Sdílet prostřednictvím

Onboarding zařízení s Windows ve službě Azure Virtual Desktop

  • Článek

6 minut ke čtení

Platí pro:

Microsoft Defender for Endpoint podporuje monitorování relací VDI a Azure Virtual Desktopu. V závislosti na potřebách vaší organizace možná budete muset implementovat relace VDI nebo Azure Virtual Desktopu, které vašim zaměstnancům pomůžou přistupovat k podnikovým datům a aplikacím z nespravovaného zařízení, vzdáleného umístění nebo podobného scénáře. Pomocí Microsoft Defender for Endpoint můžete monitorovat neobvyklé aktivity těchto virtuálních počítačů.

Než začnete

Seznamte se s aspekty, které je potřeba vzít v úvahu v případě nestálouho VDI. Azure Virtual Desktop sice nenabízí možnosti trvalosti, ale nabízí způsoby použití zlaté image Windows, kterou je možné použít ke zřízení nových hostitelů a opětovnému nasazení počítačů. To zvyšuje volatilitu prostředí a tím ovlivňuje, jaké položky se vytvářejí a udržují na portálu Microsoft Defender for Endpoint, což může snížit viditelnost analytiků zabezpečení.

Poznámka

V závislosti na zvolené metodě onboardingu se zařízení můžou na portálu Microsoft Defender for Endpoint zobrazovat jako:

  • Jedna položka pro každou virtuální plochu
  • Více položek pro každou virtuální plochu

Microsoft doporučuje onboarding služby Azure Virtual Desktop jako jednu položku pro každou virtuální plochu. Tím se zajistí, že prostředí prošetření na portálu Microsoft Defender for Endpoint bude v kontextu jednoho zařízení na základě názvu počítače. Organizace, které často odstraňují a nasadí hostitele AVD, by měly použití této metody důrazně zvážit, protože brání vytvoření více objektů pro stejný počítač na portálu Microsoft Defender for Endpoint. To může vést k nejasnostem při vyšetřování incidentů. Pro testovací nebo nestálé prostředí se můžete rozhodnout, že zvolíte jinak.

Microsoft doporučuje přidat do zlaté image AVD skript pro onboarding Microsoft Defender for Endpoint. Tímto způsobem si můžete být jistí, že se tento skript pro zprovoznění spustí okamžitě při prvním spuštění. Spustí se jako spouštěcí skript při prvním spuštění na všech počítačích AVD, které jsou zřízené ze zlaté image AVD. Pokud ale používáte některou z imagí galerie bez úprav, umístěte skript do sdíleného umístění a zavolejte ho z místních nebo doménových zásad skupiny.

Poznámka

Umístění a konfigurace spouštěcího skriptu onboardingu VDI na zlaté imagi AVD ho nakonfiguruje jako spouštěcí skript, který se spustí při spuštění AVD. Nedoporučujeme onboardovat vlastní zlatý obrázek AVD. Dalším aspektem je metoda použitá ke spuštění skriptu. Mělo by se spustit co nejdříve v procesu spuštění nebo zřizování, aby se zkrátila doba mezi tím, než bude počítač dostupný pro příjem relací, a onboardingem zařízení do služby. Následující scénáře 1 a 2 to berou v úvahu.

Scénáře

Existuje několik způsobů, jak připojit hostitelský počítač AVD:

Scénář 1: Použití místních zásad skupiny

Tento scénář vyžaduje umístění skriptu do zlaté image a používá místní zásady skupiny ke spuštění v rané fázi procesu spouštění.

Postupujte podle pokynů v tématu Nasazení zařízení infrastruktury virtuálních klientských počítačů (VDI).

Postupujte podle pokynů pro jednu položku pro každé zařízení.

Scénář 2: Použití zásad skupiny domény

Tento scénář používá centrálně umístěný skript a spouští ho pomocí zásad skupiny založených na doméně. Skript můžete také umístit do zlaté image a spustit ho stejným způsobem.

Stažení souboru WindowsDefenderATPOnboardingPackage.zip z portálu Microsoft Defender

  1. Otevřete konfigurační balíček VDI .zip souboru (WindowsDefenderATPOnboardingPackage.zip).

    1. V navigačním podokně Microsoft Defender portálu vyberteOnboardingkoncových bodů>nastavení> (v části Správa zařízení).
    2. Jako operační systém vyberte Windows 10 nebo Windows 11.
    3. V poli Metoda nasazení vyberte skripty onboardingu VDI pro trvalé koncové body.
    4. Klikněte na Stáhnout balíček a uložte soubor .zip.

  2. Extrahujte obsah souboru .zip do sdíleného umístění jen pro čtení, ke kterému má zařízení přístup. Měli byste mít složku s názvem OptionalParamsPolicy a soubory WindowsDefenderATPOnboardingScript.cmd a Onboard-NonPersistentMachine.ps1.

Spuštění skriptu při spuštění virtuálního počítače pomocí konzoly pro správu Zásady skupiny

  1. Otevřete konzolu Zásady skupiny Management Console (GPMC), klikněte pravým tlačítkem na objekt Zásady skupiny, který chcete nakonfigurovat, a klikněte na Upravit.

  2. V Editor správa Zásady skupiny přejděte na Nastaveníovládacího paneluPředvolby>počítače>.

  3. Klikněte pravým tlačítkem na Naplánované úkoly, klikněte na Nový a potom klikněte na Okamžitý úkol (alespoň Windows 7).

  4. V okně Úkol, které se otevře, přejděte na kartu Obecné . V části Možnosti zabezpečení klikněte na Změnit uživatele nebo skupinu a zadejte SYSTEM. Klikněte na Zkontrolovat jména a potom klikněte na OK. NT AUTHORITY\SYSTEM se zobrazí jako uživatelský účet, jako který bude úloha spuštěna.

  5. Vyberte Spustit bez ohledu na to, jestli je uživatel přihlášený nebo ne , a zaškrtněte políčko Spustit s nejvyššími oprávněními .

  6. Přejděte na kartu Akce a klikněte na Nový. Ujistěte se, že je v poli Akce vybraná možnost Spustit program . Zadejte následující:

    Action = "Start a program"

    Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

    Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

    Pak vyberte OK a zavřete všechna otevřená okna konzoly GPMC.

Scénář 3: Onboarding pomocí nástrojů pro správu

Pokud plánujete spravovat počítače pomocí nástroje pro správu, můžete zařízení onboardovat pomocí microsoft endpointu Configuration Manager.

Další informace najdete v tématu Onboarding zařízení s Windows pomocí Configuration Manager.

Upozornění

Pokud plánujete použít odkaz na pravidla omezení potenciální oblasti útoku, nezapomeňte, že by se nemělo používat pravidlo Blokování vytváření procesů pocházejících z příkazů PSExec a WMI, protože toto pravidlo není kompatibilní se správou prostřednictvím microsoft endpoint Configuration Manager. Pravidlo blokuje příkazy rozhraní WMI, které klient Configuration Manager používá ke správnému fungování.

Tip

Po onboardingu zařízení můžete spustit test detekce, abyste ověřili, že je zařízení správně nasazené do služby. Další informace najdete v tématu Spuštění testu detekce na nově nasazené Microsoft Defender for Endpoint zařízení.

Označování počítačů při vytváření zlatého obrázku

V rámci onboardingu můžete zvážit nastavení značky počítače pro snadnější rozlišení počítačů AVD ve službě Microsoft Security Center. Další informace najdete v tématu Přidání značek zařízení nastavením hodnoty klíče registru.

Při vytváření zlaté image můžete také nakonfigurovat nastavení počáteční ochrany. Další informace najdete v tématu Další doporučená nastavení konfigurace.

Pokud používáte profily uživatelů FSlogix, doporučujeme postupovat podle pokynů popsaných v tématu Vyloučení antivirové ochrany FSLogix.

Licenční požadavky

Poznámka k licencování: Při používání více relací Windows Enterprise můžete v závislosti na vašich požadavcích zvolit, jestli mají všichni uživatelé licenci prostřednictvím Microsoft Defender for Endpoint (na uživatele), Windows Enterprise E5, Microsoft 365 E5 Security nebo Microsoft 365 E5, nebo virtuální počítač. licencováno prostřednictvím Microsoft Defender for Cloud. Licenční požadavky pro Microsoft Defender for Endpoint najdete tady: Licenční požadavky.

Přidání vyloučení pro Defender for Endpoint prostřednictvím PowerShellu

Vyloučení antimalwarového softwaru FSLogix

Konfigurace Microsoft Defender Antivirové ochrany na vzdálené ploše nebo v prostředí infrastruktury virtuálních klientských počítačů

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.