Onboarding zařízení s Windows ve službě Azure Virtual Desktop
6 minut ke čtení
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Více relací Windows spuštěných ve službě Azure Virtual Desktop (AVD)
- Windows 10 Enterprise více relací
Microsoft Defender for Endpoint podporuje monitorování relací VDI a Azure Virtual Desktopu. V závislosti na potřebách vaší organizace možná budete muset implementovat relace VDI nebo Azure Virtual Desktopu, které vašim zaměstnancům pomůžou přistupovat k podnikovým datům a aplikacím z nespravovaného zařízení, vzdáleného umístění nebo podobného scénáře. Pomocí Microsoft Defender for Endpoint můžete monitorovat neobvyklé aktivity těchto virtuálních počítačů.
Než začnete
Seznamte se s aspekty, které je potřeba vzít v úvahu v případě nestálouho VDI. Azure Virtual Desktop sice nenabízí možnosti trvalosti, ale nabízí způsoby použití zlaté image Windows, kterou je možné použít ke zřízení nových hostitelů a opětovnému nasazení počítačů. To zvyšuje volatilitu prostředí a tím ovlivňuje, jaké položky se vytvářejí a udržují na portálu Microsoft Defender for Endpoint, což může snížit viditelnost analytiků zabezpečení.
Poznámka
V závislosti na zvolené metodě onboardingu se zařízení můžou na portálu Microsoft Defender for Endpoint zobrazovat jako:
- Jedna položka pro každou virtuální plochu
- Více položek pro každou virtuální plochu
Microsoft doporučuje onboarding služby Azure Virtual Desktop jako jednu položku pro každou virtuální plochu. Tím se zajistí, že prostředí prošetření na portálu Microsoft Defender for Endpoint bude v kontextu jednoho zařízení na základě názvu počítače. Organizace, které často odstraňují a nasadí hostitele AVD, by měly použití této metody důrazně zvážit, protože brání vytvoření více objektů pro stejný počítač na portálu Microsoft Defender for Endpoint. To může vést k nejasnostem při vyšetřování incidentů. Pro testovací nebo nestálé prostředí se můžete rozhodnout, že zvolíte jinak.
Microsoft doporučuje přidat do zlaté image AVD skript pro onboarding Microsoft Defender for Endpoint. Tímto způsobem si můžete být jistí, že se tento skript pro zprovoznění spustí okamžitě při prvním spuštění. Spustí se jako spouštěcí skript při prvním spuštění na všech počítačích AVD, které jsou zřízené ze zlaté image AVD. Pokud ale používáte některou z imagí galerie bez úprav, umístěte skript do sdíleného umístění a zavolejte ho z místních nebo doménových zásad skupiny.
Poznámka
Umístění a konfigurace spouštěcího skriptu onboardingu VDI na zlaté imagi AVD ho nakonfiguruje jako spouštěcí skript, který se spustí při spuštění AVD. Nedoporučujeme onboardovat vlastní zlatý obrázek AVD. Dalším aspektem je metoda použitá ke spuštění skriptu. Mělo by se spustit co nejdříve v procesu spuštění nebo zřizování, aby se zkrátila doba mezi tím, než bude počítač dostupný pro příjem relací, a onboardingem zařízení do služby. Následující scénáře 1 a 2 to berou v úvahu.
Scénáře
Existuje několik způsobů, jak připojit hostitelský počítač AVD:
- Během spouštění spusťte skript ve zlaté imagi (nebo ze sdíleného umístění).
- Ke spuštění skriptu použijte nástroj pro správu.
- Prostřednictvím integrace se službou Microsoft Defender for Cloud
Scénář 1: Použití místních zásad skupiny
Tento scénář vyžaduje umístění skriptu do zlaté image a používá místní zásady skupiny ke spuštění v rané fázi procesu spouštění.
Postupujte podle pokynů v tématu Nasazení zařízení infrastruktury virtuálních klientských počítačů (VDI).
Postupujte podle pokynů pro jednu položku pro každé zařízení.
Scénář 2: Použití zásad skupiny domény
Tento scénář používá centrálně umístěný skript a spouští ho pomocí zásad skupiny založených na doméně. Skript můžete také umístit do zlaté image a spustit ho stejným způsobem.
Stažení souboru WindowsDefenderATPOnboardingPackage.zip z portálu Microsoft Defender
Otevřete konfigurační balíček VDI .zip souboru (WindowsDefenderATPOnboardingPackage.zip).
- V navigačním podokně Microsoft Defender portálu vyberteOnboardingkoncových bodů>nastavení> (v části Správa zařízení).
- Jako operační systém vyberte Windows 10 nebo Windows 11.
- V poli Metoda nasazení vyberte skripty onboardingu VDI pro trvalé koncové body.
- Klikněte na Stáhnout balíček a uložte soubor .zip.
Extrahujte obsah souboru .zip do sdíleného umístění jen pro čtení, ke kterému má zařízení přístup. Měli byste mít složku s názvem OptionalParamsPolicy a soubory WindowsDefenderATPOnboardingScript.cmd a Onboard-NonPersistentMachine.ps1.
Spuštění skriptu při spuštění virtuálního počítače pomocí konzoly pro správu Zásady skupiny
Otevřete konzolu Zásady skupiny Management Console (GPMC), klikněte pravým tlačítkem na objekt Zásady skupiny, který chcete nakonfigurovat, a klikněte na Upravit.
V Editor správa Zásady skupiny přejděte na Nastaveníovládacího paneluPředvolby>počítače>.
Klikněte pravým tlačítkem na Naplánované úkoly, klikněte na Nový a potom klikněte na Okamžitý úkol (alespoň Windows 7).
V okně Úkol, které se otevře, přejděte na kartu Obecné . V části Možnosti zabezpečení klikněte na Změnit uživatele nebo skupinu a zadejte SYSTEM. Klikněte na Zkontrolovat jména a potom klikněte na OK. NT AUTHORITY\SYSTEM se zobrazí jako uživatelský účet, jako který bude úloha spuštěna.
Vyberte Spustit bez ohledu na to, jestli je uživatel přihlášený nebo ne , a zaškrtněte políčko Spustit s nejvyššími oprávněními .
Přejděte na kartu Akce a klikněte na Nový. Ujistěte se, že je v poli Akce vybraná možnost Spustit program . Zadejte následující:
Action = "Start a program"
Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe
Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"
Pak vyberte OK a zavřete všechna otevřená okna konzoly GPMC.
Scénář 3: Onboarding pomocí nástrojů pro správu
Pokud plánujete spravovat počítače pomocí nástroje pro správu, můžete zařízení onboardovat pomocí microsoft endpointu Configuration Manager.
Další informace najdete v tématu Onboarding zařízení s Windows pomocí Configuration Manager.
Upozornění
Pokud plánujete použít odkaz na pravidla omezení potenciální oblasti útoku, nezapomeňte, že by se nemělo používat pravidlo Blokování vytváření procesů pocházejících z příkazů PSExec a WMI, protože toto pravidlo není kompatibilní se správou prostřednictvím microsoft endpoint Configuration Manager. Pravidlo blokuje příkazy rozhraní WMI, které klient Configuration Manager používá ke správnému fungování.
Tip
Po onboardingu zařízení můžete spustit test detekce, abyste ověřili, že je zařízení správně nasazené do služby. Další informace najdete v tématu Spuštění testu detekce na nově nasazené Microsoft Defender for Endpoint zařízení.
Označování počítačů při vytváření zlatého obrázku
V rámci onboardingu můžete zvážit nastavení značky počítače pro snadnější rozlišení počítačů AVD ve službě Microsoft Security Center. Další informace najdete v tématu Přidání značek zařízení nastavením hodnoty klíče registru.
Další doporučená nastavení konfigurace
Při vytváření zlaté image můžete také nakonfigurovat nastavení počáteční ochrany. Další informace najdete v tématu Další doporučená nastavení konfigurace.
Pokud používáte profily uživatelů FSlogix, doporučujeme postupovat podle pokynů popsaných v tématu Vyloučení antivirové ochrany FSLogix.
Licenční požadavky
Poznámka k licencování: Při používání více relací Windows Enterprise můžete v závislosti na vašich požadavcích zvolit, jestli mají všichni uživatelé licenci prostřednictvím Microsoft Defender for Endpoint (na uživatele), Windows Enterprise E5, Microsoft 365 E5 Security nebo Microsoft 365 E5, nebo virtuální počítač. licencováno prostřednictvím Microsoft Defender for Cloud. Licenční požadavky pro Microsoft Defender for Endpoint najdete tady: Licenční požadavky.
Související odkazy
Přidání vyloučení pro Defender for Endpoint prostřednictvím PowerShellu
Vyloučení antimalwarového softwaru FSLogix
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro