Dela via

Registrera Windows-enheter i Azure Virtual Desktop

  • Artikel

6 minuter att läsa

Gäller för:

Microsoft Defender för Endpoint stöder övervakning av både VDI- och Azure Virtual Desktop-sessioner. Beroende på organisationens behov kan du behöva implementera VDI- eller Azure Virtual Desktop-sessioner för att hjälpa dina anställda att komma åt företagsdata och appar från en ohanterad enhet, fjärrplats eller liknande scenario. Med Microsoft Defender för Endpoint kan du övervaka dessa virtuella datorer för avvikande aktivitet.

Innan du börjar

Bekanta dig med överväganden för icke-beständig VDI. Även om Azure Virtual Desktop inte tillhandahåller alternativ för icke-beständighet tillhandahåller det olika sätt att använda en gyllene Windows-avbildning som kan användas för att etablera nya värdar och distribuera om datorer. Detta ökar volatiliteten i miljön och påverkar därmed vilka poster som skapas och underhålls i Microsoft Defender för Endpoint portalen, vilket kan minska synligheten för dina säkerhetsanalytiker.

Obs!

Beroende på ditt val av registreringsmetod kan enheter visas i Microsoft Defender för Endpoint-portalen som antingen:

  • En post för varje virtuellt skrivbord
  • Flera poster för varje virtuellt skrivbord

Microsoft rekommenderar registrering av Azure Virtual Desktop som en enda post per virtuellt skrivbord. Detta säkerställer att undersökningsupplevelsen i Microsoft Defender för Endpoint-portalen finns i kontexten för en enhet baserat på datornamnet. Organisationer som ofta tar bort och distribuerar om AVD-värdar bör starkt överväga att använda den här metoden eftersom det förhindrar att flera objekt för samma dator skapas i Microsoft Defender för Endpoint-portalen. Detta kan leda till förvirring vid undersökning av incidenter. För testmiljöer eller icke-beständiga miljöer kan du välja olika.

Microsoft rekommenderar att du lägger till Microsoft Defender för Endpoint onboarding-skriptet i den gyllene AVD-avbildningen. På så sätt kan du vara säker på att det här registreringsskriptet körs omedelbart vid första starten. Den körs som ett startskript vid första starten på alla AVD-datorer som etableras från den gyllene AVD-avbildningen. Men om du använder en av galleribilderna utan ändringar placerar du skriptet på en delad plats och anropar det från antingen en lokal grupprincip eller en domängruppsprincip.

Obs!

Placeringen och konfigurationen av VDI-registreringsstartskriptet på den gyllene AVD-avbildningen konfigurerar det som ett startskript som körs när AVD startar. Vi rekommenderar inte att du registrerar den faktiska gyllene AVD-avbildningen. Ett annat övervägande är den metod som används för att köra skriptet. Den bör köras så tidigt som möjligt i start-/etableringsprocessen för att minska tiden mellan att datorn är tillgänglig för att ta emot sessioner och enhetens registrering till tjänsten. Nedanstående scenarier 1 och 2 tar hänsyn till detta.

Scenarier

Det finns flera sätt att registrera en AVD-värddator:

Scenario 1: Använda lokal grupprincip

Det här scenariot kräver att skriptet placeras i en gyllene avbildning och använder lokal grupprincip för att köras tidigt i startprocessen.

Använd anvisningarna i Registrera VDI-enheter (Non-Persistent Virtual Desktop Infrastructure).

Följ anvisningarna för en enda post för varje enhet.

Scenario 2: Använda domängruppsprincip

Det här scenariot använder ett centralt lokaliserat skript och kör det med hjälp av en domänbaserad grupprincip. Du kan också placera skriptet i den gyllene avbildningen och köra det på samma sätt.

Ladda ned WindowsDefenderATPOnboardingPackage.zip-filen från Microsoft Defender-portalen

  1. Öppna VDI-konfigurationspaketet .zip fil (WindowsDefenderATPOnboardingPackage.zip)

    1. I Microsoft Defender portalens navigeringsfönster väljer du Inställningar>Slutpunkter>registrering (under Enhetshantering).
    2. Välj Windows 10 eller Windows 11 som operativsystem.
    3. I fältet Distributionsmetod väljer du VDI-registreringsskript för icke-beständiga slutpunkter.
    4. Klicka på Ladda ned paket och spara .zip-filen.

  2. Extrahera innehållet i .zip-filen till en delad, skrivskyddad plats som kan nås av enheten. Du bör ha en mapp med namnet OptionalParamsPolicy och filerna WindowsDefenderATPOnboardingScript.cmd och Onboard-NonPersistentMachine.ps1.

Använd grupprincip-hanteringskonsolen för att köra skriptet när den virtuella datorn startar

  1. Öppna grupprincip Management Console (GPMC), högerklicka på det grupprincip objekt (GPO) som du vill konfigurera och klicka på Redigera.

  2. I grupprincip Management Editor går du till Inställningar för datorkonfiguration>>Kontrollpanelens inställningar.

  3. Högerklicka på Schemalagda aktiviteter, klicka på Nytt och klicka sedan på Omedelbar aktivitet (Minst Windows 7).

  4. I fönstret Aktivitet som öppnas går du till fliken Allmänt . Under Säkerhetsalternativ klickar du på Ändra användare eller grupp och skriver SYSTEM. Klicka på Kontrollera namn och klicka sedan på OK. NT AUTHORITY\SYSTEM visas som användarkontot som aktiviteten ska köras som.

  5. Välj Kör om användaren är inloggad eller inte och markera kryssrutan Kör med högsta behörighet .

  6. Gå till fliken Åtgärder och klicka på Ny. Kontrollera att Starta ett program är markerat i fältet Åtgärd. Ange följande:

    Action = "Start a program"

    Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

    Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

    Välj sedan OK och stäng alla öppna GPMC-fönster.

Scenario 3: Registrering med hanteringsverktyg

Om du planerar att hantera dina datorer med ett hanteringsverktyg kan du registrera enheter med Microsoft Endpoint Configuration Manager.

Mer information finns i Registrera Windows-enheter med hjälp av Configuration Manager.

Varning

Om du planerar att använda referensen för regler för minskning av attackytan bör du observera att regeln "Blockera processskapanden som kommer från PSExec- och WMI-kommandon" inte ska användas, eftersom den regeln inte är kompatibel med hantering via Microsoft Endpoint Configuration Manager. Regeln blockerar WMI-kommandon som Configuration Manager-klienten använder för att fungera korrekt.

Tips

När du har registrerat enheten kan du välja att köra ett identifieringstest för att kontrollera att enheten är korrekt registrerad i tjänsten. Mer information finns i Köra ett identifieringstest på en nyligen registrerad Microsoft Defender för Endpoint enhet.

Tagga dina datorer när du skapar en gyllene avbildning

Som en del av din registrering kanske du vill överväga att ställa in en datortagg för att särskilja AVD-datorer enklare i Microsoft Security Center. Mer information finns i Lägga till enhetstaggar genom att ange ett registernyckelvärde.

När du skapar den gyllene avbildningen kanske du också vill konfigurera inledande skyddsinställningar. Mer information finns i Andra rekommenderade konfigurationsinställningar.

Om du använder FSlogix-användarprofiler rekommenderar vi att du följer anvisningarna i FSLogix antivirusundantag.

Licensieringskrav

Obs! När du använder Windows Enterprise multi-session kan du, beroende på dina krav, välja att antingen ha alla användare licensierade via Microsoft Defender för Endpoint (per användare), Windows Enterprise E5, Microsoft 365 E5 Security eller Microsoft 365 E5, eller ha den virtuella datorn licensieras via Microsoft Defender för molnet. Licensieringskrav för Microsoft Defender för Endpoint finns på: Licensieringskrav.

Lägga till undantag för Defender för Endpoint via PowerShell

FSLogix-undantag mot skadlig kod

Konfigurera Microsoft Defender Antivirus på en miljö för fjärrskrivbord eller virtuell skrivbordsinfrastruktur

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.