Microsoft Defender za krajnju tačku för Azure Virtual Desktop-sessioner

Slutförd

Microsoft Defender za krajnju tačku stöder övervakning av både VDI- och Azure Virtual Desktop-sessioner. Beroende på organisationens behov kan du behöva implementera VDI- eller Azure Virtual Desktop-sessioner för att hjälpa dina anställda att komma åt företagets data och appar från en ohanterad enhet, fjärrplats eller liknande scenario. Med Microsoft Defender za krajnju tačku kan du övervaka dessa virtuella datorer för avvikande aktivitet.

Även om Azure Virtual Desktop inte tillhandahåller alternativ för icke-beständighet, ger det sätt att använda en gyllene Windows-avbildning som kan användas för att etablera nya värdar och distribuera om datorer. Detta ökar volatiliteten i miljön och påverkar därmed vilka poster som skapas och underhålls i Microsoft Defender za krajnju tačku portalen, vilket kan minska synligheten för dina säkerhetsanalytiker.

Beroende på vilken registreringsmetod du väljer kan enheterna visas i Microsoft Defender za krajnju tačku portalen som antingen:

• Enkel post för varje virtuellt skrivbord
• Flera poster för varje virtuellt skrivbord

Microsoft rekommenderar registrering av Azure Virtual Desktop som en enda post per virtuellt skrivbord. Detta säkerställer att undersökningsupplevelsen i Microsoft Defender za krajnju tačku-portalen finns i kontexten för en enhet baserat på datornamnet. Organisationer som ofta tar bort och distribuerar om AVD-värdar bör starkt överväga att använda den här metoden eftersom det förhindrar att flera objekt för samma dator skapas i Microsoft Defender za krajnju tačku portalen. Detta kan leda till förvirring vid undersökning av incidenter. För testmiljöer eller icke-flyktiga miljöer kan du välja olika.

Microsoft rekommenderar att du lägger till Microsoft Defender za krajnju tačku onboarding-skriptet till avd-gyllene avbildningen. På så sätt kan du vara säker på att det här registreringsskriptet körs omedelbart vid första starten. Det körs som ett startskript vid första starten på alla AVD-datorer som etableras från den gyllene AVD-avbildningen. Men om du använder en av galleribilderna utan ändringar placerar du skriptet på en delad plats och anropar det från antingen en lokal princip eller en domängruppsprincip.

Kommentar

Placeringen och konfigurationen av VDI-registreringsstartskriptet på den gyllene AVD-avbildningen konfigurerar det som ett startskript som körs när AVD startar. Vi rekommenderar inte att du registrerar den faktiska GYLLENE AVD-avbildningen. En annan faktor är den metod som används för att köra skriptet. Den bör köras så tidigt som möjligt i start-/etableringsprocessen för att minska tiden mellan att datorn är tillgänglig för att ta emot sessioner och enhetens registrering till tjänsten. Nedanstående scenarier 1 och 2 tar hänsyn till detta.

Scenarier

Det finns flera sätt att registrera en AVD-värddator:

• Kör skriptet i den gyllene avbildningen (eller från en delad plats) under starten.
• Använd ett hanteringsverktyg för att köra skriptet.
• Via integrering med Microsoft Defender för molnet

Scenario 1: Använda lokal grupprincip

Det här scenariot kräver att skriptet placeras i en gyllene avbildning och använder en lokal grupprincip för att köras tidigt i startprocessen.

Använd anvisningarna i Registrera de icke-beständiga VDI-enheterna (Virtual Desktop Infrastructure).

Följ anvisningarna för en enda post för varje enhet.

Scenario 2: Använda domängruppprincip

Det här scenariot använder ett centralt lokaliserat skript och kör det med hjälp av en domänbaserad grupprincip. Du kan också placera skriptet i den gyllene avbildningen och köra det på samma sätt.

Ladda ned WindowsDefenderATPOnboardingPackage.zip-filen från Microsoft Defender-portalen

1. Öppna VDI-konfigurationspaketet .zip -filen (WindowsDefenderATPOnboardingPackage.zip)

   1. I navigeringsfönstret i Microsoft Defender-portalen väljer du Inställningar>Slutpunkter>Registrering (under Upravljanje uređajima).
   2. Välj Windows 10 eller Windows 11 som operativsystem.
   3. I fältet Distributionsmetod väljer du VDI-registreringsskript för icke-beständiga slutpunkter.
   4. Klicka på Ladda ned paket och spara filen .zip.

2. Extrahera innehållet i .zip-filen till en delad, skrivskyddad plats som kan nås av enheten. Du bör ha en mapp med namnet OptionalParamsPolicy och filerna WindowsDefenderATPOnboardingScript.cmd och Onboard-NonPersistentMachine.ps1.

Använd konsolen Grupprinciphantering för att köra skriptet när den virtuella datorn startar

1. Öppna konsolen Grupprinciphantering (GPMC), högerklicka på det grupprincipobjekt (GPO) som du vill konfigurera och klicka på Redigera.

2. I redigeraren grupprinciphantering går du till Inställningar för datorkonfiguration>>Kontrollpanelens inställningar.

3. Högerklicka på Schemalagda aktiviteter, klicka på Nytt och klicka sedan på Omedelbar aktivitet (minst Windows 7).

4. I fönstret Aktivitet som öppnas går du till fliken Allmänt . Under Säkerhetsalternativ klickar du på Ändra användare eller grupp och skriver SYSTEM. Klicka på Kontrollera namn och klicka sedan på OK. NT AUTHORITY\SYSTEM visas som användarkontot som aktiviteten körs som.

5. Välj Kör om användaren är inloggad eller inte och markera kryssrutan Kör med högsta behörighet .

6. Gå till fliken Åtgärder och klicka på Ny. Kontrollera att Starta ett program är markerat i fältet Åtgärd. Ange följande:

   Åtgärd = "Starta ett program"

   Program/Skript = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

   Lägg till argument (valfritt) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

   Välj sedan OK och stäng alla öppna GPMC-fönster.

Scenario 3: Registrering med hanteringsverktyg

Om du planerar att hantera dina datorer med ett hanteringsverktyg kan du registrera enheter med Microsoft Endpoint Configuration direkt.

Dricks

När du har registrerat enheten kan du välja att köra ett identifieringstest för att kontrollera att enheten är korrekt registrerad i tjänsten. Mer information finns i Kör ett identifieringstest på en nyligen registrerad Microsoft Defender za krajnju tačku enhet.

Tagga dina datorer när du skapar en gyllene avbildning

Som en del av din registrering kanske du vill överväga att ställa in en datortagg för att särskilja AVD-datorer enklare i Microsoft Security Center. Mer information finns i Lägga till enhetstaggar genom att ange ett registernyckelvärde.

Andra rekommenderade konfigurationsinställningar

När du skapar den gyllene avbildningen kanske du också vill konfigurera de inledande skyddsinställningarna. Mer information finns i Andra rekommenderade konfigurationsinställningar.

Om du använder FSlogix-användarprofiler rekommenderar vi också att du följer riktlinjerna som beskrivs i FSLogix antivirusundantag.

Licensieringskrav

Obs! När du använder windows enterprise-multisessioner kan du, beroende på dina krav, välja att antingen ha alla användare licensierade via Microsoft Defender za krajnju tačku (per användare), Windows Enterprise E5, Microsoft 365 E5 Security eller Microsoft 365 E5 eller ha den virtuella datorn licensierad via Microsoft Defender för molnet. Licensieringskrav för Microsoft Defender za krajnju tačku finns på: Licensieringskrav.