Gérer les preuves forensiques de gestion des risques internes

Importante

La preuve forensique est une fonctionnalité complémentaire d’adhésion dans la gestion des risques internes qui donne aux équipes de sécurité des insights visuels sur les incidents potentiels de sécurité des données internes, avec la confidentialité des utilisateurs intégrée. Les preuves d’investigation incluent des déclencheurs d’événements personnalisables et des contrôles intégrés de protection de la confidentialité des utilisateurs, ce qui permet aux équipes de sécurité de mieux examiner, comprendre et répondre aux risques potentiels liés aux données internes, comme l’exfiltration de données sensibles non autorisées.

Les organisations définissent les stratégies appropriées pour elles-mêmes, notamment les événements à risque qui sont prioritaires pour la capture des preuves d’investigation et les données les plus sensibles. La preuve forensique est désactivée par défaut, la création de stratégie nécessite une double autorisation et les noms d’utilisateur peuvent être masqués avec le pseudonyme (qui est activé par défaut pour la gestion des risques internes). La configuration de stratégies et l’examen des alertes de sécurité dans La gestion des risques internes tirent parti de contrôles d’accès en fonction du rôle (RBAC), garantissant que les personnes désignées dans le organization prennent les mesures appropriées avec des fonctionnalités d’audit supplémentaires.

Importante

Gestion des risques internes Microsoft Purview met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. La gestion des risques internes permet aux clients de créer des stratégies pour gérer la sécurité et la conformité. Créés avec la confidentialité par défaut, les utilisateurs sont pseudonymisés par défaut, et des contrôles d’accès en fonction du rôle et des journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.

Une fois que vous avez terminé les étapes de configuration et créé votre stratégie de preuve d’investigation, vous commencez à voir des alertes pour les activités potentiellement risquées des utilisateurs liées à la sécurité qui répondent aux conditions pour les indicateurs définis dans la stratégie.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Tableau de bord

Le tableau de bord des preuves forensiques est la vue récapitulative des zones clés de la configuration des preuves forensiques dans votre organization. Pour la préversion, le tableau de bord inclut uniquement une section Relative à l’intégrité de l’appareil des preuves judiciaires . Sélectionnez Afficher le rapport d’intégrité de l’appareil pour ouvrir l’onglet État de l’appareil et le rapport. D’autres sections seront incluses dans les versions ultérieures.

Gestion des utilisateurs

Vous devez demander et approuver des utilisateurs spécifiques avant qu’ils ne soient éligibles à la capture de preuves forensiques. Le simple fait d’ajouter des utilisateurs à une stratégie de preuve d’investigation ne rend pas automatiquement ces utilisateurs éligibles pour la capture. Vous pouvez demander et approuver des utilisateurs avant ou après la création de stratégies de preuve d’investigation, mais les captures de clip associées aux indicateurs de stratégie ne seront créées et disponibles pour révision qu’une fois les utilisateurs approuvés.

Les utilisateurs affectés aux groupes de rôles Gestion des risques internes ou Administrateurs de gestion des risques internes peuvent envoyer des demandes d’approbation aux utilisateurs affectés au groupe de rôles Approbateurs de gestion des risques internes .

Demande d’approbations de capture

Vous devez demander que la capture des preuves d’investigation soit activée pour des utilisateurs spécifiques. Lorsqu’une demande est envoyée, les approbateurs de votre organization sont avertis par e-mail et peuvent approuver ou rejeter la demande. S’il est approuvé, l’utilisateur ou s’affiche sous l’onglet Utilisateurs approuvés et peut être capturé. Si elle n’est pas traitée, la demande expirera 6 mois à compter du jour où elle a été envoyée.

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Portail Microsoft Purview

1. Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.

2. Accédez à la solution de gestion des risques internes .

3. Sélectionnez Preuve d’investigation dans le volet de navigation de gauche, puis Sélectionnez Gestion des utilisateurs.

4. Sélectionnez l’onglet Gérer les demandes de preuves forensiques .

5. Sélectionnez Créer une demande.

6. Dans la page Utilisateurs , sélectionnez Ajouter des utilisateurs.

7. Utilisez Recherche pour localiser un utilisateur spécifique ou sélectionnez un ou plusieurs utilisateurs dans la liste. Sélectionnez Ajouter, puis Suivant.

8. Dans la page Stratégie de preuve d’investigation , sélectionnez une stratégie de preuve d’investigation pour les utilisateurs ajoutés. La stratégie que vous choisissez détermine l’étendue de l’activité à capturer pour les utilisateurs.

9. Sélectionnez Suivant.

10. Dans la page Justification , indiquez au réviseur pourquoi vous demandez que la capture soit activée pour les utilisateurs que vous avez ajoutés dans la zone de texte Justification de l’activation de la capture des preuves d’investigation . Ce champ est obligatoire. Une fois terminé, sélectionnez Suivant.

11. Dans la page notifications Email, vous pouvez utiliser un modèle de notification pour envoyer un e-mail aux utilisateurs leur informant que la capture des preuves d’investigation sera activée pour leur appareil conformément aux stratégies de votre organization. L’e-mail est envoyé aux utilisateurs uniquement si leur demande est approuvée.

    Sélectionnez la zone Envoyer une notification par e-mail aux utilisateurs approuvés case activée. Choisissez un modèle existant ou créez-en un. Pour créer un modèle, sélectionnez Créer un modèle de notification et renseignez les champs obligatoires suivants dans le volet Nouveau modèle de notification par e-mail .

12. Sélectionnez Suivant.

13. Dans la page Terminer , passez en revue vos paramètres avant d’envoyer la demande. Sélectionnez Modifier les utilisateurs ou Modifier la justification pour modifier l’une des valeurs de la demande ou sélectionnez Envoyer pour créer et envoyer la demande aux réviseurs.

Portail de conformité

1. Connectez-vous au portail de conformité à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.

2. Accédez à la solution de gestion des risques internes .

3. Accédez à Preuve d’investigation>Gestion des utilisateurs.

4. Sélectionnez l’onglet Gérer les demandes de preuves forensiques .

5. Sélectionnez Créer une demande.

6. Dans la page Utilisateurs , sélectionnez Ajouter des utilisateurs.

7. Utilisez Recherche pour localiser un utilisateur spécifique ou sélectionnez un ou plusieurs utilisateurs dans la liste. Sélectionnez Ajouter, puis Suivant.

8. Dans la page Stratégie de preuve d’investigation , sélectionnez une stratégie de preuve d’investigation pour les utilisateurs ajoutés. La stratégie que vous choisissez détermine l’étendue de l’activité à capturer pour les utilisateurs.

9. Sélectionnez Suivant.

10. Dans la page Justification , indiquez au réviseur pourquoi vous demandez que la capture soit activée pour les utilisateurs que vous avez ajoutés dans la zone de texte Justification de l’activation de la capture des preuves d’investigation . Ce champ est obligatoire. Une fois terminé, sélectionnez Suivant.

11. Dans la page notifications Email, vous pouvez utiliser un modèle de notification pour envoyer un e-mail aux utilisateurs leur informant que la capture des preuves d’investigation sera activée pour leur appareil conformément aux stratégies de votre organization. L’e-mail est envoyé aux utilisateurs uniquement si leur demande est approuvée.

    Sélectionnez la zone Envoyer une notification par e-mail aux utilisateurs approuvés case activée. Choisissez un modèle existant ou créez-en un. Pour créer un modèle, sélectionnez Créer un modèle de notification et renseignez les champs obligatoires suivants dans le volet Nouveau modèle de notification par e-mail .

12. Sélectionnez Suivant.

13. Dans la page Terminer , passez en revue vos paramètres avant d’envoyer la demande. Sélectionnez Modifier les utilisateurs ou Modifier la justification pour modifier l’une des valeurs de la demande ou sélectionnez Envoyer pour créer et envoyer la demande aux réviseurs.

Pour afficher les demandes d’approbation en attente, accédez à Gestion des> risques internesPreuves> d’investigationDemandes en attente. Ici, vous verrez les utilisateurs avec les demandes en attente, leur adresse e-mail, la date de soumission de la demande et qui a envoyé la demande d’approbation. Si aucun utilisateur n’est affiché, aucune demande d’approbation n’est en attente pour les utilisateurs.

Les utilisateurs affectés au groupe de rôles Approbateurs de gestion des risques internes peuvent sélectionner un utilisateur sous l’onglet Demande de preuve d’investigation et examiner la demande. Après avoir examiné la demande, ces utilisateurs peuvent approuver ou rejeter la demande de capture de preuves forensiques. L’approbation ou le rejet de la demande de capture supprime la demande en attente pour les utilisateurs de cette vue.

Approuver ou rejeter les demandes de capture

Une fois les demandes terminées, les utilisateurs affectés au groupe de rôles Approbateurs de gestion des risques internes reçoivent une notification par e-mail pour la demande d’approbation.

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Portail Microsoft Purview

1. Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
2. Accédez à la solution de gestion des risques internes .
3. Sélectionnez Preuve d’investigation dans le volet de navigation de gauche, puis sélectionnez Demandes en attente.
4. Sélectionnez un utilisateur à réviser.
5. Dans le volet Examiner la demande de preuve d’investigation (préversion), passez en revue la justification soumise par le demandeur. Sélectionnez Approuver ou Rejeter le cas échéant.
6. Dans la page Demande approuvée ou Demande rejetée , sélectionnez Fermer.

Portail de conformité

1. Connectez-vous au portail de conformité à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
2. Accédez à la solution de gestion des risques internes .
3. Accédez à Preuve d’investigation>Demandes en attente.
4. Sélectionnez un utilisateur à réviser.
5. Dans le volet Examiner la demande de preuve d’investigation (préversion), passez en revue la justification soumise par le demandeur. Sélectionnez Approuver ou Rejeter le cas échéant.
6. Dans la page Demande approuvée ou Demande rejetée , sélectionnez Fermer.

Révoquer les approbations de capture

Si nécessaire, vous pouvez révoquer l’approbation d’utilisateurs spécifiques et les exclure de la capture de preuves forensiques. La révocation de l’approbation ne supprime pas ou ne supprime pas les captures existantes pour ces utilisateurs. Seule la capture future de l’activité pour ces utilisateurs est désactivée.

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Portail Microsoft Purview

1. Connectez-vous au portail Microsoft Purview en tant que membre du groupe de rôles Approbateurs de gestion des risques internes .
2. Accédez à la solution de gestion des risques internes .
3. Sélectionnez Preuve d’investigation dans le volet de navigation de gauche, puis Sélectionnez Gestion des utilisateurs.
4. Sélectionnez l’onglet Utilisateurs approuvés .
5. Sélectionnez un utilisateur, puis sélectionnez Supprimer.
6. Dans la page de confirmation de suppression, sélectionnez Supprimer pour révoquer l’approbation de capture.

Portail de conformité

1. Connectez-vous au portail de conformité en tant que membre du groupe de rôles Approbateurs de gestion des risques internes .
2. Accédez à la solution de gestion des risques internes .
3. Accédez à Preuve d’investigation>Gestion des utilisateurs.
4. Sélectionnez l’onglet Utilisateurs approuvés .
5. Sélectionnez un utilisateur, puis sélectionnez Supprimer.
6. Dans la page de confirmation de suppression, sélectionnez Supprimer pour révoquer l’approbation de capture ou sélectionnez Annuler pour fermer la page de confirmation.

Création et gestion de modèles de notification

Vous pouvez créer et utiliser un modèle de notification pour envoyer un e-mail aux utilisateurs les informant que la capture de preuves forensiques sera activée pour leur appareil conformément aux stratégies de votre organization. L’e-mail est envoyé aux utilisateurs uniquement si leur demande est approuvée.

Créer un modèle de notification

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Portail Microsoft Purview

1. Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
2. Accédez à la solution de gestion des risques internes .
3. Sélectionnez Preuve d’investigation dans le volet de navigation de gauche, puis sélectionnez Modèles de notification.
4. Sélectionnez Créer un modèle de notification.
5. Dans le volet Nouveau modèle de notification par e-mail , renseignez les champs obligatoires suivants :
   • Nom du modèle
   • Envoyer à partir de
   • Sujet
   • Corps du message
6. Sélectionnez Enregistrer.

Portail de conformité

1. Connectez-vous au portail de conformité à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.
2. Accédez à la solution de gestion des risques internes .
3. Accédez à Preuves d’investigation>Modèles de notification.
4. Sélectionnez Créer un modèle de notification.
5. Dans le volet Nouveau modèle de notification par e-mail , renseignez les champs obligatoires suivants :
   • Nom du modèle
   • Envoyer à partir de
   • Sujet
   • Corps du message
6. Sélectionnez Enregistrer.

Remarque

Pour supprimer un modèle de notification existant, sélectionnez-le, puis sélectionnez Supprimer.

Affichage des clips capturés

Vous pouvez afficher et explorer les clips capturés en sélectionnant l’onglet Preuves d’investigation lorsque vous ouvrez Gestion des risques internes Microsoft Purview. Vous pouvez également sélectionner l’onglet Preuve d’investigation dans d’autres zones de la solution pour afficher la liste des clips capturés en contexte :

• Tableau de bord des alertes. Les clips accessibles à partir du tableau de bord Alertes correspondent à l’option permettant de capturer des activités utilisateur spécifiques lors de la création de la stratégie de preuve d’investigation. Les clips capturés sont définis par des indicateurs sélectionnés dans la stratégie de preuve d’investigation.
• Rapports d’activité utilisateur. Les clips accessibles à partir des rapports d’activité utilisateur correspondent à l’option permettant de capturer toute activité liée à la sécurité effectuée par les utilisateurs inclus dans les stratégies de preuve d’investigation.
• Tableau de bord des cas. Les clips accessibles à partir du tableau de bord Cas sont des alertes qui ont été remontées aux cas.

Remarque

Si vous êtes membre à la fois du groupe de rôles Enquêteurs de gestion des risques internes et du groupe de rôles Administrateurs de gestion des risques internes, un bouton Passer en revue les clips capturés s’affiche lorsque vous ouvrez Gestion des risques internes Microsoft Purview. Si vous sélectionnez le bouton Vérifier les clips capturés , il devient le bouton Ouvrir les paramètres de preuve d’investigation . L’objectif de ce bouton est d’aller et venir entre la liste des clips capturés et les paramètres si vous avez les deux rôles. En savoir plus sur les groupes de rôles

Lorsque vous sélectionnez l’onglet Preuve d’investigation, les clips capturés et les informations associées s’affichent dans une liste. Si vous sélectionnez un clip capturé dans la liste, un lecteur vidéo apparaît au centre de l’écran et une transcription des activités et des événements du clip s’affiche à droite du lecteur vidéo.

Chaque clip capturé inclut les informations suivantes :

• Date/heure (UTC) : date, heure (UTC) et durée de la capture. La durée de la capture est la durée totale de la capture. La longueur réelle de la capture peut être plus courte, car la gestion des risques internes élimine automatiquement les images identiques.
• Appareil : nom de l’appareil dans Windows 10/11.
• Activités : type d’activité de gestion des risques internes inclus dans la capture. Ces activités sont basées sur des indicateurs globaux et de stratégie attribués à la stratégie associée.
• Utilisateur : nom de l’utilisateur.
• URL (le cas échéant) : URL à laquelle l’utilisateur accédait lorsque l’activité a eu lieu.
• Application (le cas échéant) : application à laquelle l’utilisateur accédait lorsque l’activité a eu lieu.
• Titre de la fenêtre active : titre de la fenêtre à laquelle l’utilisateur accédait lorsque l’activité a eu lieu.

Pour afficher un clip capturé :

1. Si nécessaire, configurez les filtres en haut de la liste.

2. Sélectionnez un clip dans la liste.

3. À l’aide des contrôles du lecteur vidéo, sélectionnez le contrôle Lire pour passer en revue l’intégralité du clip du début à la fin.

4. Pour limiter la révision à une activité ou un événement spécifique dans le clip, sélectionnez l’activité ou l’événement dans la transcription. Vous pouvez également utiliser la zone de recherche au-dessus de la transcription pour rechercher des activités ou des événements spécifiques.

   Remarque

   Un triangle rouge dans la transcription désigne une activité.

Filtrage de la liste des clips capturés

Vous pouvez utiliser les filtres au-dessus de la liste des clips capturés pour filtrer des activités et des informations spécifiques. Chaque filtre prend en charge jusqu’à 10 ID uniques. Par exemple, vous pouvez filtrer jusqu’à 10 utilisateurs à la fois. Le tableau suivant décrit les différents filtres.

Nom du filtre	Description
Nom d’utilisateur	Filtrez sur n’importe quel nom d’utilisateur.
Activité	Sélectionnez une activité spécifique sur laquelle filtrer, telle que l’impression de fichiers ou le mot de passe utilisé pour la connexion à l’appareil a été réutilisé.
Nom du périphérique	Filtrez sur n’importe quel nom d’appareil.
URL	Filtrez un nom de domaine ou recherchez n’importe quel mot clé après le filtrage d’un nom de domaine. Exemple : en entrant « SharePoint » comme mot clé retourne toute URL qui inclut « SharePoint » n’importe où dans l’URL.
Application	Filtrez par nom d’application. Vous pouvez sélectionner Contient l’un de ou Contient tout avec ce filtre. Exemple : si vous sélectionnez Contient l’un des éléments et que vous entrez « Contoso.com,Contoso2.com », vous pouvez avoir un clip qui capture Contoso.com et un autre qui capture Contoso2.com. Si vous sélectionnez Contient tout et que vous entrez « Contoso.com,Contoso2.com », toutes les captures doivent contenir les deux domaines.
Titre de la fenêtre active	Filtrez le titre de la fenêtre active. Vous pouvez sélectionner Contient l’un de ou Contient tout pour filtrer de la même façon que le filtre Application .

Suppression de clips

Les utilisateurs affectés au groupe de rôles Enquêteurs de gestion des risques internes peuvent supprimer des clips individuels de la liste des clips capturés. Pour ce faire :

1. Sélectionnez la zone case activée en regard de la capture.
2. Sélectionnez le bouton Supprimer (Corbeille).

Les utilisateurs affectés au groupe de rôles Administrateurs de gestion des risques internes peuvent effectuer des suppressions en bloc via les paramètres.

Effectuer une suppression en bloc

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Portail Microsoft Purview

1. Connectez-vous au portail Microsoft Purview en tant que membre du groupe de rôles Administrateurs de gestion des risques internes .
2. Accédez à la solution de gestion des risques internes .
3. Sélectionnez Preuve d’investigation dans le volet de navigation gauche, puis sélectionnez Paramètres de preuve d’investigation.
4. Assurez-vous que l’option Autoriser la suppression des données utilisateur d’investigation par un administrateur ou un enquêteur est définie sur Activé.
5. Sous Supprimer les données d’un utilisateur , choisissez Sélectionner un utilisateur, puis sélectionnez l’utilisateur pour lequel vous souhaitez supprimer des clips.

Portail de conformité

1. Connectez-vous au portail de conformité Microsoft Purview en tant que membre du groupe de rôles Administrateurs de gestion des risques internes.
2. Accédez à la solution de gestion des risques internes .
3. Accédez à Preuves forensiques>Paramètres de preuve d’investigation.
4. Assurez-vous que l’option Autoriser la suppression des données utilisateur d’investigation par un administrateur ou un enquêteur est définie sur Activé.
5. Sous Supprimer les données d’un utilisateur , choisissez Sélectionner un utilisateur, puis sélectionnez l’utilisateur pour lequel vous souhaitez supprimer des clips.

Importante

Les clips de preuve d’investigation sont supprimés 120 jours après leur capture. Vous pouvez exporter ou transférer des clips de preuve d’investigation avant qu’ils ne soient supprimés.

Tableau de bord des alertes

Pour les alertes générées par les stratégies, vous pouvez consulter les captures de preuves forensiques sous l’onglet Preuves judiciaires du tableau de bord Alertes . Si une ou plusieurs captures sont disponibles pour l’alerte, vous verrez également un lien Afficher la notification des preuves forensiques dans l’activité qui génère une section d’en-tête d’alerte. Vous pouvez sélectionner le lien de notification ou l’onglet Preuve d’investigation pour passer en revue une liste de captures d’activité.

L’examen d’une alerte pour une activité potentiellement risquée qui peut contenir des captures de preuves forensiques est essentiellement identique à l’examen d’une alerte sans captures de preuves forensiques. La différence significative est l’inclusion de toutes les captures applicables. L’onglet Preuves judiciaires permet d’accéder à toutes les captures disponibles associées à l’alerte.

Tableau de bord des cas

Si les alertes sont remontées vers des cas, toutes les captures de preuves judiciaires associées sont incluses dans le cadre de l’affaire. L’examen des captures de preuves forensiques pour les cas suit le même processus que l’examen des captures pour les alertes.

Rapports d'activité des utilisateurs

Les rapports d’activité des utilisateurs vous permettent d’examiner les activités d’utilisateurs spécifiques pendant une période définie sans avoir à les affecter temporairement ou explicitement à une stratégie de gestion des risques internes. Si ces activités utilisateur incluent des activités prises en charge par la capture de preuves forensiques, les clips sont inclus dans l’activité de l’utilisateur.

Si vous avez configuré des preuves forensiques pour capturer toutes les activités des utilisateurs liées à la sécurité, qu’elles soient incluses ou non dans une stratégie de preuve d’investigation, pour passer en revue ces captures :

1. Sélectionnez Vue d’ensemble de la gestion des> risques internes.
2. En bas de l’écran Vue d’ensemble , sous Examiner l’activité des utilisateurs, sélectionnez Gérer les rapports.
3. Sélectionnez un utilisateur spécifique, puis sélectionnez l’onglet Preuves judiciaires .
4. Reportez-vous aux instructions ci-dessus.

Rapport d’intégrité de l’appareil (préversion)

Une fois que les appareils sont configurés pour prendre en charge les preuves d’investigation, vous pouvez consulter la status d’intégrité du client Microsoft Purview pour tous les appareils de votre organization en accédant à Gestion des> risques internesPreuve d’intégrité> del’appareil.

Pour obtenir la liste des exigences minimales en matière d’appareil et de configuration, consultez En savoir plus sur les preuves d’investigation. Pour intégrer des appareils pris en charge, effectuez les étapes décrites dans l’article Vue d’ensemble Intégrer Windows 10 et Windows 11 appareils dans Microsoft 365.

Le rapport d’intégrité de l’appareil vous permet d’afficher la status et l’intégrité de tous les appareils sur lesquels l’agent de preuve d’investigation est installé. Chaque widget de rapport sur le rapport affiche des informations pour les dernières 24 heures.

• Appareils en ligne : nombre total d’appareils actuellement en ligne.
• Appareils hors connexion : nombre total d’appareils actuellement hors connexion.
• Appareils avec avertissements : nombre total d’appareils avec un avertissement.
• Appareils présentant des erreurs : nombre total d’appareils présentant une erreur.

La file d’attente d’intégrité de l’appareil répertorie tous les appareils configurés pour la preuve d’investigation dans votre organization. En outre, le rapport répertorie les status des attributs d’appareil suivants :

• Nom de l’appareil : nom de l’appareil, défini par l’attribut ComputerName de l’appareil.
• Status de l’appareil : status du client Microsoft Purview sur l’appareil. Les valeurs d’état sont les suivantes :
  • Sain : le client sur l’appareil fonctionne correctement et les fonctionnalités de capture des preuves d’investigation sont entièrement prises en charge.
  • Avertissement : le client sur l’appareil dispose d’un avertissement et les fonctionnalités de capture des preuves forensiques peuvent ne pas être entièrement prises en charge.
  • Erreur : le client sur l’appareil présente une erreur et les fonctionnalités de capture des preuves d’investigation sont désactivées ou ne sont pas entièrement prises en charge.
• Détails de l’état : plus d’informations sur le status de l’appareil.
• Dernière synchronisation (UTC) : date et heure de la dernière synchronisation status pour l’appareil.
• Nom d’utilisateur : nom d’utilisateur de l’utilisateur connecté à l’appareil lorsque la synchronisation status a été effectuée.
• Version de Windows : version de Microsoft Windows installée sur l’appareil.
• Version du client : version du client Microsoft Purview installée sur l’appareil.

L’status d’intégrité de l’appareil vous donne des informations sur les problèmes potentiels liés à vos appareils et au client Microsoft Purview. La colonne Status de l’appareil de la page Intégrité de l’appareil peut vous avertir des problèmes d’appareil susceptibles d’empêcher la capture de l’activité des utilisateurs ou de la raison pour laquelle le volume de capture de preuves d’investigation est inhabituel. Le status d’intégrité de l’appareil peut également confirmer que les appareils inclus dans la capture des preuves forensiques sont sains et ne nécessitent pas d’attention ou de modification de la configuration. Le tableau suivant répertorie les messages de détails status potentiels et les actions recommandées que vous pouvez effectuer pour résoudre les avertissements et les erreurs :

Détails de l’état	État	Action suggérée
Une erreur serveur interne s'est produite. Par conséquent, les données de capture peuvent être manquantes.	Erreur	Créer un ticket de support avec Microsoft pour une investigation plus approfondie
La bande passante de chargement a atteint 90 % de la limite configurée sur cet appareil. Les captures peuvent bientôt être remplacées.	Avertissement	Augmentez la limite de bande passante de chargement sur la page paramètres de preuve d’investigation .
La limite de bande passante de chargement configurée a été atteinte sur cet appareil. Plus aucune capture ne sera chargée pour la journée.	Erreur	Augmentez la limite de bande passante de chargement sur la page paramètres de preuve d’investigation .
Le stockage hors connexion a atteint 90 % de la limite configurée sur cet appareil. Les captures peuvent bientôt être remplacées.	Avertissement	Augmentez la limite de cache de capture hors connexion dans la page paramètres des preuves d’investigation .
La limite de stockage hors connexion configurée a été atteinte sur cet appareil. Par conséquent, les captures hors connexion sont remplacées.	Erreur	Augmentez la limite de cache de capture hors connexion dans la page paramètres des preuves d’investigation .
L’utilisation du processeur sur l’appareil a dépassé le seuil maximal.	Erreur	Le processus de capture a été arrêté et redémarrera dans quelques minutes.
L’utilisation de la mémoire sur l’appareil a dépassé le seuil maximal.	Erreur	Le processus de capture a été arrêté et redémarrera dans quelques minutes.
L’utilisation du GPU sur l’appareil a dépassé le seuil maximal.	Erreur	Le processus de capture a été arrêté et redémarrera dans quelques minutes.
Le client Microsoft Purview installé sur l’appareil ne peut pas se synchroniser avec la stratégie de preuve d’investigation.	Avertissement	Se connecter au réseau & réinstaller le client
Le client Microsoft Purview installé sur l’appareil n’a pas été synchronisé avec la stratégie de preuve d’investigation depuis plus de 24 heures.	Erreur	Se connecter au réseau & réinstaller le client
Le client Microsoft Purview ne peut pas capturer l’activité, car aucun carte graphique n’est détecté sur cet appareil.	Erreur	Ajoutez un carte graphique ou remplacez l’appareil par un appareil doté d’un carte graphique
Le client Microsoft Purview ne peut pas capturer l’activité, car aucun moniteur d’affichage n’est détecté sur cet appareil.	Erreur	Ajouter des moniteurs d’affichage pour cet appareil
Le client Microsoft Purview ne peut pas capturer l’activité, car les moniteurs d’affichage sur cet appareil ont été désactivés ou déconnectés.	Erreur	Connecter/activer les moniteurs d’affichage de l’appareil
L’appareil ne peut pas accéder au répertoire qui stocke les captures de preuves d’investigation.	Erreur	Réinstaller le client sur cet appareil
Échec de l’initialisation de l’encodeur.	Erreur	Réinstallez le client sur cet appareil.

Contactez Support Microsoft si les actions recommandées ne résolvent pas les problèmes liés au client.

Capacité et facturation

Lorsque la preuve d’investigation est configurée, vous pouvez choisir d’acheter le module complémentaire de preuve forensique pour la gestion des risques internes pour vos clips capturés. Le module complémentaire est disponible pour les organisations disposant de l’une des licences suivantes : Microsoft 365 E5, Microsoft 365 E5 Conformité ou gestion des risques internes Microsoft 365 E5.

Les organisations peuvent acheter le module complémentaire en unités de 100 Go par mois. La capacité achetée s’applique à l’ingestion de preuves d’investigation à compter de la date d’achat et est réinitialisée le premier du mois. La capacité inutilisée ne se reporte pas. Nous vous recommandons d’acheter la licence au début du mois pour optimiser la valeur de la licence. 100 Go équivaut à environ 1 100 heures de captures de preuves forensiques par locataire, à une résolution vidéo de 1 080p. Vous pouvez télécharger la calculatrice de capacité pour estimer le nombre de Go nécessaires par mois.

Une fois la preuve légale ingérée, elle est conservée pendant 120 jours. Vous pouvez exporter des preuves d’investigation si nécessaire après la période de rétention de 120 jours.

Plans de paiement

Deux plans de paiement sont disponibles lors de l’achat du module complémentaire via le Centre d'administration Microsoft 365 :

• Paiement annuel (disponible dans tous les canaux). L’option d’engagement annuel vous permet d’acheter le nombre de licences que vous spécifiez chaque mois pendant 12 mois. Il convient aux clients qui souhaitent s’assurer qu’ils disposent de la capacité disponible chaque mois pour ingérer des preuves d’investigation sans interruption. Ce plan de paiement réapprovisionne automatiquement le nombre de licences achetées chaque mois. La capacité achetée s’applique à l’ingestion de preuves d’investigation à compter de la date d’achat et est réinitialisée le premier du mois. La capacité inutilisée ne se reporte pas. Les clients peuvent choisir d’être facturés une seule fois ou de fractionner la facture en 12 paiements mensuels.
• Paiement mensuel (disponible uniquement sur le web direct). Si vous ne souhaitez pas prendre d’engagement annuel, vous pouvez acheter le nombre de licences nécessaires chaque mois. La capacité achetée s’applique à l’ingestion de preuves d’investigation à compter de la date d’achat et est réinitialisée le premier du mois. La capacité inutilisée ne se reporte pas.

Puis-je essayer la fonctionnalité d’investigation avant de l’acheter ?

Chaque locataire disposant d’une licence Microsoft 365 E5, Microsoft 365 E5 Conformité ou Microsoft 365 E5 Insider Risk Management peut s’inscrire à une licence d’essai de 20 Go pour tester la fonctionnalité de preuve d’investigation.

Remarque

La licence d’évaluation de 20 Go est disponible uniquement pour les clients sur la plateforme de commerce héritée.

Les 20 Go de capacité disponibles via la licence d’évaluation n’ont pas de limite de temps et sont disponibles jusqu’à ce que vous utilisiez les 20 Go complets. Si vous n’utilisez pas les 20 Go complets en un an, vous pouvez le réactiver. Si vous achetez une licence d’extension de preuve d’investigation avant d’utiliser la capacité d’évaluation, vous pourrez utiliser la capacité d’évaluation restante jusqu’à ce qu’elle soit épuisée avant que le système commence à mesurer la capacité achetée.

Si vous utilisez jusqu’à 20 Go de capacité d’essai et que vous n’achetez pas par la suite le module complémentaire forensique pour Insider Risk Management, vous serez en mesure d’afficher les clips que vous avez déjà ingérés, mais que vous ne pourrez ingérer aucun nouveau clip.

Inscrivez-vous à la licence d’évaluation de 20 Go

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Portail Microsoft Purview

1. Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.

2. Accédez à la solution de gestion des risques internes .

3. Sélectionnez Preuve d’investigation dans le volet de navigation gauche, puis sélectionnez Capacité et facturation.

   Remarque

   Vous pouvez également vous inscrire à la licence d’évaluation à partir de l’ongletTableau de bord despreuves> judiciaires de gestion des> risques internes.

4. Sélectionnez Revendiquer 20 Go de capacité.

5. Suivez les invites dans le Centre d'administration Microsoft 365.

Portail de conformité

1. Connectez-vous au portail de conformité à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.

2. Accédez à la solution de gestion des risques internes .

3. Accédez à Preuve d’investigation>Capacité et facturation.

   Remarque

   Vous pouvez également vous inscrire à la licence d’évaluation à partir de l’ongletTableau de bord despreuves> judiciaires de gestion des> risques internes.

4. Sélectionnez Revendiquer 20 Go de capacité.

5. Suivez les invites dans le Centre d'administration Microsoft 365.

Acheter le module complémentaire d’investigation pour la gestion des risques internes

1. Accédez à Centre d'administration Microsoft 365>Marché tous>les produits.
2. Recherche pour les « preuves forensiques ».

Analyser votre capacité

Après l’achat de la capacité (ou l’inscription à la licence d’évaluation de 20 Go), vous pouvez utiliser la page Capacité pour analyser la capacité que vous avez utilisée et la quantité de capacité restante. Vous pouvez également analyser la quantité de capacité que vous utilisez chaque mois en sélectionnant dans la liste Utilisation de la capacité en Go ou en sélectionnant Afficher toute l’utilisation de la capacité.

Remarque

La plateforme de commerce dispose d’une plateforme de facturation héritée et d’une plateforme de facturation moderne. La facturation de gestion des risques internes est conçue pour fonctionner avec la plateforme de facturation moderne. La capacité achetée est appliquée sur l’ingestion de preuves d’investigation sur une base mensuelle, à compter de la date d’achat et la réinitialisation du premier de chaque mois. Toute capacité achetée peut être entièrement utilisée au cours de ce mois et sera réinitialisée le premier du mois suivant. Vous pouvez continuer à utiliser la capacité jusqu’à la date d’expiration de la licence.