un modèle de notification et renseignez les champs obligatoires suivants dans le volet Nouveau modèle de notification par e-mail .
Sélectionnez Suivant.
Dans la page Terminer , passez en revue vos paramètres avant d’envoyer la demande. Sélectionnez Modifier les utilisateurs ou Modifier la justification pour modifier l’une des valeurs de la demande ou sélectionnez Envoyer pour créer et envoyer la demande aux réviseurs.
Pour afficher les demandes d’approbation en attente, accédez à Gestion des> risques internesPreuves> d’investigationDemandes en attente. Ici, vous verrez les utilisateurs avec les demandes en attente, leur adresse e-mail, la date de soumission de la demande et qui a envoyé la demande d’approbation. Si aucun utilisateur n’est affiché, aucune demande d’approbation n’est en attente pour les utilisateurs.
Les utilisateurs affectés au groupe de rôles Approbateurs de gestion des risques internes peuvent sélectionner un utilisateur sous l’onglet Demande de preuve d’investigation et examiner la demande. Après avoir examiné la demande, ces utilisateurs peuvent approuver ou rejeter la demande de capture de preuves forensiques. L’approbation ou le rejet de la demande de capture supprime la demande en attente pour les utilisateurs de cette vue.
Approuver ou rejeter les demandes de capture
Une fois les demandes terminées, les utilisateurs affectés au groupe de rôles Approbateurs de gestion des risques internes reçoivent une notification par e-mail pour la demande d’approbation.
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
- Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
- Accédez à la solution de gestion des risques internes .
- Sélectionnez Preuve d’investigation dans le volet de navigation de gauche, puis sélectionnez Demandes en attente.
- Sélectionnez un utilisateur à réviser.
- Dans le volet Examiner la demande de preuve d’investigation (préversion), passez en revue la justification soumise par le demandeur. Sélectionnez Approuver ou Rejeter le cas échéant.
- Dans la page Demande approuvée ou Demande rejetée , sélectionnez Fermer.
Révoquer les approbations de capture
Si nécessaire, vous pouvez révoquer l’approbation d’utilisateurs spécifiques et les exclure de la capture de preuves forensiques. La révocation de l’approbation ne supprime pas ou ne supprime pas les captures existantes pour ces utilisateurs. Seule la capture future de l’activité pour ces utilisateurs est désactivée.
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
- Connectez-vous au portail Microsoft Purview en tant que membre du groupe de rôles Approbateurs de gestion des risques internes .
- Accédez à la solution de gestion des risques internes .
- Sélectionnez Preuve d’investigation dans le volet de navigation de gauche, puis Sélectionnez Gestion des utilisateurs.
- Sélectionnez l’onglet Utilisateurs approuvés .
- Sélectionnez un utilisateur, puis sélectionnez Supprimer.
- Dans la page de confirmation de suppression, sélectionnez Supprimer pour révoquer l’approbation de capture.
Création et gestion de modèles de notification
Vous pouvez créer et utiliser un modèle de notification pour envoyer un e-mail aux utilisateurs les informant que la capture de preuves forensiques sera activée pour leur appareil conformément aux stratégies de votre organization. L’e-mail est envoyé aux utilisateurs uniquement si leur demande est approuvée.
Créer un modèle de notification
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
- Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
- Accédez à la solution de gestion des risques internes .
- Sélectionnez Preuve d’investigation dans le volet de navigation de gauche, puis sélectionnez Modèles de notification.
- Sélectionnez Créer un modèle de notification.
- Dans le volet Nouveau modèle de notification par e-mail , renseignez les champs obligatoires suivants :
- Nom du modèle
- Envoyer à partir de
- Sujet
- Corps du message
- Sélectionnez Enregistrer.
Remarque
Pour supprimer un modèle de notification existant, sélectionnez-le, puis sélectionnez Supprimer.
Affichage des clips capturés
Vous pouvez afficher et explorer les clips capturés en sélectionnant l’onglet Preuves d’investigation lorsque vous ouvrez Gestion des risques internes Microsoft Purview. Vous pouvez également sélectionner l’onglet Preuve d’investigation dans d’autres zones de la solution pour afficher la liste des clips capturés en contexte :
- Tableau de bord des alertes. Les clips accessibles à partir du tableau de bord Alertes correspondent à l’option permettant de capturer des activités utilisateur spécifiques lors de la création de la stratégie de preuve d’investigation. Les clips capturés sont définis par des indicateurs sélectionnés dans la stratégie de preuve d’investigation.
- Rapports d’activité utilisateur. Les clips accessibles à partir des rapports d’activité utilisateur correspondent à l’option permettant de capturer toute activité liée à la sécurité effectuée par les utilisateurs inclus dans les stratégies de preuve d’investigation.
- Tableau de bord des cas. Les clips accessibles à partir du tableau de bord Cas sont des alertes qui ont été remontées aux cas.
Remarque
Si vous êtes membre à la fois du groupe de rôles Enquêteurs de gestion des risques internes et du groupe de rôles Administrateurs de gestion des risques internes, vous verrez passer en revue les clips capturés lorsque vous ouvrez Gestion des risques internes Microsoft Purview. Si vous sélectionnez Vérifier les clips capturés, les paramètres Ouvrir les preuves d’investigation sont modifiés. Cette action consiste à faire des allers-retours entre la liste des clips capturés et les paramètres si vous avez les deux rôles. En savoir plus sur les groupes de rôles
Lorsque vous sélectionnez l’onglet Preuve d’investigation, les clips capturés et les informations associées s’affichent dans une liste. Si vous sélectionnez un clip capturé dans la liste, un lecteur vidéo apparaît au centre de l’écran et une transcription des activités et des événements du clip s’affiche à droite du lecteur vidéo.
Chaque clip capturé inclut les informations suivantes :
- Date/heure (UTC) : date, heure (UTC) et durée de la capture. La durée de la capture est la durée totale de la capture. La longueur réelle de la capture peut être plus courte, car la gestion des risques internes élimine automatiquement les images identiques.
- Appareil : nom de l’appareil dans Windows 10/11.
- Activités : type d’activité de gestion des risques internes inclus dans la capture. Ces activités sont basées sur des indicateurs globaux et de stratégie attribués à la stratégie associée.
- Utilisateur : nom de l’utilisateur.
- URL (le cas échéant) : URL à laquelle l’utilisateur accédait lorsque l’activité a eu lieu.
- Application (le cas échéant) : application à laquelle l’utilisateur accédait lorsque l’activité a eu lieu.
- Titre de la fenêtre active : titre de la fenêtre à laquelle l’utilisateur accédait lorsque l’activité a eu lieu.
Pour afficher un clip capturé :
Si nécessaire, configurez les filtres en haut de la liste.
Sélectionnez un clip dans la liste.
À l’aide des contrôles du lecteur vidéo, sélectionnez le contrôle Lire pour passer en revue l’intégralité du clip du début à la fin.
Pour limiter la révision à une activité ou un événement spécifique dans le clip, sélectionnez l’activité ou l’événement dans la transcription. Vous pouvez également utiliser la zone de recherche au-dessus de la transcription pour rechercher des activités ou des événements spécifiques.
Remarque
Un triangle rouge dans la transcription désigne une activité.
Filtrage de la liste des clips capturés
Vous pouvez utiliser les filtres au-dessus de la liste des clips capturés pour filtrer des activités et des informations spécifiques. Chaque filtre prend en charge jusqu’à 10 ID uniques. Par exemple, vous pouvez filtrer jusqu’à 10 utilisateurs à la fois. Le tableau suivant décrit les différents filtres.
Nom du filtre | Description |
---|---|
Nom d’utilisateur | Filtrez sur n’importe quel nom d’utilisateur. |
Activité | Sélectionnez une activité spécifique sur laquelle filtrer, telle que l’impression de fichiers ou le mot de passe utilisé pour la connexion à l’appareil a été réutilisé. |
Nom du périphérique | Filtrez sur n’importe quel nom d’appareil. |
URL | Filtrez un nom de domaine ou recherchez n’importe quel mot clé après le filtrage d’un nom de domaine. Exemple : en entrant « SharePoint » comme mot clé retourne toute URL qui inclut « SharePoint » n’importe où dans l’URL. |
Application | Filtrez par nom d’application. Vous pouvez sélectionner Contient l’un de ou Contient tout avec ce filtre. Exemple : si vous sélectionnez Contient l’un des éléments et que vous entrez « Contoso.com,Contoso2.com », vous pouvez avoir un clip qui capture Contoso.com et un autre qui capture Contoso2.com. Si vous sélectionnez Contient tout et que vous entrez « Contoso.com,Contoso2.com », toutes les captures doivent contenir les deux domaines. |
Titre de la fenêtre active | Filtrez le titre de la fenêtre active. Vous pouvez sélectionner Contient l’un de ou Contient tout pour filtrer de la même façon que le filtre Application . |
Suppression de clips
Les utilisateurs affectés au groupe de rôles Enquêteurs de gestion des risques internes peuvent supprimer des clips individuels de la liste des clips capturés. Pour cela :
- Sélectionnez la zone case activée en regard de la capture.
- Sélectionnez Supprimer.
Les utilisateurs affectés au groupe de rôles Administrateurs de gestion des risques internes peuvent effectuer des suppressions en bloc via les paramètres.
Effectuer une suppression en bloc
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
- Connectez-vous au portail Microsoft Purview en tant que membre du groupe de rôles Administrateurs de gestion des risques internes .
- Accédez à la solution de gestion des risques internes .
- Sélectionnez Preuve d’investigation dans le volet de navigation gauche, puis sélectionnez Paramètres de preuve d’investigation.
- Assurez-vous que l’option Autoriser la suppression des données utilisateur d’investigation par un administrateur ou un enquêteur est définie sur Activé.
- Sous Supprimer les données d’un utilisateur , choisissez Sélectionner un utilisateur, puis sélectionnez l’utilisateur pour lequel vous souhaitez supprimer des clips.
Importante
Les clips de preuve d’investigation sont supprimés 120 jours après leur capture. Vous pouvez exporter ou transférer des clips de preuve d’investigation avant qu’ils ne soient supprimés.
Tableau de bord des alertes
Pour les alertes générées par les stratégies, vous pouvez consulter les captures de preuves forensiques sous l’onglet Preuves judiciaires du tableau de bord Alertes . Si une ou plusieurs captures sont disponibles pour l’alerte, vous verrez également un lien Afficher la notification des preuves forensiques dans l’activité qui génère une section d’en-tête d’alerte. Vous pouvez sélectionner le lien de notification ou l’onglet Preuve d’investigation pour passer en revue une liste de captures d’activité.
L’examen d’une alerte pour une activité potentiellement risquée qui peut contenir des captures de preuves forensiques est essentiellement identique à l’examen d’une alerte sans captures de preuves forensiques. La différence significative est l’inclusion de toutes les captures applicables. L’onglet Preuves judiciaires permet d’accéder à toutes les captures disponibles associées à l’alerte.
Tableau de bord des cas
Si les alertes sont remontées vers des cas, toutes les captures de preuves judiciaires associées sont incluses dans le cadre de l’affaire. L’examen des captures de preuves forensiques pour les cas suit le même processus que l’examen des captures pour les alertes.
Rapports d'activité des utilisateurs
Les rapports d’activité des utilisateurs vous permettent d’examiner les activités d’utilisateurs spécifiques pendant une période définie sans avoir à les affecter temporairement ou explicitement à une stratégie de gestion des risques internes. Si ces activités utilisateur incluent des activités prises en charge par la capture de preuves forensiques, les clips sont inclus dans l’activité de l’utilisateur.
Si vous avez configuré des preuves forensiques pour capturer toutes les activités des utilisateurs liées à la sécurité, qu’elles soient incluses ou non dans une stratégie de preuve d’investigation, pour passer en revue ces captures :
- Sélectionnez Vue d’ensemble de la gestion des> risques internes.
- En bas de l’écran Vue d’ensemble , sous Examiner l’activité des utilisateurs, sélectionnez Gérer les rapports.
- Sélectionnez un utilisateur spécifique, puis sélectionnez l’onglet Preuves judiciaires .
- Reportez-vous aux instructions ci-dessus.
Rapport d’intégrité de l’appareil (préversion)
Une fois que les appareils sont configurés pour prendre en charge les preuves d’investigation, vous pouvez consulter la status d’intégrité du client Microsoft Purview pour tous les appareils de votre organization en accédant à Gestion des> risques internesPreuve d’intégrité> del’appareil.
Pour obtenir la liste des exigences minimales en matière d’appareil et de configuration, consultez En savoir plus sur les preuves d’investigation. Pour intégrer des appareils pris en charge, effectuez les étapes décrites dans l’article Vue d’ensemble Intégrer Windows 10 et Windows 11 appareils dans Microsoft 365.
Le rapport d’intégrité de l’appareil vous permet d’afficher la status et l’intégrité de tous les appareils sur lesquels l’agent de preuve d’investigation est installé. Chaque widget de rapport sur le rapport affiche des informations pour les dernières 24 heures.
- Appareils en ligne : nombre total d’appareils actuellement en ligne.
- Appareils hors connexion : nombre total d’appareils actuellement hors connexion.
- Appareils avec avertissements : nombre total d’appareils avec un avertissement.
- Appareils présentant des erreurs : nombre total d’appareils présentant une erreur.
La file d’attente d’intégrité de l’appareil répertorie tous les appareils configurés pour la preuve d’investigation dans votre organization. En outre, le rapport répertorie les status des attributs d’appareil suivants :
- Nom de l’appareil : nom de l’appareil, défini par l’attribut ComputerName de l’appareil.
-
Status de l’appareil : status du client Microsoft Purview sur l’appareil. Les valeurs d’état sont les suivantes :
- Sain : le client sur l’appareil fonctionne correctement et les fonctionnalités de capture des preuves d’investigation sont entièrement prises en charge.
- Avertissement : le client sur l’appareil dispose d’un avertissement et les fonctionnalités de capture des preuves forensiques peuvent ne pas être entièrement prises en charge.
- Erreur : le client sur l’appareil présente une erreur et les fonctionnalités de capture des preuves d’investigation sont désactivées ou ne sont pas entièrement prises en charge.
- Détails de l’état : plus d’informations sur le status de l’appareil.
- Dernière synchronisation (UTC) : date et heure de la dernière synchronisation status pour l’appareil.
- Nom d’utilisateur : nom d’utilisateur de l’utilisateur connecté à l’appareil lorsque la synchronisation status a été effectuée.
- Version de Windows : version de Microsoft Windows installée sur l’appareil.
- Version du client : version du client Microsoft Purview installée sur l’appareil.
L’status d’intégrité de l’appareil vous donne des informations sur les problèmes potentiels liés à vos appareils et au client Microsoft Purview. La colonne Status de l’appareil de la page Intégrité de l’appareil peut vous avertir des problèmes d’appareil susceptibles d’empêcher la capture de l’activité des utilisateurs ou de la raison pour laquelle le volume de capture de preuves d’investigation est inhabituel. Le status d’intégrité de l’appareil peut également confirmer que les appareils inclus dans la capture des preuves forensiques sont sains et ne nécessitent pas d’attention ou de modification de la configuration. Le tableau suivant répertorie les messages de détails status potentiels et les actions recommandées que vous pouvez effectuer pour résoudre les avertissements et les erreurs :
Détails de l’état | État | Action suggérée |
---|---|---|
Une erreur serveur interne s'est produite. Par conséquent, les données de capture peuvent être manquantes. | Error | Créer un ticket de support avec Microsoft pour une investigation plus approfondie |
La bande passante de chargement a atteint 90 % de la limite configurée sur cet appareil. Les captures peuvent bientôt être remplacées. | Avertissement | Augmentez la limite de bande passante de chargement sur la page paramètres de preuve d’investigation . |
La limite de bande passante de chargement configurée a été atteinte sur cet appareil. Plus aucune capture ne sera chargée pour la journée. | Error | Augmentez la limite de bande passante de chargement sur la page paramètres de preuve d’investigation . |
Le stockage hors connexion a atteint 90 % de la limite configurée sur cet appareil. Les captures peuvent bientôt être remplacées. | Avertissement | Augmentez la limite de cache de capture hors connexion dans la page paramètres des preuves d’investigation . |
La limite de stockage hors connexion configurée a été atteinte sur cet appareil. Par conséquent, les captures hors connexion sont remplacées. | Error | Augmentez la limite de cache de capture hors connexion dans la page paramètres des preuves d’investigation . |
L’utilisation du processeur sur l’appareil a dépassé le seuil maximal. | Error | Le processus de capture a été arrêté et redémarrera dans quelques minutes. |
L’utilisation de la mémoire sur l’appareil a dépassé le seuil maximal. | Error | Le processus de capture a été arrêté et redémarrera dans quelques minutes. |
L’utilisation du GPU sur l’appareil a dépassé le seuil maximal. | Error | Le processus de capture a été arrêté et redémarrera dans quelques minutes. |
Le client Microsoft Purview installé sur l’appareil ne peut pas se synchroniser avec la stratégie de preuve d’investigation. | Avertissement | Se connecter au réseau & réinstaller le client |
Le client Microsoft Purview installé sur l’appareil n’a pas été synchronisé avec la stratégie de preuve d’investigation depuis plus de 24 heures. | Error | Se connecter au réseau & réinstaller le client |
Le client Microsoft Purview ne peut pas capturer l’activité, car aucun carte graphique n’est détecté sur cet appareil. | Error | Ajoutez un carte graphique ou remplacez l’appareil par un appareil doté d’un carte graphique |
Le client Microsoft Purview ne peut pas capturer l’activité, car aucun moniteur d’affichage n’est détecté sur cet appareil. | Error | Ajouter des moniteurs d’affichage pour cet appareil |
Le client Microsoft Purview ne peut pas capturer l’activité, car les moniteurs d’affichage sur cet appareil ont été désactivés ou déconnectés. | Error | Connecter/activer les moniteurs d’affichage de l’appareil |
L’appareil ne peut pas accéder au répertoire qui stocke les captures de preuves d’investigation. | Error | Réinstaller le client sur cet appareil |
Échec de l’initialisation de l’encodeur. | Error | Réinstallez le client sur cet appareil. |
Contactez Support Microsoft si les actions recommandées ne résolvent pas les problèmes liés au client.
Capacité et facturation
Lorsque la preuve d’investigation est configurée, vous pouvez choisir d’acheter le module complémentaire de preuve forensique pour la gestion des risques internes pour vos clips capturés. Le module complémentaire est disponible pour les organisations disposant de l’une des licences suivantes : Microsoft 365 E5, Microsoft 365 E5 Conformité ou gestion des risques internes Microsoft 365 E5.
Les organisations peuvent acheter le module complémentaire en unités de 100 Go par mois. La capacité achetée s’applique à l’ingestion de preuves d’investigation à compter de la date d’achat et est réinitialisée le premier du mois. La capacité inutilisée ne se reporte pas. Nous vous recommandons d’acheter la licence au début du mois pour optimiser la valeur de la licence. 100 Go équivaut à environ 1 100 heures de captures de preuves forensiques par locataire, à une résolution vidéo de 1 080p. Vous pouvez télécharger la calculatrice de capacité pour estimer le nombre de Go nécessaires par mois.
Une fois la preuve légale ingérée, elle est conservée pendant 120 jours. Vous pouvez exporter des preuves d’investigation si nécessaire après la période de rétention de 120 jours.
Plans de paiement
Deux plans de paiement sont disponibles lors de l’achat du module complémentaire via le Centre d’administration Microsoft 365 :
- Paiement annuel (disponible dans tous les canaux). L’option d’engagement annuel vous permet d’acheter le nombre de licences que vous spécifiez chaque mois pendant 12 mois. Il convient aux clients qui souhaitent s’assurer qu’ils disposent de la capacité disponible chaque mois pour ingérer des preuves d’investigation sans interruption. Ce plan de paiement réapprovisionne automatiquement le nombre de licences achetées chaque mois. La capacité achetée s’applique à l’ingestion de preuves d’investigation à compter de la date d’achat et est réinitialisée le premier du mois. La capacité inutilisée ne se reporte pas. Les clients peuvent choisir d’être facturés une seule fois ou de fractionner la facture en 12 paiements mensuels.
- Paiement mensuel (disponible uniquement sur le web direct). Si vous ne souhaitez pas prendre d’engagement annuel, vous pouvez acheter le nombre de licences nécessaires chaque mois. La capacité achetée s’applique à l’ingestion de preuves d’investigation à compter de la date d’achat et est réinitialisée le premier du mois. La capacité inutilisée ne se reporte pas.
Puis-je essayer la fonctionnalité d’investigation avant de l’acheter ?
Chaque locataire disposant d’une licence Microsoft 365 E5, Microsoft 365 E5 Conformité ou Microsoft 365 E5 Insider Risk Management peut s’inscrire à une licence d’essai de 20 Go pour tester la fonctionnalité de preuve d’investigation.
Remarque
La licence d’évaluation de 20 Go est disponible uniquement pour les clients sur la plateforme de commerce héritée.
Les 20 Go de capacité disponibles par le biais de la licence d’évaluation sont disponibles jusqu’à ce que vous utilisiez les 20 Go complets ou jusqu’à un an à compter de l’activation de la licence d’évaluation, selon la date la plus ancienne. Si vous achetez une licence d’extension de preuve d’investigation avant d’utiliser la capacité d’évaluation, vous pourrez utiliser la capacité d’évaluation restante jusqu’à ce qu’elle soit épuisée avant que le système commence à mesurer la capacité achetée.
Si vous utilisez jusqu’à 20 Go de capacité d’essai et que vous n’achetez pas par la suite le module complémentaire forensique pour Insider Risk Management, vous serez en mesure d’afficher les clips que vous avez déjà ingérés, mais que vous ne pourrez ingérer aucun nouveau clip.
Inscrivez-vous à la licence d’évaluation de 20 Go
Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.
Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
Accédez à la solution de gestion des risques internes .
Sélectionnez Preuve d’investigation dans le volet de navigation gauche, puis sélectionnez Capacité et facturation.
Remarque
Vous pouvez également vous inscrire à la licence d’évaluation à partir de l’ongletTableau de bord despreuves> judiciaires de gestion des> risques internes.
Sélectionnez Revendiquer 20 Go de capacité.
Suivez les invites dans le Centre d’administration Microsoft 365.