צירוף מכשירי Windows בשולחן Azure וירטואלי

  • חל על: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

6 דקות לקריאה

Microsoft Defender עבור נקודת קצה תומך בניטור של הפעלות VDI Azure שולחן עבודה וירטואלי. בהתאם לצרכים של הארגון שלך, ייתכן שיהיה עליך ליישם הפעלות VDI או Azure Virtual Desktop כדי לעזור לעובדים לגשת לנתונים ולאפליקציות ארגוניים ממכשיר לא מנוהל, ממיקום מרוחק או מתרחיש דומה. באמצעות Microsoft Defender עבור נקודת קצה, באפשרותך לנטר מחשבים וירטואליים אלה כדי למצוא פעילות חריגה.

הערה

ניתן להשתמש בכלי הפריסה של Defender (כעת בגירסת Public Preview) כדי לפרוס את אבטחת נקודות הקצה של Defender ב- Windows ובמכשירי Linux אחרים. הכלי הוא יישום קל משקל לעדכון עצמי, אשר מייעל את תהליך הפריסה. לקבלת מידע נוסף, ראה פריסת אבטחת נקודות קצה של Microsoft Defender למכשירי Windows באמצעות כלי הפריסה של Defender (תצוגה מקדימה) ופריסה של אבטחת נקודות קצה של Microsoft Defender במכשירי Linux באמצעות כלי הפריסה של Defender (תצוגה מקדימה).

לפני שתתחיל

הכר את השיקולים ל- VDI שאינו מתמיד. למרות Azure Virtual Desktop אינו מספק אפשרויות אי-עקביות, הוא מספק דרכים לשימוש בתמונת Windows מוזהבת שניתן להשתמש בה להקצאת מחשבים מארחים ומחשבים חדשים לפצה מחדש. דבר זה מגדיל תנודתיות בסביבה, ובכך משפיע על הערכים שנוצרים ומתוחזקים בפורטל Microsoft Defender עבור נקודת קצה, כך שעשויה להפחית את הניראות של אנליסטי האבטחה שלך.

הערה

בהתאם לבחירה שלך בשיטה לצירוף, מכשירים יכולים להופיע Microsoft Defender עבור נקודת קצה כ:

  • ערך יחיד עבור כל שולחן עבודה וירטואלי
  • ערכים מרובים עבור כל שולחן עבודה וירטואלי

Microsoft ממליצה על צירוף Azure שולחן עבודה וירטואלי כערך יחיד לכל שולחן עבודה וירטואלי. פעולה זו מבטיחה כי חוויית החקירה Microsoft Defender עבור נקודת קצה הפורטל נמצאת בהקשר של מכשיר אחד בהתבסס על שם המחשב. ארגונים אשר מוחקים מארחי AVD ומ לפרוס אותם מחדש לעתים קרובות צריכים לשקול להשתמש בשיטה זו מאחר שהיא מונעת יצירת אובייקטים מרובים עבור אותו מחשב בפורטל Microsoft Defender עבור נקודת קצה. הדבר עלול לגרום לבלבול בעת חקירת אירועים. עבור סביבות בדיקה או סביבות לא נדיפות, באפשרותך לבחור אחרת. בעת שימוש בערך יחיד לכל שיטת שולחן עבודה וירטואלי, אין צורך להסיר את שולחנות העבודה הווירטואליים.

Microsoft ממליצה להוסיף את Microsoft Defender עבור נקודת קצה צירוף המקשים לתמונת הזהב של AVD. בדרך זו, תוכל להיות בטוח שקובץ Script זה של צירוף פועל באופן מיידי בעת האתחול הראשון. הוא מבוצע כקובץ Script של אתחול באתחול הראשון בכל מחשבי ה- AVD שהוקצו מתוך תמונת הזהב של AVD. עם זאת, אם אתה משתמש באחת מתמונות הגלריה ללא שינוי, מקם את קובץ ה- Script במיקום משותף וחייג אליו ממדיניות קבוצתית מקומית או ממדיניות קבוצתית של תחום.

הערה

המיקום והתצורה של קובץ ה- Script לאתחול של צירוף VDI בתמונת הזהב של AVD קובעים את תצורתו כקובץ Script לאתחול שמופעל בעת הפעלת ה- AVD. לא מומלץ לקלוט את תמונת הזהב של AVD בפועל. שיקול נוסף הוא השיטה המשמשת להפעלת קובץ ה- Script. היא אמורה לפעול מוקדם ככל האפשר בתהליך ההפעלה/הקצאת המשאבים כדי לצמצם את הזמן בין המחשב לזמין לקבלת הפעלות לבין קליטת המכשיר לשירות. להלן התרחישים 1 ו- 2, קח בחשבון את זה.

תרחישים

קיימות כמה דרכים לצירוף מחשב מארח מסוג AVD:

  • הפעל את קובץ ה- Script בתמונת הזהב (או ממיקום משותף) במהלך ההפעלה.
  • השתמש בכלי ניהול כדי להפעיל את קובץ ה- Script.
  • באמצעות שילוב עם Microsoft Defender עבור ענן

תרחיש 1: שימוש במדיניות קבוצתית מקומית

תרחיש זה דורש הצבת קובץ ה- Script בתמונת זהב ומשתמש במדיניות קבוצתית מקומית כדי לפעול מוקדם בתהליך האתחול.

השתמש בהוראות תחת צירוף מכשירי תשתית שולחן עבודה וירטואלי (VDI) שאינם מתמידים.

בצע את ההוראות עבור ערך יחיד עבור כל מכשיר.

תרחיש 2: שימוש במדיניות קבוצתית של תחום

תרחיש זה משתמש בקובץ Script במיקום מרכזי ומפעיל אותו באמצעות מדיניות קבוצתית מבוססת תחום. ניתן גם למקם את קובץ ה- Script בתמונת הזהב ולהפעיל אותו באותו אופן.

הורד את WindowsDefenderATPOnboardingPackage.zip הקובץ מהפורטל Microsoft Defender שלך

  1. פתיחת קובץ התצורה של חבילת התצורה .zip VDI (WindowsDefenderATPOnboardingPackage.zip)

    1. בחלונית Microsoft Defender הפורטל, בחר הגדרות>צירוף נקודות>קצה (תחת ניהול מכשירים).
    2. בחר Windows 10 או Windows 11 כמערכת ההפעלה.
    3. בשדה שיטת פריסה , בחר קבצי Script של צירוף VDI עבור נקודות קצה לא עקביות.
    4. לחץ על הורד חבילה ושמור את .zip הקובץ.

  2. חלץ את תוכן הקובץ .zip למיקום משותף לקריאה בלבד, שהמכשיר יכול לגשת אליו. אמורה להיות לך תיקיה בשם OptionalParamsPolicy והקבציםWindowsDefenderATPOnboardingScript.cmd ו -Onboard-NonPersistentMachine.ps1.

השתמש מדיניות קבוצתית הניהול כדי להפעיל את קובץ ה- Script בעת הפעלת המחשב הווירטואלי

  1. פתח את מדיניות קבוצתית ניהול ההודעות (GPMC), לחץ באמצעות לחצן העכבר הימני על אובייקט מדיניות קבוצתית (GPO) שברצונך לקבוע את תצורתו ולחץ על ערוך.

  2. בעורך מדיניות קבוצתית, עבור אל הגדרות לוח> הבקרהשל העדפות>תצורת המחשב.

  3. לחץ באמצעות לחצן העכבר הימני על פעילויות מתוזמנות, לחץ על חדש ולאחר מכן לחץ על משימה מיידית (לפחות Windows 7).

  4. בחלון משימה שנפתח, עבור אל הכרטיסיה כללי. תחת אפשרויות אבטחה, לחץ על שנה משתמש או קבוצה והקלד מערכת. לחץ על בדוק שמות ולאחר מכן לחץ על אישור. NT AUTHORITY\SYSTEM מופיע כחשבון המשתמש שהמשימה תפעל בתורו.

  5. בחר הפעל אם המשתמש מחובר או לא וסמן את תיבת הסימון הפעל עם ההרשאות הגבוהות ביותר.

  6. עבור אל הכרטיסיה פעולות ולחץ על חדש. ודא שהאפשרות הפעל תוכנית נבחרה בשדה פעולה. הזן את הפריטים הבאים: Action = "Start a program"

    Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

    Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

    לאחר מכן בחר אישור וסגור את כל חלונות GPMC הפתוחים.

תרחיש 3: צירוף באמצעות כלי ניהול

אם בכוונתך לנהל את המחשבים שלך באמצעות כלי ניהול, באפשרותך לקלוט מכשירים עם Microsoft Configuration Manager.

לקבלת מידע נוסף, ראה צירוף מכשירי Windows באמצעות מנהל התצורה.

אזהרה

אם בכוונתך להשתמש בכללי צמצום השטח של התקפה, שים לב שאין להשתמש בכלל "חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI", מכיוון שכלל זה אינו תואם לניהול באמצעות Microsoft Configuration Manager. הכלל חוסם פקודות WMI שבהן משתמש מנהל התצורה כדי לפעול כראוי.

עצה

לאחר צירוף המכשיר, באפשרותך לבחור להפעיל בדיקת זיהוי כדי לוודא שהמכשיר מחובר כראוי לשירות. לקבלת מידע נוסף, ראה הפעלת בדיקת זיהוי במכשיר חדש Microsoft Defender עבור נקודת קצה חדש.

תיוג המכונות שלך בעת בניית תמונת הזהב

כחלק מהצירוף שלך, ייתכן שתרצה לשקול להגדיר תגית מחשב כדי להבדיל בין מחשבי AVD ביתר קלות במרכז האבטחה של Microsoft. לקבלת מידע נוסף, ראה הוספת תגיות מכשיר על-ידי הגדרת ערך מפתח רישום.

בעת בניית תמונת הזהב, ייתכן שתרצה להגדיר גם הגדרות הגנה ראשוניות. לקבלת מידע נוסף, ראה הגדרות תצורה מומלצות אחרות.

כמו כן, אם אתה משתמש בפרופילי משתמש של FSlogix, מומלץ לפעול בהתאם להנחיות המתוארות בפריטים שאינם נכללים באנטי-וירוס של FSLogix.

דרישות רישוי

בעת שימוש בריבוי הפעלות של Windows Enterprise, לפי שיטות העבודה המומלצות לאבטחה, ניתן לקבל רשיון למחשב הווירטואלי באמצעות Microsoft Defender עבור שרתים או לבחור שכל המשתמשים של מחשב וירטואלי של שולחן עבודה וירטואלי של Azure יהיו מורשים באמצעות אחד מהרשיונות הבאים:

  • Microsoft Defender עבור נקודת קצה תוכנית 1 או תוכנית 2 (לכל משתמש)
  • Windows Enterprise E3
  • Windows Enterprise E5
  • Microsoft 365 E3
  • סוויטת Microsoft Defender
  • Microsoft 365 E5

ניתן למצוא את דרישות Microsoft Defender עבור נקודת קצה עבור רישוי ב: דרישות רישוי.

הוספת פריטים שאינם נכללים ב- Defender for Endpoint דרך PowerShell

אי-הכללות של FSLogix נגד תוכנות זדוניות

קביעת Microsoft Defender אנטי-וירוס בסביבה של תשתית שולחן עבודה מרוחק או שולחן עבודה וירטואלי

  • Last updated on