Windows 365 Enterprise クラウド PC をレビュー対象に配置する

  • [アーティクル]

デジタル フォレンジクス要求の一部として、クラウド PC のスナップショットを内部または外部の調査員に提供するように求められる場合があります。 クラウド PC をレビュー対象にすると、クラウド PC のスナップショットが Azure ストレージ アカウントに保存されます。 そこから、調査員にスナップショットを提供できます。

注:

最大 10 台のクラウド PC を同時にレビュー対象にすることができます。 一度に 10 を超えるレビューが行われた場合、要求は処理のためにキューに入れられますが、要求がキューに長すぎる場合はタイムアウトの可能性が高くなります。 タイムアウトが発生した場合は、前の要求が最初に完了するのに十分な時間を確保するために、要求をずらすことをお勧めします。

要件

クラウド PC をレビュー対象にするには、次の要件を満たす必要があります。

  • Windows 365 Enterprise ライセンス。
  • 同じテナント内の Azure ストレージ アカウント。以下の要件に従って設定します。

Azure ストレージ アカウントを設定する

クラウド PC をレビュー対象にするには、最初にクラウド PC と同じテナントに Azure ストレージ アカウントを持っている必要があります。 ニーズに合ったアカウントの種類を決定するのに役立つ詳細については、「ストレージ アカウントの概要」を参照してください。 クラウド PC を監査するための専用アクセス制御を備えた専用ストレージ アカウントを作成して維持することをお勧めします。 クラウド PC をレビュー対象にするプロセスの一環として、Windows 365 には、Azure ストレージ アカウントのストレージ アカウント共同作成者 ロールと ストレージ BLOB データ共同作成者 ロールが必要です。

  1. 任意の Azure サブスクリプションにストレージ アカウントを作成します。 アカウントを作成するには、PowerShell、Azure CLI、Azure リソース マネージャー テンプレート、または Azure portal を使用できます。

  2. 次の設定でストレージ アカウントを構成します。

    • インスタンスの詳細
      • リージョン: パフォーマンスのために CloudPC と同じリージョンが推奨されます。 リージョンに制限はありません。
      • パフォーマンス: Premium
      • Premium アカウントの種類: ページ BLOB
    • セキュリティ
      • TLS の最小バージョン: バージョン 1.2
    • ネットワーク
      • ネットワーク アクセス: すべてのネットワークからのパブリック アクセスを有効にする

    サポートされていません: コピー操作の許可スコープを設定します。 任意のストレージ アカウントから移行先アカウントへのコピーを許可するには、既定値である (null) である必要があります。

  3. BLOB データにアクセスするための Azure ロールを割り当てます。 Windows 365 サービスがクラウド PC をレビュー対象に配置するために必要な最小限のアクセス許可は、ストレージ アカウント共同作成者とストレージ BLOB データ共同作成者です。

クラウド PC をレビュー対象に配置する

上記のようにアクセス許可を持つ Azure ストレージ アカウントを設定した後、次の手順を使用してクラウド PC をレビュー対象にすることができます。

  1. Microsoft Intune 管理センターにサインインし、[デバイス>すべてのデバイス>デバイスを選択します。 デバイスの選択のスクリーンショット

  2. 省略記号 (...) >を選択しますクラウド PC をレビュー中に配置します。 クラウド PC のレビュー中の場所のスクリーンショット

  3. Windows 365 サービスに ストレージ アカウント共同作成者とストレージBLOB データ共同作成者 のアクセス許可が付与された Azure サブスクリプションと Azure ストレージ アカウントを選択します。

    [ レビュー中のアクセス] で、

    • アクセスをブロックすると、ユーザーがクラウド PC にアクセスできないように、クラウド PC の電源がすぐにオフになり、スナップショットが作成されます。 これは、クラウド PC をシャットダウンし、後で分離された環境でスナップショットの分析を実行することで、セキュリティ上の脅威を含める場合に便利です。
    • アクセスを許可すると、ストレージ アカウントにスナップショットを作成しても、クラウド PC ユーザーは引き続きクラウド PC を使用できます。
    • サブスクリプションとストレージの選択のスクリーンショット

  4. [レビュー対象にする] を選択します。 クラウド PC とストレージ アカウントの宛先リージョンのディスク サイズに基づいて、各スナップショットがストレージ アカウントに保存されるまでの時間は数分から数時間です。

スナップショットの改ざんを明らかにするには、スナップショットがストレージ アカウントに保存されたときに、スナップショットのファイル ハッシュを作成する必要があります。 ファイル ハッシュを作成する方法の 1 つは、 Get-FileHash コマンドレットを使用することです。 最適なパフォーマンスを得るには、Get-FileHash コマンドレットをダウンロードしたファイルのコピーに対して実行するか、同じ Azure リージョンにあるリソースから Azure ストレージ アカウントのスナップショットに対して実行する必要があります。

クラウド PC をレビューから削除する

Microsoft Intune 管理センターにサインインし、[デバイス>すべてのデバイス] を選択>デバイス >...>レビューから削除します。

一括操作

Intune の一括デバイス アクションを使用して、複数のクラウド PC を同時にレビュー対象にすることもできます。 詳細については、「一括デバイス アクションの使用」を参照してください。

API を使用した管理

Graph API を使用して、レビューからクラウド PC を配置または削除できます。 詳細については、「 managedDevice: setCloudPcReviewStatus」を参照してください。

次の手順

デジタル フォレンジクスとクラウド PC の詳細をご覧ください