將 Azure 虛擬桌面中的 Windows 裝置上線

閱讀時間 6 分鐘

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• 在 Azure 虛擬桌面上執行的 Windows 多重工作階段 (AVD)
• Windows 10 企業版多重會話

Microsoft適用於端點的 Defender 支援監視 VDI 和 Azure 虛擬桌面會話。 根據組織的需求，您可能需要實作 VDI 或 Azure 虛擬桌面會話，以協助您的員工從非受控裝置、遠端位置或類似案例存取公司數據和應用程式。 使用適用於端點的 Microsoft Defender，您可以監視這些虛擬機器是否有異常活動。

開始之前

熟悉 非持續性 VDI 的考慮。 雖然 Azure 虛擬桌面 不提供非持續性選項，但它確實提供使用黃金 Windows 映射的方式，可用來布建新的主機和重新部署機器。 這會增加環境中的波動性，因而影響在適用於端點的 Microsoft Defender 入口網站中建立和維護哪些專案，可能會降低安全性分析師的可見度。

注意事項

根據您選擇的上線方法，裝置可以在 Microsoft Defender for Endpoint 入口網站中顯示為：

• 每個虛擬桌面的單一專案
• 每個虛擬桌面有多個專案

Microsoft建議將 Azure 虛擬桌面上線為每個虛擬桌面的單一專案。 這可確保適用於端點的 Microsoft Defender 入口網站中的調查體驗會根據電腦名稱在一部裝置的內容中。 經常刪除和重新部署 AVD 主機的組織應該強烈考慮使用此方法，因為它會防止在適用於端點的 Microsoft Defender 入口網站中建立相同計算機的多個物件。 在調查事件時，這可能會造成混淆。 針對測試或非揮發性環境，您可以選擇不同的選擇。

Microsoft建議將適用於端點的 Microsoft Defender 上線腳本新增至 AVD 黃金映射。 如此一來，您就可以確定此上線腳本會在第一次開機時立即執行。 它會在從AVD黃金映射布建的所有AVD機器上，於初次開機時以啟動腳本的方式執行。 不過，如果您使用其中一個資源庫映像而不進行修改，請將腳本放在共用位置，並從本機或網域組策略呼叫它。

注意事項

AVD 黃金映射上 VDI 上線啟動腳本的位置和設定會將它設定為啟動腳本，以在 AVD 啟動時執行。 不建議將實際的AVD黃金映像上線。 另一個考慮是用來執行腳本的方法。 它應該在啟動/布建程式中儘早執行，以減少可用來接收會話的計算機與裝置上線至服務之間的時間。 下列案例 1 和 2 會將此納入考慮。

案例

有數種方式可讓AVD主計算機上線：

• 在黃金映像 (或在啟動期間從共用位置) 執行腳本。
• 使用管理工具來執行腳本。
• 透過 與適用於雲端的 Microsoft Defender 整合

案例 1：使用本機組策略

此案例需要將腳本放在黃金映射中，並使用本機組策略在開機程式初期執行。

使用將 非持續性虛擬桌面基礎結構 (VDI) 裝置上線中的指示。

請遵循每個裝置的單一專案指示。

案例 2：使用網域組策略

此案例會使用集中位置的腳本，並使用網域型組策略來執行它。 您也可以將腳本放在黃金映射中，並以相同方式執行它。

從 Microsoft Defender 入口網站下載 WindowsDefenderATPOnboardingPackage.zip 檔案

1. 開啟 VDI 組態套件 .zip 檔案 (WindowsDefenderATPOnboardingPackage.zip)

   1. 在 [Microsoft Defender 入口網站] 瀏覽窗格中，選取 [裝置管理]) 底下的 [設定>端點>上線 (]。
   2. 選取 [Windows 10] 或 [Windows 11] 作為操作系統。
   3. 在 [ 部署方法] 字段中，選取非持續性端點的 VDI 上線腳本。
   4. 按一下 [下載套件]，然後儲存 .zip 檔案。

2. 將 .zip 檔案的內容解壓縮到裝置可存取的共用唯讀位置。 您應該有一個名為 OptionalParamsPolicy 的資料夾，以及 WindowsDefenderATPOnboardingScript.cmd 和 Onboard-NonPersistentMachine.ps1的檔案。

使用組策略管理主控台在虛擬機啟動時執行腳本

1. 開啟群組原則管理主控台 (GPMC)，以滑鼠右鍵按一下您要設定的群組原則物件 (GPO)，然後按一下 [編輯]。

2. 在 [組策略管理編輯器] 中，移至 [ 計算機設定>喜好設定>] [控制面板設定]。

3. 以滑鼠右鍵按兩下 [ 排程的任務]，按兩下 [ 新增]，然後按兩下 [ 即時 工作 (至少 Windows 7) ]。

4. 在開啟的 [工作] 視窗中，移至 [ 一般] 索引 卷標。在 [ 安全性選項] 下，按兩下 [變更使用者或群組 ]，然後輸入 SYSTEM。 按兩下 [檢查名稱] ，然後按下 [確定]。 NT AUTHORITY\SYSTEM 會顯示為執行工作的使用者帳戶身分。

5. 選取 [不論使用者登入與否均執行]，然後勾選 [以最高權限執行] 核取方塊。

6. 移至 [ 動作] 索引 標籤，然後按兩下 [ 新增]。 確定已在 [動作] 欄位中選取 [ 啟動程式 ]。 輸入下列內容：

   Action = "Start a program"

   Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

   Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

   然後選取 [確定 ]，然後關閉任何開啟的 GPMC 視窗。

案例 3：使用管理工具上線

如果您打算使用管理工具來管理計算機，您可以使用 Microsoft Endpoint Configuration Manager 將裝置上線。

如需詳細資訊，請 參閱使用 Configuration Manager 將 Windows 裝置上線。

警告

如果您打算使用 受攻擊面縮小規則參考，請注意，不應該使用「封鎖源自 PSExec 和 WMI 命令的進程建立」規則，因為該規則與透過 Microsoft Endpoint Configuration Manager 的管理不相容。 此規則會封鎖 Configuration Manager 用戶端用來正常運作的 WMI 命令。

提示

將裝置上線之後，您可以選擇執行偵測測試，以確認裝置已正確上線至服務。 如需詳細資訊，請參閱 在新上線的適用於端點的 Microsoft Defender 裝置上執行偵測測試

在建置黃金映射時標記您的機器

在上線過程中，您可能想要考慮設定電腦標籤，以便在 Microsoft 資訊安全中心更輕鬆地區分 AVD 機器。 如需詳細資訊，請 參閱透過設定登錄機碼值來新增裝置標籤。

其他建議的組態設定

建置您的黃金映射時，您可能也想要設定初始保護設定。 如需詳細資訊，請 參閱其他建議的組態設定。

此外，如果您使用 FSlogix 使用者配置檔，建議您遵循 FSLogix 防病毒軟體排除專案中所述的指引。

授權需求

使用 Windows Enterprise 多重會話時，根據我們的安全性最佳做法，虛擬機可以透過適用於伺服器的 Microsoft Defender 進行授權，或者您可以選擇讓所有 Azure 虛擬桌面虛擬機使用者透過下列其中一個授權獲得授權：

• Microsoft適用於端點的 Defender 方案 1 或每位使用者 (方案 2)
• Windows 企業版 E3
• Windows 企業版 E5
• Microsoft 365 E3
• Microsoft 365 E5 安全性
• Microsoft 365 E5

適用於端點Microsoft Defender 的授權需求可在下列位置找到： 授權需求。

相關連結

透過PowerShell新增適用於端點的Defender排除專案

FSLogix 反惡意代碼排除專案

在遠端桌面或虛擬桌面基礎結構環境中設定 Microsoft Defender 防病毒軟體

提示

想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動：Microsoft適用於端點的Defender技術社群。