Condividi tramite

Eseguire l'onboarding di dispositivi VDI (Virtual Desktop Infrastructure) non persistenti in Microsoft Defender XDR

  • Articolo

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Virtual Desktop Infrastructure (VDI) è un concetto di infrastruttura IT che consente agli utenti finali di accedere alle istanze di desktop virtuali aziendali da quasi tutti i dispositivi (ad esempio il personal computer, lo smartphone o il tablet), eliminando la necessità per l'organizzazione di fornire agli utenti computer fisici. L'uso di dispositivi VDI riduce i costi, in quanto i reparti IT non sono più responsabili della gestione, della riparazione e della sostituzione degli endpoint fisici. Gli utenti autorizzati possono accedere agli stessi server aziendali, file, app e servizi da qualsiasi dispositivo approvato tramite un client desktop o un browser sicuro.

Come qualsiasi altro sistema in un ambiente IT, i dispositivi VDI devono avere una soluzione di rilevamento e risposta degli endpoint (EDR) e antivirus per la protezione da minacce e attacchi avanzati.

Nota

VDI persistenti: l'onboarding di un computer VDI persistente in Microsoft Defender per endpoint viene gestito nello stesso modo in cui si esegue l'onboarding di un computer fisico, ad esempio un desktop o un portatile. Per eseguire l'onboarding di un computer persistente, è possibile usare criteri di gruppo, Microsoft Configuration Manager e altri metodi. Nel portale di Microsoft Defender (https://security.microsoft.com) in Onboarding selezionare il metodo di onboarding preferito e seguire le istruzioni per tale tipo. Per altre informazioni, vedere Onboarding del client Windows.

Onboarding di dispositivi VDI (Virtual Desktop Infrastructure) non persistenti

Defender per endpoint supporta l'onboarding di sessioni VDI non persistenti. Potrebbero verificarsi problemi associati durante l'onboarding di istanze VDI. Di seguito sono riportate le problematiche tipiche di questo scenario:

  • Onboarding immediato anticipato di una sessione di breve durata, che deve essere onboarding in Defender per endpoint prima del provisioning effettivo.

  • Il nome del dispositivo viene in genere riutilizzato per le nuove sessioni.

  • In un ambiente VDI, le istanze di VDI possono avere una durata di vita breve. I dispositivi VDI possono essere visualizzati nel portale di Microsoft Defender come voci singole per ogni istanza di VDI o come più voci per ogni dispositivo.

    • Voce singola per ogni istanza VDI. Se l'istanza di VDI è già stata caricata in Microsoft Defender per endpoint e a un certo punto eliminata e quindi ricreata con lo stesso nome host, nel portale NON viene creato un nuovo oggetto che rappresenta questa istanza VDI. In questo caso, lo stesso nome del dispositivo deve essere configurato al momento della creazione della sessione, ad esempio usando un file di risposte automatico.

    • Più voci per ogni dispositivo, una per ogni istanza VDI.

Importante

Se si distribuiscono VM non persistenti tramite la tecnologia di clonazione, assicurarsi che le macchine virtuali del modello interno non vengano sottoposte a onboarding in Defender per endpoint. Questa raccomandazione consiste nell'evitare l'onboarding delle macchine virtuali clonate con lo stesso senseGuid delle macchine virtuali modello, che potrebbero impedire alle macchine virtuali di essere visualizzate come nuove voci nell'elenco Dispositivi.

La procedura seguente illustra l'onboarding dei dispositivi VDI ed evidenzia i passaggi per singole voci e più voci.

Avviso

Per gli ambienti in cui le configurazioni delle risorse sono scarse, la procedura di avvio VDI potrebbe rallentare l'onboarding del sensore Defender per endpoint.

Passaggi di onboarding

Nota

Windows Server 2016 e Windows Server 2012 R2 devono essere preparati applicando prima il pacchetto di installazione usando le istruzioni in Onboard Windows servers per il funzionamento di questa funzionalità.

  1. Aprire il file del pacchetto di configurazione VDI (WindowsDefenderATPOnboardingPackage.zip) scaricato dalla procedura guidata di onboarding del servizio. È anche possibile ottenere il pacchetto dal portale di Microsoft Defender.

    1. Nel riquadro di spostamento selezionare Impostazioni>Endpoint>Gestione> dispositiviOnboarding.

    2. Selezionare il sistema operativo.

    3. Nel campo Metodo di distribuzione selezionare Script di onboarding VDI per endpoint non persistenti.

    4. Selezionare Scarica pacchetto e salvare il file.

  2. Copiare i file dalla WindowsDefenderATPOnboardingPackage cartella estratta dalla cartella compressa nell'immagine dorata/primaria nel percorso C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    • Se si implementano più voci per ogni dispositivo, una per ogni sessione, copiare WindowsDefenderATPOnboardingScript.cmd.

    • Se si implementa una singola voce per ogni dispositivo, copiare sia Onboard-NonPersistentMachine.ps1 che WindowsDefenderATPOnboardingScript.cmd.

    Nota

    Se la cartella non viene visualizzata C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup , potrebbe essere nascosta. È necessario scegliere l'opzione Mostra file e cartelle nascosti da Esplora file.

  3. Aprire una finestra Criteri di gruppo Editor locale e passare a Configurazione> computerImpostazioni di Windows Script>>di avvio.

    Nota

    È anche possibile usare Criteri di gruppo di dominio per l'onboarding di dispositivi VDI non persistenti.

  4. A seconda del metodo che si vuole implementare, seguire la procedura appropriata:

    Metodo Procedura
    Voce singola per ogni dispositivo 1. Selezionare la scheda Script di PowerShell , quindi selezionare Aggiungi (Esplora risorse si apre direttamente nel percorso in cui è stato copiato lo script di onboarding in precedenza).
    2. Passare all'onboarding dello script Onboard-NonPersistentMachine.ps1di PowerShell. Non è necessario specificare l'altro file, perché viene attivato automaticamente.
    Più voci per ogni dispositivo 1. Selezionare la scheda Script , quindi selezionare Aggiungi (Esplora risorse si apre direttamente nel percorso in cui è stato copiato lo script di onboarding in precedenza).
    2. Passare allo script WindowsDefenderATPOnboardingScript.cmdbash di onboarding.

  5. Testare la soluzione seguendo questa procedura:

    1. Creare un pool con un dispositivo.

    2. Accedere al dispositivo.

    3. Disconnettersi dal dispositivo.

    4. Accedere al dispositivo usando un altro account.

    5. A seconda del metodo che si vuole implementare, seguire la procedura appropriata:

  6. Nel riquadro di spostamento selezionare Elenco Dispositivi.

  7. Usare la funzione di ricerca immettendo il nome del dispositivo e selezionare Dispositivo come tipo di ricerca.

Per gli SKU di livello inferiore (Windows Server 2008 R2)

Nota

Queste istruzioni per altre versioni di Windows Server si applicano anche se si eseguono le Microsoft Defender per endpoint precedenti per Windows Server 2016 e Windows Server 2012 R2 che richiede MMA. Le istruzioni per la migrazione alla nuova soluzione unificata sono disponibili negli scenari di migrazione del server in Microsoft Defender per endpoint.

Il registro seguente è rilevante solo quando l'obiettivo è ottenere una singola voce per ogni dispositivo.

  1. Impostare il valore del Registro di sistema come indicato di seguito:

    
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
 "VDI"="NonPersistent"

    In alternativa, è possibile usare la riga di comando come indicato di seguito:

    
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Seguire il processo di onboarding del server.

Aggiornamento di immagini VDI (Virtual Desktop Infrastructure) (persistenti o non persistenti)

Con la possibilità di distribuire facilmente gli aggiornamenti alle macchine virtuali in esecuzione nelle VM, questa guida è stata abbreviata per concentrarsi su come ottenere gli aggiornamenti nei computer in modo rapido e semplice. Non è più necessario creare e sigillare immagini dorate su base periodica, poiché gli aggiornamenti vengono espansi nei relativi bit del componente nel server host e quindi scaricati direttamente nella macchina virtuale quando sono attivati.

Se è stato eseguito l'onboarding dell'immagine primaria dell'ambiente VDI (il servizio SENSE è in esecuzione), è necessario eseguire l'offboarding e cancellare alcuni dati prima di riportare l'immagine nell'ambiente di produzione.

  1. Fuoribordo della macchina.

  2. Verificare che il sensore venga arrestato eseguendo il comando seguente in una finestra CMD:

    
sc query sense

  3. Eseguire i comandi seguenti in una finestra cmd::

    
del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

Si usa una terza parte per gli uri virtuali?

Se si distribuiscono VM non persistenti tramite la clonazione immediata di VMware o tecnologie simili, assicurarsi che le macchine virtuali del modello interno e le macchine virtuali di replica non siano onboarding in Defender per endpoint. Se si esegue l'onboarding dei dispositivi usando il metodo di immissione singola, i cloni istantanei di cui viene effettuato il provisioning dalle macchine virtuali di cui è stato eseguito l'onboarding potrebbero avere lo stesso senseGuid e che possono impedire l'elenco di una nuova voce nella visualizzazione Inventario dispositivi (nel portale di Microsoft Defender scegliere Dispositivi asset>).

Se l'immagine primaria, la macchina virtuale modello o la macchina virtuale di replica vengono sottoposte a onboarding in Defender per endpoint usando il metodo a voce singola, defender per endpoint non crea voci per le nuove interfacce virtuali non persistenti nel portale di Microsoft Defender.

Contattare i fornitori di terze parti per ulteriore assistenza.

Dopo l'onboarding dei dispositivi nel servizio, è importante sfruttare le funzionalità di protezione dalle minacce incluse abilitandoli con le impostazioni di configurazione consigliate seguenti.

Configurazione della protezione di nuova generazione

Le impostazioni di configurazione in questo collegamento sono consigliate: Configurare Microsoft Defender Antivirus in un ambiente di infrastruttura desktop remoto o desktop virtuale.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.