Windows 365 の Microsoft Purview フォレンジック証拠を設定する

Microsoft Purview フォレンジック証拠 は、リスクの高いセキュリティ関連のユーザー アクティビティに関するより良い分析情報を得るのに役立ちます。 カスタマイズ可能なイベント トリガーと組み込みのユーザー プライバシー保護コントロールを使用すると、フォレンジック証拠を使用して、デバイス間で視覚的なアクティビティキャプチャをカスタマイズできます。 フォレンジック証拠は、組織が機密データの不正なデータ流出などの潜在的なデータ リスクの軽減、理解、対応を改善するのに役立ちます。

次のように、組織に適したポリシーを設定します。

• フォレンジック証拠をキャプチャするための最優先事項は、どのような危険なイベントですか。
• 最も機密性の高いデータ。
• フォレンジック キャプチャがアクティブ化されたときにユーザーに通知されるかどうか。

フォレンジック証拠のキャプチャは既定ではオフであり、ポリシーの作成にはデュアル承認が必要です。

要件

次の要件が満たされていない場合は、Microsoft Purview クライアントの問題が発生し、フォレンジック キャプチャの品質が信頼できない可能性があります。

Microsoft Purview フォレンジック証拠を設定するには、環境が次の要件を満たす必要があります。

デバイス構成の要件

• ギャラリー イメージの種類
  • Windows 11 Enterprise + Microsoft 365 Apps 23H2 以降
• ライセンス オプション
  • Microsoft 365 E5
  • Microsoft 365 E5 Compliance
  • Microsoft 365 E5 インサイダー リスク管理
• 結合の種類とネットワーク
  • Microsoft Entra が Microsoft ホスト型ネットワークと Azure ネットワーク接続に参加しました
  • Azure ネットワーク接続に参加している Microsoft Entra ハイブリッド
• Windows バージョン 4.18.2110 以降の Microsoft Defender ウイルス対策
• Microsoft 365 Apps バージョン 16.0.14701.0 以降
• デバイスをプライマリ ユーザーに割り当てる必要がある
• クラウド PC サイズ
  • 最適なパフォーマンスを得るには、8vCPU 以上 (詳細については、「 クラウド PC のサイズに関する推奨事項」を参照してください)

ロールの要件

• アカウントには、次のロールの少なくとも 1 つが必要です。
  • Microsoft Entra ID コンプライアンス管理者ロール
  • Microsoft Entra ID グローバル管理者ロール
  • Microsoft Purview Organization Management ロール グループ
  • Microsoft Purview コンプライアンス管理者の役割グループ
  • Insider Risk Management ロール グループ
  • Insider Risk Management Admins ロール グループ

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

インサイダー リスク管理ロールの詳細については、「インサイダー リスク 管理のアクセス許可を有効にする」を参照してください。

デバイスのオンボードを有効にする

1. Microsoft Purview ポータルを開きます。 [設定>デバイスのオンボード>Devices>Onboarding を選択します。

2. 構成パッケージのデプロイに使用するデプロイ 方法 を選択します。

   • Intune: モバイル デバイス管理ツールまたは Microsoft Intune を使用します。
   • ローカル スクリプト: ローカル スクリプトを使用します。

Intune を使用して構成パッケージを展開する

1. Microsoft Intune 管理センター>Endpoint セキュリティ>Microsoft Defender for Endpoint>Microsoft Defender Security Center を開きます。

2. [Microsoft Intune 接続] を [オン] に設定し、[設定の保存] を選択します。

3. Microsoft Defender for Endpoint に戻り、次のオプションを設定します。

   • Microsoft for Endpoint にエンドポイント セキュリティ構成の適用を許可する: オン
   • Windows デバイス バージョン 10.0.15063 以降を Microsoft Defender for Endpoint に接続する: オン

4. [保存] を選択します。

5. [ エンドポイント セキュリティ>エンドポイントの検出と応答>ポリシーの作成] を選択します。

6. 次のオプションを選択します。

   • プラットフォーム: Windows 10、Windows 11、および Windows Server
   • プロファイルの種類: エンドポイントの検出と応答

7. [作成] を選択します。

8. Name と Description>Next を指定します。

9. [ 構成設定 ] ページの [Microsoft Defender for Endpoint クライアント構成パッケージの種類] で、[ コネクタから自動>次へ] を選択します。

10. [スコープ タグ] ページで [次へ] を選択します。

11. [割り当て] ページで、Cloud PC >Next のプライマリ ユーザーを含むグループを選択します。

12. [ 確認と作成 ] ページで、完了したら [ 作成] を選択します。

ポリシーを作成した後、ポリシーが適用され、デバイスが Microsoft Defender for Endpoint にオンボードされる前に、ユーザーがデバイスにサインインする必要があります。

ローカル スクリプトを使用して構成パッケージをデプロイする

「ローカル スクリプトを使用して Windows 10 および Windows 11 デバイスをオンボードする」の手順に従います。 これは、すべてのクラウド PC のオンボードに進む前に、クラウド PC のサブセットをテストするときに役立ちます。

オンボード デバイスの一覧を表示する

1. Microsoft Purview ポータル>Settings>Device オンボード>Devices を開きます。

2. 次の列を確認します。

   • 構成状態: デバイスが正しく構成されているかどうかを示します。
   • ポリシー同期の状態: デバイスが最新のポリシー バージョンに更新されたかどうかを示します。 最新のポリシーに更新するには、デバイスがオンである必要があります。

次の手順

Microsoft Purview の詳細については、「Microsoft Purview について」を参照してください。