Configurer la preuve d’investigation Microsoft Purview pour Windows 365

Les preuves d’investigation Microsoft Purview vous aident à obtenir de meilleures informations sur les activités potentiellement risquées des utilisateurs liées à la sécurité. Avec des déclencheurs d’événements personnalisables et des contrôles intégrés de protection de la confidentialité des utilisateurs, les preuves forensiques vous permettent de personnaliser la capture d’activité visuelle sur les appareils. Les preuves forensiques aident votre organisation à mieux atténuer, comprendre et répondre aux risques potentiels liés aux données, comme l’exfiltration de données sensibles non autorisées.

Vous définissez les stratégies appropriées pour votre organisation, comme :

• Quels sont les événements à risque qui constituent la priorité la plus élevée pour capturer des preuves d’investigation.
• Quelles sont les données les plus sensibles.
• Indique si les utilisateurs sont avertis quand la capture d’investigation est activée.

La capture des preuves forensiques est désactivée par défaut et la création de stratégie nécessite une double autorisation.

Configuration requise

Si les conditions suivantes ne sont pas remplies, vous risquez de rencontrer des problèmes de client Microsoft Purview et la qualité des captures d’investigation peut ne pas être fiable.

Pour configurer les preuves d’investigation Microsoft Purview, votre environnement doit répondre aux exigences suivantes :

Configuration requise de l’appareil

• Type d’image de la galerie
  • Windows 11 Entreprise + Microsoft 365 Apps 23H2 ou version ultérieure
• Options de licence
  • Microsoft 365 E5
  • Microsoft 365 E5 Conformité
  • Microsoft 365 E5 : Gestion des risques internes
• Type de jointure et réseau
  • Microsoft Entra joint à un réseau hébergé par Microsoft et à des connexions réseau Azure
  • Microsoft Entra hybride joint à une connexion réseau Azure
• Antivirus Microsoft Defender dans Windows version 4.18.2110 ou ultérieure
• Microsoft 365 Apps version 16.0.14701.0 ou ultérieure
• L’appareil doit être affecté à un utilisateur principal
• Taille du PC cloud
  • Pour des performances optimales, 8 processeurs virtuels ou mieux (pour plus d’informations, consultez Recommandations sur la taille des PC cloud)

Conditions requises pour les rôles

• Le compte doit avoir au moins l’un des rôles suivants :
  • Rôle Administrateur de conformité des ID Microsoft Entra
  • Rôle Administrateur général d’ID Microsoft Entra
  • Groupe de rôles Gestion de l’organisation Microsoft Purview
  • Groupe de rôles d’Administrateur de conformité Microsoft Purview
  • Groupe de rôles Gestion des risques internes
  • Groupe de rôles Administrateurs de gestion des risques internes

Importante

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Pour plus d’informations sur les rôles de gestion des risques internes, consultez Activer les autorisations pour la gestion des risques internes.

Activer l’intégration des appareils

1. Ouvrez le portail Microsoft Purview. Choisissez Paramètres>Intégration de l’appareil>Appareils>Intégration.

2. Sélectionnez la méthode de déploiement à utiliser pour déployer le package de configuration :

   • Intune : utilisez les outils de gestion des appareils mobiles ou Microsoft Intune.
   • Script local : utilisez un script local.

Déployer le package de configuration à l’aide d’Intune

1. Connectez-vous auCentre >d’administration Microsoft IntuneSécurité > des points de terminaisonMicrosoft Defender pourpoint de terminaison >Ouvrez le Centre de sécurité Microsoft Defender.

2. Définissez Connexion Microsoft Intunesur Activé , puis Enregistrer les préférences.

3. Revenez à Microsoft Defender pour point de terminaison et définissez les options suivantes :

   • Autoriser Microsoft pour point de terminaison à appliquer les configurations de sécurité des points de terminaison : Activé
   • Connecter des appareils Windows version 10.0.15063 et ultérieures à Microsoft Defender pour point de terminaison : Activé

4. Sélectionnez Enregistrer.

5. Sélectionnez Sécurité> dupoint de terminaison Détection du point de terminaison et réponse>Créer une stratégie.

6. Sélectionnez les options suivantes :

   • Plateforme : Windows 10, Windows 11 et Windows Server
   • Type de profil : Détection et réponse de point de terminaison

7. Sélectionnez Créer.

8. Fournissez un nom et une description>Suivant.

9. Dans la page Paramètres de configuration , pour Type de package de configuration client Microsoft Defender pour point de terminaison, sélectionnez Automatique dans connecteur>Suivant.

10. Dans la page Balises d’étendue, sélectionnez Suivant.

11. Dans la page Affectations, sélectionnez le groupe qui inclut l’utilisateur principal du PC > cloud suivant.

12. Dans la page Vérifier et créer , lorsque vous avez terminé, sélectionnez Créer.

Après avoir créé la stratégie, un utilisateur doit se connecter à son appareil avant que la stratégie ne soit appliquée et que l’appareil soit intégré à Microsoft Defender pour point de terminaison.

Utiliser un script local pour déployer le package de configuration

Suivez les instructions fournies dans Intégrer des appareils Windows 10 et Windows 11 à l’aide d’un script local. Cela peut être utile lors du test d’un sous-ensemble de PC cloud avant de passer à l’intégration de tous vos PC cloud.

Afficher la liste des appareils d’intégration

1. Ouvrez le portail> Microsoft PurviewParamètres Appareils>d’intégration de l’appareil>.

2. Vérifiez les colonnes suivantes :

   • État de la configuration : indique si l’appareil est configuré correctement.
   • État de synchronisation de la stratégie : indique si l’appareil a été mis à jour vers la dernière version de stratégie. Les appareils doivent être activés pour être mis à jour vers la stratégie la plus récente.

Étapes suivantes

Pour plus d’informations sur Microsoft Purview, consultez En savoir plus sur Microsoft Purview.