Incorporación de dispositivos Windows en Azure Virtual Desktop
6 minutos para leer
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Sesión múltiple de Windows que se ejecuta en Azure Virtual Desktop (AVD)
- Sesión múltiple de Windows 10 Enterprise
Microsoft Defender para punto de conexión admite la supervisión de sesiones de VDI y Azure Virtual Desktop. En función de las necesidades de su organización, es posible que tenga que implementar sesiones de VDI o Azure Virtual Desktop para ayudar a los empleados a acceder a datos corporativos y aplicaciones desde un dispositivo no administrado, una ubicación remota o un escenario similar. Con Microsoft Defender para punto de conexión, puede supervisar estas máquinas virtuales para detectar actividad anómala.
Antes de empezar
Familiarícese con las consideraciones de VDI no persistente. Aunque Azure Virtual Desktop no proporciona opciones de no persistencia, proporciona formas de usar una imagen dorada de Windows que se puede usar para aprovisionar nuevos hosts y volver a implementar máquinas. Esto aumenta la volatilidad en el entorno y, por tanto, afecta a las entradas que se crean y mantienen en el portal de Microsoft Defender para punto de conexión, lo que puede reducir la visibilidad de los analistas de seguridad.
Nota:
En función del método de incorporación que elija, los dispositivos pueden aparecer en el portal de Microsoft Defender para punto de conexión como:
- Entrada única para cada escritorio virtual
- Varias entradas para cada escritorio virtual
Microsoft recomienda incorporar Azure Virtual Desktop como una sola entrada por escritorio virtual. Esto garantiza que la experiencia de investigación en el portal de Microsoft Defender para punto de conexión se encuentra en el contexto de un dispositivo en función del nombre del equipo. Las organizaciones que eliminan y vuelven a implementar hosts AVD con frecuencia deben considerar el uso de este método, ya que impide que se creen varios objetos para la misma máquina en el portal de Microsoft Defender para punto de conexión. Esto puede provocar confusión al investigar incidentes. Para entornos de prueba o no volátiles, puede optar por elegir de forma diferente.
Microsoft recomienda agregar el script de incorporación de Microsoft Defender para punto de conexión a la imagen dorada de AVD. De este modo, puede estar seguro de que este script de incorporación se ejecuta inmediatamente en el primer arranque. Se ejecuta como un script de inicio en el primer arranque en todas las máquinas AVD aprovisionadas desde la imagen dorada de AVD. Sin embargo, si usa una de las imágenes de la galería sin modificaciones, coloque el script en una ubicación compartida y llámalo desde la directiva de grupo local o de dominio.
Nota:
La ubicación y configuración del script de inicio de incorporación de VDI en la imagen dorada de AVD lo configura como un script de inicio que se ejecuta cuando se inicia el AVD. No se recomienda incorporar la imagen dorada real de AVD. Otra consideración es el método usado para ejecutar el script. Debe ejecutarse lo antes posible en el proceso de inicio o aprovisionamiento para reducir el tiempo entre la máquina que está disponible para recibir sesiones y la incorporación del dispositivo al servicio. Los siguientes escenarios 1 y 2 tienen esto en cuenta.
Escenarios
Hay varias maneras de incorporar una máquina host avd:
- Ejecute el script en la imagen dorada (o desde una ubicación compartida) durante el inicio.
- Use una herramienta de administración para ejecutar el script.
- Mediante la integración con Microsoft Defender for Cloud
Escenario 1: Uso de la directiva de grupo local
Este escenario requiere colocar el script en una imagen dorada y usa la directiva de grupo local para ejecutarse al principio del proceso de arranque.
Use las instrucciones de Incorporación de dispositivos de infraestructura de escritorio virtual (VDI) no persistentes.
Siga las instrucciones de una sola entrada para cada dispositivo.
Escenario 2: Uso de la directiva de grupo de dominio
En este escenario se usa un script de ubicación central y se ejecuta mediante una directiva de grupo basada en dominio. También puede colocar el script en la imagen dorada y ejecutarlo de la misma manera.
Descargue el archivo WindowsDefenderATPOnboardingPackage.zip desde el portal de Microsoft Defender.
Abra el archivo de .zip del paquete de configuración de VDI (WindowsDefenderATPOnboardingPackage.zip)
- En el panel de navegación del portal de Microsoft Defender, seleccione Configuración>Puntos de conexión>Incorporación (en Administración de dispositivos).
- Seleccione Windows 10 o Windows 11 como sistema operativo.
- En el campo Método de implementación , seleccione Scripts de incorporación de VDI para puntos de conexión no persistentes.
- Haga clic en Descargar paquete y guarde el archivo .zip.
Extraiga el contenido del archivo .zip en una ubicación compartida de solo lectura a la que pueda acceder el dispositivo. Debe tener una carpeta denominada OptionalParamsPolicy y los archivos WindowsDefenderATPOnboardingScript.cmd y Onboard-NonPersistentMachine.ps1.
Uso de la consola de administración de directivas de grupo para ejecutar el script cuando se inicia la máquina virtual
Abra la Consola de administración de directivas de grupo (GPMC), haga clic con el botón derecho en el objeto de directiva de grupo (GPO) que desea configurar y haga clic en Editar.
En el Editor de administración de directivas de grupo, vaya a Configuración del equipo>Preferencias>Configuración del panel de control.
Haga clic con el botón derecho en Tareas programadas, haga clic en Nuevoy, a continuación, haga clic en Tarea inmediata (al menos Windows 7).
En la ventana Tarea que se abre, vaya a la pestaña General . En Opciones de seguridad , haga clic en Cambiar usuario o grupo y escriba SYSTEM. Haga clic en Comprobar nombres y, a continuación, haga clic en Aceptar. NT AUTHORITY\SYSTEM aparece como la cuenta de usuario como se ejecutará la tarea.
Seleccione Ejecutar si el usuario ha iniciado sesión o no y active la casilla Ejecutar con los privilegios más altos .
Vaya a la pestaña Acciones y haga clic en Nuevo. Asegúrese de que Iniciar un programa está seleccionado en el campo Acción. Especifique lo siguiente:
Action = "Start a program"
Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe
Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"
A continuación, seleccione Aceptar y cierre las ventanas de GPMC abiertas.
Escenario 3: Incorporación mediante herramientas de administración
Si planea administrar las máquinas mediante una herramienta de administración, puede incorporar dispositivos con Microsoft Endpoint Configuration Manager.
Para obtener más información, consulte Incorporación de dispositivos Windows mediante Configuration Manager.
Advertencia
Si tiene previsto usar la referencia de reglas de reducción de superficie expuesta a ataques, tenga en cuenta que no se debe usar la regla "Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI", ya que esa regla no es compatible con la administración a través de Microsoft Endpoint Configuration Manager. La regla bloquea los comandos WMI que el cliente de Configuration Manager usa para funcionar correctamente.
Sugerencia
Después de incorporar el dispositivo, puede optar por ejecutar una prueba de detección para comprobar que el dispositivo está incorporado correctamente al servicio. Para obtener más información, consulte Ejecución de una prueba de detección en un dispositivo de Microsoft Defender para punto de conexión recién incorporado.
Etiquetado de las máquinas al compilar la imagen dorada
Como parte de la incorporación, es posible que quiera considerar la posibilidad de establecer una etiqueta de máquina para diferenciar las máquinas AVD más fácilmente en Microsoft Security Center. Para obtener más información, vea Agregar etiquetas de dispositivo estableciendo un valor de clave del Registro.
Otras opciones de configuración recomendadas
Al compilar la imagen dorada, es posible que también quiera configurar los valores de protección iniciales. Para obtener más información, consulte Otras opciones de configuración recomendadas.
Además, si usa perfiles de usuario de FSlogix, se recomienda seguir las instrucciones descritas en Exclusiones de antivirus de FSLogix.
Requisitos de licencias
Cuando se usa Windows Enterprise multisesión, según nuestros procedimientos recomendados de seguridad, la máquina virtual se puede obtener con licencia a través de Microsoft Defender para servidores o puede optar por tener licencia para todos los usuarios de máquinas virtuales de Azure Virtual Desktop mediante una de las siguientes licencias:
- Plan 1 o Plan 2 de Microsoft Defender para punto de conexión (por usuario)
- Windows Enterprise E3
- Windows Enterprise E5
- Microsoft 365 E3
- Seguridad de Microsoft 365 E5
- Microsoft 365 E5
Los requisitos de licencia de Microsoft Defender para punto de conexión se pueden encontrar en: Requisitos de licencia.
Vínculos relacionados
Adición de exclusiones para Defender para punto de conexión a través de PowerShell
Exclusiones de antimalware de FSLogix
Sugerencia
¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.