مشاركة عبر

إلحاق أجهزة Windows في Azure Virtual Desktop

  • ينطبق على: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

6 دقائق للقراءة

يدعم Microsoft Defender لنقطة النهاية مراقبة كل من VDI وجلسات Azure Virtual Desktop. اعتمادا على احتياجات مؤسستك، قد تحتاج إلى تنفيذ VDI أو Azure جلسات سطح المكتب الظاهري لمساعدة موظفيك على الوصول إلى بيانات الشركة وتطبيقاتها من جهاز غير مدار أو موقع بعيد أو سيناريو مشابه. باستخدام Microsoft Defender لنقطة النهاية، يمكنك مراقبة هذه الأجهزة الظاهرية للنشاط الشاذ.

ملاحظة

يمكن استخدام أداة توزيع Defender (الآن في المعاينة العامة) لنشر أمان نقطة نهاية Defender على أجهزة Windows وLinux. الأداة هي تطبيق خفيف الوزن ومحدث ذاتيا يبسط عملية التوزيع. لمزيد من المعلومات، راجع توزيع أمان نقطة النهاية Microsoft Defender على أجهزة Windows باستخدام أداة توزيع Defender (معاينة)ونشر أمان نقطة النهاية Microsoft Defender على أجهزة Linux باستخدام أداة توزيع Defender (معاينة).

قبل البدء

تعرف على اعتبارات VDI غير المستمرة. على الرغم من أن Azure Virtual Desktop لا يوفر خيارات عدم الاستمرار، فإنه يوفر طرقا لاستخدام صورة Windows ذهبية يمكن استخدامها لتوفير مضيفين جدد وإعادة توزيع الأجهزة. يؤدي هذا إلى زيادة التقلب في البيئة وبالتالي يؤثر على الإدخالات التي يتم إنشاؤها وصيانتها في مدخل Microsoft Defender لنقطة النهاية، مما قد يقلل من الرؤية لمحللي الأمان.

ملاحظة

اعتمادا على اختيارك لطريقة الإعداد، يمكن أن تظهر الأجهزة في مدخل Microsoft Defender لنقطة النهاية إما ك:

  • إدخال واحد لكل سطح مكتب ظاهري
  • إدخالات متعددة لكل سطح مكتب ظاهري

توصي Microsoft بالإلحاق Azure Virtual Desktop كإدخل واحد لكل سطح مكتب ظاهري. وهذا يضمن أن تجربة التحقيق في مدخل Microsoft Defender لنقطة النهاية في سياق جهاز واحد استنادا إلى اسم الجهاز. يجب على المؤسسات التي تحذف وتعيد توزيع مضيفي AVD بشكل متكرر التفكير بشدة في استخدام هذا الأسلوب لأنه يمنع إنشاء كائنات متعددة لنفس الجهاز في مدخل Microsoft Defender لنقطة النهاية. يمكن أن يؤدي هذا إلى الارتباك عند التحقيق في الحوادث. بالنسبة للبيئات الاختبارية أو غير المتقلبة، يمكنك اختيار بشكل مختلف. عند استخدام الإدخال الفردي لكل أسلوب سطح مكتب ظاهري، ليس من الضروري إلغاء إلحاق أسطح المكتب الظاهرية.

توصي Microsoft بإضافة البرنامج النصي Microsoft Defender لنقطة النهاية الإعداد إلى الصورة الذهبية AVD. بهذه الطريقة، يمكنك التأكد من أن هذا البرنامج النصي للإلحاق يعمل على الفور في التمهيد الأول. يتم تنفيذه كبرنامج نصي لبدء التشغيل في التمهيد الأول على جميع أجهزة AVD التي يتم توفيرها من الصورة الذهبية AVD. ومع ذلك، إذا كنت تستخدم إحدى صور المعرض دون تعديل، فضع البرنامج النصي في موقع مشترك واستدعه إما من نهج محلي أو من نهج مجموعة المجال.

ملاحظة

يقوم موضع وتكوين البرنامج النصي لبدء تشغيل إلحاق VDI على الصورة الذهبية AVD بتكوينه كبرنامج نصي لبدء التشغيل يتم تشغيله عند بدء تشغيل AVD. لا يوصى بإلحاق الصورة الذهبية الفعلية ل AVD. هناك اعتبار آخر هو الطريقة المستخدمة لتشغيل البرنامج النصي. يجب تشغيله في أقرب وقت ممكن في عملية بدء التشغيل/التوفير لتقليل الوقت بين الجهاز المتاح لتلقي الجلسات وإلحاق الجهاز بالخدمة. تأخذ السيناريوهات 1 و2 أدناه هذا في الاعتبار.

سيناريوهات

هناك عدة طرق لإلحاق جهاز مضيف AVD:

  • قم بتشغيل البرنامج النصي في الصورة الذهبية (أو من موقع مشترك) أثناء بدء التشغيل.
  • استخدم أداة إدارة لتشغيل البرنامج النصي.
  • من خلال التكامل مع Microsoft Defender للسحابة

السيناريو 1: استخدام نهج المجموعة المحلية

يتطلب هذا السيناريو وضع البرنامج النصي في صورة ذهبية ويستخدم نهج المجموعة المحلية للتشغيل في وقت مبكر من عملية التمهيد.

استخدم الإرشادات الموجودة في إلحاق أجهزة البنية الأساسية لسطح المكتب الظاهري (VDI) غير الدائمة.

اتبع الإرشادات الخاصة بإدخال واحد لكل جهاز.

السيناريو 2: استخدام نهج مجموعة المجال

يستخدم هذا السيناريو برنامج نصيا مركزيا ويشغله باستخدام نهج مجموعة مستند إلى المجال. يمكنك أيضا وضع البرنامج النصي في الصورة الذهبية وتشغيله بنفس الطريقة.

تنزيل ملف WindowsDefenderATPOnboardingPackage.zip من مدخل Microsoft Defender

  1. افتح ملف .zip حزمة تكوين VDI (WindowsDefenderATPOnboardingPackage.zip)

    1. في جزء التنقل في مدخل Microsoft Defender، حدد الإعدادات>Endpoints>Onboarding (ضمن إدارة الجهاز).
    2. حدد Windows 10 أو Windows 11 كنظام تشغيل.
    3. في حقل أسلوب النشر ، حدد VDI إلحاق البرامج النصية لنقاط النهاية غير المستمرة.
    4. انقر فوق تنزيل الحزمة واحفظ ملف .zip.

  2. استخرج محتويات ملف .zip إلى موقع مشترك للقراءة فقط يمكن الوصول إليه بواسطة الجهاز. يجب أن يكون لديك مجلد يسمى OptionalParamsPolicy والملفات WindowsDefenderATPOnboardingScript.cmdOnboard-NonPersistentMachine.ps1.

استخدام وحدة تحكم إدارة نهج المجموعة لتشغيل البرنامج النصي عند بدء تشغيل الجهاز الظاهري

  1. افتح وحدة تحكم إدارة نهج المجموعة (GPMC)، وانقر بزر الماوس الأيمن فوق نهج المجموعة Object (GPO) الذي تريد تكوينه وانقر فوق Edit.

  2. في محرر إدارة نهج المجموعة، انتقل إلىإعدادات لوحة التحكمفي تفضيلات>تكوين> الكمبيوتر.

  3. انقر بزر الماوس الأيمن فوق المهام المجدولة، وانقر فوق جديد، ثم انقر فوق مهمة فورية (Windows 7 على الأقل).

  4. في نافذة المهمة التي تفتح، انتقل إلى علامة التبويب عام . ضمن خيارات الأمان ، انقر فوق تغيير المستخدم أو المجموعة واكتب النظام. انقر فوق التحقق من الأسماء ثم انقر فوق موافق. يظهر NT AUTHORITY\SYSTEM كحساب المستخدم الذي سيتم تشغيل المهمة عليه.

  5. حدد تشغيل سواء قام المستخدم بتسجيل الدخول أم لا وحدد خانة الاختيار تشغيل بأعلى الامتيازات .

  6. انتقل إلى علامة التبويب إجراءات وانقر فوق جديد. تأكد من تحديد Start a program في حقل Action. أدخل ما يلي: Action = "Start a program"

    Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

    Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

    ثم حدد موافق وأغلق أي نوافذ GPMC مفتوحة.

السيناريو 3: الإلحاق باستخدام أدوات الإدارة

إذا كنت تخطط لإدارة أجهزتك باستخدام أداة إدارة، يمكنك إلحاق الأجهزة باستخدام Microsoft Endpoint Configuration Manager.

لمزيد من المعلومات، راجع إلحاق أجهزة Windows باستخدام Configuration Manager.

تحذير

إذا كنت تخطط لاستخدام مرجع قواعد تقليل الأجزاء المعرضة للهجوم، فلاحظ أنه يجب عدم استخدام القاعدة "حظر إنشاءات العملية التي تنشأ من أوامر PSExec وWMI"، لأن هذه القاعدة غير متوافقة مع الإدارة من خلال Microsoft Endpoint Configuration Manager. تحظر القاعدة أوامر WMI التي يستخدمها العميل Configuration Manager للعمل بشكل صحيح.

تلميح

بعد إعداد الجهاز، يمكنك اختيار تشغيل اختبار الكشف للتحقق من أن الجهاز تم إلحاقه بالخدمة بشكل صحيح. لمزيد من المعلومات، راجع تشغيل اختبار الكشف على جهاز Microsoft Defender لنقطة النهاية تم إلحاقه حديثا.

وضع علامات على أجهزتك عند إنشاء صورتك الذهبية

كجزء من الإعداد الخاص بك، قد تحتاج إلى التفكير في تعيين علامة جهاز للتمييز بين أجهزة AVD بسهولة أكبر في مركز أمان Microsoft. لمزيد من المعلومات، راجع إضافة علامات الجهاز عن طريق تعيين قيمة مفتاح التسجيل.

عند إنشاء صورتك الذهبية، قد ترغب في تكوين إعدادات الحماية الأولية أيضا. لمزيد من المعلومات، راجع إعدادات التكوين الموصى بها الأخرى.

أيضا، إذا كنت تستخدم ملفات تعريف مستخدم FSlogix، نوصي باتباع الإرشادات الموضحة في استثناءات برنامج الحماية من الفيروسات FSLogix.

متطلبات الترخيص

عند استخدام Windows Enterprise متعدد الجلسات، وفقا لأفضل ممارسات الأمان الخاصة بنا، يمكن ترخيص الجهاز الظاهري من خلال Microsoft Defender للخوادم أو يمكنك اختيار ترخيص جميع مستخدمي الجهاز الظاهري لسطح المكتب الظاهري Azure من خلال أحد التراخيص التالية:

  • Microsoft Defender لنقطة النهاية الخطة 1 أو الخطة 2 (لكل مستخدم)
  • Windows Enterprise E3
  • Windows Enterprise E5
  • Microsoft 365 E3
  • مجموعة Microsoft Defender
  • Microsoft 365 E5

يمكن العثور على متطلبات الترخيص Microsoft Defender لنقطة النهاية في: متطلبات الترخيص.

إضافة استثناءات ل Defender لنقطة النهاية عبر PowerShell

استثناءات FSLogix لمكافحة البرامج الضارة

تكوين برنامج الحماية من الفيروسات Microsoft Defender على سطح مكتب بعيد أو بيئة بنية أساسية لسطح المكتب الظاهري

  • Last updated on