Share via

Stellen Sie einen Windows 365 Enterprise Cloud-PC unter Überprüfung

  • Artikel

Im Rahmen einer Anforderung der digitalen Forensik werden Sie möglicherweise aufgefordert, internen oder externen Ermittlern ein Snapshot eines Cloud-PCs zur Verfügung zu stellen. Wenn Sie einen Cloud-PC unter Überprüfung stellen, wird ein Snapshot des Cloud-PCs in Ihrem Azure Speicherkonto gespeichert. Von dort aus können Sie das Snapshot dem Ermittler bereitstellen.

Anforderungen

Um einen Cloud-PC unter Überprüfung zu stellen, müssen Sie die folgenden Anforderungen erfüllen:

  • Eine Windows 365 Enterprise-Lizenz.
  • Ein Azure Speicherkonto im selben Mandanten, das gemäß den nachstehenden Anforderungen eingerichtet wurde.

Einrichten Ihres Azure Speicherkontos

Um einen Cloud-PC unter Überprüfung zu stellen, müssen Sie zuerst über ein Azure Speicherkonto im selben Mandanten wie der Cloud-PC verfügen. Weitere Informationen, die Ihnen bei der Entscheidung helfen, welcher Kontotyp Ihren Anforderungen entspricht, finden Sie in der Übersicht über das Speicherkonto. Es wird empfohlen, ein dediziertes Speicherkonto mit dedizierten Zugriffssteuerungen für die Überwachung von Cloud-PCs zu erstellen und zu verwalten. Im Rahmen des Prozesses zum Überprüfen von Cloud-PCs erfordert Windows 365 die Rollen Speicherkontomitwirkender und Mitwirkender an Storage-Blobdaten für Ihr Azure-Speicherkonto.

  1. Erstellen Sie ein Speicherkonto im Azure-Abonnement Ihrer Wahl. Zum Erstellen des Kontos können Sie PowerShell, Azure CLI, Azure Resource Manager-Vorlage oder Azure-Portal verwenden.

  2. Konfigurieren Sie das Speicherkonto mit den folgenden Einstellungen:

    • Instanzdetails
      • Region: Dieselbe Region wie CloudPC für die Leistung vorgeschlagen. Es gibt keine Einschränkung für welche Region.
      • Leistung: Premium
      • Premium-Kontotyp: Seitenblobs
    • Sicherheit
      • TLS-Mindestversion: Version 1.2
    • Netzwerk
      • Netzwerkzugriff: Aktivieren des öffentlichen Zugriffs aus allen Netzwerken

    NICHT UNTERSTÜTZT: Festlegen eines Berechtigungsbereichs für Kopiervorgänge. Er muss (NULL) sein, der Standardwert, um das Kopieren aus einem beliebigen Speicherkonto in das Zielkonto zu ermöglichen.

  3. Weisen Sie eine Azure-Rolle für den Zugriff auf Blobdaten zu. Die mindestens erforderlichen Berechtigungen für den Windows 365-Dienst, um einen Cloud-PC zu überprüfen, sind Speicherkontomitwirkender und Mitwirkender an Storage-Blobdaten.

Stellen Sie einen Cloud-PC unter Überprüfung

Nachdem Sie ein Azure-Speicherkonto mit den oben erläuterten Berechtigungen eingerichtet haben, können Sie einen Cloud-PC mithilfe der folgenden Schritte unter Überprüfung stellen:

  1. Melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Geräte>Alle Geräte> ein Gerät auswählen aus. Screenshot: Auswählen eines Geräts

  2. Wählen Sie die Auslassungspunkte (...) aus. >Stellen Sie cloud-PC unter Überprüfung. Screenshot: Überprüfen eines Cloud-PCs

  3. Wählen Sie das Azure-Abonnement und das Azure-Speicherkonto aus, für das der Windows 365 Dienst die Berechtigungen Speicherkontomitwirkender und Mitwirkender an Storage-Blobdaten erhalten hat.

    Wenn Sie unter Zugriff während der Überprüfung auswählen

    • Zugriff blockieren: Der Cloud-PC wird sofort ausgeschaltet, sodass der Benutzer nicht auf den Cloud-PC zugreifen kann, und dann wird die Momentaufnahme erstellt. Dies ist nützlich in Fällen, in denen Sie möglicherweise eine Sicherheitsgefährdung eindämmen möchten, indem Sie den Cloud-PC herunterfahren und dann die Momentaufnahme später in einer isolierten Umgebung analysieren.
    • Zugriff zulassen: Der Cloud-PC-Benutzer kann den Cloud-PC weiterhin verwenden, auch wenn Sie eine Momentaufnahme im Speicherkonto erstellen.
    • Screenshot: Auswählen eines Abonnements und Speichers

  4. Wählen Sie "Unter Überprüfung stellen“ aus. Basierend auf der Datenträgergröße des Cloud-PCs und der Zielregion des Speicherkontos kann es zwischen Minuten und einigen Stunden dauern, bis jede Momentaufnahme im Speicherkonto gespeichert werden soll.

Um die Momentaufnahme manipulationssicher zu machen, sollten Sie einen Dateihash des Momentaufnahme erstellen, wenn er im Speicherkonto gespeichert wurde. Eine Möglichkeit zum Erstellen des Dateihashs ist die Verwendung des Cmdlets Get-FileHash . Um eine optimale Leistung zu erzielen, sollte das Cmdlet Get-FileHash für eine Kopie der heruntergeladenen Datei oder für die Momentaufnahme im Azure-Speicherkonto von einer Ressource in derselben Azure-Region ausgeführt werden.

Entfernen eines Cloud-PCs aus der Überprüfung

Melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Geräte>Alle Geräte> gerät auswählen >...>Aus Überprüfung entfernen.

Massenaktionen

Sie können die Massengeräteaktionen von Intune auch verwenden, um mehrere Cloud-PCs gleichzeitig unter Überprüfung zu stellen. Weitere Informationen finden Sie unter Verwenden von Massengeräteaktionen.

Nächste Schritte

Erfahren Sie mehr über die digitale Forensik und Cloud-PCs.