Integrieren von Windows-Geräten in Azure Virtual Desktop

Lesedauer von 6 Minuten

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Windows mit mehreren Sitzungen unter Azure Virtual Desktop (AVD)
• Windows 10 Enterprise Multi-Session

Microsoft Defender für Endpunkt unterstützt die Überwachung von VDI- und Azure Virtual Desktop-Sitzungen. Abhängig von den Anforderungen Ihrer Organisation müssen Sie möglicherweise VDI- oder Azure Virtual Desktop-Sitzungen implementieren, um Ihren Mitarbeitern den Zugriff auf Unternehmensdaten und -apps über ein nicht verwaltetes Gerät, einen Remotestandort oder ein ähnliches Szenario zu erleichtern. Mit Microsoft Defender für Endpunkt können Sie diese virtuellen Computer auf anomale Aktivitäten überwachen.

Bevor Sie beginnen

Machen Sie sich mit den Überlegungen zu nicht persistenten VDI vertraut. Azure Virtual Desktop bietet zwar keine Nicht-Persistenzoptionen, bietet jedoch Möglichkeiten, ein goldenes Windows-Image zu verwenden, das zum Bereitstellen neuer Hosts und erneuter Bereitstellung von Computern verwendet werden kann. Dies erhöht die Volatilität in der Umgebung und wirkt sich somit darauf aus, welche Einträge im Microsoft Defender für Endpunkt-Portal erstellt und verwaltet werden, wodurch die Sichtbarkeit für Ihre Sicherheitsanalysten möglicherweise verringert wird.

Hinweis

Je nach gewählter Onboardingmethode können Geräte im Microsoft Defender für Endpunkt-Portal wie folgt angezeigt werden:

• Einzelner Eintrag für jeden virtuellen Desktop
• Mehrere Einträge für jeden virtuellen Desktop

Microsoft empfiehlt das Onboarding von Azure Virtual Desktop als einzelnen Eintrag pro virtuellem Desktop. Dadurch wird sichergestellt, dass sich die Untersuchung im Microsoft Defender für Endpunkt-Portal im Kontext eines Geräts befindet, das auf dem Computernamen basiert. Organisationen, die AVD-Hosts häufig löschen und erneut bereitstellen, sollten diese Methode unbedingt verwenden, da sie verhindert, dass mehrere Objekte für denselben Computer im Microsoft Defender für Endpunkt-Portal erstellt werden. Dies kann bei der Untersuchung von Vorfällen zu Verwirrung führen. Für Testumgebungen oder nicht flüchtige Umgebungen können Sie eine andere Wahl treffen.

Microsoft empfiehlt das Hinzufügen des Onboardingskripts für Microsoft Defender für Endpunkt zum avd goldenen Image. Auf diese Weise können Sie sicher sein, dass dieses Onboardingskript sofort beim ersten Start ausgeführt wird. Es wird als Startskript beim ersten Start auf allen AVD-Computern ausgeführt, die über das goldene AVD-Image bereitgestellt werden. Wenn Sie jedoch eines der Katalogimages ohne Änderung verwenden, platzieren Sie das Skript an einem freigegebenen Speicherort, und rufen Sie es entweder aus der lokalen Richtlinie oder der Domänengruppenrichtlinie auf.

Hinweis

Die Platzierung und Konfiguration des VDI-Onboarding-Startskripts auf dem goldenen AVD-Image konfiguriert es als Startskript, das beim Starten des AVD ausgeführt wird. Es wird nicht empfohlen, das eigentliche AVD Golden Image zu integrieren. Eine weitere Überlegung ist die Methode, die zum Ausführen des Skripts verwendet wird. Es sollte so früh wie möglich im Start-/Bereitstellungsprozess ausgeführt werden, um die Zeit zwischen dem verfügbaren Computer für den Empfang von Sitzungen und dem Onboarding des Geräts in den Dienst zu verkürzen. Dies wird in den folgenden Szenarien 1 und 2 berücksichtigt.

Szenarien

Es gibt mehrere Möglichkeiten zum Onboarding eines AVD-Hostcomputers:

• Führen Sie das Skript während des Starts im goldenen Image (oder an einem freigegebenen Speicherort) aus.
• Verwenden Sie ein Verwaltungstool, um das Skript auszuführen.
• Über die Integration in Microsoft Defender für Cloud

Szenario 1: Verwenden einer lokalen Gruppenrichtlinie

Dieses Szenario erfordert das Platzieren des Skripts in einem goldenen Image und verwendet lokale Gruppenrichtlinien, um zu einem frühen Zeitpunkt im Startprozess ausgeführt zu werden.

Befolgen Sie die Anweisungen unter Onboarding der nicht persistenten VDI-Geräte (Virtual Desktop Infrastructure).

Befolgen Sie die Anweisungen für einen einzelnen Eintrag für jedes Gerät.

Szenario 2: Verwenden der Domänengruppenrichtlinie

In diesem Szenario wird ein zentral angeordnetes Skript verwendet und mithilfe einer domänenbasierten Gruppenrichtlinie ausgeführt. Sie können das Skript auch im goldenen Image platzieren und auf die gleiche Weise ausführen.

Herunterladen der WindowsDefenderATPOnboardingPackage.zip-Datei aus dem Microsoft Defender-Portal

1. Öffnen Sie das VDI-Konfigurationspaket .zip Datei (WindowsDefenderATPOnboardingPackage.zip).

   1. Wählen Sie im Navigationsbereich des Microsoft Defender-Portals Einstellungen>Endpunkte>Onboarding (unter Geräteverwaltung) aus.
   2. Wählen Sie Windows 10 oder Windows 11 als Betriebssystem aus.
   3. Wählen Sie im Feld Bereitstellungsmethode die Option VDI-Onboardingskripts für nicht persistente Endpunkte aus.
   4. Klicken Sie auf Paket herunterladen , und speichern Sie die .zip Datei.

2. Extrahieren Sie den Inhalt der .zip-Datei an einen freigegebenen schreibgeschützten Speicherort, auf den das Gerät zugreifen kann. Sie sollten über einen Ordner namens OptionalParamsPolicy verfügen, und die Dateien WindowsDefenderATPOnboardingScript.cmd und Onboard-NonPersistentMachine.ps1.

Verwenden der Gruppenrichtlinien-Verwaltungskonsole zum Ausführen des Skripts beim Starten des virtuellen Computers

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC), klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt (GPO), das Sie konfigurieren möchten, und klicken Sie auf Bearbeiten.

2. Navigieren Sie im Gruppenrichtlinienverwaltungs-Editor zu Computerkonfiguration>Einstellungen Systemsteuerungseinstellungen>.

3. Klicken Sie mit der rechten Maustaste auf Geplante Aufgaben, klicken Sie auf Neu, und klicken Sie dann auf Sofortaufgabe (mindestens Windows 7).

4. Wechseln Sie im daraufhin geöffneten Aufgabenfenster zur Registerkarte Allgemein . Klicken Sie unter Sicherheitsoptionen auf Benutzer oder Gruppe ändern , und geben Sie SYSTEM ein. Klicken Sie auf Namen überprüfen und dann auf OK. NT AUTHORITY\SYSTEM wird als Benutzerkonto angezeigt, unter dem die Aufgabe ausgeführt wird.

5. Wählen Sie Ausführen aus, ob der Benutzer angemeldet ist oder nicht , und aktivieren Sie das Kontrollkästchen Mit den höchsten Berechtigungen ausführen .

6. Wechseln Sie zur Registerkarte Aktionen, und klicken Sie auf Neu. Stellen Sie sicher, dass Programm starten im Feld Aktion ausgewählt ist. Geben Sie Folgendes ein:

   Action = "Start a program"

   Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

   Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

   Wählen Sie dann OK aus, und schließen Sie alle geöffneten GPMC-Fenster.

Szenario 3: Onboarding mithilfe von Verwaltungstools

Wenn Sie Planen, Ihre Computer mithilfe eines Verwaltungstools zu verwalten, können Sie Geräte mit Microsoft Endpoint Configuration Manager integrieren.

Weitere Informationen finden Sie unter Onboarding von Windows-Geräten mithilfe von Configuration Manager.

Warnung

Wenn Sie planen, die Regel zur Verringerung der Angriffsfläche zu verwenden, beachten Sie, dass die Regel "Prozesserstellungen aus PSExec- und WMI-Befehlen blockieren" nicht verwendet werden sollte, da diese Regel nicht mit der Verwaltung über Microsoft Endpoint Configuration Manager kompatibel ist. Die Regel blockiert WMI-Befehle, die der Configuration Manager-Client verwendet, um ordnungsgemäß zu funktionieren.

Tipp

Nach dem Onboarding des Geräts können Sie einen Erkennungstest ausführen, um zu überprüfen, ob das Gerät ordnungsgemäß in den Dienst integriert ist. Weitere Informationen finden Sie unter Ausführen eines Erkennungstests auf einem neu integrierten Microsoft Defender für Endpunkt-Gerät.

Markieren Ihrer Computer beim Erstellen Ihres goldenen Images

Im Rahmen ihres Onboardings sollten Sie erwägen, ein Computertag festzulegen, um AVD-Computer einfacher im Microsoft Security Center zu unterscheiden. Weitere Informationen finden Sie unter Hinzufügen von Gerätetags durch Festlegen eines Registrierungsschlüsselwerts.

Weitere empfohlene Konfigurationseinstellungen

Wenn Sie Ihr goldenes Image erstellen, sollten Sie auch die anfänglichen Schutzeinstellungen konfigurieren. Weitere Informationen finden Sie unter Weitere empfohlene Konfigurationseinstellungen.

Wenn Sie FSlogix-Benutzerprofile verwenden, empfiehlt es sich außerdem, die unter FSLogix-Antivirenausschlüsse beschriebenen Anleitungen zu befolgen.

Lizenzierungsanforderungen

Bei Verwendung von Windows Enterprise mit mehreren Sitzungen kann der virtuelle Computer gemäß unseren bewährten Sicherheitsmethoden über Microsoft Defender für Server lizenziert werden, oder Sie können festlegen, dass alle Benutzer von Virtuellen Azure Virtual Desktop-Computern über eine der folgenden Lizenzen lizenziert werden sollen:

• Microsoft Defender für Endpunkt Plan 1 oder Plan 2 (pro Benutzer)
• Windows Enterprise E3
• Windows Enterprise E5
• Microsoft 365 E3
• Microsoft 365 E5 Security
• Microsoft 365 E5

Lizenzierungsanforderungen für Microsoft Defender für Endpunkt finden Sie unter Lizenzierungsanforderungen.

Links zu verwandten Themen

Hinzufügen von Ausschlüssen für Defender für Endpunkt über PowerShell

FSLogix-Antischadsoftwareausschlüsse

Konfigurieren von Microsoft Defender Antivirus auf einer Remotedesktop- oder virtuellen Desktopinfrastrukturumgebung

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.