次の方法で共有

Microsoft Defender XDRでの非永続的仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボード

  • [アーティクル]

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

仮想デスクトップ インフラストラクチャ (VDI) は、エンド ユーザーがほぼすべてのデバイス (パーソナル コンピューター、スマートフォン、タブレットなど) からエンタープライズ仮想デスクトップ インスタンスにアクセスできるようにする IT インフラストラクチャの概念であり、ユーザーに物理マシンを提供organization必要がなくなります。 VDI デバイスを使用すると、IT 部門が物理エンドポイントの管理、修復、および交換を行う必要がなくなるため、コストが削減されます。 承認されたユーザーは、セキュリティで保護されたデスクトップ クライアントまたはブラウザーを介して、承認された任意のデバイスから同じ会社のサーバー、ファイル、アプリ、およびサービスにアクセスできます。

IT 環境内の他のシステムと同様に、VDI デバイスには、高度な脅威や攻撃から保護するためのエンドポイント検出と応答 (EDR) とウイルス対策ソリューションが必要です。

注:

永続 VDI の - 永続的な VDI マシンをMicrosoft Defender for Endpointにオンボードすることは、デスクトップやノート PC などの物理マシンをオンボードするのと同じ方法で処理されます。 グループ ポリシー、Microsoft Configuration Manager、およびその他の方法を使用して、永続的なマシンをオンボードできます。 Microsoft Defender ポータルの [オンボード] (https://security.microsoft.com) で、任意のオンボード方法を選択し、その種類の指示に従います。 詳細については、「 Windows クライアントのオンボード」を参照してください。

非永続的仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボード

Defender for Endpoint では、非永続的な VDI セッションオンボードがサポートされます。 VDI インスタンスのオンボード時に、関連する課題が発生する可能性があります。 このシナリオの一般的な課題を次に示します。

  • 有効期間の短いセッションの即時早期オンボード。これは、実際のプロビジョニングの前に Defender for Endpoint にオンボードする必要があります。

  • 通常、デバイス名は新しいセッションで再利用されます。

  • VDI 環境では、VDI インスタンスの有効期間が短い場合があります。 VDI デバイスは、Microsoft Defender ポータルで、各 VDI インスタンスの 1 つのエントリとして、または各デバイスの複数のエントリとして表示できます。

    • VDI インスタンスごとに 1 つのエントリ。 VDI インスタンスが既にMicrosoft Defender for Endpointにオンボードされていて、ある時点で削除された後、同じホスト名で再作成された場合、この VDI インスタンスを表す新しいオブジェクトはポータルに作成されません。 この場合、無人応答ファイルを使用するなど、セッションの作成時に 同じ デバイス名を構成する必要があります。

    • 各デバイスの複数のエントリ - VDI インスタンスごとに 1 つ。

重要

複製テクノロジを使用して非永続的な VDI をデプロイする場合は、内部テンプレート VM が Defender for Endpoint にオンボードされていないことを確認します。 この推奨事項は、複製された VM がテンプレート VM と同じ senseGuid でオンボードされないようにすることです。これにより、VM が [デバイス] リストに新しいエントリとして表示されない可能性があります。

次の手順では、VDI デバイスのオンボードについて説明し、1 つのエントリと複数のエントリの手順を強調表示します。

警告

リソース構成が少ない環境では、VDI ブート手順によって Defender for Endpoint センサーのオンボードが遅くなる可能性があります。

オンボード手順

注:

この機能を機能させるには、「Windows サーバーのオンボード」の手順に従って、最初にインストール パッケージを適用して、Windows Server 2016と R2 Windows Server 2012を準備する必要があります。

  1. サービス オンボード ウィザードからダウンロードした VDI 構成パッケージ ファイル (WindowsDefenderATPOnboardingPackage.zip) を開きます。 Microsoft Defender ポータルからパッケージを取得することもできます。

    1. ナビゲーション ウィンドウで、 設定>Endpoints>Device management>Onboarding を選択します。

    2. オペレーティング システムを選択します。

    3. [ デプロイ方法 ] フィールドで、 非永続的エンドポイントの VDI オンボード スクリプトを選択します

    4. [ パッケージのダウンロード ] を選択し、ファイルを保存します。

  2. zip フォルダーから抽出した WindowsDefenderATPOnboardingPackage フォルダーから、パス C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startupの下にあるゴールデン/プライマリ イメージにファイルをコピーします。

    • デバイスごとに複数のエントリ (セッションごとに 1 つ) を実装する場合は、 WindowsDefenderATPOnboardingScript.cmdコピーします。

    • デバイスごとに 1 つのエントリを実装する場合は、 Onboard-NonPersistentMachine.ps1WindowsDefenderATPOnboardingScript.cmdの両方をコピーします。

    注:

    C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup フォルダーが表示されない場合は、非表示になっている可能性があります。 エクスプローラーから [非表示のファイルとフォルダーを表示する] オプションを選択する必要があります。

  3. [ローカル グループ ポリシー エディター] ウィンドウを開き、[コンピューターの構成>Windows の設定>Scripts>Startup に移動します。

    注:

    ドメイン グループ ポリシーは、非永続的 VDI デバイスのオンボードにも使用できます。

  4. 実装するメソッドに応じて、適切な手順に従います。

    メソッド 手順
    各デバイスの 1 つのエントリ 1. [PowerShell スクリプト] タブを選択し、[追加] を選択します (Windows エクスプローラーは、前にオンボード スクリプトをコピーしたパスで直接開きます)。
    2. PowerShell スクリプト Onboard-NonPersistentMachine.ps1のオンボードに移動します。 他のファイルは自動的にトリガーされるため、指定する必要はありません。
    デバイスごとに複数のエントリ 1. [スクリプト] タブを選択し、[追加] を選択します (Windows エクスプローラーは、前にオンボード スクリプトをコピーしたパスで直接開きます)。
    2. オンボード bash スクリプト WindowsDefenderATPOnboardingScript.cmdに移動します。

  5. 次の手順に従ってソリューションをテストします。

    1. 1 つのデバイスでプールを作成します。

    2. デバイスにサインインします。

    3. デバイスでサインアウトします。

    4. 別のアカウントを使用してデバイスにサインインします。

    5. 実装するメソッドに応じて、適切な手順に従います。

  6. ナビゲーション ウィンドウで、[ デバイスの一覧] を選択します。

  7. デバイス名を入力して検索機能を使用し、検索の種類として [デバイス ] を選択します。

ダウンレベル SKU の場合 (Windows Server 2008 R2)

注:

他の Windows サーバー バージョンのこれらの手順は、MMA を必要とする Windows Server 2016 および Windows Server 2012 R2 の前のMicrosoft Defender for Endpointを実行している場合にも適用されます。 新しい統合ソリューションに移行する手順は、「Microsoft Defender for Endpoint のサーバー移行シナリオ」 にあります。

次のレジストリは、目的がデバイスごとに 1 つのエントリを達成する場合にのみ関連します。

  1. レジストリ値を次のように設定します。

    
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
 "VDI"="NonPersistent"

    または、コマンド ラインを次のように使用できます。

    
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. サーバーの オンボード プロセスに従います。

仮想デスクトップ インフラストラクチャ (VDI) イメージの更新 (永続的または非永続的)

VDI で実行されている VM に更新プログラムを簡単にデプロイできるため、このガイドを短くして、コンピューターの更新プログラムを迅速かつ簡単に入手する方法に焦点を当てています。 更新プログラムはホスト サーバー上のコンポーネント ビットに展開され、オンになると VM に直接ダウンロードされるため、ゴールデン イメージを定期的に作成してシールする必要はなくなりました。

VDI 環境のプライマリ イメージをオンボードしている (SENSE サービスが実行されている) 場合は、イメージを運用環境に戻す前に、一部のデータをオフボードしてクリアする必要があります。

  1. マシンのオフボード

  2. CMD ウィンドウで次のコマンドを実行して、センサーが停止していることを確認します。

    
sc query sense

  3. CMD ウィンドウで次のコマンドを実行します。

    
del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

VDI にサード パーティを使用していますか?

VMware インスタント 複製または同様のテクノロジを使用して非永続的な VDI をデプロイする場合は、内部テンプレート VM とレプリカ VM が Defender for Endpoint にオンボードされていないことを確認します。 1 つのエントリ方法を使用してデバイスをオンボードした場合、オンボードされた VM からプロビジョニングされたインスタント クローンは同じ senseGuid を持ち、新しいエントリが [デバイス インベントリ] ビューに表示されないようにすることができます (Microsoft Defender ポータルで、[Assets>Devices] を選択します)。

プライマリ イメージ、テンプレート VM、またはレプリカ VM のいずれかが 1 つのエントリ メソッドを使用して Defender for Endpoint にオンボードされている場合、Microsoft Defender ポータルで新しい非永続的な VDI のエントリが Defender for Endpoint によって作成されなくなります。

詳細については、サード パーティベンダーにお問い合わせください。

デバイスをサービスにオンボードした後は、次の推奨構成設定でデバイスを有効にすることで、含まれている脅威保護機能を利用することが重要です。

次世代の保護構成

このリンクの構成設定は、リモート デスクトップまたは仮想デスクトップ インフラストラクチャ環境でMicrosoft Defenderウイルス対策を構成することをお勧めします。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。