Placer en revue un PC Windows 365 Entreprise Cloud
Dans le cadre d’une demande d’investigation numérique, vous pouvez être invité à fournir un instantané d’un PC cloud aux enquêteurs internes ou externes. Le fait de placer un PC cloud sous révision permet d’enregistrer un instantané du PC cloud dans votre compte de stockage Azure. À partir de là, vous pouvez fournir la capture instantané à l’enquêteur.
Conditions requises
Pour passer en revue un PC cloud, vous devez répondre aux exigences suivantes :
- Une licence Windows 365 Entreprise.
- Un compte stockage Azure dans le même locataire, configuré conformément aux exigences ci-dessous.
Configurer votre compte de stockage Azure
Pour passer en revue un PC cloud, vous devez d’abord disposer d’un compte de stockage Azure dans le même locataire que le PC cloud. Pour plus d’informations pour vous aider à déterminer le type de compte qui répond à vos besoins, consultez la Vue d’ensemble du compte de stockage. Nous vous recommandons de créer et de gérer un compte de stockage dédié avec des contrôles d’accès dédiés pour l’audit des PC cloud. Dans le cadre du processus de révision des PC cloud, Windows 365 nécessite les rôles Contributeur de compte de stockage et Contributeur aux données Blob du stockage pour votre compte de stockage Azure.
Créez un compte de stockage dans l’abonnement Azure de votre choix. Pour créer le compte, vous pouvez utiliser PowerShell, Azure CLI, le modèle Azure Resource Manager ou le portail Azure.
Configurez le compte de stockage avec les paramètres suivants :
- Détails de l’instance
- Région : même région que CloudPC suggérée pour les performances. Il n’existe aucune restriction sur la région.
- Performances : Premium
- Type de compte Premium : Objets blob de pages
- Sécurité
- Version TLS minimale : Version 1.2
- Mise en réseau
- Accès réseau : activer l’accès public à partir de tous les réseaux
NON PRIS EN CHARGE : définition d’une étendue Autoriser pour les opérations de copie. Elle doit être (null), la valeur par défaut, pour permettre la copie de n’importe quel compte de stockage vers le compte de destination.
- Détails de l’instance
Attribuez un rôle Azure pour l’accès aux données d’objet blob. Les autorisations minimales requises pour que le service Windows 365 place un PC cloud sous examen sont Contributeur de compte de stockage et Contributeur aux données Blob du stockage.
Placer un PC cloud en revue
Après avoir configuré un compte de stockage Azure avec des autorisations comme expliqué ci-dessus, vous pouvez passer en revue un PC cloud en procédant comme suit :
Connectez-vous au centre d’administration Microsoft Intune et sélectionnez Appareils>Tous les appareils choisissent> un appareil.
Sélectionnez les points de suspension (...) >Placez le PC cloud sous examen.
Sélectionnez l’abonnement Azure et le compte de stockage Azure auxquels le service Windows 365 a reçu les autorisations Contributeur de compte de stockage et Contributeur aux données Blob du stockage.
Sous Accès pendant la révision, si vous choisissez
- Bloquer l’accès, le PC cloud est immédiatement éteint afin que l’utilisateur ne puisse pas accéder au PC cloud, puis le instantané est créé. Cela est utile dans les cas où vous pouvez contenir une menace de sécurité en arrêtant le PC cloud, puis en effectuant une analyse de l’instantané ultérieurement dans un environnement isolé.
- Autoriser l’accès. L’utilisateur du PC cloud peut continuer à utiliser le PC cloud même lorsque vous créez un instantané dans le compte de stockage.
Sélectionnez emplacement en cours d’examen. En fonction de la taille du disque du PC cloud et de la région de destination du compte de stockage, l’enregistrement de chaque instantané dans le compte de stockage peut varier de quelques minutes à quelques heures.
Pour rendre la instantané inviolable, vous devez créer un hachage de fichier du instantané lorsqu’il a été enregistré dans le compte de stockage. L’une des façons de créer le hachage de fichier consiste à utiliser l’applet de commande Get-FileHash . Pour de meilleures performances, l’applet de commande Get-FileHash doit être exécutée sur une copie du fichier téléchargé ou sur l’instantané dans le compte de stockage Azure à partir d’une ressource située dans la même région Azure.
Supprimer un PC cloud de la révision
Connectez-vous au centre d’administration Microsoft Intune et sélectionnez Appareils>Tous les appareils choisissent> un appareil >...>Supprimer de la révision.
Actions en bloc
Vous pouvez également utiliser les actions d’appareil en bloc d’Intune pour passer en revue plusieurs PC cloud en même temps. Pour plus d’informations, consultez Utiliser des actions d’appareil en bloc.
Prochaines étapes
En savoir plus sur la criminalistique numérique et les PC cloud.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour