Sessioni di Microsoft Defender per endpoint per Desktop virtuale Azure

Completato

Microsoft Defender per endpoint supporta il monitoraggio sia delle sessioni VDI che di Desktop virtuale Azure. A seconda delle esigenze dell'organizzazione, potrebbe essere necessario implementare sessioni VDI o Desktop virtuale Azure per consentire ai dipendenti di accedere ai dati e alle app aziendali da un dispositivo non gestito, da una posizione remota o da uno scenario simile. Con Microsoft Defender per endpoint, è possibile monitorare queste macchine virtuali per individuare attività anomale.

Anche se Desktop virtuale Azure non offre opzioni di non persistenza, fornisce soluzioni per utilizzare un'immagine aurea di Windows che può essere usata per effettuare il provisioning di nuovi host e ridistribuire i computer. Ciò aumenta la volatilità nell'ambiente e quindi influisce sulle voci create e gestite nel portale di Microsoft Defender per endpoint, riducendo potenzialmente la visibilità per gli analisti della sicurezza.

A seconda della scelta del metodo di onboarding, i dispositivi possono essere visualizzati nel portale Microsoft Defender for Endpoint come:

• Voce singola per ogni desktop virtuale
• Più voci per ogni desktop virtuale

Microsoft consiglia di eseguire l'onboarding di Desktop virtuale Azure come singola voce per desktop virtuale. In questo modo si garantisce che l'esperienza di indagine nel portale di Microsoft Defender per endpoint avvenga nel contesto di un dispositivo basato sul nome del computer. Le organizzazioni che eliminano e ridistribuiscono frequentemente gli host AVD dovrebbero prendere in considerazione l'utilizzo di questo metodo, in quanto impedisce la creazione di più oggetti per lo stesso computer nel portale di Microsoft Defender per endpoint. Ciò può causare confusione durante l'analisi degli eventi imprevisti. Per gli ambienti di test o non volatili, è possibile scegliere in modo diverso.

Microsoft consiglia di aggiungere lo script di onboarding di Microsoft Defender per endpoint all'immagine aurea AVD. In questo modo, è possibile assicurarsi che questo script di onboarding venga eseguito immediatamente al primo avvio. Viene eseguito come script di avvio al primo avvio in tutti i computer AVD di cui viene effettuato il provisioning dall'immagine aurea AVD. Tuttavia, se si usa una delle immagini della raccolta senza modifiche, inserire lo script in un percorso condiviso e chiamarlo da criteri di gruppo locali o di dominio.

Nota

Il posizionamento e la configurazione dello script di avvio dell'onboarding VDI nell'immagine aurea AVD lo configura come script di avvio che viene eseguito all'avvio dell'AVD. Non è consigliabile eseguire l'onboarding dell'immagine aurea AVD effettiva. Un'altra considerazione è il metodo usato per eseguire lo script. Dovrebbe essere eseguito il più presto possibile nel processo di avvio/provisioning per ridurre il tempo che intercorre tra la disponibilità del computer a ricevere sessioni e l'onboarding del dispositivo nel servizio. I seguenti scenari 1 e 2 ne tengono conto.

Scenari

Esistono diversi modi per eseguire l'onboarding di un computer host AVD:

• Eseguire lo script nell'immagine aurea (o da un percorso condiviso) durante l'avvio.
• Usare uno strumento di gestione per eseguire lo script.
• Tramite l'integrazione con Microsoft Defender per il cloud

Scenario 1: Uso di criteri di gruppo locali

Questo scenario richiede l'inserimento dello script in un'immagine aurea e usa criteri di gruppo locali per l'esecuzione all'inizio del processo di avvio.

Usare le istruzioni riportate in Eseguire l'onboarding dei dispositivi VDI (Virtual Desktop Infrastructure) non persistenti.

Seguire le istruzioni per una singola voce per ogni dispositivo.

Scenario 2: Uso dei criteri di gruppo di dominio

Questo scenario usa uno script che si trova centralmente e lo esegue usando criteri di gruppo basati su dominio. È anche possibile inserire lo script nell'immagine aurea ed eseguirlo nello stesso modo.

Scaricare il file WindowsDefenderATPOnboardingPackage.zip dal portale di Microsoft Defender

1. Aprire il file di .zip del pacchetto di configurazione VDI (WindowsDefenderATPOnboardingPackage.zip)

   1. Nel riquadro di spostamento del portale di Microsoft Defender selezionare Impostazioni>Endpoint>Onboarding (in Gestione dispositivi).
   2. Selezionare Windows 10 o Windows 11 come sistema operativo.
   3. Nel campo Metodo di distribuzione, selezionare Script di onboarding VDI per endpoint non persistenti.
   4. Fare clic su Scarica pacchetto e salvare il file .zip.

2. Estrarre il contenuto del file .zip in un percorso condiviso di sola lettura accessibile dal dispositivo. Si dovrebbe avere una cartella denominata OptionalParamsPolicy e i file WindowsDefenderATPOnboardingScript.cmd e Onboard-NonPersistentMachine.ps1.

Usare la console di gestione criteri di gruppo per eseguire lo script all'avvio della macchina virtuale

1. Aprire la Console Gestione Criteri di gruppo (GPMC), fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo (GPO) che si desidera configurare e scegliere Modifica.

2. Nell'Editor Gestione Criteri di gruppo, passare a Configurazione computer>Preferenze>Impostazioni pannello di controllo.

3. Fare clic con il pulsante destro del mouse su Attività pianificate, scegliere Nuovo, quindi fare clic su Attività immediata (almeno Windows 7).

4. Nella finestra Attività visualizzata, passare alla scheda Generale. In Opzioni di sicurezza, fare clic su Cambia utente o gruppo e digitare SYSTEM. Fare clic su Controlla nomi e quindi su OK. NT AUTHORITY\SYSTEM viene visualizzato come account utente in cui verrà eseguita l'attività.

5. Scegliere Esegui indipendentemente dalla connessione degli utenti e selezionare la casella di controllo Esegui con privilegi più elevati.

6. Passare alla scheda Azioni e fare clic su Nuovo. Verificare che l'opzione Avvia un programma sia selezionata nel campo Action. Immetti gli elementi seguenti:

   Action = "Avvia un programma"

   Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

   Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

   Selezionare quindi OK e chiudere tutte le finestre aperte di Console Gestione Criteri di gruppo.

Scenario 3: Onboarding con gli strumenti di gestione

Se si prevede di gestire i computer usando uno strumento di gestione, è possibile eseguire direttamente l'onboarding dei dispositivi con Microsoft Endpoint Configuration.

Suggerimento

Dopo l'onboarding del dispositivo, è possibile scegliere di eseguire un test di rilevamento per verificare che il dispositivo sia stato caricato correttamente nel servizio. Per altre informazioni, vedere Eseguire un test di rilevamento in un dispositivo Microsoft Defender per endpoint di cui è appena stato eseguito l'onboarding.

Assegnazione di tag ai computer durante la creazione dell'immagine aurea

Nell'ambito dell'onboarding, è consigliabile impostare un tag del computer per differenziare più facilmente i computer AVD nel Centro sicurezza Microsoft. Per altre informazioni, vedere Aggiungere tag di dispositivo impostando un valore di chiave del Registro di sistema.

Altre impostazioni di configurazione consigliate

Quando si compila l'immagine aurea, è possibile configurare anche le impostazioni di protezione iniziali. Per altre informazioni, vedere Altre impostazioni di configurazione consigliate.

Inoltre, se si usano profili utente FSlogix, è consigliabile seguire le indicazioni descritte in Esclusioni antivirus FSLogix.

Requisiti di licenza

Nota sulle licenze: Quando si utilizza Windows Enterprise multisessione, a seconda dei requisiti, si può scegliere di avere tutti gli utenti con licenza Microsoft Defender per endpoint (per utente), Windows Enterprise E5, Microsoft 365 E5 Security o Microsoft 365 E5, oppure di avere la macchina virtuale con licenza Microsoft Defender per il cloud. I requisiti di licenza per Microsoft Defender per endpoint sono disponibili in: Requisiti di licenza.