Intégrer des appareils Windows dans Azure Virtual Desktop
6 minutes de lecture
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Windows multisession s’exécutant sur Azure Virtual Desktop (AVD)
- Windows 10 Entreprise Multisession
Microsoft Defender pour point de terminaison prend en charge la supervision des sessions VDI et Azure Virtual Desktop. Selon les besoins de votre organisation, vous devrez peut-être implémenter des sessions VDI ou Azure Virtual Desktop pour aider vos employés à accéder aux données et applications d’entreprise à partir d’un appareil non géré, d’un emplacement distant ou d’un scénario similaire. Avec Microsoft Defender pour point de terminaison, vous pouvez surveiller ces machines virtuelles pour détecter les activités anormales.
Avant de commencer
Familiarisez-vous avec les considérations relatives à l’infrastructure VDI non persistante. Bien qu’Azure Virtual Desktop ne fournisse pas d’options de non-persistance, il fournit des moyens d’utiliser une image Windows dorée qui peut être utilisée pour provisionner de nouveaux hôtes et redéployer des machines. Cela augmente la volatilité de l’environnement et a donc un impact sur les entrées créées et gérées dans le portail Microsoft Defender pour point de terminaison, ce qui peut réduire la visibilité de vos analystes de sécurité.
Remarque
Selon votre choix de méthode d’intégration, les appareils peuvent apparaître dans le portail Microsoft Defender pour point de terminaison comme suit :
- Entrée unique pour chaque bureau virtuel
- Plusieurs entrées pour chaque bureau virtuel
Microsoft recommande l’intégration d’Azure Virtual Desktop en tant qu’entrée unique par bureau virtuel. Cela garantit que l’expérience d’investigation dans le portail Microsoft Defender pour point de terminaison est dans le contexte d’un appareil en fonction du nom de la machine. Les organisations qui suppriment et redéployent fréquemment des hôtes AVD doivent fortement envisager d’utiliser cette méthode, car elle empêche la création de plusieurs objets pour le même ordinateur dans le portail Microsoft Defender pour point de terminaison. Cela peut entraîner une confusion lors de l’examen des incidents. Pour les environnements de test ou non volatiles, vous pouvez choisir différemment.
Microsoft recommande d’ajouter le script d’intégration Microsoft Defender pour point de terminaison à l’image d’or AVD. De cette façon, vous pouvez être sûr que ce script d’intégration s’exécute immédiatement au premier démarrage. Il est exécuté en tant que script de démarrage au premier démarrage sur toutes les machines AVD approvisionnées à partir de l’image d’or AVD. Toutefois, si vous utilisez l’une des images de la galerie sans modification, placez le script dans un emplacement partagé et appelez-le à partir de la stratégie de groupe locale ou de domaine.
Remarque
Le placement et la configuration du script de démarrage d’intégration VDI sur l’image d’or AVD le configure en tant que script de démarrage qui s’exécute au démarrage de l’AVD. Il n’est pas recommandé d’intégrer l’image d’or AVD réelle. Une autre considération est la méthode utilisée pour exécuter le script. Il doit s’exécuter le plus tôt possible dans le processus de démarrage/approvisionnement pour réduire le temps entre la disponibilité de l’ordinateur pour recevoir des sessions et l’intégration de l’appareil au service. Les scénarios 1 et 2 ci-dessous en tiennent compte.
Scénarios
Il existe plusieurs façons d’intégrer un ordinateur hôte AVD :
- Exécutez le script dans l’image dorée (ou à partir d’un emplacement partagé) au démarrage.
- Utilisez un outil de gestion pour exécuter le script.
- Via l’intégration à Microsoft Defender pour le cloud
Scénario 1 : Utilisation de la stratégie de groupe locale
Ce scénario nécessite de placer le script dans une image en or et utilise une stratégie de groupe locale pour s’exécuter au début du processus de démarrage.
Suivez les instructions fournies dans Intégrer les appareils VDI (Virtual Desktop Infrastructure) non persistants.
Suivez les instructions pour une entrée unique pour chaque appareil.
Scénario 2 : Utilisation de la stratégie de groupe de domaine
Ce scénario utilise un script situé de manière centralisée et l’exécute à l’aide d’une stratégie de groupe basée sur un domaine. Vous pouvez également placer le script dans l’image dorée et l’exécuter de la même façon.
Télécharger le fichier WindowsDefenderATPOnboardingPackage.zip à partir du portail Microsoft Defender
Ouvrez le fichier .zip du package de configuration VDI (WindowsDefenderATPOnboardingPackage.zip)
- Dans le volet de navigation du portail Microsoft Defender, sélectionnez Paramètres> Intégrationdes points> de terminaison(sousGestion des appareils).
- Sélectionnez Windows 10 ou Windows 11 comme système d’exploitation.
- Dans le champ Méthode de déploiement , sélectionnez Scripts d’intégration VDI pour les points de terminaison non persistants.
- Cliquez sur Télécharger le package et enregistrez le fichier .zip.
Extrayez le contenu du fichier .zip dans un emplacement partagé en lecture seule accessible par l’appareil. Vous devez avoir un dossier appelé OptionalParamsPolicy et les fichiers WindowsDefenderATPOnboardingScript.cmd et Onboard-NonPersistentMachine.ps1.
Utiliser la console de gestion des stratégies de groupe pour exécuter le script au démarrage de la machine virtuelle
Ouvrez la console de gestion des stratégies de groupe (GPMC), cliquez avec le bouton droit sur l’objet de stratégie de groupe (GPO) que vous souhaitez configurer, puis cliquez sur Modifier.
Dans l’Éditeur de gestion des stratégies de groupe, accédez à Paramètres de configuration> de l’ordinateurParamètres>du Panneau de configuration.
Cliquez avec le bouton droit sur Tâches planifiées, cliquez sur Nouveau, puis cliquez sur Tâche immédiate (Au moins Windows 7).
Dans la fenêtre Tâche qui s’ouvre, accédez à l’onglet Général . Sous Options de sécurité , cliquez sur Modifier l’utilisateur ou le groupe , puis tapez SYSTÈME. Cliquez sur Vérifier les noms , puis sur OK. NT AUTHORITY\SYSTEM apparaît comme le compte d’utilisateur sous lequel la tâche s’exécutera.
Sélectionnez Exécuter si l’utilisateur est connecté ou non , puis cochez la case Exécuter avec les privilèges les plus élevés .
Accédez à l’onglet Actions , puis cliquez sur Nouveau. Vérifiez que Démarrer un programme est sélectionné dans le champ Action. Entrez les informations suivantes :
Action = "Start a program"
Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe
Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"
Sélectionnez ensuite OK et fermez toutes les fenêtres de la console GPMC ouvertes.
Scénario 3 : Intégration à l’aide d’outils de gestion
Si vous envisagez de gérer vos machines à l’aide d’un outil de gestion, vous pouvez intégrer des appareils avec Microsoft Endpoint Configuration Manager.
Pour plus d’informations, consultez Intégrer des appareils Windows à l’aide de Configuration Manager.
Avertissement
Si vous envisagez d’utiliser la référence des règles de réduction de la surface d’attaque, notez que la règle « Bloquer les créations de processus provenant des commandes PSExec et WMI » ne doit pas être utilisée, car cette règle n’est pas compatible avec la gestion via Microsoft Endpoint Configuration Manager. La règle bloque les commandes WMI que le client Configuration Manager utilise pour fonctionner correctement.
Conseil
Après l’intégration de l’appareil, vous pouvez choisir d’exécuter un test de détection pour vérifier que l’appareil est correctement intégré au service. Pour plus d’informations, consultez Exécuter un test de détection sur un appareil Microsoft Defender pour point de terminaison nouvellement intégré.
Étiquetage de vos machines lors de la création de votre image dorée
Dans le cadre de votre intégration, vous pouvez envisager de définir une étiquette de machine pour différencier plus facilement les machines AVD dans microsoft Security Center. Pour plus d’informations, consultez Ajouter des balises d’appareil en définissant une valeur de clé de Registre.
Autres paramètres de configuration recommandés
Lors de la création de votre image golden, vous pouvez également configurer les paramètres de protection initiaux. Pour plus d’informations, consultez Autres paramètres de configuration recommandés.
En outre, si vous utilisez des profils utilisateur FSlogix, nous vous recommandons de suivre les instructions décrites dans Exclusions de l’antivirus FSLogix.
Conditions d'octroi de licence
Lorsque vous utilisez Windows Entreprise multisession, conformément à nos meilleures pratiques de sécurité, la machine virtuelle peut être concédée sous licence via Microsoft Defender pour serveurs ou vous pouvez choisir d’avoir tous les utilisateurs de machine virtuelle Azure Virtual Desktop sous licence via l’une des licences suivantes :
- Microsoft Defender pour point de terminaison Plan 1 ou Plan 2 (par utilisateur)
- Windows Entreprise E3
- Windows Entreprise E5
- Microsoft 365 E3
- Microsoft 365 E5 Sécurité
- Microsoft 365 E5
Vous trouverez les conditions de licence pour Microsoft Defender pour point de terminaison à l’adresse : Conditions requises pour les licences.
Liens connexes
Ajouter des exclusions pour Defender pour point de terminaison via PowerShell
Exclusions anti-programmes malveillants FSLogix
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.