Share via


Integrar dispositivos Windows na Área de Trabalho Virtual do Azure

6 minutos para ler

Aplica-se a:

Microsoft Defender para Ponto de Extremidade dá suporte ao monitoramento de sessões da VDI e da Área de Trabalho Virtual do Azure. Dependendo das necessidades da sua organização, talvez seja necessário implementar sessões da VDI ou da Área de Trabalho Virtual do Azure para ajudar seus funcionários a acessar dados corporativos e aplicativos de um dispositivo não gerenciado, local remoto ou cenário semelhante. Com Microsoft Defender para Ponto de Extremidade, você pode monitorar essas máquinas virtuais para atividades anômalas.

Antes de começar

Familiarize-se com as considerações para VDI não persistente. Embora a Área de Trabalho Virtual do Azure não forneça opções de não persistência, ela fornece maneiras de usar uma imagem dourada do Windows que pode ser usada para provisionar novos hosts e reimplantar computadores. Isso aumenta a volatilidade no ambiente e, portanto, afeta quais entradas são criadas e mantidas no portal Microsoft Defender para Ponto de Extremidade, potencialmente reduzindo a visibilidade para seus analistas de segurança.

Observação

Dependendo da escolha do método de integração, os dispositivos podem aparecer em Microsoft Defender para Ponto de Extremidade portal como:

  • Entrada única para cada área de trabalho virtual
  • Várias entradas para cada área de trabalho virtual

A Microsoft recomenda integrar a Área de Trabalho Virtual do Azure como uma única entrada por área de trabalho virtual. Isso garante que a experiência de investigação no portal Microsoft Defender para Ponto de Extremidade esteja no contexto de um dispositivo com base no nome do computador. As organizações que frequentemente excluem e reimplantam hosts AVD devem considerar fortemente o uso desse método, pois impede que vários objetos para o mesmo computador sejam criados no portal Microsoft Defender para Ponto de Extremidade. Isso pode levar à confusão ao investigar incidentes. Para ambientes de teste ou não voláteis, você pode optar por escolher de forma diferente.

A Microsoft recomenda adicionar o script de integração Microsoft Defender para Ponto de Extremidade à imagem dourada do AVD. Dessa forma, você pode ter certeza de que esse script de integração é executado imediatamente na primeira inicialização. Ele é executado como um script de inicialização na primeira inicialização em todos os computadores AVD provisionados a partir da imagem dourada do AVD. No entanto, se você estiver usando uma das imagens da galeria sem modificação, coloque o script em um local compartilhado e chame-o de política de grupo local ou de domínio.

Observação

O posicionamento e a configuração do script de inicialização de integração do VDI na imagem dourada do AVD configura-o como um script de inicialização que é executado quando o AVD é iniciado. Não é recomendável integrar a imagem de ouro real do AVD. Outra consideração é o método usado para executar o script. Ele deve ser executado o mais cedo possível no processo de inicialização/provisionamento para reduzir o tempo entre o computador estar disponível para receber sessões e a integração do dispositivo ao serviço. Os cenários 1 e 2 a seguir levam isso em conta.

Cenários

Há várias maneiras de integrar um computador host do AVD:

Cenário 1: usando a política de grupo local

Esse cenário requer colocar o script em uma imagem dourada e usa a política de grupo local para ser executado no início do processo de inicialização.

Use as instruções em Integrar os dispositivos VDI (infraestrutura de área de trabalho virtual) não persistentes.

Siga as instruções para uma única entrada para cada dispositivo.

Cenário 2: Usando a política de grupo de domínio

Esse cenário usa um script localizado centralmente e o executa usando uma política de grupo baseada em domínio. Você também pode colocar o script na imagem dourada e executá-lo da mesma maneira.

Baixar o arquivo WindowsDefenderATPOnboardingPackage.zip do portal Microsoft Defender
  1. Abra o arquivo de .zip do pacote de configuração do VDI (WindowsDefenderATPOnboardingPackage.zip)

    1. No painel de navegação do portal Microsoft Defender, selecione Configurações> Integraçãode pontos>de extremidade (em Gerenciamento de Dispositivos).
    2. Selecione Windows 10 ou Windows 11 como o sistema operacional.
    3. No campo Método de implantação , selecione Scripts de integração de VDI para pontos de extremidade não persistentes.
    4. Clique em Baixar pacote e salve o arquivo .zip.
  2. Extraia o conteúdo do arquivo .zip para um local compartilhado e somente leitura que pode ser acessado pelo dispositivo. Você deve ter uma pasta chamada OptionalParamsPolicy e os arquivos WindowsDefenderATPOnboardingScript.cmd e Onboard-NonPersistentMachine.ps1.

Use Política de Grupo console de gerenciamento para executar o script quando a máquina virtual for iniciada
  1. Abra o GPMC (Console de Gerenciamento Política de Grupo), clique com o botão direito do mouse no GPO (objeto Política de Grupo) que você deseja configurar e clique em Editar.

  2. No Editor de Gerenciamento de Política de Grupo, acesse Configuração do computador Configuração>Controle de configuração de configuração configura>

  3. Clique com o botão direito do mouse em Tarefas agendadas, clique em Novo e clique em Tarefa Imediata (pelo menos Windows 7).

  4. Na janela Tarefa aberta, acesse a guia Geral . Em Opções de segurança , clique em Alterar Usuário ou Grupo e digite SYSTEM. Clique em Verificar Nomes e clique em OK. NT AUTHORITY\SYSTEM aparece como a conta de usuário que a tarefa executará como.

  5. Selecione Executar se o usuário está conectado ou não e marcar a caixa Executar com privilégios mais altos marcar.

  6. Acesse a guia Ações e clique em Novo. Verifique se Iniciar um programa está selecionado no campo Ação. Insira o seguinte:

    Action = "Start a program"

    Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

    Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

    Em seguida, selecione OK e feche todas as janelas abertas do GPMC.

Cenário 3: Integração usando ferramentas de gerenciamento

Se você planeja gerenciar seus computadores usando uma ferramenta de gerenciamento, poderá integrar dispositivos com o Microsoft Endpoint Configuration Manager.

Para obter mais informações, consulte Integrar dispositivos Windows usando Configuration Manager.

Aviso

Se você planeja usar a referência de regras de redução de superfície de ataque, observe que a regra "Bloquear criações de processo originadas de comandos PSExec e WMI" não deve ser usada, pois essa regra é incompatível com o gerenciamento por meio do Microsoft Endpoint Configuration Manager. A regra bloqueia os comandos WMI que o cliente Configuration Manager usa para funcionar corretamente.

Dica

Depois de integrar o dispositivo, você pode optar por executar um teste de detecção para verificar se o dispositivo está integrado corretamente ao serviço. Para obter mais informações, consulte Executar um teste de detecção em um dispositivo Microsoft Defender para Ponto de Extremidade recém-integrado.

Marcando seus computadores ao criar sua imagem dourada

Como parte da integração, talvez você queira considerar a configuração de uma marca de computador para diferenciar computadores AVD com mais facilidade na Central de Segurança da Microsoft. Para obter mais informações, consulte Adicionar marcas de dispositivo definindo um valor de chave do registro.

Ao criar sua imagem dourada, talvez você também queira configurar as configurações de proteção inicial. Para obter mais informações, consulte Outras configurações de configuração recomendadas.

Além disso, se você estiver usando perfis de usuário do FSlogix, é recomendável seguir as diretrizes descritas em exclusões antivírus FSLogix.

Requisitos de licenciamento

Observação sobre licenciamento: ao usar as várias sessões do Windows Enterprise, dependendo de seus requisitos, você pode optar por ter todos os usuários licenciados por meio de Microsoft Defender para Ponto de Extremidade (por usuário), Windows Enterprise E5, Microsoft 365 E5 Security ou Microsoft 365 E5, ou tenha a VM licenciada por meio de Microsoft Defender para Nuvem. Os requisitos de licenciamento para Microsoft Defender para Ponto de Extremidade podem ser encontrados em: requisitos de licenciamento.

Adicionar exclusões para Defender para Ponto de Extremidade por meio do PowerShell

Exclusões anti-malware do FSLogix

Configurar Microsoft Defender Antivírus em um ambiente de infraestrutura de área de trabalho remota ou área de trabalho virtual

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.