Configurare le prove forensi di Microsoft Purview per Windows 365

Le prove forensi di Microsoft Purview consentono di ottenere informazioni migliori sulle attività utente potenzialmente rischiose correlate alla sicurezza. Con trigger di eventi personalizzabili e controlli predefiniti per la protezione della privacy degli utenti, le prove forensi consentono di personalizzare l'acquisizione di attività visive tra dispositivi. Le prove forensi consentono all'organizzazione di mitigare, comprendere e rispondere meglio ai potenziali rischi di dati, ad esempio l'esfiltrazione non autorizzata di dati sensibili.

Si impostano i criteri corretti per l'organizzazione, ad esempio:

• Quali eventi rischiosi sono la massima priorità per l'acquisizione di prove forensi.
• Quali dati sono più sensibili.
• Indica se gli utenti ricevono una notifica quando viene attivata l'acquisizione forense.

L'acquisizione di prove forensi è disattivata per impostazione predefinita e la creazione di criteri richiede la doppia autorizzazione.

Requisiti

Se i requisiti seguenti non vengono soddisfatti, è possibile che si verifichino problemi del client Microsoft Purview e la qualità delle acquisizioni forensi potrebbe non essere affidabile.

Per configurare le prove forensi di Microsoft Purview, l'ambiente deve soddisfare i requisiti seguenti:

Requisiti di configurazione del dispositivo

• Tipo di immagine della raccolta
  • Windows 11 Enterprise + Microsoft 365 Apps 23H2 o versione successiva
• Opzioni di licenza
  • Microsoft 365 E5
  • Conformità Microsoft 365 E5
  • Gestione dei rischi Insider Microsoft 365 E5
• Tipo di join e rete
  • Microsoft Entra è stato aggiunto alla rete ospitata da Microsoft e alle connessioni di rete di Azure
  • Microsoft Entra ibrido aggiunto alla connessione di rete di Azure
• Microsoft Defender Antivirus in Windows versione 4.18.2110 o successiva
• Microsoft 365 Apps versione 16.0.14701.0 o successiva
• Il dispositivo deve essere assegnato a un utente primario
• Dimensioni del PC cloud
  • Per prestazioni ottimali, 8vCPU o superiore (per altre informazioni, vedere Consigli sulle dimensioni del PC cloud)

Requisiti del ruolo

• L'account deve avere almeno uno di questi ruoli:
  • Ruolo Amministratore conformità ID Microsoft Entra
  • Ruolo amministratore globale di Microsoft Entra ID
  • Gruppo di ruoli Microsoft Purview Organization Management
  • Gruppo di ruoli dell’Amministratore di conformità di Microsoft Purview
  • Gruppo di ruoli Gestione rischi Insider
  • Gruppo di ruoli Insider Risk Management Admins

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Per altre informazioni sui ruoli di gestione dei rischi Insider, vedere Abilitare le autorizzazioni per la gestione dei rischi Insider.

Attivare l'onboarding dei dispositivi

1. Aprire il portale di Microsoft Purview. Scegliere Impostazioni>Onboarding dispositivi>Onboarding>dispositivi.

2. Selezionare il metodo di distribuzione da usare per distribuire il pacchetto di configurazione:

   • Intune: usare gli strumenti di gestione dei dispositivi mobili o Microsoft Intune.
   • Script locale: usare uno script locale.

Distribuire il pacchetto di configurazione usando Intune

1. Accedere all'interfaccia > di amministrazione di Microsoft IntuneSicurezza degli endpoint>Microsoft Defender per endpoint>Aprire il Centro sicurezza di Microsoft Defender.

2. Impostare la connessione di Microsoft Intune su Sì e quindi salvare le preferenze.

3. Tornare a Microsoft Defender per endpoint e impostare le opzioni seguenti:

   • Consenti a Microsoft for Endpoint di applicare le configurazioni di Endpoint Security: On
   • Connettere dispositivi Windows versione 10.0.15063 e successive a Microsoft Defender per endpoint: Attivato

4. Selezionare Salva.

5. Selezionare Endpoint security>Endpoint detection and response (Rilevamento endpoint e risposta>) Create policy (Crea criteri).

6. Selezionare le opzioni seguenti:

   • Piattaforma: Windows 10, Windows 11 e Windows Server
   • Tipo di profilo: rilevamento e risposta degli endpoint

7. Selezionare Crea.

8. Specificare un nome e una descrizione>avanti.

9. Nella pagina Impostazioni di configurazione , per Tipo di pacchetto di configurazione client di Microsoft Defender per Endpoint selezionare Auto from connector Next (Auto from connector>Next).

10. Nella pagina Tag di ambito selezionare Avanti.

11. Nella pagina Assegnazioni selezionare il gruppo che include l'utente primario di Cloud PC Next.On the Assignments page, select the group that includes the primary user of the Cloud PC > Next.

12. Al termine, nella pagina Rivedi e crea selezionare Crea.

Dopo aver creato i criteri, un utente deve accedere al dispositivo prima che venga applicato il criterio e il dispositivo venga caricato in Microsoft Defender per endpoint.

Usare uno script locale per distribuire il pacchetto di configurazione

Seguire le istruzioni in Eseguire l'onboarding di dispositivi Windows 10 e Windows 11 usando uno script locale. Questo può essere utile quando si testa un subset di PC cloud prima di procedere all'onboarding di tutti i PC cloud.

Visualizzare l'elenco dei dispositivi di onboarding

1. Aprire leimpostazionidel portale >di Microsoft PurviewDispositivi >di onboarding del> dispositivo.

2. Controllare le colonne seguenti:

   • Stato configurazione: indica se il dispositivo è configurato correttamente.
   • Stato di sincronizzazione dei criteri: indica se il dispositivo è stato aggiornato alla versione più recente dei criteri. I dispositivi devono essere attivi per eseguire l'aggiornamento ai criteri più recenti.

Passaggi successivi

Per altre informazioni su Microsoft Purview, vedere Informazioni su Microsoft Purview.