Sesiones de Microsoft Defender para punto de conexión para Azure Virtual Desktop

  • 5 minutos

Microsoft Defender para punto de conexión admite la supervisión de sesiones de VDI y Azure Virtual Desktop. En función de las necesidades de su organización, es posible que tenga que implementar sesiones de VDI o Azure Virtual Desktop para ayudar a los empleados a acceder a datos y aplicaciones corporativos desde un dispositivo no administrado, una ubicación remota o un escenario similar. Con Microsoft Defender para punto de conexión, puede supervisar estas máquinas virtuales para detectar actividades anómalas.

Aunque Azure Virtual Desktop no proporciona opciones de no persistencia, proporciona formas de usar una imagen dorada de Windows que se puede usar para aprovisionar nuevos hosts y volver a implementar máquinas. Esto aumenta la volatilidad en el entorno y, por tanto, afecta a las entradas que se crean y mantienen en el portal de Microsoft Defender para punto de conexión, lo que podría reducir la visibilidad de los analistas de seguridad.

En función de su elección del método de incorporación, los dispositivos pueden aparecer en el portal de Microsoft Defender para punto de conexión como:

  • Entrada única para cada escritorio virtual
  • Varias entradas para cada escritorio virtual

Microsoft recomienda incorporar Azure Virtual Desktop como una sola entrada por escritorio virtual. Esto garantiza que la experiencia de investigación en el portal de Microsoft Defender para punto de conexión esté en el contexto de un dispositivo basado en el nombre del equipo. Las organizaciones que suelen eliminar y volver a implementar hosts de AVD deben considerar seriamente el uso de este método, ya que impide que se creen varios objetos para la misma máquina en el portal de Microsoft Defender para punto de conexión. Esto puede provocar confusión al investigar incidentes. Para entornos de prueba o no volátiles, puede optar por elegir de forma diferente.

Microsoft recomienda agregar el script de incorporación de Microsoft Defender para punto de conexión a la imagen dorada de AVD. De este modo, puede asegurarse de que este script de incorporación se ejecuta inmediatamente en el primer arranque. Se ejecuta como un script de inicio al principio de arranque en todas las máquinas AVD que se aprovisionan desde la imagen dorada de AVD. Sin embargo, si usa una de las imágenes de la galería sin modificaciones, coloque el script en una ubicación compartida y llámelo desde una directiva de grupo de dominio o local.

Nota:

La colocación y configuración del script de inicio de incorporación de VDI en la imagen maestra de AVD la configura como un script de inicio que se ejecuta cuando se inicia el AVD. No se recomienda incorporar la imagen maestra AVD real. Otra consideración es el método usado para ejecutar el script. Debe ejecutarse tan pronto como sea posible en el proceso de inicio o aprovisionamiento para reducir el tiempo entre la máquina que está disponible para recibir sesiones y la incorporación de dispositivos al servicio. A continuación se muestran los escenarios 1 y 2.

Escenarios

Hay varias maneras de incorporar una máquina host de AVD:

Escenario 1: Uso de directiva de grupo local

Este escenario requiere colocar el script en una imagen maestra y usar la directiva de grupo local para ejecutarse al principio del proceso de arranque.

Siga las instrucciones de Incorporación de los dispositivos de infraestructura de escritorio virtual (VDI) no persistentes.

Siga las instrucciones de una sola entrada para cada dispositivo.

Escenario 2: Uso de la directiva de grupo de dominio

En este escenario se usa un script ubicado centralmente y se ejecuta mediante una directiva de grupo basada en dominio. También puede colocar el script en la imagen maestra y ejecutarlo de la misma manera.

Descargue el archivo WindowsDefenderATPOnboardingPackage.zip desde el portal de Microsoft Defender

  1. Abra el archivo .zip del paquete de configuración VDI (WindowsDefenderATPOnboardingPackage.zip)

    1. En el panel de navegación del portal de Microsoft Defender, seleccione Configuración>Puntos de conexión>Incorporación (en Administración de dispositivos).
    2. Seleccione Windows 10 o Windows 11 como sistema operativo.
    3. En el campo Método de implementación, seleccione Scripts de incorporación de VDI para puntos de conexión no persistentes.
    4. Haga clic en Descargar paquete y guarde el archivo .zip.

  2. Extraiga el contenido del archivo .zip en una ubicación compartida de solo lectura a la que pueda acceder el dispositivo. Debe tener una carpeta denominada OptionalParamsPolicy y los archivos WindowsDefenderATPOnboardingScript.cmd y Onboard-NonPersistentMachine.ps1.

Use la consola de administración de directivas de grupo para ejecutar el script cuando se inicie la máquina virtual

  1. Abra la Consola de administración de directivas de grupo (GPMC), haga clic con el botón derecho en el objeto de directiva de grupo (GPO) que desea configurar y haga clic en Editar.

  2. En el Editor de administración de directivas de grupo, vaya a Configuración del equipo>Preferencias>Configuración del panel de control.

  3. Haga clic con el botón derecho en Tareas programadas, haga clic en Nuevo y, a continuación, haga clic en Tarea inmediata (al menos Windows 7).

  4. En la ventana de Tarea que se abre, vaya a la pestaña General. En Opciones de seguridad, haga clic en Cambiar usuario o grupo y escriba SYSTEM. Haga clic en Comprobar nombres y, a continuación, haga clic en Aceptar. NT AUTHORITY\SYSTEM aparece como la cuenta de usuario en la que se ejecutará la tarea.

  5. Seleccione Ejecutar si el usuario ha iniciado sesión o no y active la casilla Ejecutar con privilegios más altos.

  6. Vaya a la pestaña Acciones y haga clic en Nuevo. Asegúrese de que Iniciar un programa está seleccionado en el campo Acción. Escriba lo siguiente:

    Acción = "Iniciar un programa"

    Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

    Agregue argumentos (opcional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

    A continuación, seleccione Aceptar y cierre las ventanas de GPMC abiertas.

Escenario 3: Incorporación mediante herramientas de administración

Si planea administrar las máquinas mediante una herramienta de administración, puede incorporar dispositivos directamente a Microsoft Endpoint Configuration.

Sugerencia

Después de incorporar el dispositivo, puede optar por ejecutar una prueba de detección para comprobar que el dispositivo está incorporado correctamente al servicio. Para obtener más información, consulte Ejecución de una prueba de detección en un dispositivo de Microsoft Defender para punto de conexión recién incorporado.

Etiquetado de las máquinas al compilar la imagen maestra

Como parte de la incorporación, puede considerar la posibilidad de establecer una etiqueta de máquina para diferenciar las máquinas AVD con mayor facilidad en Microsoft Security Center. Para obtener más información, consulte Adición de etiquetas de dispositivo estableciendo un valor de clave del Registro.

Al compilar la imagen maestra, es posible que también desee configurar las opciones de protección inicial. Para obtener más información, consulte Otras opciones de configuración recomendadas.

Además, si usa perfiles de usuario de FSlogix, se recomienda seguir las instrucciones descritas en Exclusiones de antivirus de FSLogix.

Requisitos de licencia

Nota sobre las licencias: Al usar la sesión múltiple de Windows Enterprise, en función de sus requisitos, puede optar por tener todos los usuarios con licencia a través de Microsoft Defender para punto de conexión (por usuario), Windows Enterprise E5, Microsoft 365 E5 Security o Microsoft 365 E5, o tener la máquina virtual con licencia a través de Microsoft Defender for Cloud. Los requisitos de licencia para Microsoft Defender para punto de conexión se pueden encontrar en: Requisitos de concesión de licencia.