Ochrona punktu końcowego w usłudze Microsoft Defender dla sesji usługi Azure Virtual Desktop

Ukończone

Ochrona punktu końcowego w usłudze Microsoft Defender obsługuje monitorowanie sesji VDI i Azure Virtual Desktop. W zależności od potrzeb organizacji może być konieczne zaimplementowanie sesji VDI lub Azure Virtual Desktop, aby ułatwić pracownikom dostęp do danych i aplikacji firmowych z urządzenia niezarządzanego, lokalizacji zdalnej lub podobnego scenariusza. Za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender można monitorować te maszyny wirtualne pod kątem nietypowych działań.

Usługa Azure Virtual Desktop nie zapewnia opcji nietrwałości, ale udostępnia sposoby użycia złotego obrazu systemu Windows, który może służyć do aprowizacji nowych hostów i ponownego wdrażania maszyn. Zwiększa to zmienność środowiska i w ten sposób wpływa na to, jakie wpisy są tworzone i utrzymywane w portalu Ochrona punktu końcowego w usłudze Microsoft Defender, co potencjalnie zmniejsza widoczność analityków zabezpieczeń.

W zależności od wybranej metody dołączania urządzenia mogą być wyświetlane w portalu Ochrona punktu końcowego w usłudze Microsoft Defender jako:

• Pojedynczy wpis dla każdego pulpitu wirtualnego
• Wiele wpisów dla każdego pulpitu wirtualnego

Firma Microsoft zaleca dołączanie usługi Azure Virtual Desktop jako pojedynczego wpisu na pulpit wirtualny. Dzięki temu środowisko badania w portalu Ochrona punktu końcowego w usłudze Microsoft Defender znajduje się w kontekście jednego urządzenia na podstawie nazwy maszyny. Organizacje, które często usuwają i ponownie wdrażają hosty AVD, powinny zdecydowanie rozważyć użycie tej metody, ponieważ uniemożliwia tworzenie wielu obiektów dla tej samej maszyny w portalu Ochrona punktu końcowego w usłudze Microsoft Defender. Może to prowadzić do nieporozumień podczas badania zdarzeń. W przypadku środowisk testowych lub nietrwałych możesz zdecydować się na wybór inaczej.

Firma Microsoft zaleca dodanie skryptu dołączania Ochrona punktu końcowego w usłudze Microsoft Defender do złotego obrazu AVD. W ten sposób można mieć pewność, że ten skrypt dołączania jest uruchamiany natychmiast podczas pierwszego rozruchu. Jest wykonywany jako skrypt uruchamiania podczas pierwszego rozruchu na wszystkich maszynach AVD aprowizowane z obrazu złotego AVD. Jeśli jednak używasz jednego z obrazów galerii bez modyfikacji, umieść skrypt w udostępnionej lokalizacji i wywołaj go z zasad grupy lokalnej lub domeny.

Uwaga

Umieszczanie i konfiguracja skryptu uruchamiania dołączania VDI na złotym obrazie AVD konfiguruje go jako skrypt uruchamiania uruchamiany po uruchomieniu usługi AVD. Nie zaleca się dołączania rzeczywistego złotego obrazu AVD. Inną kwestią jest metoda używana do uruchamiania skryptu. Powinien on działać jak najszybciej w procesie uruchamiania/aprowizacji, aby skrócić czas między dostępnym komputerem w celu odbierania sesji i dołączania urządzenia do usługi. Poniżej przedstawiono scenariusze 1 i 2.

Scenariusze

Istnieje kilka sposobów dołączania maszyny hosta AVD:

• Uruchom skrypt na złotym obrazie (lub z lokalizacji udostępnionej) podczas uruchamiania.
• Użyj narzędzia do zarządzania, aby uruchomić skrypt.
• Dzięki integracji z Microsoft Defender dla Chmury

Scenariusz 1. Korzystanie z lokalnych zasad grupy

Ten scenariusz wymaga umieszczenia skryptu na złotym obrazie i użycia lokalnych zasad grupy do uruchomienia na wczesnym etapie procesu rozruchu.

Skorzystaj z instrukcji w temacie Dołączanie nietrwale urządzeń infrastruktury pulpitu wirtualnego (VDI).

Postępuj zgodnie z instrukcjami dotyczącymi pojedynczego wpisu dla każdego urządzenia.

Scenariusz 2. Korzystanie z zasad grupy domeny

W tym scenariuszu jest używany centralnie zlokalizowany skrypt i uruchamia go przy użyciu zasad grupy opartych na domenie. Możesz również umieścić skrypt na złotym obrazie i uruchomić go w taki sam sposób.

Pobieranie pliku WindowsDefenderATPOnboardingPackage.zip z portalu usługi Microsoft Defender

1. Otwórz plik .zip pakietu konfiguracji VDI (WindowsDefenderATPOnboardingPackage.zip)

   1. W okienku nawigacji portalu usługi Microsoft Defender wybierz pozycję Ustawienia>Punkty końcowe>Dołączanie (w obszarze Zarządzanie urządzeniami).
   2. Jako system operacyjny wybierz pozycję Windows 10 lub Windows 11.
   3. W polu Metoda wdrażania wybierz pozycję Skrypty dołączania VDI dla nietrwalych punktów końcowych.
   4. Kliknij pozycję Pobierz pakiet i zapisz plik .zip.

2. Wyodrębnij zawartość pliku .zip do udostępnionej lokalizacji tylko do odczytu, do których można uzyskać dostęp przez urządzenie. Powinien istnieć folder o nazwie OptionalParamsPolicy oraz pliki WindowsDefenderATPOnboardingScript.cmd i Onboard-NonPersistentMachine.ps1.

Użyj konsoli zarządzania zasadami grupy, aby uruchomić skrypt po uruchomieniu maszyny wirtualnej

1. Otwórz konsolę zarządzania zasadami grupy (GPMC), kliknij prawym przyciskiem myszy obiekt zasad grupy (GPO), który chcesz skonfigurować, a następnie kliknij przycisk Edytuj.

2. W Edytorze zarządzania zasadami grupy przejdź do obszaru Preferencje>konfiguracji>komputera Ustawienia panelu sterowania.

3. Kliknij prawym przyciskiem myszy zaplanowane zadania, kliknij przycisk Nowy, a następnie kliknij polecenie Zadanie natychmiastowe (co najmniej Windows 7).

4. W wyświetlonym oknie Zadanie przejdź do karty Ogólne . W obszarze Opcje zabezpieczeń kliknij pozycję Zmień użytkownika lub grupę i wpisz SYSTEM. Kliknij przycisk Sprawdź nazwy , a następnie kliknij przycisk OK. NT AUTHORITY\SYSTEM jest wyświetlany jako konto użytkownika, w ramach których zadanie zostanie uruchomione jako.

5. Wybierz pozycję Uruchom, czy użytkownik jest zalogowany, czy nie , i zaznacz pole wyboru Uruchom z najwyższymi uprawnieniami .

6. Przejdź do karty Akcje i kliknij pozycję Nowy. Upewnij się, że w polu Akcja wybrano pozycję Uruchom program . Wprowadź następujące informacje:

   Akcja = "Uruchamianie programu"

   Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

   Dodaj argumenty (opcjonalnie) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

   Następnie wybierz przycisk OK i zamknij wszystkie otwarte okna konsoli zarządzania zasadami GRUPY.

Scenariusz 3. Dołączanie przy użyciu narzędzi do zarządzania

Jeśli planujesz zarządzać maszynami przy użyciu narzędzia do zarządzania, możesz bezpośrednio dołączyć urządzenia z usługą Microsoft Endpoint Configuration.

Napiwek

Po dołączeniu urządzenia możesz uruchomić test wykrywania, aby sprawdzić, czy urządzenie jest prawidłowo dołączone do usługi. Aby uzyskać więcej informacji, zobacz Uruchamianie testu wykrywania na nowo dołączonym urządzeniu Ochrona punktu końcowego w usłudze Microsoft Defender.

Oznaczanie maszyn podczas tworzenia złotego obrazu

W ramach dołączania warto rozważyć ustawienie tagu maszyny, aby łatwiej odróżnić maszyny AVD w usłudze Microsoft Security Center. Aby uzyskać więcej informacji, zobacz Dodawanie tagów urządzeń przez ustawienie wartości klucza rejestru.

Inne zalecane ustawienia konfiguracji

Podczas tworzenia złotego obrazu można również skonfigurować ustawienia początkowej ochrony. Aby uzyskać więcej informacji, zobacz Inne zalecane ustawienia konfiguracji.

Ponadto, jeśli używasz profilów użytkowników FSlogix, zalecamy stosowanie się do wskazówek opisanych w temacie FSLogix antivirus exclusions (Wykluczenia oprogramowania antywirusowego FSLogix).

Wymagania dotyczące licencji

Uwaga dotycząca licencjonowania: w przypadku korzystania z wielu sesji systemu Windows Enterprise w zależności od wymagań możesz wybrać, że wszyscy użytkownicy mają licencję za pośrednictwem Ochrona punktu końcowego w usłudze Microsoft Defender (na użytkownika), Windows Enterprise E5, Zabezpieczenia platformy Microsoft 365 E5lub Microsoft 365 E5 lub mieć maszynę wirtualną z licencją za pośrednictwem Microsoft Defender dla Chmury. Wymagania licencyjne dotyczące Ochrona punktu końcowego w usłudze Microsoft Defender można znaleźć w temacie Wymagania dotyczące licencjonowania.