將非持續性虛擬桌面基礎結構 (VDI) 裝置上線Microsoft Defender 全面偵測回應

虛擬桌面基礎架構 (VDI) 是一種 IT 基礎架構概念，可讓一般使用者從幾乎任何裝置 (（例如個人電腦、智慧型手機或平板電腦) ） 存取企業虛擬桌面執行個體，無需組織為使用者提供實體機器。 使用 VDI 裝置可以降低成本，因為 IT 部門不再負責管理、修復和更換實體端點。 授權使用者可以透過安全的桌面用戶端或瀏覽器從任何經批准的裝置存取相同的公司伺服器、檔案、應用程式和服務。

與 IT 環境中的任何其他系統一樣，VDI 設備應具有端點檢測和響應 (EDR) 和防病毒解決方案，以防範高級威脅和攻擊。

注意事項

持續性 VDI - 將持續性 VDI 電腦上線適用於端點的 Microsoft Defender 的處理方式與上線實體電腦 （例如桌上型電腦或膝上型電腦） 相同。 群組原則、Microsoft Configuration Manager 和其他方法可用來上線持續性電腦。 在Microsoft Defender入口網站中， (https://security.microsoft.com) [上線] 底下，選取您偏好的上線方法，然後遵循該類型的指示。 如需詳細資訊，請參閱 上線 Windows 用戶端。

將非持續性虛擬桌面基礎結構上線 (VDI) 裝置

適用於端點的 Defender 支援非持續性 VDI 會話上線。 上線 VDI 執行個體時可能會遇到相關挑戰。 以下是此案例的一般挑戰：

• 短期會話的即時早期上線，必須先上線至適用於端點的 Defender，才能實際布建。

• 裝置名稱通常會重複用於新的工作階段。

• 在 VDI 環境中，VDI 執行個體的生命週期可能很短。 VDI 裝置可以在 Microsoft Defender 入口網站中顯示為每個 VDI 實例的單一專案，或每個裝置的多個專案。

  • 每個 VDI 執行個體的單一項目。 如果 VDI 實例已上線至適用於端點的 Microsoft Defender，並在某個時間點刪除，然後使用相同的主機名稱重新建立，則不會在入口網站中建立代表此 VDI 實例的新物件。 在此情況下，建立會話時必須設定 相同的 裝置名稱，例如使用自動應答檔案。
  • 每個裝置有多個項目 - 每個 VDI 執行個體一個項目。
  • 對於所有 VDI 機器，當它們第一次上線時，用戶端延遲大約 3-4 小時。

重要事項

如果您要透過複製技術部署非持續性 VDI，請確定您的內部範本 VM 未上線至適用於端點的 Defender。 此建議是避免複製的 VM 使用與範本 VM 相同的 senseGuid 上線，這可能會防止 VM 在 [裝置] 清單中顯示為新專案。

下列步驟將引導您完成 VDI 裝置的上線，並醒目提示單一和多個項目的步驟。

警告

對於資源設定較低的環境，VDI 開機程式可能會減慢適用於端點的 Defender 感應器上線速度。

上線步驟

注意事項

Windows Server 2016 和 Windows Server 2012 R2 必須先套用安裝套件來準備。 請參閱 Windows Server 2012 R2 上的上線和Windows Server 2016到適用於端點的 Microsoft Defender。

1. 開啟您從服務上線精靈下載的 VDI 組態套件檔案 (WindowsDefenderATPOnboardingPackage.zip) 。 您也可以從 Microsoft Defender 入口網站取得套件。

   1. 在導覽窗格中，選取 設定>端點 裝置>管理> 上線。

   2. 選取作業系統。

   3. 在 [部署方法] 欄位中，選取 [非持續性端點的 VDI 上線指令碼]。

   4. 選取 [ 下載套件 ] 並儲存檔案。

2. 將從壓縮資料夾中提取的資料夾中的 WindowsDefenderATPOnboardingPackage 檔案複製到路徑 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup下的黃金/主要影像中。

   • 如果您要為每個裝置實作多個項目 （每個工作階段一個），請複製 WindowsDefenderATPOnboardingScript.cmd。

   • 如果您要為每個裝置實作單一項目，請同時 Onboard-NonPersistentMachine.ps1 複製 和 WindowsDefenderATPOnboardingScript.cmd。

   注意事項

   如果您看不到 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup 資料夾，該資料夾可能隱藏起來。 您必須從檔案總管選擇 [顯示隱藏的檔案及資料夾] 選項。

3. 開啟 [本機群組原則編輯器] 視窗，並瀏覽至 [設定]>[Windows 設定]>[指令碼]>[啟動]。

   注意事項

   網域群組原則也可以用來將非持續性 VDI 裝置上線。

4. 根據要實作的方法，請遵循適當的步驟：

   方法	步驟
   每個裝置的單一輸入	1. 選取 [PowerShell 指令碼] 索引標籤，然後選取 [ 新增 (Windows 檔案總管] 會直接在您先前複製上線指令碼的路徑中開啟) 。 2. 導覽至上線 PowerShell 腳本 Onboard-NonPersistentMachine.ps1。 無需指定其他文件，因為它會自動觸發。
   每個裝置有多個項目	1. 選取 [指令碼] 索引標籤，然後選取 [ 新增 (Windows 檔案總管] 會直接在您先前複製上線指令碼的路徑中開啟) 。 2. 導覽至上線 bash 指令碼 WindowsDefenderATPOnboardingScript.cmd。

   注意事項

   對非持續性 VDI 環境使用「每個裝置的單一項目」上線方法時，請確定只有在虛擬機器收到其最終主機名稱並完成最終重新啟動後，才會執行 Onboard-NonPersistentMachine.ps1 指令碼。
   例如，如果您的 VDI 佈建程序包括從主要映像複製虛擬機器之後的多個重新開機或組態階段，請延遲指令碼執行，直到上次重新開機完成並指派最終電腦名稱為止。
   過早執行腳本可能會導致重複的裝置專案，或不一致地上線至適用於端點的 Microsoft Defender。

5. 請遵循下列步驟來測試您的解決方案：

   1. 使用一個裝置建立一個集區。

   2. 登入裝置。

   3. 在裝置上登出。

   4. 使用其他帳戶登入裝置。

   5. 根據要實作的方法，請遵循適當的步驟：

      • 針對每個裝置的單一專案：只檢查 Microsoft Defender 入口網站中的一個專案。
      • 針對每個裝置的多個專案：檢查 Microsoft Defender 入口網站中的多個專案。

6. 在導覽窗格中，選取 [裝置清單]。

7. 藉由輸入裝置名稱並選取 [裝置] 作為搜尋類型，來使用搜尋功能。

對於 2008 R2) (Windows Server 下層 SKU

注意事項

如果您正在執行需要 MMA 的 Windows Server 2016 和 Windows Server 2012 R2 的先前適用於端點的 Microsoft Defender，則其他 Windows 伺服器版本的這些指示也適用。 移轉至新統一解決方案的指示，請參閱 適用於端點的 Microsoft Defender 中的伺服器移轉案例。

只有在目標是為每個裝置實現單一專案時，下列登錄才相關。

1. 設定登錄值，如下所示：

   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
    "VDI"="NonPersistent"
   
   

   或者，您可以使用命令列，如下所示：

   
   reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
   
   

2. 遵循 伺服器上線程式。

更新虛擬桌面基礎結構 (VDI) 映像 (持續性或非持續性)

由於能夠輕鬆地將更新部署到 VDI 中運行的 VM，我們縮短了本指南，重點介紹瞭如何快速輕鬆地在計算機上獲取更新。 您不再需要定期建立和密封最佳配置映像，因為更新會擴充至主機伺服器上的元件位，然後在開啟時直接下載至 VM。

如果您已將 VDI 環境的主要映像上線 (SENSE 服務正在) 執行，則必須先將映像上線並清除一些資料，才能將映像放回生產環境。

1. 將機器卸載。

2. 在 CMD 視窗中執行下列命令，確保感測器已停止：

   
   sc query sense
   
   

3. 在 CMD 視窗中執行下列命令：

   
   del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
   exit
   
   

您是否使用第三方進行 VDI？

如果您要透過 VMware 即時複製或類似技術部署非持續性 VDI，請確定您的內部範本 VM 和複本 VM 未上線至適用於端點的 Defender。 如果您使用單一輸入方法將裝置上線，則從已上線的虛擬機器佈建的即時複製可能具有相同的 senseGuid，而且可能會阻止新項目列在裝置詳細目錄檢視中 (Microsoft Defender入口網站中，選擇資產>裝置) 。

如果主要映像、範本 VM 或複本 VM 使用單一專案方法上線至適用於端點的 Defender，則會阻止適用於端點的 Defender 在 Microsoft Defender 入口網站中建立新非持續性 VDI 的專案。

請聯絡您的第三方供應商以獲得進一步協助。

其他建議的組態設定

將裝置上線到服務之後，使用下列建議的組態設來以啟用裝置，以善用包含的威脅防護功能非常重要。

新一代保護設定

建議使用此連結中的組態設定：在遠端桌面或虛擬桌面基礎結構環境中設定 Microsoft Defender 防病毒軟體。

相關文章

• 使用群組原則將 Windows 裝置上線
• 使用 Microsoft Configuration Manager 將 Windows 裝置上線
• 使用行動裝置管理工具將 Windows 裝置上線
• 使用本機指令碼將 Windows 裝置上線
• 針對適用於端點的 Microsoft Defender 上線問題進行疑難排解

提示

想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage：適用於端點的 Microsoft Defender技術社區。