Eseguire l'onboarding di dispositivi Windows in Desktop virtuale Azure

  • Articolo

6 minuti per la lettura

Si applica a:

Microsoft Defender per endpoint supporta il monitoraggio delle sessioni VDI e Desktop virtuale Azure. A seconda delle esigenze dell'organizzazione, potrebbe essere necessario implementare sessioni VDI o Desktop virtuale Azure per consentire ai dipendenti di accedere ai dati e alle app aziendali da un dispositivo non gestito, da una posizione remota o da uno scenario simile. Con Microsoft Defender per endpoint è possibile monitorare queste macchine virtuali per individuare attività anomale.

Prima di iniziare

Acquisire familiarità con le considerazioni relative alla VDI non persistente. Anche se Desktop virtuale Azure non offre opzioni di non persistenza, offre modi per usare un'immagine di Windows d'oro che può essere usata per effettuare il provisioning di nuovi host e ridistribuire i computer. Ciò aumenta la volatilità nell'ambiente e quindi influisce sulle voci create e mantenute nel portale di Microsoft Defender per endpoint, riducendo potenzialmente la visibilità per gli analisti della sicurezza.

Nota

A seconda della scelta del metodo di onboarding, i dispositivi possono essere visualizzati nel portale di Microsoft Defender per endpoint come segue:

  • Voce singola per ogni desktop virtuale
  • Più voci per ogni desktop virtuale

Microsoft consiglia di eseguire l'onboarding di Desktop virtuale Azure come voce singola per desktop virtuale. In questo modo si garantisce che l'esperienza di indagine nel portale di Microsoft Defender per endpoint si trova nel contesto di un dispositivo in base al nome del computer. Le organizzazioni che eliminano e ridistribuisce spesso gli host AVD devono prendere in considerazione l'uso di questo metodo perché impedisce la creazione di più oggetti per lo stesso computer nel portale di Microsoft Defender per endpoint. Ciò può generare confusione durante l'analisi degli eventi imprevisti. Per gli ambienti di test o non volatili, è possibile scegliere in modo diverso.

Microsoft consiglia di aggiungere lo script di onboarding Microsoft Defender per endpoint all'immagine d'oro di AVD. In questo modo, è possibile assicurarsi che questo script di onboarding venga eseguito immediatamente al primo avvio. Viene eseguito come script di avvio al primo avvio in tutti i computer AVD di cui viene effettuato il provisioning dall'immagine d'oro di AVD. Tuttavia, se si usa una delle immagini della raccolta senza alcuna modifica, inserire lo script in un percorso condiviso e chiamarlo da criteri di gruppo locali o di dominio.

Nota

Il posizionamento e la configurazione dello script di avvio di onboarding VDI nell'immagine d'oro di AVD lo configurano come script di avvio eseguito all'avvio di AVD. Non è consigliabile eseguire l'onboarding dell'immagine aurea AVD effettiva. Un'altra considerazione è il metodo usato per eseguire lo script. Deve essere eseguito il prima possibile nel processo di avvio/provisioning per ridurre il tempo tra la disponibilità del computer per la ricezione delle sessioni e l'onboarding del dispositivo nel servizio. Gli scenari 1 e 2 seguenti tengono conto di questo aspetto.

Scenari

Esistono diversi modi per eseguire l'onboarding di un computer host AVD:

Scenario 1: Uso di criteri di gruppo locali

Questo scenario richiede l'inserimento dello script in un'immagine d'oro e usa criteri di gruppo locali per l'esecuzione all'inizio del processo di avvio.

Usare le istruzioni in Eseguire l'onboarding dei dispositivi VDI (Virtual Desktop Infrastructure) non persistenti.

Seguire le istruzioni per una singola voce per ogni dispositivo.

Scenario 2: Uso dei criteri di gruppo di dominio

Questo scenario usa uno script situato in posizione centrale e lo esegue usando criteri di gruppo basati su dominio. È anche possibile inserire lo script nell'immagine dorata ed eseguirlo nello stesso modo.

Scaricare il file WindowsDefenderATPOnboardingPackage.zip dal portale di Microsoft Defender

  1. Aprire il pacchetto di configurazione VDI .zip file (WindowsDefenderATPOnboardingPackage.zip)

    1. Nel riquadro di spostamento del portale Microsoft Defender selezionare Impostazioni>Endpoint>onboarding (in Gestione dispositivi).
    2. Selezionare Windows 10 o Windows 11 come sistema operativo.
    3. Nel campo Metodo di distribuzione selezionare Script di onboarding VDI per endpoint non persistenti.
    4. Fare clic su Scarica pacchetto e salvare il file .zip.

  2. Estrarre il contenuto del file .zip in un percorso condiviso di sola lettura accessibile dal dispositivo. È necessario avere una cartella denominata OptionalParamsPolicy e i file WindowsDefenderATPOnboardingScript.cmd e Onboard-NonPersistentMachine.ps1.

Usare Criteri di gruppo console di gestione per eseguire lo script all'avvio della macchina virtuale

  1. Aprire Criteri di gruppo Console gestione Criteri di gruppo, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo che si desidera configurare e scegliere Modifica.

  2. Nella Editor gestione Criteri di gruppo passare a Preferenze di configurazione> computerImpostazioni>del Pannello di controllo.

  3. Fare clic con il pulsante destro del mouse su Attività pianificate, scegliere Nuovo e quindi fare clic su Attività immediata (almeno Windows 7).

  4. Nella finestra Attività visualizzata passare alla scheda Generale . In Opzioni di sicurezza fare clic su Modifica utente o gruppo e digitare SYSTEM. Fare clic su Controlla nomi e quindi su OK. NT AUTHORITY\SYSTEM viene visualizzato come account utente con cui verrà eseguita l'attività.

  5. Selezionare Esegui se l'utente è connesso o meno e selezionare la casella di controllo Esegui con i privilegi più elevati .

  6. Passare alla scheda Azioni e fare clic su Nuovo. Assicurarsi che l'opzione Avvia un programma sia selezionata nel campo Azione. Immettere quanto segue:

    Action = "Start a program"

    Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

    Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

    Selezionare quindi OK e chiudere tutte le finestre di Console Gestione Criteri di gruppo aperte.

Scenario 3: Onboarding con strumenti di gestione

Se si prevede di gestire i computer usando uno strumento di gestione, è possibile eseguire l'onboarding dei dispositivi con Microsoft Endpoint Configuration Manager.

Per altre informazioni, vedere Eseguire l'onboarding di dispositivi Windows usando Configuration Manager.

Avviso

Se si prevede di usare il riferimento alle regole di riduzione della superficie di attacco, si noti che la regola "Blocca le creazioni di processi provenienti dai comandi PSExec e WMI" non deve essere usata, perché tale regola non è compatibile con la gestione tramite Microsoft Endpoint Configuration Manager. La regola blocca i comandi WMI usati dal client Configuration Manager per funzionare correttamente.

Consiglio

Dopo aver eseguito l'onboarding del dispositivo, è possibile scegliere di eseguire un test di rilevamento per verificare che il dispositivo sia stato correttamente caricato nel servizio. Per altre informazioni, vedere Eseguire un test di rilevamento in un dispositivo Microsoft Defender per endpoint appena caricato.

Assegnazione di tag alle macchine quando si crea l'immagine d'oro

Come parte dell'onboarding, è consigliabile impostare un tag computer per differenziare più facilmente i computer AVD nel Centro sicurezza Microsoft. Per altre informazioni, vedere Aggiungere tag del dispositivo impostando un valore di chiave del Registro di sistema.

Quando si compila l'immagine dorata, è possibile configurare anche le impostazioni di protezione iniziali. Per altre informazioni, vedere Altre impostazioni di configurazione consigliate.

Inoltre, se si usano profili utente FSlogix, è consigliabile seguire le indicazioni descritte in Esclusioni antivirus FSLogix.

Requisiti di licenza

Nota sulle licenze: quando si usa windows enterprise multisessione, a seconda dei requisiti, è possibile scegliere di avere tutti gli utenti concessi in licenza tramite Microsoft Defender per endpoint (per utente), Windows Enterprise E5, Microsoft 365 E5 Security o Microsoft 365 E5 oppure avere la macchina virtuale concesso in licenza tramite Microsoft Defender per cloud. I requisiti di licenza per Microsoft Defender per endpoint sono disponibili in: Requisiti di licenza.

Aggiungere esclusioni per Defender per endpoint tramite PowerShell

Esclusioni antimalware FSLogix

Configurare Microsoft Defender Antivirus in un ambiente di infrastruttura desktop remoto o desktop virtuale

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.