Relace Microsoft Defenderu pro koncový bod pro Azure Virtual Desktop

Dokončeno

Microsoft Defender for Endpoint podporuje monitorování relací VDI i Azure Virtual Desktopu. V závislosti na potřebách vaší organizace možná budete muset implementovat relace VDI nebo Azure Virtual Desktopu, které zaměstnancům pomůžou přistupovat k podnikovým datům a aplikacím z nespravovaného zařízení, vzdáleného umístění nebo podobného scénáře. Pomocí programu Microsoft Defender for Endpoint můžete tyto virtuální počítače monitorovat za neobvyklé aktivity.

Azure Virtual Desktop sice neposkytuje možnosti trvalosti, ale nabízí způsoby použití zlaté image Windows, kterou je možné použít ke zřizování nových hostitelů a opětovného nasazení počítačů. Tím se zvyšuje nestálost prostředí, což má vliv na to, jaké položky se vytvářejí a udržují na portálu Microsoft Defenderu pro koncové body, což může snížit viditelnost pro analytiky zabezpečení.

V závislosti na zvolené metodě onboardingu se zařízení můžou v programu Microsoft Defender for Endpoint Portal zobrazovat takto:

• Jedna položka pro každou virtuální plochu
• Více položek pro každou virtuální plochu

Microsoft doporučuje nasadit Azure Virtual Desktop jako jednu položku na virtuální plochu. Tím se zajistí, že prostředí pro šetření na portálu Microsoft Defender for Endpoint je v kontextu jednoho zařízení na základě názvu počítače. Organizace, které často odstraňují a nasadí hostitele AVD, by měly důrazně zvážit použití této metody, protože brání vytvoření více objektů pro stejný počítač na portálu Microsoft Defender for Endpoint Portal. To může vést k nejasnostem při vyšetřování incidentů. U testovacích nebo nestálých prostředí se můžete rozhodnout jinak.

Microsoft doporučuje přidat do zlaté image AVD skript onboardingu v programu Microsoft Defender for Endpoint. Tímto způsobem můžete mít jistotu, že se tento skript onboardingu spustí okamžitě při prvním spuštění. Spustí se jako spouštěcí skript při prvním spuštění na všech počítačích AVD zřízených ze zlaté image AVD. Pokud ale používáte některou z imagí galerie beze změny, umístěte skript do sdíleného umístění a zavolejte ho z místních zásad skupiny nebo zásad skupiny domény.

Poznámka:

Umístění a konfigurace spouštěcího skriptu připojování VDI na zlaté imagi AVD ho nakonfiguruje jako spouštěcí skript, který se spustí při spuštění AVD. Nedoporučuje se připojování skutečného zlatého obrázku AVD. Dalším aspektem je metoda použitá ke spuštění skriptu. Měl by běžet co nejdříve v procesu spouštění nebo zřizování, aby zkrátil dobu mezi dostupným počítačem pro příjem relací a onboardingem zařízení do služby. V následujících scénářích 1 a 2 se tato situace bere v úvahu.

Scénáře

Existuje několik způsobů, jak připojit hostitelský počítač AVD:

• Během spouštění spusťte skript ve zlaté imagi (nebo ze sdíleného umístění).
• Ke spuštění skriptu použijte nástroj pro správu.
• Integrace s Microsoft Defenderem pro cloud

Scénář 1: Použití zásad místní skupiny

Tento scénář vyžaduje umístění skriptu do zlaté image a použití místních zásad skupiny ke spuštění v rané fázi procesu spouštění.

Postupujte podle pokynů v onboardingu zařízení infrastruktury virtuálních klientských počítačů (VDI).

Postupujte podle pokynů pro jednu položku pro každé zařízení.

Scénář 2: Použití zásad skupiny domény

Tento scénář používá centrálně umístěný skript a spustí ho pomocí zásad skupiny založené na doméně. Skript můžete také umístit do zlaté image a spustit ho stejným způsobem.

Stažení souboru WindowsDefenderATPOnboardingPackage.zip z portálu Microsoft Defenderu

1. Otevřete soubor .zip konfiguračního balíčku VDI (WindowsDefenderATPOnboardingPackage.zip).

   1. V navigačním podokně portálu Microsoft Defender vyberte onboarding>(v části Správa zařízení).
   2. Jako operační systém vyberte Windows 10 nebo Windows 11.
   3. V poli Metoda nasazení vyberte skripty onboardingu VDI pro trvalé koncové body.
   4. Klikněte na Stáhnout balíček a uložte soubor .zip.

2. Extrahujte obsah souboru .zip do sdíleného umístění jen pro čtení, ke kterému má zařízení přístup. Měli byste mít složku s názvem OptionalParamsPolicy a soubory WindowsDefenderATPOnboardingScript.cmd a Onboard-NonPersistentMachine.ps1.

Použití konzoly pro správu zásad skupiny ke spuštění skriptu při spuštění virtuálního počítače

1. Otevřete konzolu pro správu zásad skupiny (GPMC), klikněte pravým tlačítkem myši na objekt zásad skupiny, který chcete nakonfigurovat, a klikněte na upravit.

2. V Editoru pro správu zásad skupiny přejděte do nastavení Ovládacích panelů Předvolby>>počítače.

3. Klepněte pravým tlačítkem myši na naplánované úkoly, klepněte na příkaz Nový a potom klepněte na příkaz Okamžitá úloha (aspoň Windows 7).

4. V okně Úkolu, které se otevře, přejděte na kartu Obecné . V části Možnosti zabezpečení klepněte na tlačítko Změnit uživatele nebo skupinu a zadejte SYSTEM. Klepněte na tlačítko Zkontrolovat jména a klepněte na tlačítko OK. NT AUTHORITY\SYSTEM se zobrazí jako uživatelský účet, který bude úloha spuštěna jako.

5. Vyberte Spustit, jestli je uživatel přihlášený nebo ne , a zaškrtněte políčko Spustit s nejvyššími oprávněními .

6. Přejděte na kartu Akce a klikněte na Nový. Ujistěte se, že je v poli Akce vybrána možnost Spustit program . Zadejte následující údaje:

   Akce = "Spustit program"

   Program/Skript = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

   Přidání argumentů (volitelné) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

   Pak vyberte OK a zavřete všechna otevřená okna konzoly GPMC.

Scénář 3: Onboarding pomocí nástrojů pro správu

Pokud plánujete spravovat počítače pomocí nástroje pro správu, můžete zařízení připojit přímo pomocí konfigurace koncového bodu Microsoftu.

Tip

Po onboardingu zařízení můžete spustit test detekce a ověřit, že je zařízení správně nasazené do služby. Další informace najdete v tématu Spuštění testu detekce na nově nasazené zařízení v programu Microsoft Defender for Endpoint.

Označování počítačů při vytváření zlaté image

Jako součást připojování můžete zvážit nastavení značky počítače pro snadnější rozlišení počítačů AVD ve službě Microsoft Security Center. Další informace najdete v tématu Přidání značek zařízení nastavením hodnoty klíče registru.

Další doporučená nastavení konfigurace

Při vytváření zlaté image můžete také nakonfigurovat počáteční nastavení ochrany. Další informace najdete v tématu Další doporučená nastavení konfigurace.

Pokud používáte profily uživatelů FSlogix, doporučujeme postupovat podle pokynů popsaných v vyloučeních antivirového softwaru FSLogix.

Požadavky na licencování

Poznámka k licencování: Pokud používáte více relací Windows Enterprise v závislosti na vašich požadavcích, můžete zvolit, jestli mají všichni uživatelé licenci prostřednictvím programu Microsoft Defender for Endpoint (na uživatele), Windows Enterprise E5, Microsoft 365 E5 Security nebo Microsoft 365 E5 nebo mít virtuální počítač licencovaný prostřednictvím programu Microsoft Defender for Cloud. Licenční požadavky pro Microsoft Defender for Endpoint najdete tady: Licenční požadavky.