Windows-apparaten onboarden in Azure Virtual Desktop

6 minuten om te lezen

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt
• Windows multi-session running on Azure Virtual Desktop (AVD)
• Windows 10 Enterprise Multi-Session

Microsoft Defender voor Eindpunt ondersteunt het bewaken van VDI- en Azure Virtual Desktop-sessies. Afhankelijk van de behoeften van uw organisatie moet u mogelijk VDI- of Azure Virtual Desktop-sessies implementeren om uw werknemers toegang te geven tot bedrijfsgegevens en apps vanaf een onbeheerd apparaat, externe locatie of vergelijkbaar scenario. Met Microsoft Defender voor Eindpunt kunt u deze virtuele machines controleren op afwijkende activiteiten.

Voordat u begint

Maak uzelf vertrouwd met de overwegingen voor niet-permanente VDI. Hoewel Azure Virtual Desktop geen niet-persistentieopties biedt, biedt het wel manieren om een gouden Windows-installatiekopie te gebruiken die kan worden gebruikt om nieuwe hosts in te richten en machines opnieuw te implementeren. Dit verhoogt de volatiliteit in de omgeving en heeft dus invloed op welke vermeldingen worden gemaakt en onderhouden in de Microsoft Defender voor Eindpunt-portal, waardoor de zichtbaarheid voor uw beveiligingsanalisten mogelijk wordt verminderd.

Opmerking

Afhankelijk van uw keuze voor de onboardingmethode kunnen apparaten in de Microsoft Defender voor Eindpunt-portal worden weergegeven als:

• Eén vermelding voor elk virtueel bureaublad
• Meerdere vermeldingen voor elk virtueel bureaublad

Microsoft raadt aan Azure Virtual Desktop te onboarden als één vermelding per virtueel bureaublad. Dit zorgt ervoor dat de onderzoekservaring in de Microsoft Defender for Endpoint-portal zich in de context van één apparaat bevindt op basis van de computernaam. Organisaties die AVD-hosts regelmatig verwijderen en opnieuw implementeren, moeten deze methode sterk overwegen, omdat hiermee wordt voorkomen dat meerdere objecten voor dezelfde machine worden gemaakt in de Microsoft Defender voor Eindpunt-portal. Dit kan leiden tot verwarring bij het onderzoeken van incidenten. Voor test- of niet-vluchtige omgevingen kunt u ervoor kiezen om anders te kiezen.

Microsoft raadt aan het onboardingscript van Microsoft Defender voor Eindpunt toe te voegen aan de gouden AVD-installatiekopieën. Op deze manier kunt u er zeker van zijn dat dit onboardingscript direct wordt uitgevoerd bij het eerste opstarten. Het wordt uitgevoerd als een opstartscript bij het opstarten op alle AVD-machines die zijn ingericht vanuit de gouden AVD-installatiekopie. Als u echter een van de galerieafbeeldingen gebruikt zonder wijzigingen, plaatst u het script op een gedeelde locatie en roept u het aan vanuit lokaal of domeingroepsbeleid.

Opmerking

De plaatsing en configuratie van het VDI-opstartscript voor onboarding op de gouden AVD-installatiekopieën configureert dit als een opstartscript dat wordt uitgevoerd wanneer de AVD wordt gestart. Het wordt afgeraden om de werkelijke AVD Golden Image te onboarden. Een andere overweging is de methode die wordt gebruikt om het script uit te voeren. Deze moet zo vroeg mogelijk in het opstart-/inrichtingsproces worden uitgevoerd om de tijd te verkorten tussen de machine die beschikbaar is voor het ontvangen van sessies en het onboarden van het apparaat voor de service. De onderstaande scenario's 1 en 2 houden hier rekening mee.

Scenario's

Er zijn verschillende manieren om een AVD-hostcomputer te onboarden:

• Voer het script uit in de gouden installatiekopieën (of vanaf een gedeelde locatie) tijdens het opstarten.
• Gebruik een beheerprogramma om het script uit te voeren.
• Via integratie met Microsoft Defender for Cloud

Scenario 1: Lokaal groepsbeleid gebruiken

In dit scenario moet het script in een gouden installatiekopie worden geplaatst en wordt lokaal groepsbeleid gebruikt om vroeg in het opstartproces uit te voeren.

Gebruik de instructies in Niet-permanente VDI-apparaten (Virtual Desktop Infrastructure) onboarden.

Volg de instructies voor één vermelding voor elk apparaat.

Scenario 2: Domeingroepsbeleid gebruiken

In dit scenario wordt een centraal gelegen script gebruikt en uitgevoerd met behulp van een groepsbeleid op basis van een domein. U kunt het script ook in de gouden afbeelding plaatsen en het op dezelfde manier uitvoeren.

Download het WindowsDefenderATPOnboardingPackage.zip-bestand vanuit de Microsoft Defender-portal

1. Open het VDI-configuratiepakket .zip bestand (WindowsDefenderATPOnboardingPackage.zip)

   1. Selecteer in het navigatiedeelvenster van de Microsoft Defender-portal de optie Instellingen>Eindpunten>Onboarding (onder Apparaatbeheer).
   2. Selecteer Windows 10 of Windows 11 als besturingssysteem.
   3. Selecteer in het veld Implementatiemethode de optie VDI-onboardingscripts voor niet-permanente eindpunten.
   4. Klik op Pakket downloaden en sla het .zip-bestand op.

2. Pak de inhoud van het .zip-bestand uit naar een gedeelde, alleen-lezen locatie die toegankelijk is voor het apparaat. U moet een map hebben met de naam OptionalParamsPolicy en de bestanden WindowsDefenderATPOnboardingScript.cmd en Onboard-NonPersistentMachine.ps1.

Groepsbeleidsbeheerconsole gebruiken om het script uit te voeren wanneer de virtuele machine wordt gestart

1. Open de Console groepsbeleidsbeheer (GPMC), klik met de rechtermuisknop op het groepsbeleidsobject (GPO) dat u wilt configureren en klik op Bewerken.

2. Ga in de Editor voor groepsbeleidsbeheer naar Instellingen voor computerconfiguratievoorkeuren>>Configuratiescherm.

3. Klik met de rechtermuisknop op Geplande taken, klik op Nieuw en klik vervolgens op Onmiddellijke taak (ten minste Windows 7).

4. Ga in het taakvenster dat wordt geopend naar het tabblad Algemeen . Klik onder Beveiligingsopties op Gebruiker of groep wijzigen en typ SYSTEM. Klik op Namen controleren en klik vervolgens op OK. NT AUTHORITY\SYSTEM wordt weergegeven als het gebruikersaccount als de taak wordt uitgevoerd.

5. Selecteer Uitvoeren of de gebruiker is aangemeld of niet en schakel het selectievakje Uitvoeren met de hoogste bevoegdheden in.

6. Ga naar het tabblad Acties en klik op Nieuw. Zorg ervoor dat Een programma starten is geselecteerd in het veld Actie. Voer het volgende in:

   Action = "Start a program"

   Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

   Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

   Selecteer vervolgens OK en sluit alle geopende GPMC-vensters.

Scenario 3: Onboarding met behulp van beheerhulpprogramma's

Als u van plan bent om uw machines te beheren met behulp van een beheerprogramma, kunt u apparaten onboarden met Microsoft Endpoint Configuration Manager.

Zie Windows-apparaten onboarden met Configuration Manager voor meer informatie.

Waarschuwing

Als u van plan bent om de verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen te gebruiken, moet u er rekening mee houden dat de regel 'Procescreaties blokkeren die afkomstig zijn van PSExec- en WMI-opdrachten' niet mag worden gebruikt, omdat deze regel niet compatibel is met beheer via Microsoft Endpoint Configuration Manager. De regel blokkeert WMI-opdrachten die de Configuration Manager-client gebruikt om correct te werken.

Tip

Nadat u het apparaat hebt onboarden, kunt u ervoor kiezen om een detectietest uit te voeren om te controleren of het apparaat correct is onboarded voor de service. Zie Een detectietest uitvoeren op een nieuw onboarded Microsoft Defender for Endpoint-apparaat voor meer informatie.

Uw machines taggen bij het bouwen van uw gouden afbeelding

Als onderdeel van uw onboarding kunt u overwegen om een machinetag in te stellen om AVD-machines gemakkelijker te onderscheiden in het Microsoft Security Center. Zie Apparaattags toevoegen door een registersleutelwaarde in te stellen voor meer informatie.

Andere aanbevolen configuratie-instellingen

Wanneer u een gouden afbeelding maakt, kunt u ook de initiële beveiligingsinstellingen configureren. Zie Andere aanbevolen configuratie-instellingen voor meer informatie.

Als u FSlogix-gebruikersprofielen gebruikt, raden we u ook aan de richtlijnen te volgen die worden beschreven in FSLogix-antivirusuitsluitingen.

Licentievereisten

Wanneer u Windows Enterprise met meerdere sessies gebruikt, kan volgens onze aanbevolen beveiligingsprocedures de virtuele machine worden gelicentieerd via Microsoft Defender voor Servers of kunt u ervoor kiezen om alle gebruikers van virtuele Azure Virtual Desktop-machines een licentie te geven via een van de volgende licenties:

• Microsoft Defender voor Eindpunt abonnement 1 of abonnement 2 (per gebruiker)
• Windows Enterprise E3
• Windows Enterprise E5
• Microsoft 365 E3
• Microsoft 365 E5 Security
• Microsoft 365 E5

Licentievereisten voor Microsoft Defender voor Eindpunt vindt u op: Licentievereisten.

Gerelateerde koppelingen

Uitsluitingen voor Defender voor Eindpunt toevoegen via PowerShell

FsLogix antimalware uitsluitingen

Microsoft Defender Antivirus configureren op een extern bureaublad of een infrastructuuromgeving voor virtuele bureaubladen

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.