Udostępnij za pośrednictwem

Dołączanie urządzeń z systemem Windows w usłudze Azure Virtual Desktop

  • Artykuł

6 minut do odczytu

Dotyczy:

Ochrona punktu końcowego w usłudze Microsoft Defender obsługuje monitorowanie sesji VDI i Azure Virtual Desktop. W zależności od potrzeb organizacji może być konieczne zaimplementowanie sesji VDI lub Azure Virtual Desktop, aby ułatwić pracownikom dostęp do firmowych danych i aplikacji z niezarządzanego urządzenia, lokalizacji zdalnej lub podobnego scenariusza. Za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender można monitorować te maszyny wirtualne pod kątem nietypowych działań.

Przed rozpoczęciem

Zapoznaj się z zagadnieniami dotyczącymi nietrwałej interfejsu VDI. Usługa Azure Virtual Desktop nie zapewnia opcji braku trwałości, ale zapewnia sposoby używania złotego obrazu systemu Windows, który może służyć do aprowizacji nowych hostów i ponownego wdrażania maszyn. Zwiększa to zmienność w środowisku, a tym samym wpływa na to, jakie wpisy są tworzone i utrzymywane w portalu Ochrona punktu końcowego w usłudze Microsoft Defender, co może zmniejszyć widoczność analityków zabezpieczeń.

Uwaga

W zależności od wybranej metody dołączania urządzenia mogą być wyświetlane w portalu Ochrona punktu końcowego w usłudze Microsoft Defender jako:

  • Pojedynczy wpis dla każdego pulpitu wirtualnego
  • Wiele wpisów dla każdego pulpitu wirtualnego

Firma Microsoft zaleca dołączenie usługi Azure Virtual Desktop jako pojedynczego wpisu na pulpit wirtualny. Dzięki temu środowisko badania w portalu Ochrona punktu końcowego w usłudze Microsoft Defender znajduje się w kontekście jednego urządzenia na podstawie nazwy maszyny. Organizacje, które często usuwają i ponownie wdrażają hosty AVD, powinny zdecydowanie rozważyć użycie tej metody, ponieważ uniemożliwia ona tworzenie wielu obiektów dla tej samej maszyny w portalu Ochrona punktu końcowego w usłudze Microsoft Defender. Może to prowadzić do nieporozumień podczas badania zdarzeń. W przypadku środowisk testowych lub nietrwałych możesz zdecydować się na wybór inaczej.

Firma Microsoft zaleca dodanie skryptu dołączania Ochrona punktu końcowego w usłudze Microsoft Defender do złotego obrazu AVD. Dzięki temu możesz mieć pewność, że ten skrypt dołączania jest uruchamiany natychmiast przy pierwszym rozruchu. Jest on wykonywany jako skrypt uruchamiania przy pierwszym rozruchu na wszystkich maszynach AVD aprowizowanych na podstawie złotego obrazu AVD. Jeśli jednak używasz jednego z obrazów galerii bez modyfikacji, umieść skrypt w lokalizacji udostępnionej i wywołaj go z poziomu zasad grupy lokalnej lub domeny.

Uwaga

Umieszczenie i konfiguracja skryptu uruchamiania dołączania interfejsu VDI na złotym obrazie AVD konfiguruje go jako skrypt startowy uruchamiany po uruchomieniu avd. Nie zaleca się dołączania rzeczywistego złotego obrazu AVD. Inną kwestią jest metoda używana do uruchamiania skryptu. Powinien być uruchamiany tak wcześnie, jak to możliwe w procesie uruchamiania/aprowizacji, aby skrócić czas między maszyną dostępną do odbierania sesji a dołączaniem urządzenia do usługi. W poniższych scenariuszach 1 i 2 należy wziąć to pod uwagę.

Scenariuszy

Istnieje kilka sposobów dołączania maszyny hosta AVD:

Scenariusz 1. Korzystanie z lokalnych zasad grupy

Ten scenariusz wymaga umieszczenia skryptu w złotym obrazie i używa lokalnych zasad grupy do uruchomienia na wczesnym etapie procesu rozruchu.

Skorzystaj z instrukcji zawartych w temacie Dołączanie nietrwałych urządzeń infrastruktury pulpitu wirtualnego (VDI).

Postępuj zgodnie z instrukcjami dotyczącymi pojedynczego wpisu dla każdego urządzenia.

Scenariusz 2. Korzystanie z zasad grupy domen

W tym scenariuszu używany jest skrypt centralnie zlokalizowany i uruchamiany przy użyciu zasad grupy opartej na domenie. Skrypt można również umieścić na złotym obrazie i uruchomić go w taki sam sposób.

Pobierz plik WindowsDefenderATPOnboardingPackage.zip z portalu Microsoft Defender

  1. Otwórz plik .zip pakietu konfiguracji interfejsu VDI (WindowsDefenderATPOnboardingPackage.zip)

    1. W okienku nawigacji portalu Microsoft Defender wybierz pozycję Ustawienia>Dołączaniepunktów końcowych> (w obszarze Zarządzanie urządzeniami).
    2. Wybierz Windows 10 lub Windows 11 jako system operacyjny.
    3. W polu Metoda wdrażania wybierz pozycję VDI onboarding scripts for non-persistent endpoints (Skrypty dołączania interfejsu VDI dla nietrwałych punktów końcowych).
    4. Kliknij pozycję Pobierz pakiet i zapisz plik .zip.

  2. Wyodrębnij zawartość pliku .zip do udostępnionej lokalizacji tylko do odczytu, do których może uzyskiwać dostęp urządzenie. Powinien istnieć folder o nazwie OptionalParamsPolicy i pliki WindowsDefenderATPOnboardingScript.cmd i Onboard-NonPersistentMachine.ps1.

Użyj konsoli zarządzania zasady grupy, aby uruchomić skrypt po uruchomieniu maszyny wirtualnej

  1. Otwórz konsolę zarządzania zasady grupy (GPMC), kliknij prawym przyciskiem myszy obiekt zasady grupy , który chcesz skonfigurować, i kliknij przycisk Edytuj.

  2. W Redaktor zarządzania zasady grupy przejdź dopozycji Ustawienia panelu sterowaniapreferencji>konfiguracji> komputera.

  3. Kliknij prawym przyciskiem myszy zaplanowane zadania, kliknij pozycję Nowe, a następnie kliknij pozycję Zadanie natychmiastowe (co najmniej windows 7).

  4. W wyświetlonym oknie Zadanie przejdź do karty Ogólne . W obszarze Opcje zabezpieczeń kliknij pozycję Zmień użytkownika lub grupę i wpisz SYSTEM. Kliknij pozycję Sprawdź nazwy, a następnie kliknij przycisk OK. NT AUTHORITY\SYSTEM jest wyświetlany jako konto użytkownika, które będzie uruchamiane jako zadanie.

  5. Wybierz pozycję Uruchom, czy użytkownik jest zalogowany, czy nie , i zaznacz pole wyboru Uruchom z najwyższymi uprawnieniami .

  6. Przejdź do karty Akcje i kliknij pozycję Nowy. Upewnij się, że w polu Akcja wybrano opcję Uruchom program . Wprowadź następujące informacje:

    Action = "Start a program"

    Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

    Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

    Następnie wybierz przycisk OK i zamknij wszystkie otwarte okna kontrolera GPMC.

Scenariusz 3. Dołączanie przy użyciu narzędzi do zarządzania

Jeśli planujesz zarządzanie maszynami przy użyciu narzędzia do zarządzania, możesz dołączyć urządzenia za pomocą programu Microsoft Endpoint Configuration Manager.

Aby uzyskać więcej informacji, zobacz Dołączanie urządzeń z systemem Windows przy użyciu Configuration Manager.

Ostrzeżenie

Jeśli planujesz używać odwołania do reguł zmniejszania obszaru ataków, pamiętaj, że reguła "Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI" nie powinna być używana, ponieważ ta reguła jest niezgodna z zarządzaniem za pośrednictwem Configuration Manager punktu końcowego firmy Microsoft. Reguła blokuje polecenia usługi WMI używane przez klienta Configuration Manager do poprawnego działania.

Porada

Po dołączeniu urządzenia można uruchomić test wykrywania, aby sprawdzić, czy urządzenie jest prawidłowo dołączone do usługi. Aby uzyskać więcej informacji, zobacz Uruchamianie testu wykrywania na nowo dołączonym urządzeniu Ochrona punktu końcowego w usłudze Microsoft Defender.

Tagowanie maszyn podczas tworzenia złotego obrazu

W ramach dołączania warto rozważyć ustawienie tagu maszyny, aby łatwiej rozróżniać maszyny AVD w usłudze Microsoft Security Center. Aby uzyskać więcej informacji, zobacz Dodawanie tagów urządzeń przez ustawienie wartości klucza rejestru.

Podczas tworzenia złotego obrazu możesz również skonfigurować początkowe ustawienia ochrony. Aby uzyskać więcej informacji, zobacz Inne zalecane ustawienia konfiguracji.

Ponadto jeśli używasz profilów użytkowników FSlogix, zalecamy stosowanie się do wskazówek opisanych w artykule Wykluczenia programu antywirusowego FSLogix.

Wymagania dotyczące licencjonowania

Uwaga dotycząca licencjonowania: w przypadku korzystania z wielu sesji systemu Windows Enterprise, w zależności od wymagań, można wybrać licencję wszystkich użytkowników za pośrednictwem Ochrona punktu końcowego w usłudze Microsoft Defender (na użytkownika), Windows Enterprise E5, Zabezpieczenia platformy Microsoft 365 E5 lub Microsoft 365 E5 lub licencję maszyny wirtualnej za pośrednictwem Microsoft Defender for Cloud. Wymagania licencyjne dotyczące Ochrona punktu końcowego w usłudze Microsoft Defender można znaleźć na stronie: Wymagania dotyczące licencjonowania.

Dodawanie wykluczeń dla usługi Defender dla punktu końcowego za pośrednictwem programu PowerShell

FSLogix — wykluczenia chroniące przed złośliwym oprogramowaniem

Konfigurowanie programu antywirusowego Microsoft Defender na komputerze zdalnym lub w środowisku infrastruktury pulpitu wirtualnego

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.