Microsoft Defender voor Eindpunt voor Azure Virtual Desktop-sessies

Voltooid

Microsoft Defender voor Eindpunt ondersteunt het bewaken van VDI- en Azure Virtual Desktop-sessies. Afhankelijk van de behoeften van uw organisatie moet u mogelijk VDI- of Azure Virtual Desktop-sessies implementeren om uw werknemers te helpen toegang te krijgen tot bedrijfsgegevens en apps vanaf een onbeheerd apparaat, externe locatie of vergelijkbaar scenario. Met Microsoft Defender voor Eindpunt kunt u deze virtuele machines controleren op afwijkende activiteiten.

Hoewel Azure Virtual Desktop geen niet-persistentieopties biedt, biedt het wel manieren om een gouden Windows-installatiekopie te gebruiken die kan worden gebruikt om nieuwe hosts in te richten en machines opnieuw te implementeren. Dit verhoogt de volatiliteit in de omgeving en beïnvloedt dus welke vermeldingen worden gemaakt en onderhouden in de Microsoft Defender voor Eindpunt-portal, waardoor de zichtbaarheid voor uw beveiligingsanalisten mogelijk wordt verminderd.

Afhankelijk van uw keuze voor onboardingmethode kunnen apparaten in Microsoft Defender voor Eindpunt portal worden weergegeven als:

• Eén vermelding voor elk virtueel bureaublad
• Meerdere vermeldingen voor elk virtueel bureaublad

Microsoft raadt de onboarding van Azure Virtual Desktop aan als één vermelding per virtueel bureaublad. Dit zorgt ervoor dat de onderzoekservaring in de Microsoft Defender voor Eindpunt-portal zich in de context van één apparaat bevindt op basis van de computernaam. Organisaties die AVD-hosts regelmatig verwijderen en opnieuw implementeren, moeten sterk overwegen om deze methode te gebruiken, omdat hiermee wordt voorkomen dat meerdere objecten voor dezelfde computer worden gemaakt in de Microsoft Defender voor Eindpunt-portal. Dit kan leiden tot verwarring bij het onderzoeken van incidenten. Voor test- of niet-vluchtige omgevingen kunt u ervoor kiezen om anders te kiezen.

Microsoft raadt aan het Microsoft Defender voor Eindpunt onboardingscript toe te voegen aan de GOUDEN AVD-installatiekopieën. Op deze manier kunt u er zeker van zijn dat dit onboardingscript onmiddellijk wordt uitgevoerd bij de eerste keer opstarten. Het wordt uitgevoerd als een opstartscript bij het opstarten op alle AVD-machines die zijn ingericht vanuit de GOUDEN AVD-installatiekopie. Als u echter een van de installatiekopieën van de galerie gebruikt zonder dat u dit hoeft aan te passen, plaatst u het script op een gedeelde locatie en roept u het aan vanuit lokaal of domeingroepsbeleid.

Notitie

De plaatsing en configuratie van het VDI-opstartscript voor onboarding op de GOUDEN AVD-installatiekopieën configureert dit als een opstartscript dat wordt uitgevoerd wanneer de AVD wordt gestart. Het wordt niet aanbevolen om de werkelijke AVD gouden afbeelding te onboarden. Een andere overweging is de methode die wordt gebruikt om het script uit te voeren. Het moet zo vroeg mogelijk in het opstart- of inrichtingsproces worden uitgevoerd om de tijd te verkorten tussen de machine die beschikbaar is voor het ontvangen van sessies en de onboarding van het apparaat voor de service. In onderstaande scenario's 1 en 2 wordt hierbij rekening gehouden.

Scenario's

Er zijn verschillende manieren om een AVD-hostmachine te onboarden:

• Voer het script uit in de gouden installatiekopieën (of vanaf een gedeelde locatie) tijdens het opstarten.
• Gebruik een beheerprogramma om het script uit te voeren.
• Via integratie met Microsoft Defender voor Cloud

Scenario 1: Lokaal groepsbeleid gebruiken

Voor dit scenario moet het script in een gouden installatiekopie worden geplaatst en lokaal groepsbeleid worden gebruikt om vroeg in het opstartproces te worden uitgevoerd.

Gebruik de instructies in Onboarding van de niet-permanente VDI-apparaten (Virtual Desktop Infrastructure).

Volg de instructies voor één vermelding voor elk apparaat.

Scenario 2: Domeingroepsbeleid gebruiken

In dit scenario wordt een centraal gelegen script gebruikt en uitgevoerd met behulp van een groepsbeleid op basis van een domein. U kunt het script ook op dezelfde manier in de gouden installatiekopieën plaatsen en uitvoeren.

Het WindowsDefenderATPOnboardingPackage.zip-bestand downloaden vanuit de Microsoft Defender-portal

1. Open het VDI-configuratiepakket .zip bestand (WindowsDefenderATPOnboardingPackage.zip)

   1. Selecteer in het navigatiedeelvenster van de Microsoft Defender-portal instellingen>voor eindpunten>onboarding (onder Apparaatbeheer).
   2. Selecteer Windows 10 of Windows 11 als besturingssysteem.
   3. Selecteer in het veld Implementatiemethode VDI-onboardingscripts voor niet-permanente eindpunten.
   4. Klik op Pakket downloaden en sla het .zip bestand op.

2. Pak de inhoud van het .zip-bestand uit naar een gedeelde, alleen-lezen locatie die toegankelijk is voor het apparaat. U moet een map hebben met de naam OptionalParamsPolicy en de bestanden WindowsDefenderATPOnboardingScript.cmd en Onboard-NonPersistentMachine.ps1.

Groepsbeleidsbeheerconsole gebruiken om het script uit te voeren wanneer de virtuele machine wordt gestart

1. Open de console Groepsbeleidsbeheer (GPMC), klik met de rechtermuisknop op het groepsbeleidsobject (GPO) dat u wilt configureren en klik op Bewerken.

2. Ga in de Editor voor groepsbeleidsbeheer naar instellingen van het configuratiescherm voor computerconfiguratievoorkeuren>>.

3. Klik met de rechtermuisknop op Geplande taken, klik op Nieuw en klik vervolgens op Onmiddellijke taak (ten minste Windows 7).

4. Ga in het venster Taak dat wordt geopend naar het tabblad Algemeen . Klik onder Beveiligingsopties op Gebruiker of groep wijzigen en typ SYSTEM. Klik op Namen controleren en klik vervolgens op OK. NT AUTHORITY\SYSTEM wordt weergegeven als het gebruikersaccount dat door de taak wordt uitgevoerd.

5. Selecteer Uitvoeren of de gebruiker al dan niet is aangemeld en schakel het selectievakje Uitvoeren met de hoogste bevoegdheden in.

6. Ga naar het tabblad Acties en klik op Nieuw. Zorg ervoor dat Een programma starten is geselecteerd in het veld Actie. Voer het volgende in:

   Action = "Een programma starten"

   Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

   Argumenten toevoegen (optioneel) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

   Selecteer vervolgens OK en sluit alle geopende GPMC-vensters.

Scenario 3: Onboarding met behulp van beheerhulpprogramma's

Als u van plan bent uw machines te beheren met behulp van een beheerprogramma, kunt u apparaten rechtstreeks onboarden met Microsoft Endpoint Configuration.

Tip

Na de onboarding van het apparaat kunt u ervoor kiezen om een detectietest uit te voeren om te controleren of het apparaat correct is ge onboardd voor de service. Zie Een detectietest uitvoeren op een nieuw onboarded Microsoft Defender voor Eindpunt-apparaat voor meer informatie.

Uw machines taggen bij het bouwen van uw gouden installatiekopieën

Als onderdeel van uw onboarding kunt u overwegen om een machinetag in te stellen om AVD-machines gemakkelijker te onderscheiden in het Microsoft Security Center. Zie Apparaattags toevoegen door een registersleutelwaarde in te stellen voor meer informatie.

Andere aanbevolen configuratie-instellingen

Bij het bouwen van uw gouden installatiekopieën wilt u mogelijk ook de eerste beveiligingsinstellingen configureren. Zie Andere aanbevolen configuratie-instellingen voor meer informatie.

Als u FSlogix-gebruikersprofielen gebruikt, raden we u ook aan de richtlijnen te volgen die worden beschreven in FSLogix-antivirusuitsluitingen.

Licentievereisten

Opmerking over licenties: wanneer u Windows Enterprise-meerdere sessies gebruikt, kunt u, afhankelijk van uw vereisten, ervoor kiezen om alle gebruikers een licentie te geven via Microsoft Defender voor Eindpunt (per gebruiker), Windows Enterprise E5, Microsoft 365 E5 Security of Microsoft 365 E5, of de VM in licentie te geven via Microsoft Defender voor Cloud. Licentievereisten voor Microsoft Defender voor Eindpunt vindt u op: Licentievereisten.