Inserire un PC cloud Windows 365 Enterprise sotto esame

Articolo
11/05/2024

Come parte di una richiesta forense digitale, è possibile che venga richiesto di fornire uno snapshot di un PC cloud a investigatori interni o esterni. L'inserimento di un PC cloud sotto revisione consente di salvare uno snapshot del PC cloud nell'account di archiviazione di Azure. Da qui è possibile fornire lo snapshot all'investigatore.

Nota

È possibile esaminare contemporaneamente fino a 10 PC cloud. Quando più di 10 vengono sottoposti a revisione contemporaneamente, le richieste vengono accodate per l'elaborazione, ma la possibilità di timeout aumenta se le richieste rimangono troppo lunghe nella coda. Se si verificano timeout, è consigliabile sfalsare le richieste per consentire un tempo sufficiente per il completamento delle richieste precedenti.

Requisiti

Per mettere in revisione un PC cloud, è necessario soddisfare i requisiti seguenti:

Una licenza Windows 365 Enterprise.
Un account di archiviazione di Azure nello stesso tenant, configurato in base ai requisiti seguenti.

Configurare l'account di archiviazione di Azure

Per mettere in revisione un PC cloud, è prima necessario avere un account di archiviazione di Azure nello stesso tenant del PC cloud. Per altre informazioni che consentono di decidere quale tipo di account soddisfa le proprie esigenze, vedere Panoramica dell'account di archiviazione. È consigliabile creare e gestire un account di archiviazione dedicato con controlli di accesso dedicati per il controllo dei PC cloud. Come parte del processo di revisione dei PC cloud, Windows 365 richiede i ruoli Collaboratore account di archiviazione e Collaboratore dati BLOB di archiviazione per l'account di archiviazione di Azure.

Creare un account di archiviazione nella sottoscrizione di Azure di propria scelta. Per creare l'account, è possibile usare PowerShell, l'interfaccia della riga di comando di Azure, il modello di Resource Manager di Azure o portale di Azure.
Configurare l'account di archiviazione con le impostazioni seguenti;
- Dettagli dell'istanza
  - Area: stessa area di CloudPC suggerita per le prestazioni. Non esiste alcuna restrizione per l'area.
  - Prestazioni: Premium
  - Tipo di account Premium: BLOB di pagine
- Sicurezza
  - Versione minima di TLS: versione 1.2
  - Verificare che l'opzione Consenti accesso anonimo al BLOB sia disabilitata (impostazione predefinita)
- Rete
  - Accesso alla rete: abilitare l'accesso pubblico da tutte le reti
NON SUPPORTATO: impostazione di un ambito Consenti per le operazioni di copia. Deve essere (Null), il valore predefinito, per consentire la copia da qualsiasi account di archiviazione all'account di destinazione.
Assegnare un ruolo di Azure per l'accesso ai dati BLOB. Le autorizzazioni minime necessarie per il servizio Windows 365 per la revisione di un PC cloud sono Collaboratore account di archiviazione e Collaboratore ai dati del BLOB di archiviazione.

Esaminare un CLOUD PC

Dopo aver configurato un account di archiviazione di Azure con le autorizzazioni descritte in precedenza, è possibile esaminare un PC cloud seguendo questa procedura:

Accedere all'interfaccia di amministrazione Microsoft Intune e selezionare Dispositivi>Tutti i dispositivi> scegliere un dispositivo.
Selezionare i puntini di sospensione (...) >Posizionare il PC cloud sotto revisione.
Selezionare la sottoscrizione di Azure e l'account di archiviazione di Azure a cui al servizio Windows 365 sono state concesse le autorizzazioni Collaboratore account di archiviazione e Collaboratore dati BLOB di archiviazione.

In Accesso durante la revisione, se si sceglie
- Blocca l'accesso, il PC cloud verrà immediatamente spento in modo che l'utente non possa accedere al CLOUD PC e quindi verrà creato lo snapshot. Questa operazione è utile nei casi in cui potrebbe essere necessario contenere una minaccia per la sicurezza arrestando il CLOUD PC e quindi eseguendo l'analisi dello snapshot in un ambiente isolato.
- Consenti l'accesso, l'utente di Cloud PC può continuare a usare il PC cloud anche quando si crea uno snapshot nell'account di archiviazione.
Selezionare Luogo sotto revisione. In base alle dimensioni del disco dell'area di destinazione del PC cloud e dell'account di archiviazione, può variare da minuti a poche ore per ogni snapshot da salvare nell'account di archiviazione.

Per rendere evidente la manomissione dello snapshot, è necessario creare un hash del file dello snapshot quando è stato salvato nell'account di archiviazione. Un modo per creare l'hash del file consiste nell'usare il cmdlet Get-FileHash . Per ottenere prestazioni ottimali, il cmdlet Get-FileHash deve essere eseguito su una copia del file scaricato o eseguito nello snapshot nell'account di archiviazione di Azure da una risorsa situata nella stessa area di Azure.

Rimuovere un PC cloud dalla revisione

Accedere all'interfaccia di amministrazione Microsoft Intune e selezionare Dispositivi>Tutti i dispositivi> scegliere un dispositivo >...>Rimuovere dalla revisione.

Azioni in blocco

È anche possibile usare le azioni bulk del dispositivo di Intune per posizionare più PC cloud sotto esame contemporaneamente. Per altre informazioni, vedere Usare azioni di dispositivo bulk.

Nota

È possibile esaminare contemporaneamente fino a 10 PC cloud. Quando più di 10 vengono sottoposti a revisione contemporaneamente, le richieste vengono accodate e i timeout possono aumentare se la richiesta rimane nella coda per troppo tempo. Se si verificano timeout, è consigliabile sfalsare le richieste per consentire un tempo sufficiente per il completamento delle richieste precedenti. I tempi di completamento dipendono dalle dimensioni del disco del PC cloud, nonché dalla posizione e dal tipo dell'account di archiviazione di Azure.

Gestione con API

È possibile usare il API Graph per posizionare o rimuovere un PC cloud dalla revisione. Per altre informazioni, vedere managedDevice: setCloudPcReviewStatus.

Passaggi successivi

Altre informazioni sulle analisi forensi digitali e sui PC cloud.

Condividi tramite