Dołączanie urządzeń z systemem Windows w usłudze Azure Virtual Desktop

6 minut do odczytu

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Wielosesyjna sesja systemu Windows uruchomiona w usłudze Azure Virtual Desktop (AVD)
• Windows 10 Enterprise — wiele sesji

Usługa Microsoft Defender dla punktu końcowego obsługuje monitorowanie sesji VDI i Azure Virtual Desktop. W zależności od potrzeb organizacji może być konieczne zaimplementowanie sesji VDI lub Azure Virtual Desktop, aby ułatwić pracownikom dostęp do firmowych danych i aplikacji z niezarządzanego urządzenia, lokalizacji zdalnej lub podobnego scenariusza. Za pomocą usługi Microsoft Defender for Endpoint można monitorować te maszyny wirtualne pod kątem nietypowych działań.

Przed rozpoczęciem

Zapoznaj się z zagadnieniami dotyczącymi nietrwałej interfejsu VDI. Usługa Azure Virtual Desktop nie zapewnia opcji braku trwałości, ale zapewnia sposoby używania złotego obrazu systemu Windows, który może służyć do aprowizacji nowych hostów i ponownego wdrażania maszyn. Zwiększa to zmienność w środowisku, a tym samym wpływa na to, jakie wpisy są tworzone i utrzymywane w portalu usługi Microsoft Defender for Endpoint, co może zmniejszyć widoczność analityków zabezpieczeń.

Uwaga

W zależności od wybranej metody dołączania urządzenia mogą być wyświetlane w portalu usługi Microsoft Defender dla punktów końcowych jako:

• Pojedynczy wpis dla każdego pulpitu wirtualnego
• Wiele wpisów dla każdego pulpitu wirtualnego

Firma Microsoft zaleca dołączenie usługi Azure Virtual Desktop jako pojedynczego wpisu na pulpit wirtualny. Dzięki temu środowisko badania w portalu usługi Microsoft Defender dla punktów końcowych znajduje się w kontekście jednego urządzenia na podstawie nazwy komputera. Organizacje, które często usuwają i ponownie wdrażają hosty AVD, powinny zdecydowanie rozważyć użycie tej metody, ponieważ uniemożliwia ona tworzenie wielu obiektów dla tej samej maszyny w portalu usługi Microsoft Defender for Endpoint. Może to prowadzić do nieporozumień podczas badania zdarzeń. W przypadku środowisk testowych lub nietrwałych możesz zdecydować się na wybór inaczej.

Firma Microsoft zaleca dodanie skryptu dołączania usługi Microsoft Defender for Endpoint do złotego obrazu AVD. Dzięki temu możesz mieć pewność, że ten skrypt dołączania jest uruchamiany natychmiast przy pierwszym rozruchu. Jest on wykonywany jako skrypt uruchamiania przy pierwszym rozruchu na wszystkich maszynach AVD aprowizowanych na podstawie złotego obrazu AVD. Jeśli jednak używasz jednego z obrazów galerii bez modyfikacji, umieść skrypt w lokalizacji udostępnionej i wywołaj go z poziomu zasad grupy lokalnej lub domeny.

Uwaga

Umieszczenie i konfiguracja skryptu uruchamiania dołączania interfejsu VDI na złotym obrazie AVD konfiguruje go jako skrypt startowy uruchamiany po uruchomieniu avd. Nie zaleca się dołączania rzeczywistego złotego obrazu AVD. Inną kwestią jest metoda używana do uruchamiania skryptu. Powinien być uruchamiany tak wcześnie, jak to możliwe w procesie uruchamiania/aprowizacji, aby skrócić czas między maszyną dostępną do odbierania sesji a dołączaniem urządzenia do usługi. W poniższych scenariuszach 1 i 2 należy wziąć to pod uwagę.

Scenariuszy

Istnieje kilka sposobów dołączania maszyny hosta AVD:

• Uruchom skrypt na złotym obrazie (lub z lokalizacji udostępnionej) podczas uruchamiania.
• Użyj narzędzia do zarządzania, aby uruchomić skrypt.
• Integracja z usługą Microsoft Defender for Cloud

Scenariusz 1. Korzystanie z lokalnych zasad grupy

Ten scenariusz wymaga umieszczenia skryptu w złotym obrazie i używa lokalnych zasad grupy do uruchomienia na wczesnym etapie procesu rozruchu.

Skorzystaj z instrukcji zawartych w temacie Dołączanie nietrwałych urządzeń infrastruktury pulpitu wirtualnego (VDI).

Postępuj zgodnie z instrukcjami dotyczącymi pojedynczego wpisu dla każdego urządzenia.

Scenariusz 2. Korzystanie z zasad grupy domen

W tym scenariuszu używany jest skrypt centralnie zlokalizowany i uruchamiany przy użyciu zasad grupy opartej na domenie. Skrypt można również umieścić na złotym obrazie i uruchomić go w taki sam sposób.

Pobieranie pliku WindowsDefenderATPOnboardingPackage.zip z portalu usługi Microsoft Defender

1. Otwórz plik .zip pakietu konfiguracji interfejsu VDI (WindowsDefenderATPOnboardingPackage.zip)

   1. W okienku nawigacji portalu usługi Microsoft Defender wybierz pozycję Ustawienia>Dołączanie punktów końcowych> (w obszarze Zarządzanie urządzeniami).
   2. Wybierz system Windows 10 lub Windows 11 jako system operacyjny.
   3. W polu Metoda wdrażania wybierz pozycję VDI onboarding scripts for non-persistent endpoints (Skrypty dołączania interfejsu VDI dla nietrwałych punktów końcowych).
   4. Kliknij pozycję Pobierz pakiet i zapisz plik .zip.

2. Wyodrębnij zawartość pliku .zip do udostępnionej lokalizacji tylko do odczytu, do których może uzyskiwać dostęp urządzenie. Powinien istnieć folder o nazwie OptionalParamsPolicy i pliki WindowsDefenderATPOnboardingScript.cmd i Onboard-NonPersistentMachine.ps1.

Użyj konsoli zarządzania zasadami grupy, aby uruchomić skrypt po uruchomieniu maszyny wirtualnej

1. Otwórz konsolę zarządzania zasadami grupy (GPMC), kliknij prawym przyciskiem myszy obiekt zasad grupy, który chcesz skonfigurować, i kliknij przycisk Edytuj.

2. W Edytorze zarządzania zasadami grupy przejdź do pozycji Ustawieniapanelu sterowaniapreferencji>konfiguracji> komputera.

3. Kliknij prawym przyciskiem myszy zaplanowane zadania, kliknij pozycję Nowe, a następnie kliknij pozycję Zadanie natychmiastowe (co najmniej windows 7).

4. W wyświetlonym oknie Zadanie przejdź do karty Ogólne . W obszarze Opcje zabezpieczeń kliknij pozycję Zmień użytkownika lub grupę i wpisz SYSTEM. Kliknij pozycję Sprawdź nazwy, a następnie kliknij przycisk OK. NT AUTHORITY\SYSTEM jest wyświetlany jako konto użytkownika, które będzie uruchamiane jako zadanie.

5. Wybierz pozycję Uruchom, czy użytkownik jest zalogowany, czy nie , i zaznacz pole wyboru Uruchom z najwyższymi uprawnieniami .

6. Przejdź do karty Akcje i kliknij pozycję Nowy. Upewnij się, że w polu Akcja wybrano opcję Uruchom program . Wprowadź następujące informacje:

   Action = "Start a program"

   Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

   Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

   Następnie wybierz przycisk OK i zamknij wszystkie otwarte okna kontrolera GPMC.

Scenariusz 3. Dołączanie przy użyciu narzędzi do zarządzania

Jeśli planujesz zarządzanie maszynami przy użyciu narzędzia do zarządzania, możesz dołączyć urządzenia za pomocą programu Microsoft Endpoint Configuration Manager.

Aby uzyskać więcej informacji, zobacz Dołączanie urządzeń z systemem Windows przy użyciu programu Configuration Manager.

Ostrzeżenie

Jeśli planujesz używać odwołania do reguł zmniejszania obszaru ataków, pamiętaj, że reguła "Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI" nie powinna być używana, ponieważ ta reguła jest niezgodna z zarządzaniem za pośrednictwem programu Microsoft Endpoint Configuration Manager. Reguła blokuje polecenia usługi WMI używane przez klienta programu Configuration Manager do poprawnego działania.

Porada

Po dołączeniu urządzenia można uruchomić test wykrywania, aby sprawdzić, czy urządzenie jest prawidłowo dołączone do usługi. Aby uzyskać więcej informacji, zobacz Uruchamianie testu wykrywania na nowo dołączonym urządzeniu usługi Microsoft Defender for Endpoint.

Tagowanie maszyn podczas tworzenia złotego obrazu

W ramach dołączania warto rozważyć ustawienie tagu maszyny, aby łatwiej rozróżniać maszyny AVD w usłudze Microsoft Security Center. Aby uzyskać więcej informacji, zobacz Dodawanie tagów urządzeń przez ustawienie wartości klucza rejestru.

Inne zalecane ustawienia konfiguracji

Podczas tworzenia złotego obrazu możesz również skonfigurować początkowe ustawienia ochrony. Aby uzyskać więcej informacji, zobacz Inne zalecane ustawienia konfiguracji.

Ponadto jeśli używasz profilów użytkowników FSlogix, zalecamy stosowanie się do wskazówek opisanych w artykule Wykluczenia programu antywirusowego FSLogix.

Wymagania dotyczące licencjonowania

W przypadku korzystania z wielu sesji systemu Windows Enterprise zgodnie z naszymi najlepszymi rozwiązaniami w zakresie zabezpieczeń maszyna wirtualna może być licencjonowana za pośrednictwem usługi Microsoft Defender for Servers lub można wybrać licencję wszystkich użytkowników maszyn wirtualnych usługi Azure Virtual Desktop za pośrednictwem jednej z następujących licencji:

• Microsoft Defender for Endpoint Plan 1 lub Plan 2 (na użytkownika)
• Windows Enterprise E3
• Windows Enterprise E5
• Microsoft 365 E3
• Zabezpieczenia platformy Microsoft 365 E5
• Microsoft 365 E5

Wymagania licencyjne dotyczące usługi Microsoft Defender dla punktu końcowego można znaleźć pod adresem: Wymagania dotyczące licencjonowania.

Linki pokrewne

Dodawanie wykluczeń dla usługi Defender dla punktu końcowego za pośrednictwem programu PowerShell

FSLogix — wykluczenia chroniące przed złośliwym oprogramowaniem

Konfigurowanie programu antywirusowego Microsoft Defender w środowisku infrastruktury pulpitu zdalnego lub pulpitu wirtualnego

Porada

Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.