Azure Virtual Desktop에서 Windows 디바이스 온보딩

6분 읽기

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• AVD(Azure Virtual Desktop)에서 실행되는 Windows 다중 세션
• 다중 세션 Windows 10 Enterprise

엔드포인트용 Microsoft Defender VDI 및 Azure Virtual Desktop 세션 모두 모니터링을 지원합니다. organization 요구 사항에 따라 직원이 관리되지 않는 디바이스, 원격 위치 또는 유사한 시나리오에서 회사 데이터 및 앱에 액세스할 수 있도록 VDI 또는 Azure Virtual Desktop 세션을 구현해야 할 수 있습니다. 엔드포인트용 Microsoft Defender 사용하면 이러한 가상 머신에서 비정상적인 활동을 모니터링할 수 있습니다.

시작하기 전에

비영구 VDI에 대한 고려 사항을 숙지합니다. Azure Virtual Desktop은 지속성이 아닌 옵션을 제공하지 않지만 새 호스트를 프로비전하고 컴퓨터를 다시 배포하는 데 사용할 수 있는 골든 Windows 이미지를 사용하는 방법을 제공합니다. 이렇게 하면 환경의 변동성이 증가하고 엔드포인트용 Microsoft Defender 포털에서 생성 및 유지 관리되는 항목에 영향을 주므로 보안 분석가의 가시성이 감소할 수 있습니다.

참고

선택한 온보딩 방법에 따라 디바이스가 엔드포인트용 Microsoft Defender 포털에 다음과 같이 표시할 수 있습니다.

• 각 가상 데스크톱에 대한 단일 항목
• 각 가상 데스크톱에 대한 여러 항목

Azure Virtual Desktop을 가상 데스크톱당 단일 항목으로 온보딩하는 것이 좋습니다. 이렇게 하면 엔드포인트용 Microsoft Defender 포털의 조사 환경이 컴퓨터 이름을 기반으로 한 디바이스의 컨텍스트에 있는지 확인합니다. AVD 호스트를 자주 삭제하고 다시 배포하는 조직은 동일한 컴퓨터에 대한 여러 개체가 엔드포인트용 Microsoft Defender 포털에서 만들어지는 것을 방지하기 때문에 이 메서드를 사용하는 것이 좋습니다. 이로 인해 인시던트 조사 시 혼란이 발생할 수 있습니다. 테스트 또는 비휘발성 환경의 경우 다르게 선택하도록 선택할 수 있습니다.

AVD 골든 이미지에 엔드포인트용 Microsoft Defender 온보딩 스크립트를 추가하는 것이 좋습니다. 이렇게 하면 이 온보딩 스크립트가 처음 부팅 시 즉시 실행되도록 할 수 있습니다. AVD 골든 이미지에서 프로비전된 모든 AVD 컴퓨터에서 처음 부팅할 때 시작 스크립트로 실행됩니다. 그러나 수정 없이 갤러리 이미지 중 하나를 사용하는 경우 스크립트를 공유 위치에 배치하고 로컬 또는 도메인 그룹 정책에서 호출합니다.

참고

AVD 골든 이미지에서 VDI 온보딩 시작 스크립트의 배치 및 구성은 AVD가 시작될 때 실행되는 시작 스크립트로 구성합니다. 실제 AVD 골든 이미지를 온보딩하는 것은 권장 되지 않습니다 . 또 다른 고려 사항은 스크립트를 실행하는 데 사용되는 메서드입니다. 세션 수신에 사용할 수 있는 컴퓨터와 서비스에 온보딩하는 디바이스 사이의 시간을 줄이기 위해 가능한 한 빨리 시작/프로비저닝 프로세스에서 실행되어야 합니다. 아래 시나리오 1과 2에서는 이를 고려합니다.

시나리오

AVD 호스트 컴퓨터를 온보딩하는 방법에는 여러 가지가 있습니다.

• 시작하는 동안 골든 이미지(또는 공유 위치)에서 스크립트를 실행합니다.
• 관리 도구를 사용하여 스크립트를 실행합니다.
• 클라우드용 Microsoft Defender 통합을 통해

시나리오 1: 로컬 그룹 정책 사용

이 시나리오에서는 스크립트를 골든 이미지에 배치해야 하며 로컬 그룹 정책을 사용하여 부팅 프로세스 초기에 실행해야 합니다.

비영구 VDI(가상 데스크톱 인프라) 디바이스 온보딩의 지침을 사용합니다.

각 디바이스에 대한 단일 항목에 대한 지침을 따릅니다.

시나리오 2: 도메인 그룹 정책 사용

이 시나리오에서는 중앙에 위치한 스크립트를 사용하고 도메인 기반 그룹 정책을 사용하여 실행합니다. 스크립트를 골든 이미지에 배치하고 동일한 방식으로 실행할 수도 있습니다.

Microsoft Defender 포털에서 WindowsDefenderATPOnboardingPackage.zip 파일 다운로드

1. VDI 구성 패키지 .zip 파일 열기(WindowsDefenderATPOnboardingPackage.zip)

   1. Microsoft Defender 포털 탐색 창에서 설정>엔드포인트>온보딩(장치 관리 아래)을 선택합니다.
   2. 운영 체제로 Windows 10 또는 Windows 11 선택합니다.
   3. 배포 방법 필드에서 비영구 엔드포인트에 대한 VDI 온보딩 스크립트를 선택합니다.
   4. 패키지 다운로드를 클릭하고 .zip 파일을 저장합니다.

2. .zip 파일의 내용을 디바이스에서 액세스할 수 있는 공유 읽기 전용 위치로 추출합니다. OptionalParamsPolicy라는 폴더와 파일을 WindowsDefenderATPOnboardingScript.cmdOnboard-NonPersistentMachine.ps1.

가상 머신이 시작될 때 그룹 정책 관리 콘솔 사용하여 스크립트 실행

1. 그룹 정책 관리 콘솔(GPMC)을 열고 구성하려는 그룹 정책 개체(GPO)를 마우스 오른쪽 단추로 클릭하고 편집을 클릭합니다.

2. 그룹 정책 관리 편집기 컴퓨터 구성>기본 설정>제어판 설정으로 이동합니다.

3. 예약된 작업을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭한 다음 직접 작업(Windows 7 이상)을 클릭합니다.

4. 열리는 작업 창에서 일반 탭으로 이동합니다. 보안 옵션 에서 사용자 또는 그룹 변경을 클릭하고 SYSTEM을 입력합니다. 이름 확인을 클릭한 다음 확인을 클릭합니다. NT AUTHORITY\SYSTEM은 작업이 실행될 사용자 계정으로 나타납니다.

5. 사용자가 로그온되었는지 여부에 관계없이 실행을 선택하고 가장 높은 권한으로 실행 검사 상자를 검사.

6. 작업 탭으로 이동하여 새로 만들기를 클릭합니다. 작업 필드에서 프로그램 시작을 선택했는지 확인합니다. 다음을 입력합니다.

   Action = "Start a program"

   Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

   Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

   그런 다음 확인을 선택하고 열려 있는 GPMC 창을 닫습니다.

시나리오 3: 관리 도구를 사용하여 온보딩

관리 도구를 사용하여 컴퓨터를 관리하려는 경우 Microsoft Endpoint Configuration Manager 디바이스를 온보딩할 수 있습니다.

자세한 내용은 Configuration Manager 사용하여 Windows 디바이스 온보딩을 참조하세요.

경고

공격 표면 감소 규칙 참조를 사용하려는 경우 해당 규칙이 Microsoft Endpoint Configuration Manager 통해 관리와 호환되지 않으므로 "PSExec 및 WMI 명령에서 발생하는 프로세스 생성 차단" 규칙을 사용하면 안 됩니다. 규칙은 Configuration Manager 클라이언트가 올바르게 작동하는 데 사용하는 WMI 명령을 차단합니다.

팁

디바이스를 온보딩한 후 검색 테스트를 실행하여 디바이스가 서비스에 제대로 온보딩되었는지 확인할 수 있습니다. 자세한 내용은 새로 온보딩된 엔드포인트용 Microsoft Defender 디바이스에서 검색 테스트 실행을 참조하세요.

골든 이미지를 빌드할 때 머신에 태그 지정

온보딩의 일부로 Microsoft Security Center에서 AVD 컴퓨터를 보다 쉽게 구분하기 위해 컴퓨터 태그를 설정하는 것이 좋습니다. 자세한 내용은 레지스트리 키 값을 설정하여 디바이스 태그 추가를 참조하세요.

기타 권장 구성 설정

골든 이미지를 빌드할 때 초기 보호 설정도 구성할 수 있습니다. 자세한 내용은 기타 권장 구성 설정을 참조하세요.

또한 FSlogix 사용자 프로필을 사용하는 경우 FSLogix 바이러스 백신 제외에 설명된 지침을 따르는 것이 좋습니다.

라이선스 요구사항

라이선스 참고: Windows Enterprise 다중 세션을 사용하는 경우 요구 사항에 따라 모든 사용자가 엔드포인트용 Microsoft Defender(사용자당), Windows Enterprise E5, Microsoft 365 E5 Security 또는 Microsoft 365 E5 통해 라이선스를 부여하거나 VM을 통해 라이선스를 부여하도록 선택할 수 있습니다. 클라우드용 Microsoft Defender. 엔드포인트용 Microsoft Defender 대한 라이선스 요구 사항은 라이선스 요구 사항에서 찾을 수 있습니다.

관련 링크

PowerShell을 통해 엔드포인트용 Defender에 대한 제외 추가

FSLogix 맬웨어 방지 제외

원격 데스크톱 또는 가상 데스크톱 인프라 환경에서 Microsoft Defender 바이러스 백신 구성

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.