Integrieren von Windows-Geräten in Azure Virtual Desktop

  • Artikel

Lesedauer von 6 Minuten

Gilt für:

Microsoft Defender for Endpoint unterstützt die Überwachung von VDI- und Azure Virtual Desktop-Sitzungen. Abhängig von den Anforderungen Ihrer organization müssen Sie möglicherweise VDI- oder Azure Virtual Desktop-Sitzungen implementieren, um Ihren Mitarbeitern den Zugriff auf Unternehmensdaten und -apps von einem nicht verwalteten Gerät, Remotestandort oder einem ähnlichen Szenario zu erleichtern. Mit Microsoft Defender for Endpoint können Sie diese virtuellen Computer auf anomale Aktivitäten überwachen.

Bevor Sie beginnen:

Machen Sie sich mit den Überlegungen zu nicht persistenten VDI vertraut. Azure Virtual Desktop bietet zwar keine Nicht-Persistenzoptionen, bietet jedoch Möglichkeiten, ein goldenes Windows-Image zu verwenden, das zum Bereitstellen neuer Hosts und erneuter Bereitstellung von Computern verwendet werden kann. Dies erhöht die Volatilität in der Umgebung und wirkt sich somit darauf aus, welche Einträge im Microsoft Defender for Endpoint-Portal erstellt und verwaltet werden, wodurch die Sichtbarkeit für Ihre Sicherheitsanalysten möglicherweise verringert wird.

Hinweis

Je nach ausgewählter Onboardingmethode können Geräte in Microsoft Defender for Endpoint Portal wie folgt angezeigt werden:

  • Einzelner Eintrag für jeden virtuellen Desktop
  • Mehrere Einträge für jeden virtuellen Desktop

Microsoft empfiehlt das Onboarding von Azure Virtual Desktop als einzelnen Eintrag pro virtuellem Desktop. Dadurch wird sichergestellt, dass sich die Untersuchungsoberfläche im Microsoft Defender for Endpoint-Portal im Kontext eines Geräts befindet, das auf dem Computernamen basiert. Organisationen, die AVD-Hosts häufig löschen und erneut bereitstellen, sollten diese Methode unbedingt in Betracht ziehen, da sie verhindert, dass mehrere Objekte für denselben Computer im Microsoft Defender for Endpoint-Portal erstellt werden. Dies kann bei der Untersuchung von Vorfällen zu Verwirrung führen. Für Testumgebungen oder nicht flüchtige Umgebungen können Sie eine andere Wahl treffen.

Microsoft empfiehlt das Hinzufügen des Microsoft Defender for Endpoint Onboardingskripts zum goldenen AVD-Image. Auf diese Weise können Sie sicher sein, dass dieses Onboardingskript sofort beim ersten Start ausgeführt wird. Es wird als Startskript beim ersten Start auf allen AVD-Computern ausgeführt, die über das goldene AVD-Image bereitgestellt werden. Wenn Sie jedoch eines der Katalogimages ohne Änderung verwenden, platzieren Sie das Skript an einem freigegebenen Speicherort, und rufen Sie es entweder aus der lokalen Richtlinie oder der Domänengruppenrichtlinie auf.

Hinweis

Die Platzierung und Konfiguration des VDI-Onboarding-Startskripts auf dem goldenen AVD-Image konfiguriert es als Startskript, das beim Starten des AVD ausgeführt wird. Es wird nicht empfohlen, das eigentliche AVD Golden Image zu integrieren. Eine weitere Überlegung ist die Methode, die zum Ausführen des Skripts verwendet wird. Es sollte so früh wie möglich im Start-/Bereitstellungsprozess ausgeführt werden, um die Zeit zwischen dem verfügbaren Computer für den Empfang von Sitzungen und dem Onboarding des Geräts in den Dienst zu verkürzen. Dies wird in den folgenden Szenarien 1 und 2 berücksichtigt.

Szenarien

Es gibt mehrere Möglichkeiten zum Onboarding eines AVD-Hostcomputers:

  • Führen Sie das Skript während des Starts im goldenen Image (oder an einem freigegebenen Speicherort) aus.
  • Verwenden Sie ein Verwaltungstool, um das Skript auszuführen.
  • Integration in Microsoft Defender für Cloud

Szenario 1: Verwenden einer lokalen Gruppenrichtlinie

Dieses Szenario erfordert das Platzieren des Skripts in einem goldenen Image und verwendet lokale Gruppenrichtlinien, um zu einem frühen Zeitpunkt im Startprozess ausgeführt zu werden.

Befolgen Sie die Anweisungen unter Onboarding der nicht persistenten VDI-Geräte (Virtual Desktop Infrastructure).

Befolgen Sie die Anweisungen für einen einzelnen Eintrag für jedes Gerät.

Szenario 2: Verwenden der Domänengruppenrichtlinie

In diesem Szenario wird ein zentral angeordnetes Skript verwendet und mithilfe einer domänenbasierten Gruppenrichtlinie ausgeführt. Sie können das Skript auch im goldenen Image platzieren und auf die gleiche Weise ausführen.

Herunterladen der WindowsDefenderATPOnboardingPackage.zip-Datei aus dem Microsoft Defender-Portal

  1. Öffnen Sie das VDI-Konfigurationspaket .zip Datei (WindowsDefenderATPOnboardingPackage.zip).

    1. Wählen Sie im Navigationsbereich des Microsoft Defender Portals Einstellungen>Endpunkte>Onboarding (unter Geräteverwaltung) aus.
    2. Wählen Sie als Betriebssystem Windows 10 oder Windows 11 aus.
    3. Wählen Sie im Feld Bereitstellungsmethode die Option VDI-Onboardingskripts für nicht persistente Endpunkte aus.
    4. Klicken Sie auf Paket herunterladen , und speichern Sie die .zip Datei.

  2. Extrahieren Sie den Inhalt der .zip-Datei an einen freigegebenen schreibgeschützten Speicherort, auf den das Gerät zugreifen kann. Sie sollten über einen Ordner namens OptionalParamsPolicy verfügen, und die Dateien WindowsDefenderATPOnboardingScript.cmd und Onboard-NonPersistentMachine.ps1.

Verwenden von Gruppenrichtlinie Verwaltungskonsole zum Ausführen des Skripts beim Starten des virtuellen Computers

  1. Öffnen Sie die Gruppenrichtlinie Management Console (GPMC), klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinie Object (GPO), das Sie konfigurieren möchten, und klicken Sie auf Bearbeiten.

  2. Wechseln Sie im Gruppenrichtlinie Management Editor zu Computerkonfiguration>Einstellungen Systemsteuerungseinstellungen>.

  3. Klicken Sie mit der rechten Maustaste auf Geplante Aufgaben, klicken Sie auf Neu, und klicken Sie dann auf Sofortaufgabe (mindestens Windows 7).

  4. Wechseln Sie im daraufhin geöffneten Aufgabenfenster zur Registerkarte Allgemein . Klicken Sie unter Sicherheitsoptionen auf Benutzer oder Gruppe ändern , und geben Sie SYSTEM ein. Klicken Sie auf Namen überprüfen und dann auf OK. NT AUTHORITY\SYSTEM wird als Benutzerkonto angezeigt, unter dem die Aufgabe ausgeführt wird.

  5. Wählen Sie Ausführen aus, ob der Benutzer angemeldet ist oder nicht , und aktivieren Sie das Kontrollkästchen Mit den höchsten Berechtigungen ausführen .

  6. Wechseln Sie zur Registerkarte Aktionen, und klicken Sie auf Neu. Stellen Sie sicher, dass Programm starten im Feld Aktion ausgewählt ist. Geben Sie Folgendes ein:

    Action = "Start a program"

    Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

    Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

    Wählen Sie dann OK aus, und schließen Sie alle geöffneten GPMC-Fenster.

Szenario 3: Onboarding mithilfe von Verwaltungstools

Wenn Sie Planen, Ihre Computer mit einem Verwaltungstool zu verwalten, können Sie Geräte in Microsoft Endpoint Configuration Manager integrieren.

Weitere Informationen finden Sie unter Onboarding von Windows-Geräten mit Configuration Manager.

Warnung

Wenn Sie planen, die Regel zur Verringerung der Angriffsfläche zu verwenden, beachten Sie, dass die Regel "Prozesserstellungen aus PSExec- und WMI-Befehlen blockieren" nicht verwendet werden sollte, da diese Regel mit der Verwaltung über Microsoft Endpoint Configuration Manager nicht kompatibel ist. Die Regel blockiert WMI-Befehle, die der Configuration Manager Client verwendet, um ordnungsgemäß zu funktionieren.

Tipp

Nach dem Onboarding des Geräts können Sie einen Erkennungstest ausführen, um zu überprüfen, ob das Gerät ordnungsgemäß in den Dienst integriert ist. Weitere Informationen finden Sie unter Ausführen eines Erkennungstests auf einem neu integrierten Microsoft Defender for Endpoint Gerät.

Markieren Ihrer Computer beim Erstellen Ihres goldenen Images

Im Rahmen ihres Onboardings sollten Sie erwägen, ein Computertag festzulegen, um AVD-Computer einfacher im Microsoft Security Center zu unterscheiden. Weitere Informationen finden Sie unter Hinzufügen von Gerätetags durch Festlegen eines Registrierungsschlüsselwerts.

Wenn Sie Ihr goldenes Image erstellen, sollten Sie auch die anfänglichen Schutzeinstellungen konfigurieren. Weitere Informationen finden Sie unter Weitere empfohlene Konfigurationseinstellungen.

Wenn Sie FSlogix-Benutzerprofile verwenden, empfiehlt es sich außerdem, die unter FSLogix-Antivirenausschlüsse beschriebenen Anleitungen zu befolgen.

Lizenzierungsanforderungen

Hinweis zur Lizenzierung: Bei Verwendung von Windows Enterprise mit mehreren Sitzungen können Sie je nach Ihren Anforderungen entweder alle Benutzer über Microsoft Defender for Endpoint (pro Benutzer), Windows Enterprise E5, Microsoft 365 E5 Security oder Microsoft 365 E5 lizenziert haben oder den virtuellen Computer verwenden. über Microsoft Defender für Cloud lizenziert. Lizenzanforderungen für Microsoft Defender for Endpoint finden Sie unter Lizenzierungsanforderungen.

Hinzufügen von Ausschlüssen für Defender für Endpunkt über PowerShell

FSLogix-Antischadsoftwareausschlüsse

Konfigurieren Microsoft Defender Antivirus auf einer Remotedesktop- oder virtuellen Desktopinfrastrukturumgebung

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.