Colocar um computador na nuvem do Windows 365 Enterprise em revisão

Como parte de uma solicitação forense digital, você pode ser solicitado a fornecer um instantâneo de um computador na nuvem para investigadores internos ou externos. Colocar um computador na nuvem em revisão salva um instantâneo do computador na nuvem na sua conta de Armazenamento do Azure. A partir daí, você pode fornecer o instantâneo ao investigador.

Observação

Até 10 PCs na Cloud podem ser colocados em análise em simultâneo. Quando são colocados mais de 10 em análise ao mesmo tempo, os pedidos são colocados em fila para processamento, mas a possibilidade de tempos limite aumenta se os pedidos permanecerem demasiado longos na fila. Se tiver tempos limite, recomenda-se que escalone os pedidos para permitir tempo suficiente para que os pedidos anteriores sejam concluídos primeiro.

Requisitos

Para colocar um computador na nuvem sob revisão, você deve atender aos seguintes requisitos:

• Uma licença do Windows 365 Enterprise.
• Uma conta de Armazenamento do Azure no mesmo locatário, configurada de acordo com os requisitos abaixo.

Configurar sua conta de armazenamento do Azure

Para colocar um computador na nuvem em revisão, primeiro você deve ter uma conta de armazenamento do Azure no mesmo locatário que o computador na nuvem. Para obter mais informações para ajudá-lo a decidir qual tipo de conta atende às suas necessidades, consulte Visão geral da conta de armazenamento. Recomendamos que você crie e mantenha uma conta de armazenamento dedicada com controles de acesso dedicados para auditar computadores na nuvem. Como parte do processo para colocar PCs na Cloud em análise, Windows 365 requer as funções Contribuidor da Conta de Armazenamento e Contribuidor de Dados do Blob de Armazenamento para a sua conta de armazenamento do Azure.

1. Crie uma Conta de Armazenamento na subscrição do Azure à sua escolha. Para criar a conta, você pode usar o PowerShell, a CLI do Azure, o Modelo do Azure Resource Manager ou o portal do Azure.

2. Configure a conta de armazenamento com as seguintes definições;

   • Detalhes da instância
     • Região: a mesma região que o CloudPC sugeriu para o desempenho. Não existem restrições em que região.
     • Desempenho: Premium
     • Tipo de conta Premium: Blobs de páginas
   • Segurança
     • Versão mínima do TLS: Versão 1.2
     • Confirme que Permitir acesso anónimo ao blob está desativado (a predefinição)
   • Rede
     • Acesso à rede: Ativar o acesso público a partir de todas as redes

   NÃO SUPORTADO: definir um âmbito de Autorização para operações de cópia. Tem de ser (nulo), o valor predefinido, para permitir a cópia de qualquer conta de armazenamento para a conta de destino.

3. Atribua uma função do Azure para acesso aos dados do Blob. As permissões mínimas necessárias para que o serviço Windows 365 coloque um PC na Cloud em análise são Contribuidor da Conta de Armazenamento e Contribuidor de Dados do Blob de Armazenamento.

Colocar um computador na nuvem em revisão

Depois de configurar uma conta de armazenamento do Azure com permissões, conforme explicado acima, você pode colocar um computador na nuvem em revisão usando as seguintes etapas:

1. Inicie sessão no centro de administração do Microsoft Intune e selecione Dispositivos>Todos os Dispositivos> selecione um dispositivo.

2. Selecione as reticências (...) >Coloque o PC na nuvem sob revisão.

3. Selecione a subscrição do Azure e a conta de armazenamento do Azure à qual o serviço Windows 365 recebeu as permissões Contribuidor da Conta de Armazenamento e Contribuidor de Dados do Blob de Armazenamento.

   Em Acesso durante a revisão, se escolher

   • Bloquear Acesso, o PC na Nuvem será imediatamente desligado para que o utilizador não possa aceder ao PC na Nuvem e, em seguida, o snapshot será criado. Isto é útil nos casos em que poderá querer conter uma ameaça de segurança ao encerrar o PC na Cloud e, em seguida, efetuar uma análise do snapshot posteriormente num ambiente isolado.
   • Permitir Acesso, o utilizador do CLOUD PC pode continuar a utilizar o CLOUD PC, mesmo quando cria um snapshot na conta de armazenamento.
   • 

4. Selecione Colocar em revisão. Com base no tamanho do disco do PC na Cloud e na região de destino da conta de armazenamento, pode variar entre minutos e algumas horas para que cada snapshot seja guardada na conta de armazenamento.

Para tornar a snapshot evidente, deve criar um hash de ficheiro do snapshot quando este tiver sido guardado na conta de armazenamento. Uma forma de criar o hash de ficheiro é utilizar o cmdlet Get-FileHash . Para um melhor desempenho, o cmdlet Get-FileHash deve ser executado numa cópia do ficheiro transferido ou ser executado no snapshot na conta de armazenamento do Azure a partir de um recurso localizado na mesma região do Azure.

Remover um computador na nuvem da revisão

Inicie sessão no centro de administração do Microsoft Intune e selecione Dispositivos>Todos os Dispositivos> selecione um dispositivo>...>Remover da revisão.

Ações em massa

Você também pode usar as ações de dispositivo em massa do Intune para colocar vários computadores na nuvem sob revisão ao mesmo tempo. Para obter informações relacionadas, consulte Usar ações do dispositivo em massa.

Observação

Até 10 PCs na Cloud podem ser colocados em análise em simultâneo. Quando são colocados mais de 10 em análise ao mesmo tempo, os pedidos são colocados em fila e os tempos limite podem aumentar se o pedido permanecer na fila durante demasiado tempo. Se tiver tempos limite, recomenda-se que escalone os pedidos para permitir tempo suficiente para que os pedidos anteriores sejam concluídos primeiro. Os tempos de conclusão dependerão do tamanho do disco do CLOUD PC, bem como da localização e do tipo da sua conta de Armazenamento do Azure.

Gestão com a API

Pode utilizar a API do Graph para colocar ou remover um PC na Cloud da revisão. Para obter mais informações, veja managedDevice: setCloudPcReviewStatus.

Próximas etapas

Saiba mais sobre a análise forense digital e computadores na nuvem.