Sdílet prostřednictvím

Onboarding zařízení s Windows ve službě Azure Virtual Desktop

  • Článek

6 minut ke čtení

Platí pro:

Microsoft Defender for Endpoint podporuje monitorování relací VDI i Azure Virtual Desktopu. V závislosti na potřebách vaší organizace možná budete muset implementovat relace VDI nebo Azure Virtual Desktopu, které vašim zaměstnancům pomůžou přistupovat k podnikovým datům a aplikacím z nespravovaného zařízení, vzdáleného umístění nebo podobného scénáře. Pomocí Microsoft Defenderu for Endpoint můžete monitorovat neobvyklé aktivity těchto virtuálních počítačů.

Než začnete

Seznamte se s aspekty, které je potřeba vzít v úvahu v případě nestálouho VDI. Azure Virtual Desktop sice nenabízí možnosti trvalosti, ale nabízí způsoby použití zlaté image Windows, kterou je možné použít ke zřízení nových hostitelů a opětovnému nasazení počítačů. Tím se zvyšuje volatilita v prostředí, což má vliv na vytváření a údržbu položek na portálu Microsoft Defender for Endpoint, což může snížit viditelnost analytiků zabezpečení.

Poznámka

V závislosti na tom, jakou metodu onboardingu zvolíte, se zařízení můžou na portálu Microsoft Defender for Endpoint zobrazovat takto:

  • Jedna položka pro každou virtuální plochu
  • Více položek pro každou virtuální plochu

Microsoft doporučuje onboarding služby Azure Virtual Desktop jako jednu položku pro každou virtuální plochu. Tím se zajistí, že prostředí pro šetření na portálu Microsoft Defender for Endpoint bude v kontextu jednoho zařízení na základě názvu počítače. Organizace, které často odstraňují a nasadí hostitele AVD, by měly důrazně zvážit použití této metody, protože brání vytvoření více objektů pro stejný počítač na portálu Microsoft Defender for Endpoint. To může vést k nejasnostem při vyšetřování incidentů. Pro testovací nebo nestálé prostředí se můžete rozhodnout, že zvolíte jinak.

Microsoft doporučuje přidat do zlaté image AVD skript pro onboarding Microsoft Defender for Endpoint. Tímto způsobem si můžete být jistí, že se tento skript pro zprovoznění spustí okamžitě při prvním spuštění. Spustí se jako spouštěcí skript při prvním spuštění na všech počítačích AVD, které jsou zřízené ze zlaté image AVD. Pokud ale používáte některou z imagí galerie bez úprav, umístěte skript do sdíleného umístění a zavolejte ho z místních nebo doménových zásad skupiny.

Poznámka

Umístění a konfigurace spouštěcího skriptu onboardingu VDI na zlaté imagi AVD ho nakonfiguruje jako spouštěcí skript, který se spustí při spuštění AVD. Nedoporučujeme onboardovat vlastní zlatý obrázek AVD. Dalším aspektem je metoda použitá ke spuštění skriptu. Mělo by se spustit co nejdříve v procesu spuštění nebo zřizování, aby se zkrátila doba mezi tím, než bude počítač dostupný pro příjem relací, a onboardingem zařízení do služby. Následující scénáře 1 a 2 to berou v úvahu.

Scénáře

Existuje několik způsobů, jak připojit hostitelský počítač AVD:

Scénář 1: Použití místních zásad skupiny

Tento scénář vyžaduje umístění skriptu do zlaté image a používá místní zásady skupiny ke spuštění v rané fázi procesu spouštění.

Postupujte podle pokynů v tématu Nasazení zařízení infrastruktury virtuálních klientských počítačů (VDI).

Postupujte podle pokynů pro jednu položku pro každé zařízení.

Scénář 2: Použití zásad skupiny domény

Tento scénář používá centrálně umístěný skript a spouští ho pomocí zásad skupiny založených na doméně. Skript můžete také umístit do zlaté image a spustit ho stejným způsobem.

Stažení souboru WindowsDefenderATPOnboardingPackage.zip z portálu Microsoft Defender

  1. Otevřete konfigurační balíček VDI .zip souboru (WindowsDefenderATPOnboardingPackage.zip).

    1. V navigačním podokně portálu Microsoft Defender vyberteOnboardingkoncových bodů>nastavení> (v části Správa zařízení).
    2. Jako operační systém vyberte Windows 10 nebo Windows 11.
    3. V poli Metoda nasazení vyberte skripty onboardingu VDI pro trvalé koncové body.
    4. Klikněte na Stáhnout balíček a uložte soubor .zip.

  2. Extrahujte obsah souboru .zip do sdíleného umístění jen pro čtení, ke kterému má zařízení přístup. Měli byste mít složku s názvem OptionalParamsPolicy a soubory WindowsDefenderATPOnboardingScript.cmd a Onboard-NonPersistentMachine.ps1.

Spuštění skriptu při spuštění virtuálního počítače pomocí konzoly pro správu zásad skupiny

  1. Otevřete Konzolu pro správu zásad skupiny (GPMC), klikněte pravým tlačítkem na objekt zásad skupiny, který chcete nakonfigurovat, a klikněte na Upravit.

  2. V Editoru pro správu zásad skupiny přejděte na Nastaveníovládacího paneluPředvolby>konfigurace> počítače.

  3. Klikněte pravým tlačítkem na Naplánované úkoly, klikněte na Nový a potom klikněte na Okamžitý úkol (alespoň Windows 7).

  4. V okně Úkol, které se otevře, přejděte na kartu Obecné . V části Možnosti zabezpečení klikněte na Změnit uživatele nebo skupinu a zadejte SYSTEM. Klikněte na Zkontrolovat jména a potom klikněte na OK. NT AUTHORITY\SYSTEM se zobrazí jako uživatelský účet, jako který bude úloha spuštěna.

  5. Vyberte Spustit bez ohledu na to, jestli je uživatel přihlášený nebo ne , a zaškrtněte políčko Spustit s nejvyššími oprávněními .

  6. Přejděte na kartu Akce a klikněte na Nový. Ujistěte se, že je v poli Akce vybraná možnost Spustit program . Zadejte následující:

    Action = "Start a program"

    Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

    Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

    Pak vyberte OK a zavřete všechna otevřená okna konzoly GPMC.

Scénář 3: Onboarding pomocí nástrojů pro správu

Pokud plánujete spravovat počítače pomocí nástroje pro správu, můžete zařízení připojit pomocí nástroje Microsoft Endpoint Configuration Manager.

Další informace najdete v tématu Onboarding zařízení s Windows pomocí Configuration Manageru.

Upozornění

Pokud plánujete použít odkaz na pravidla omezení potenciální oblasti útoku, nezapomeňte, že by se nemělo používat pravidlo "Blokovat vytváření procesů pocházející z příkazů PSExec a WMI", protože toto pravidlo není kompatibilní se správou prostřednictvím nástroje Microsoft Endpoint Configuration Manager. Pravidlo blokuje příkazy rozhraní WMI, které klient nástroje Configuration Manager používá ke správnému fungování.

Tip

Po onboardingu zařízení můžete spustit test detekce, abyste ověřili, že je zařízení správně nasazené do služby. Další informace najdete v tématu Spuštění testu detekce na nově nasazených zařízeních Microsoft Defender for Endpoint.

Označování počítačů při vytváření zlatého obrázku

V rámci onboardingu můžete zvážit nastavení značky počítače pro snadnější rozlišení počítačů AVD ve službě Microsoft Security Center. Další informace najdete v tématu Přidání značek zařízení nastavením hodnoty klíče registru.

Při vytváření zlaté image můžete také nakonfigurovat nastavení počáteční ochrany. Další informace najdete v tématu Další doporučená nastavení konfigurace.

Pokud používáte profily uživatelů FSlogix, doporučujeme postupovat podle pokynů popsaných v tématu Vyloučení antivirové ochrany FSLogix.

Licenční požadavky

Při použití více relací Windows Enterprise můžete podle našich osvědčených postupů zabezpečení licencovat virtuální počítač prostřednictvím Programu Microsoft Defender pro servery, nebo se můžete rozhodnout, že se všichni uživatelé virtuálních počítačů Azure Virtual Desktop licencují prostřednictvím jedné z následujících licencí:

  • Microsoft Defender for Endpoint Plan 1 nebo Plan 2 (na uživatele)
  • Windows Enterprise E3
  • Windows Enterprise E5
  • Microsoft 365 E3
  • Microsoft 365 E5 Security
  • Microsoft 365 E5

Licenční požadavky pro Microsoft Defender for Endpoint najdete tady: Licenční požadavky.

Přidání vyloučení pro Defender for Endpoint prostřednictvím PowerShellu

Vyloučení antimalwarového softwaru FSLogix

Konfigurace Antivirové ochrany v programu Microsoft Defender na vzdálené ploše nebo v prostředí infrastruktury virtuálních klientských počítačů

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.