Azure Virtual Desktop での Windows デバイスのオンボード

  • [アーティクル]

6 分読み取り

適用対象:

Microsoft Defender for Endpointでは、VDI と Azure Virtual Desktop の両方のセッションの監視がサポートされています。 organizationのニーズに応じて、非管理対象デバイス、リモートの場所、または同様のシナリオから従業員が企業データやアプリにアクセスできるように、VDI または Azure Virtual Desktop セッションを実装することが必要になる場合があります。 Microsoft Defender for Endpointを使用すると、これらの仮想マシンで異常なアクティビティを監視できます。

開始する前に

非永続的 VDI に関する考慮事項について理解します。 Azure Virtual Desktop には非永続化オプションはありませんが、新しいホストのプロビジョニングやマシンの再デプロイに使用できるゴールデン Windows イメージを使用する方法が提供されます。 これにより、環境の変動が増加するため、Microsoft Defender for Endpoint ポータルで作成および管理されるエントリに影響を与え、セキュリティ アナリストの可視性が低下する可能性があります。

注:

オンボーディング方法の選択に応じて、デバイスは次のようにポータルMicrosoft Defender for Endpoint表示できます。

  • 仮想デスクトップごとに 1 つのエントリ
  • 仮想デスクトップごとに複数のエントリ

Microsoft では、仮想デスクトップごとに 1 つのエントリとして Azure Virtual Desktop をオンボードすることをお勧めします。 これにより、Microsoft Defender for Endpoint ポータルでの調査エクスペリエンスが、コンピューター名に基づいて 1 つのデバイスのコンテキストに確実に存在します。 AVD ホストを頻繁に削除および再デプロイする組織では、同じコンピューターの複数のオブジェクトがMicrosoft Defender for Endpoint ポータルで作成されるのを防ぐため、この方法の使用を強くお勧めします。 これは、インシデントを調査するときに混乱を招く可能性があります。 テスト環境または非揮発性環境の場合は、別の方法で選択することもできます。

Microsoft では、MICROSOFT DEFENDER FOR ENDPOINT オンボード スクリプトを AVD ゴールデン イメージに追加することをお勧めします。 これにより、このオンボード スクリプトが最初の起動時にすぐに実行されることを確認できます。 これは、AVD ゴールデン イメージからプロビジョニングされたすべての AVD マシンで、最初の起動時にスタートアップ スクリプトとして実行されます。 ただし、いずれかのギャラリー イメージを変更せずに使用している場合は、スクリプトを共有の場所に配置し、ローカルまたはドメイン グループ ポリシーから呼び出します。

注:

AVD ゴールデン イメージ上の VDI オンボード スタートアップ スクリプトの配置と構成により、AVD の起動時に実行されるスタートアップ スクリプトとして構成されます。 実際の AVD ゴールデン イメージをオンボード することは お勧めしません。 もう 1 つの考慮事項は、スクリプトの実行に使用されるメソッドです。 スタートアップ/プロビジョニング プロセスの早い段階で実行して、マシンがセッションを受信できる時間と、サービスへのデバイス オンボードまでの時間を短縮する必要があります。 以下のシナリオ 1 と 2 では、これを考慮します。

シナリオ

AVD ホスト マシンをオンボードするには、いくつかの方法があります。

  • 起動時にゴールデン イメージ (または共有の場所から) でスクリプトを実行します。
  • 管理ツールを使用してスクリプトを実行します。
  • Microsoft Defender for Cloud との統合を通じて

シナリオ 1: ローカル グループ ポリシーの使用

このシナリオでは、スクリプトをゴールデン イメージに配置し、ローカル グループ ポリシーを使用してブート プロセスの早い段階で実行する必要があります。

「非永続的仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボード」の手順を使用します。

各デバイスの 1 つのエントリの手順に従います。

シナリオ 2: ドメイン グループ ポリシーの使用

このシナリオでは、中央に配置されたスクリプトを使用し、ドメイン ベースのグループ ポリシーを使用して実行します。 また、スクリプトをゴールデン イメージに配置し、同じ方法で実行することもできます。

Microsoft Defender ポータルから WindowsDefenderATPOnboardingPackage.zip ファイルをダウンロードする

  1. VDI 構成パッケージ .zip ファイルを開きます (WindowsDefenderATPOnboardingPackage.zip)

    1. [Microsoft Defender ポータル] ナビゲーション ウィンドウで、[設定>エンドポイント>オンボード] ([デバイス管理] の下) を選択します。
    2. オペレーティング システムとして [Windows 10] または [Windows 11] を選択します。
    3. [ デプロイ方法 ] フィールドで、非永続的エンドポイントの VDI オンボード スクリプトを選択します。
    4. [ パッケージのダウンロード ] をクリックし、.zip ファイルを保存します。

  2. デバイスからアクセスできる共有の読み取り専用の場所に、.zip ファイルの内容を抽出します。 OptionalParamsPolicy という名前のフォルダーと、WindowsDefenderATPOnboardingScript.cmd ファイルと Onboard-NonPersistentMachine.ps1ファイルが必要です。

グループ ポリシー 管理コンソールを使用して、仮想マシンの起動時にスクリプトを実行する

  1. グループ ポリシー管理コンソール (GPMC) を開き、構成するグループ ポリシー オブジェクト (GPO) を右クリックし、[編集] をクリックします。

  2. グループ ポリシー管理エディターで、[コンピューターの構成>] [基本設定] [コントロール パネルの>設定] の順に移動します。

  3. [ スケジュールされたタスク] を右クリックし、[ 新規] をクリックし、[ イミディエイト タスク (Windows 7 以上)] をクリックします。

  4. 開いた [タスク] ウィンドウで、[ 全般 ] タブに移動します。[ セキュリティ オプション ] の [ ユーザーの変更] または [グループ ] をクリックし、「SYSTEM」と入力します。 [ 名前の確認 ] をクリックし、[OK] をクリックします。 NT AUTHORITY\SYSTEM は、タスクを実行するユーザー アカウントとして表示されます。

  5. [ユーザーがログオンしているかどうかに関係なく実行する] を選択し、[最高の権限で実行する] チェックボックスをオンにします。

  6. [ アクション ] タブに移動し、[ 新規] をクリックします。 [アクション] フィールド で [プログラムの開始 ] が選択されていることを確認します。 次の情報を入力します。

    Action = "Start a program"

    Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

    Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

    次に、[ OK] を 選択し、開いている GPMC ウィンドウを閉じます。

シナリオ 3: 管理ツールを使用したオンボード

管理ツールを使用してマシンを管理する予定の場合は、Microsoft Endpoint Configuration Managerを使用してデバイスをオンボードできます。

詳細については、「Configuration Managerを使用した Windows デバイスのオンボード」を参照してください。

警告

攻撃面の縮小ルールリファレンスを使用する予定の場合は、そのルールが Microsoft Endpoint Configuration Managerを介した管理と互換性がないため、"PSExec および WMI コマンドから発生するプロセスの作成をブロックする" というルールは使用しないでください。 この規則は、Configuration Manager クライアントが正しく機能するために使用する WMI コマンドをブロックします。

ヒント

デバイスのオンボード後、検出テストを実行して、デバイスがサービスに適切にオンボードされていることを確認できます。 詳細については、「新しくオンボードされた Microsoft Defender for Endpoint デバイスで検出テストを実行する」 を参照してください。

ゴールデン イメージを構築するときにマシンにタグを付ける

オンボードの一環として、Microsoft Security Center で AVD マシンをより簡単に区別するようにマシン タグを設定することを検討してください。 詳細については、「 レジストリ キー値を設定してデバイス タグを追加する」を参照してください。

ゴールデン イメージをビルドするときは、初期保護設定も構成できます。 詳細については、「 その他の推奨構成設定」を参照してください。

また、FSlogix ユーザー プロファイルを使用している場合は、「 FSLogix ウイルス対策の除外」で説明されているガイダンスに従うことをお勧めします。

ライセンスの要件

ライセンスに関する注意: Windows Enterprise マルチセッションを使用する場合は、要件に応じて、すべてのユーザーに Microsoft Defender for Endpoint (ユーザーごと)、Windows Enterprise E5、Microsoft 365 E5 Security、または Microsoft 365 E5 を使用するか、VM を使用するかを選択できます。Microsoft Defender for Cloud を通じてライセンス供与されます。 Microsoft Defender for Endpointのライセンス要件については、「ライセンス要件」を参照してください。

PowerShell を使用して Defender for Endpoint の除外を追加する

FSLogix マルウェア対策の除外

リモート デスクトップまたは仮想デスクトップ インフラストラクチャ環境でMicrosoft Defenderウイルス対策を構成する

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender for Endpoint Tech Community で Microsoft セキュリティ コミュニティに参加します。