Dela via

Registrera VDI-enheter (non-persistent virtual desktop infrastructure) i Microsoft Defender XDR

  • Artikel

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

VDI (Virtual Desktop Infrastructure) är ett IT-infrastrukturkoncept som ger slutanvändare åtkomst till instanser av virtuella företagsdatorer från nästan alla enheter (till exempel din personliga dator, smartphone eller surfplatta), vilket eliminerar behovet av att organisationen ger användarna fysiska datorer. Användning av VDI-enheter minskar kostnaderna eftersom IT-avdelningarna inte längre ansvarar för att hantera, reparera och ersätta fysiska slutpunkter. Behöriga användare kan komma åt samma företagsservrar, filer, appar och tjänster från alla godkända enheter via en säker skrivbordsklient eller webbläsare.

Precis som andra system i en IT-miljö bör VDI-enheter ha en slutpunktsidentifiering och svar (EDR) och antiviruslösning för att skydda mot avancerade hot och attacker.

Obs!

Beständiga VDI:er – Registrering av en beständig VDI-dator i Microsoft Defender för Endpoint hanteras på samma sätt som du registrerar en fysisk dator, till exempel en stationär eller bärbar dator. Grupprincip, Microsoft Configuration Manager och andra metoder kan användas för att registrera en beständig dator. I Microsoft Defender portalen, (https://security.microsoft.com) under onboarding, väljer du önskad registreringsmetod och följer anvisningarna för den typen. Mer information finns i Registrera Windows-klienten.

Registrera icke-beständiga VDI-enheter (Virtual Desktop Infrastructure)

Defender för Endpoint stöder registrering av icke-beständiga VDI-sessioner. Det kan finnas associerade utmaningar vid registrering av VDI-instanser. Följande är vanliga utmaningar för det här scenariot:

  • Omedelbar tidig registrering av en kortlivad session, som måste registreras i Defender för Endpoint innan den faktiska etableringen.

  • Enhetsnamnet återanvänds vanligtvis för nya sessioner.

  • I en VDI-miljö kan VDI-instanser ha korta livslängder. VDI-enheter kan visas i Microsoft Defender-portalen som antingen enskilda poster för varje VDI-instans eller flera poster för varje enhet.

    • En post för varje VDI-instans. Om VDI-instansen redan har registrerats för Microsoft Defender för Endpoint, och någon gång har tagits bort och sedan återskapats med samma värdnamn, skapas INTE ett nytt objekt som representerar den här VDI-instansen i portalen. I det här fallet måste samma enhetsnamn konfigureras när sessionen skapas, till exempel med hjälp av en obevakad svarsfil.

    • Flera poster för varje enhet – en för varje VDI-instans.

Viktigt

Om du distribuerar icke-beständiga VDI:er via kloningsteknik kontrollerar du att dina interna virtuella malldatorer inte är registrerade i Defender för Endpoint. Den här rekommendationen är att undvika att klonade virtuella datorer registreras med samma senseGuid som dina virtuella malldatorer, vilket kan förhindra att virtuella datorer visas som nya poster i listan Enheter.

Följande steg vägleder dig genom registrering av VDI-enheter och markerar steg för enskilda och flera poster.

Varning

För miljöer där det finns låga resurskonfigurationer kan VDI-startproceduren fördröja registrering av Defender för Endpoint-sensorn.

Registreringssteg

Obs!

Windows Server 2016 och Windows Server 2012 R2 måste förberedas genom att installera installationspaketet först med hjälp av anvisningarna i Registrera Windows-servrar för att den här funktionen ska fungera.

  1. Öppna VDI-konfigurationspaketfilen (WindowsDefenderATPOnboardingPackage.zip) som du laddade ned från guiden för tjänstregistrering. Du kan också hämta paketet från Microsoft Defender-portalen.

    1. I navigeringsfönstret väljer du Inställningar>Slutpunkter>Enhetshantering>Registrering.

    2. Välj operativsystemet.

    3. I fältet Distributionsmetod väljer du VDI-registreringsskript för icke-beständiga slutpunkter.

    4. Välj Ladda ned paket och spara filen.

  2. Kopiera filerna från WindowsDefenderATPOnboardingPackage mappen som extraherats från den zippade mappen till den gyllene/primära bilden under sökvägen C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    • Om du implementerar flera poster för varje enhet – en för varje session kopierar WindowsDefenderATPOnboardingScript.cmddu .

    • Om du implementerar en enda post för varje enhet kopierar du både Onboard-NonPersistentMachine.ps1 och WindowsDefenderATPOnboardingScript.cmd.

    Obs!

    Om du inte ser mappen kan den C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup vara dold. Du måste välja alternativet Visa dolda filer och mappar från Utforskaren.

  3. Öppna ett lokalt grupprincip Editor fönster och gå till StartavWindows-inställningsskript>> för datorkonfiguration>.

    Obs!

    Domän grupprincip kan också användas för registrering av icke-beständiga VDI-enheter.

  4. Följ lämpliga steg beroende på vilken metod du vill implementera:

    Metod Steg
    Enkel post för varje enhet 1. Välj fliken PowerShell-skript och välj sedan Lägg till (Utforskaren öppnas direkt i sökvägen där du kopierade registreringsskriptet tidigare).
    2. Navigera till registrering av PowerShell-skript Onboard-NonPersistentMachine.ps1. Du behöver inte ange den andra filen eftersom den utlöses automatiskt.
    Flera poster för varje enhet 1. Välj fliken Skript och välj sedan Lägg till (Utforskaren öppnas direkt i sökvägen där du kopierade registreringsskriptet tidigare).
    2. Navigera till onboarding bash-skriptet WindowsDefenderATPOnboardingScript.cmd.

  5. Testa lösningen genom att följa dessa steg:

    1. Skapa en pool med en enhet.

    2. Logga in på enheten.

    3. Logga ut på enheten.

    4. Logga in på enheten med ett annat konto.

    5. Följ lämpliga steg beroende på vilken metod du vill implementera:

  6. I navigeringsfönstret väljer du Enhetslista.

  7. Använd sökfunktionen genom att ange enhetsnamnet och välja Enhet som söktyp.

För SKU:er på nednivå (Windows Server 2008 R2)

Obs!

De här anvisningarna för andra Windows Server-versioner gäller även om du kör föregående Microsoft Defender för Endpoint för Windows Server 2016 och Windows Server 2012 R2 som kräver MMA. Instruktioner för att migrera till den nya enhetliga lösningen finns i Scenarier för servermigrering i Microsoft Defender för Endpoint.

Följande register är endast relevant när målet är att uppnå en enda post för varje enhet.

  1. Ange registervärdet så här:

    
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
 "VDI"="NonPersistent"

    Eller så kan du använda kommandoraden på följande sätt:

    
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f

  2. Följ processen för serverregistrering.

Uppdatera VDI-avbildningar (Virtual Desktop Infrastructure) (beständiga eller icke-beständiga)

Med möjligheten att enkelt distribuera uppdateringar till virtuella datorer som körs i VDI:er har vi förkortat den här guiden för att fokusera på hur du snabbt och enkelt kan få uppdateringar på dina datorer. Du behöver inte längre skapa och försegla gyllene avbildningar regelbundet, eftersom uppdateringar utökas till deras komponentbitar på värdservern och sedan laddas ned direkt till den virtuella datorn när den är aktiverad.

Om du har registrerat den primära avbildningen av DIN VDI-miljö (SENSE-tjänsten körs) måste du avregistrera och rensa vissa data innan du sätter tillbaka avbildningen i produktion.

  1. Avregistrera datorn.

  2. Kontrollera att sensorn stoppas genom att köra följande kommando i ett CMD-fönster:

    
sc query sense

  3. Kör följande kommandon i ett CMD-fönster::

    
del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit

Använder du en tredje part för VDI:er?

Om du distribuerar icke-beständiga VDI:er via snabbkloning av VMware eller liknande tekniker kontrollerar du att dina interna virtuella malldatorer och virtuella replikdatorer inte registreras i Defender för Endpoint. Om du registrerar enheter med metoden enkel post kan omedelbara kloner som etableras från registrerade virtuella datorer ha samma senseGuid, och det kan hindra en ny post från att visas i vyn Enhetsinventering (i Microsoft Defender-portalen väljer du Tillgångar>enheter).

Om antingen den primära avbildningen, den virtuella malldatorn eller den virtuella replikdatorn registreras i Defender för Endpoint med hjälp av metoden för enkel inmatning hindrar den Defender för Endpoint från att skapa poster för nya icke-beständiga VDI:er i Microsoft Defender-portalen.

Kontakta tredjepartsleverantörerna för ytterligare hjälp.

När du har registrerat enheter till tjänsten är det viktigt att dra nytta av de inkluderade hotskyddsfunktionerna genom att aktivera dem med följande rekommenderade konfigurationsinställningar.

Nästa generations skyddskonfiguration

Konfigurationsinställningarna i den här länken rekommenderas: Konfigurera Microsoft Defender Antivirus på en miljö för fjärrskrivbord eller virtuell skrivbordsinfrastruktur.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.