Sessões do Microsoft Defender for Endpoint for Azure Virtual Desktop

Concluído

O Microsoft Defender for Endpoint oferece suporte ao monitoramento de sessões VDI e da Área de Trabalho Virtual do Azure. Dependendo das necessidades da sua organização, poderá ter de implementar sessões VDI ou de Ambiente de Trabalho Virtual do Azure para ajudar os seus funcionários a aceder a dados e aplicações empresariais a partir de um dispositivo não gerido, localização remota ou cenário semelhante. Com o Microsoft Defender for Endpoint, você pode monitorar essas máquinas virtuais em busca de atividades anômalas.

Embora a Área de Trabalho Virtual do Azure não forneça opções de não persistência, ela fornece maneiras de usar uma imagem dourada do Windows que pode ser usada para provisionar novos hosts e reimplantar máquinas. Isso aumenta a volatilidade no ambiente e, portanto, afeta quais entradas são criadas e mantidas no portal do Microsoft Defender for Endpoint, potencialmente reduzindo a visibilidade para seus analistas de segurança.

Dependendo da sua escolha de método de integração, os dispositivos podem aparecer no portal do Microsoft Defender for Endpoint como:

• Entrada única para cada área de trabalho virtual
• Várias entradas para cada área de trabalho virtual

A Microsoft recomenda a integração da Área de Trabalho Virtual do Azure como uma entrada única por área de trabalho virtual. Isso garante que a experiência de investigação no portal do Microsoft Defender for Endpoint esteja no contexto de um dispositivo com base no nome da máquina. As organizações que frequentemente excluem e reimplantam hosts AVD devem considerar fortemente o uso desse método, pois ele impede que vários objetos para a mesma máquina sejam criados no portal do Microsoft Defender for Endpoint. Isso pode gerar confusão ao investigar incidentes. Para ambientes de teste ou não voláteis, você pode optar por escolher de forma diferente.

A Microsoft recomenda adicionar o script de integração do Microsoft Defender for Endpoint à imagem dourada do AVD. Dessa forma, você pode ter certeza de que esse script de integração é executado imediatamente na primeira inicialização. Ele é executado como um script de inicialização na primeira inicialização em todas as máquinas AVD que são provisionadas a partir da imagem dourada do AVD. No entanto, se você estiver usando uma das imagens da galeria sem modificação, coloque o script em um local compartilhado e chame-o da política de grupo local ou de domínio.

Nota

O posicionamento e a configuração do script de inicialização de integração VDI na imagem dourada do AVD o configuram como um script de inicialização que é executado quando o AVD é iniciado. Não é recomendado integrar a imagem dourada AVD real. Outra consideração é o método usado para executar o script. Ele deve ser executado o mais cedo possível no processo de inicialização/provisionamento para reduzir o tempo entre a máquina estar disponível para receber sessões e a integração do dispositivo ao serviço. Os cenários 1 e 2 infra têm isto em conta.

Cenários

Há várias maneiras de integrar uma máquina host AVD:

• Execute o script na imagem dourada (ou a partir de um local compartilhado) durante a inicialização.
• Use uma ferramenta de gerenciamento para executar o script.
• Através da integração com o Microsoft Defender for Cloud

Cenário 1: Usando a diretiva de grupo local

Esse cenário requer colocar o script em uma imagem dourada e usa a diretiva de grupo local para ser executada no início do processo de inicialização.

Use as instruções em Integrar os dispositivos VDI (infraestrutura de área de trabalho virtual) não persistente.

Siga as instruções para uma única entrada para cada dispositivo.

Cenário 2: Usando a diretiva de grupo de domínio

Esse cenário usa um script localizado centralmente e o executa usando uma diretiva de grupo baseada em domínio. Você também pode colocar o script na imagem dourada e executá-lo da mesma maneira.

Baixe o arquivo de WindowsDefenderATPOnboardingPackage.zip do portal do Microsoft Defender

1. Abra o arquivo de .zip do pacote de configuração VDI (WindowsDefenderATPOnboardingPackage.zip)

   1. No painel de navegação do portal do Microsoft Defender, selecione Configurações>de integração de pontos> de extremidade (em Gerenciamento de dispositivos).
   2. Selecione Windows 10 ou Windows 11 como sistema operacional.
   3. No campo Método de implantação, selecione scripts de integração VDI para pontos de extremidade não persistentes.
   4. Clique em Baixar pacote e salve o arquivo .zip.

2. Extraia o conteúdo do arquivo .zip para um local compartilhado e somente leitura que possa ser acessado pelo dispositivo. Você deve ter uma pasta chamada OptionalParamsPolicy e os arquivos WindowsDefenderATPOnboardingScript.cmd e Onboard-NonPersistentMachine.ps1.

Usar o console de gerenciamento de Diretiva de Grupo para executar o script quando a máquina virtual for iniciada

1. Abra o GPMC (Console de Gerenciamento de Diretiva de Grupo), clique com o botão direito do mouse no GPO (Objeto de Diretiva de Grupo) que deseja configurar e clique em Editar.

2. No Editor de Gerenciamento de Diretiva de Grupo, vá para Configurações do painel de controle Preferências>de configuração>do computador.

3. Clique com o botão direito do rato em Tarefas agendadas, clique em Novo e, em seguida, clique em Tarefa Imediata (Pelo menos Windows 7).

4. Na janela Tarefa que se abre, vá para a guia Geral . Em Opções de segurança, clique em Alterar Usuário ou Grupo e digite SISTEMA. Clique em Verificar nomes e, em seguida, clique em OK. NT AUTHORITY\SYSTEM aparece como a conta de usuário como a tarefa será executada.

5. Selecione Executar se o usuário está conectado ou não e marque a caixa de seleção Executar com privilégios mais altos .

6. Vá para a guia Ações e clique em Novo. Certifique-se de que Iniciar um programa esteja selecionado no campo Ação. Introduza o seguinte:

   Ação = "Iniciar um programa"

   Programa/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

   Adicionar argumentos (opcional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

   Em seguida, selecione OK e feche todas as janelas abertas do GPMC.

Cenário 3: Integração usando ferramentas de gerenciamento

Se você planeja gerenciar suas máquinas usando uma ferramenta de gerenciamento, pode integrar dispositivos diretamente com o Microsoft Endpoint Configuration.

Gorjeta

Após a integração do dispositivo, você pode optar por executar um teste de deteção para verificar se o dispositivo está corretamente integrado ao serviço. Para obter mais informações, consulte Executar um teste de deteção em um dispositivo Microsoft Defender for Endpoint recém-integrado.

Marcar as suas máquinas ao construir a sua imagem dourada

Como parte da integração, convém considerar a definição de uma marca de máquina para diferenciar máquinas AVD mais facilmente na Central de Segurança da Microsoft. Para obter mais informações, consulte Adicionar tags de dispositivo definindo um valor de chave do Registro.

Outras definições de configuração recomendadas

Ao criar sua imagem dourada, convém definir as configurações iniciais de proteção também. Para obter mais informações, consulte Outras definições de configuração recomendadas.

Além disso, se você estiver usando perfis de usuário FSlogix, recomendamos que siga as orientações descritas em Exclusões antivírus FSLogix.

Requisitos de licenciamento

Nota sobre licenciamento: Ao utilizar o Windows Enterprise com várias sessões, dependendo dos seus requisitos, pode optar por ter todos os utilizadores licenciados através do Microsoft Defender for Endpoint (por utilizador), Windows Enterprise E5, Microsoft 365 E5 Security ou Microsoft 365 E5, ou ter a VM licenciada através do Microsoft Defender for Cloud. Os requisitos de licenciamento do Microsoft Defender for Endpoint podem ser encontrados em: Requisitos de licenciamento.