Integrar dispositivos Windows no Azure Virtual Desktop

6 minutos para ler

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2
• Várias sessões do Windows em execução no Azure Virtual Desktop (AVD)
• Windows 10 Enterprise Multi-Session

O Microsoft Defender para Endpoint suporta a monitorização de sessões de VDI e do Azure Virtual Desktop. Consoante as necessidades da sua organização, poderá ter de implementar sessões de VDI ou do Azure Virtual Desktop para ajudar os seus funcionários a aceder a dados e aplicações empresariais a partir de um dispositivo não gerido, localização remota ou cenário semelhante. Com o Microsoft Defender para Endpoint, pode monitorizar estas máquinas virtuais para atividades anómalos.

Antes de começar

Familiarize-se com as considerações relativas à VDI não persistente. Embora o Azure Virtual Desktop não forneça opções de não persistência, fornece formas de utilizar uma imagem dourada do Windows que pode ser utilizada para aprovisionar novos anfitriões e reimplementar máquinas. Isto aumenta a volatilidade no ambiente e, por conseguinte, afeta as entradas que são criadas e mantidas no portal do Microsoft Defender para Endpoint, reduzindo potencialmente a visibilidade para os seus analistas de segurança.

Nota

Consoante a sua escolha de método de inclusão, os dispositivos podem aparecer no portal do Microsoft Defender para Endpoint como:

• Entrada única para cada ambiente de trabalho virtual
• Múltiplas entradas para cada ambiente de trabalho virtual

A Microsoft recomenda a inclusão do Azure Virtual Desktop como uma única entrada por ambiente de trabalho virtual. Isto garante que a experiência de investigação no portal do Microsoft Defender para Endpoint está no contexto de um dispositivo com base no nome do computador. As organizações que eliminam e reimplementam frequentemente anfitriões AVD devem considerar fortemente a utilização deste método, uma vez que impedem a criação de múltiplos objetos para a mesma máquina no portal do Microsoft Defender para Endpoint. Isto pode causar confusão ao investigar incidentes. Para ambientes de teste ou não voláteis, pode optar por escolher de forma diferente.

A Microsoft recomenda adicionar o script de inclusão do Microsoft Defender para Endpoint à imagem dourada do AVD. Desta forma, pode ter a certeza de que este script de inclusão é executado imediatamente no primeiro arranque. É executado como um script de arranque no primeiro arranque em todos os computadores AVD que são aprovisionados a partir da imagem dourada do AVD. No entanto, se estiver a utilizar uma das imagens da galeria sem modificação, coloque o script numa localização partilhada e chame-o a partir da política de grupo local ou de domínio.

Nota

A colocação e configuração do script de arranque de inclusão do VDI na imagem dourada do AVD configura-o como um script de arranque que é executado quando o AVD é iniciado. Não é recomendado integrar a imagem dourada avd real. Outra consideração é o método utilizado para executar o script. Deve ser executado o mais cedo possível no processo de arranque/aprovisionamento para reduzir o tempo entre a máquina virtual disponível para receber sessões e a integração do dispositivo no serviço. Os cenários abaixo 1 e 2 têm isto em conta.

Cenários

Existem várias formas de integrar um computador anfitrião AVD:

• Execute o script na imagem dourada (ou a partir de uma localização partilhada) durante o arranque.
• Utilize uma ferramenta de gestão para executar o script.
• Através da Integração com o Microsoft Defender para a Cloud

Cenário 1: Utilizar a política de grupo local

Este cenário requer a colocação do script numa imagem dourada e utiliza a política de grupo local para ser executado no início do processo de arranque.

Utilize as instruções em Integrar os dispositivos de infraestrutura de ambiente de trabalho virtual (VDI) não persistentes.

Siga as instruções para uma única entrada para cada dispositivo.

Cenário 2: Utilizar a política de grupo de domínios

Este cenário utiliza um script localizado centralmente e executa-o com uma política de grupo baseada em domínio. Também pode colocar o script na imagem dourada e executá-lo da mesma forma.

Transferir o ficheiro de WindowsDefenderATPOnboardingPackage.zip a partir do portal do Microsoft Defender

1. Abra o ficheiro de .zip do pacote de configuração VDI (WindowsDefenderATPOnboardingPackage.zip)

   1. No painel de navegação do portal do Microsoft Defender, selecione Definições>Pontos Finais>Inclusão (em Gestão de Dispositivos).
   2. Selecione Windows 10 ou Windows 11 como o sistema operativo.
   3. No campo Método de implementação , selecione Scripts de inclusão VDI para pontos finais não persistentes.
   4. Clique em Transferir pacote e guarde o ficheiro .zip.

2. Extraia o conteúdo do ficheiro .zip para uma localização partilhada e só de leitura que possa ser acedida pelo dispositivo. Deve ter uma pasta denominada OptionalParamsPolicy e os ficheiros WindowsDefenderATPOnboardingScript.cmd e Onboard-NonPersistentMachine.ps1.

Utilizar a consola de gestão da Política de Grupo para executar o script quando a máquina virtual é iniciada

1. Abra a Consola de Gestão de Políticas de Grupo (GPMC), clique com o botão direito do rato no Objeto de Política de Grupo (GPO) que pretende configurar e clique em Editar.

2. No Editor de Gestão de Políticas de Grupo, aceda aDefinições do painel Preferências> de configuração> do computadorPainel de controlo.

3. Clique com o botão direito do rato em Tarefas agendadas, clique em Nova e, em seguida, clique em Tarefa Imediata (Pelo menos Windows 7).

4. Na janela Tarefa que é aberta, aceda ao separador Geral . Em Opções de segurança , clique em Alterar Utilizador ou Grupo e escreva SISTEMA. Clique em Verificar Nomes e, em seguida, clique em OK. NT AUTHORITY\SYSTEM aparece como a conta de utilizador que a tarefa irá executar como.

5. Selecione Executar se o utilizador tem sessão iniciada ou não e selecione a caixa de verificação Executar com privilégios mais altos .

6. Aceda ao separador Ações e clique em Novo. Certifique-se de que Iniciar um programa está selecionado no campo Ação. Introduza o seguinte:

   Action = "Start a program"

   Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

   Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

   Em seguida, selecione OK e feche todas as janelas de GPMC abertas.

Cenário 3: Integração com ferramentas de gestão

Se planear gerir as suas máquinas com uma ferramenta de gestão, pode integrar dispositivos com o Microsoft Endpoint Configuration Manager.

Para obter mais informações, veja Integrar dispositivos Windows com o Configuration Manager.

Aviso

Se planear utilizar a referência de Regras de redução da superfície de ataque, tenha em atenção que a regra "Bloquear criações de processos com origem nos comandos PSExec e WMI" não deve ser utilizada, uma vez que essa regra é incompatível com a gestão através do Microsoft Endpoint Configuration Manager. A regra bloqueia comandos WMI que o cliente do Configuration Manager utiliza para funcionar corretamente.

Sugestão

Depois de integrar o dispositivo, pode optar por executar um teste de deteção para verificar se o dispositivo está corretamente integrado no serviço. Para obter mais informações, consulte Executar um teste de deteção num dispositivo do Microsoft Defender para Endpoint recentemente integrado.

Etiquetar as suas máquinas ao criar a sua imagem dourada

Como parte da integração, recomendamos que defina uma etiqueta de computador para diferenciar máquinas AVD mais facilmente no Centro de Segurança da Microsoft. Para obter mais informações, veja Adicionar etiquetas de dispositivo ao definir um valor de chave de registo.

Outras definições de configuração recomendadas

Ao criar a sua imagem dourada, também poderá querer configurar as definições de proteção iniciais. Para obter mais informações, veja Outras definições de configuração recomendadas.

Além disso, se estiver a utilizar perfis de utilizador do FSlogix, recomendamos que siga as orientações descritas em Exclusões antivírus do FSLogix.

Requisitos de licenciamento

Ao utilizar várias sessões do Windows Enterprise, de acordo com as nossas melhores práticas de segurança, a máquina virtual pode ser licenciada através do Microsoft Defender para Servidores ou pode optar por ter todos os utilizadores de máquinas virtuais do Azure Virtual Desktop licenciados através de uma das seguintes licenças:

• Plano 1 ou Plano 2 do Microsoft Defender para Endpoint (por utilizador)
• Windows Enterprise E3
• Windows Enterprise E5
• Microsoft 365 E3
• Segurança do Microsoft 365 E5
• Microsoft 365 E5

Os requisitos de licenciamento do Microsoft Defender para Endpoint podem ser encontrados em: Requisitos de licenciamento.

Ligações Relacionadas

Adicionar exclusões para o Defender para Endpoint através do PowerShell

Exclusões antimalware do FSLogix

Configurar o Antivírus do Microsoft Defender num ambiente de trabalho remoto ou num ambiente de infraestrutura de ambiente de trabalho virtual

Sugestão

Quer saber mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.