Azure Virtual Desktop 用 Microsoft Defender for Endpoint セッション

完了

Microsoft Defender for Endpoint では、VDI セッションと Azure Virtual Desktop セッションの両方の監視がサポートされています。 組織のニーズによっては、VDI または Azure Virtual Desktop セッションを実装して、従業員がアンマネージド デバイス、リモートの場所、または同様のシナリオから、企業データやアプリにアクセスできるようにしなければならない場合があります。 Microsoft Defender for Endpoint を使用すると、これらの仮想マシンで異常なアクティビティが発生していないかを監視できます。

Azure Virtual Desktop には非永続化オプションはありませんが、ゴールデン Windows イメージを使用する方法は用意されており、新しいホストのプロビジョニングやマシンの再デプロイに使用できます。 これにより環境のボラティリティが高くなり、これが Microsoft Defender for Endpoint ポータルで作成および管理されるエントリに影響し、セキュリティ アナリストの可視性が低下する可能性があります。

選択したオンボーディング方法に応じて、デバイスは Microsoft Defender for Endpoint ポータルに次のいずれかとして表示されます。

• 仮想デスクトップごとに 1 つのエントリ
• 仮想デスクトップごとに複数のエントリ

Microsoft では、仮想デスクトップごとに 1 つのエントリとして Azure Virtual Desktop をオンボードすることをお勧めします。 これにより、Microsoft Defender for Endpoint ポータルでの調査エクスペリエンスが、マシン名に基づいて 1 つのデバイスのコンテキストに確実に含まれるようになります。 AVD ホストの削除と再デプロイを頻繁に行う組織の場合は、この方法を使用して、Microsoft Defender for Endpoint ポータルに、同じマシンに対するオブジェクトが複数作成されないようにすることを強くお勧めします。 複数作成されると、インシデントの調査時に混乱が生じる可能性があります。 テスト環境または不揮発性環境では、別の方法を選択することもできます。

Microsoft では、AVD ゴールデン イメージに Microsoft Defender for Endpoint オンボード スクリプトを追加することをお勧めします。 これにより、このオンボード スクリプトが初回起動時にすぐに実行されるようになります。 これは、AVD ゴールデン イメージからプロビジョニングされたすべての AVD マシンで、初回起動時にスタートアップ スクリプトとして実行されます。 ただし、いずれかのギャラリー イメージを変更せずに使用している場合は、スクリプトを共有の場所に配置し、ローカルまたはドメイン グループ ポリシーから呼び出します。

Note

AVD ゴールデン イメージに配置され構成された VDI オンボード スタートアップ スクリプトは、AVD の起動時に実行されるスタートアップ スクリプトとして構成されます。 実際の AVD ゴールデン イメージをオンボードすることは推奨されません。 また、スクリプトの実行方法も考慮します。 スクリプトはスタートアップ/プロビジョニング プロセスのできるだけ早い段階で実行して、マシンがセッションの受信に使用できるようになってから、デバイスがサービスにオンボードされるまでの時間を短縮する必要があります。 以下のシナリオ 1 と 2 では、これが考慮されています。

シナリオ

AVD ホスト マシンをオンボードする方法は複数あります。

• 起動時に、スクリプトをゴールデン イメージで (または共有の場所から) 実行する。
• 管理ツールを使用してスクリプトを実行する。
• Microsoft Defender for Cloud との統合を使用する

シナリオ 1:ローカル グループ ポリシーを使用する

このシナリオでは、スクリプトをゴールデン イメージに配置し、ローカル グループ ポリシーを使用して、ブート プロセスの早い段階で実行する必要があります。

非永続的仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボードに関する記事の手順を使用します。

デバイスごとに 1 つのエントリの指示に従います。

シナリオ 2:ドメイン グループ ポリシーを使用する

このシナリオでは、中央に配置されたスクリプトを使用し、それをドメイン ベースのグループ ポリシーを使って実行します。 また、スクリプトをゴールデン イメージに配置し、同じ方法で実行することもできます。

Microsoft Defender ポータルから WindowsDefenderATPOnboardingPackage.zip ファイルをダウンロードする

1. VDI 構成パッケージ .zip ファイル (WindowsDefenderATPOnboardingPackage.zip) を開きます

   1. Microsoft Defender ポータルのナビゲーション ウィンドウで、[設定]>[エンドポイント]>[オンボード] ([デバイス管理] の下) を選択します。
   2. オペレーティング システムとして Windows 10 または Windows 11 を選択します。
   3. [デプロイ方法] フィールドで、非永続的エンドポイントの VDI オンボード スクリプトを選択します。
   4. [パッケージのダウンロード] をクリックし、.zip ファイルを保存します。

2. デバイスからアクセスできる読み取り専用の共有の場所に .zip ファイルの内容を抽出します。 OptionalParamsPolicy というフォルダーと、WindowsDefenderATPOnboardingScript.cmd ファイルおよび Onboard-NonPersistentMachine.ps1 ファイルがあるはずです。

グループ ポリシー管理コンソールを使用して、仮想マシンの起動時にスクリプトを実行する

1. グループ ポリシー管理コンソール (GPMC) コンソール ツリーを開いて、構成するグループ ポリシー オブジェクト (GPO) を右クリックし、[編集] をクリックします。

2. グループ ポリシー管理エディターで、[コンピューターの構成]>[基本設定]>[コントロール パネルの設定] に移動します。

3. [スケジュールされたタスク] を右クリックし、[新規] をクリックして、[即時実行タスク] (Windows 7 以降) をクリックします。

4. 開いた [タスク] ウィンドウで、[全般] タブに移動します。[セキュリティ オプション] で [ユーザーまたはグループの変更] をクリックし、「SYSTEM」と入力します。 [名前の確認] をクリックし、[OK] をクリックします。 タスクが実行されるユーザー アカウントとして NT AUTHORITY\SYSTEM が表示されます。

5. [ユーザーがログオンしているかどうかにかかわらず実行する] を選択し、[最上位の特権で実行する] チェック ボックスをオンにします。

6. [操作] タブに移動し、[新規] をクリックします。 アクション フィールドで [プログラムを起動する] が選択されていることを確認します。 次のように入力します。

   Action = "Start a program"

   Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

   Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

   次に、[OK] を選択し、開いている GPMC ウィンドウを閉じます。

シナリオ 3: 管理ツールを使用してオンボードする

管理ツールを使用してマシンを管理する場合は、Microsoft Endpoint Configuration を使用して、デバイスを直接オンボードできます。

ヒント

デバイスをオンボードしたら、検出テストを実行して、デバイスがサービスに適切にオンボードされていることを確認できます。 詳細については、新しくオンボードされた Microsoft Defender for Endpoint デバイスでの検出テストの実行に関するページを参照してください。

ゴールデン イメージの作成時にマシンにタグを付ける

オンボードの一環として、Microsoft Security Center で AVD マシンを区別しやすいように、マシン タグを設定することを検討してください。 詳細については、「レジストリ キーの値を設定してデバイス タグを追加する」を参照してください。

その他の推奨される構成設定

ゴールデン イメージを作成するときに、初期保護の設定を構成することができます。 詳細については、「その他の推奨構成設定」を参照してください。

また、FSlogix ユーザー プロファイルを使用している場合は、FSLogix ウイルス対策の除外に関する記事で説明されているガイダンスに従うことをお勧めします。

ライセンス要件

ライセンスに関する注意事項: Windows Enterprise マルチセッションを使用する場合は、要件に応じて、すべてのユーザーに Microsoft Defender for Endpoint (ユーザーごと)、Windows Enterprise E5、Microsoft 365 E5 Security、または Microsoft 365 E5 を通じてライセンスを付与するか、Microsoft Defender for Cloud 経由で VM のライセンスを付与するかを選択できます。 Microsoft Defender for Endpoint のライセンス要件は、以下の場所で確認できます。ライセンスの要件。