次の方法で共有

Windows 365 Enterprise クラウド PC をレビュー対象に配置する

  • [アーティクル]

デジタル フォレンジクス要求の一部として、クラウド PC のスナップショットを内部または外部の調査員に提供するように求められる場合があります。 クラウド PC をレビュー対象にすると、クラウド PC のスナップショットが Azure ストレージ アカウントに保存されます。 そこから、調査員にスナップショットを提供できます。

注:

最大 10 台のクラウド PC を同時にレビュー対象にすることができます。 一度に 10 を超えるレビューが行われた場合、要求は処理のためにキューに入れられますが、要求がキューに長すぎる場合はタイムアウトの可能性が高くなります。 タイムアウトが発生した場合は、前の要求が最初に完了するのに十分な時間を確保するために、要求をずらすことをお勧めします。

要件

クラウド PC をレビュー対象にするには、次の要件を満たす必要があります。

  • Windows 365 Enterprise ライセンス。
  • 同じテナント内の Azure ストレージ アカウント。以下の要件に従って設定します。

Azure ストレージ アカウントを設定する

クラウド PC をレビュー対象にするには、最初にクラウド PC と同じテナントに Azure ストレージ アカウントを持っている必要があります。 ニーズに合ったアカウントの種類を決定するのに役立つ詳細については、「ストレージ アカウントの概要」を参照してください。 クラウド PC を監査するための専用アクセス制御を備えた専用ストレージ アカウントを作成して維持することをお勧めします。 クラウド PC をレビュー対象にするプロセスの一環として、Windows 365には、Azure ストレージ アカウントのストレージ アカウント共同作成者ロールとストレージ BLOB データ共同作成者ロールが必要です。

  1. 任意の Azure サブスクリプションにストレージ アカウントを作成します。 アカウントを作成するには、PowerShell、Azure CLI、Azure リソース マネージャー テンプレート、または Azure portal を使用できます。

  2. 次の設定でストレージ アカウントを構成します。

    • インスタンスの詳細
      • リージョン: パフォーマンスのために CloudPC と同じリージョンが推奨されます。 リージョンに制限はありません。
      • パフォーマンス: Premium
      • Premium アカウントの種類: ページ BLOB
    • セキュリティ
      • TLS の最小バージョン: バージョン 1.2
      • [BLOB 匿名アクセスを許可する] が無効になっていることを確認します (既定値)
    • ネットワーク
      • ネットワーク アクセス: すべてのネットワークからのパブリック アクセスを有効にする

    サポートされていません: コピー操作の許可スコープを設定します。 任意のストレージ アカウントから移行先アカウントへのコピーを許可するには、既定値である (null) である必要があります。

  3. BLOB データにアクセスするための Azure ロールを割り当てます。 クラウド PC をレビュー対象にするWindows 365 サービスに必要な最小限のアクセス許可は、ストレージ アカウント共同作成者とストレージ BLOB データ共同作成者です。

クラウド PC をレビュー対象に配置する

上記のようにアクセス許可を持つ Azure ストレージ アカウントを設定した後、次の手順を使用してクラウド PC をレビュー対象にすることができます。

  1. Microsoft Intune管理センターにサインインし、[デバイス>すべてのデバイス>デバイスを選択します。 デバイスの選択のスクリーンショット

  2. 省略記号 (...) >を選択しますクラウド PC をレビュー中に配置します。 クラウド PC のレビュー中の場所のスクリーンショット

  3. Azure サブスクリプションと、Windows 365 サービスにストレージ アカウント共同作成者ストレージ BLOB データ共同作成者のアクセス許可が付与された Azure ストレージ アカウントを選択します。

    [ レビュー中のアクセス] で、

    • アクセスをブロックすると、ユーザーがクラウド PC にアクセスできないように、クラウド PC の電源がすぐにオフになり、スナップショットが作成されます。 これは、クラウド PC をシャットダウンし、後で分離された環境でスナップショットの分析を実行することで、セキュリティ上の脅威を含める場合に役立ちます。
    • アクセスを許可すると、クラウド PC ユーザーは、ストレージ アカウントにスナップショットを作成してもクラウド PC を引き続き使用できます。
    • サブスクリプションとストレージの選択のスクリーンショット

  4. [レビュー対象にする] を選択します。 クラウド PC とストレージ アカウントの宛先リージョンのディスク サイズに基づいて、ストレージ アカウントに保存する各スナップショットの分から数時間の範囲にすることができます。

スナップショット改ざんを防ぐには、ストレージ アカウントに保存されているスナップショットのファイル ハッシュを作成する必要があります。 ファイル ハッシュを作成する方法の 1 つは、 Get-FileHash コマンドレットを使用することです。 最適なパフォーマンスを得るには、Get-FileHash コマンドレットをダウンロードしたファイルのコピーに対して実行するか、同じ Azure リージョンにあるリソースから Azure ストレージ アカウントのスナップショットに対して実行する必要があります。

クラウド PC をレビューから削除する

Microsoft Intune管理センターにサインインし、[デバイス>すべてのデバイス] を選択>デバイス >...>レビューから削除します。

一括操作

Intune の一括デバイス アクションを使用して、複数のクラウド PC を同時にレビュー対象にすることもできます。 詳細については、「一括デバイス アクションの使用」を参照してください。

注:

最大 10 台のクラウド PC を同時にレビュー対象にすることができます。 一度に 10 を超えるレビューが行われると、要求はキューに入れられ、要求がキューに長すぎる場合はタイムアウトが増加する可能性があります。 タイムアウトが発生した場合は、前の要求が最初に完了するのに十分な時間を確保するために、要求をずらすことをお勧めします。 完了時間は、クラウド PC ディスクのサイズと、Azure Storage アカウントの場所と種類によって異なります。

API を使用した管理

Graph APIを使用して、レビューからクラウド PC を配置または削除できます。 詳細については、「 managedDevice: setCloudPcReviewStatus」を参照してください。

次の手順

デジタル フォレンジクスとクラウド PC の詳細をご覧ください