Intégrer les ordinateurs virtuels d’infrastructure de bureau virtuel (VDI) non persistants.Onboard non-persistent virtual desktop infrastructure (VDI) devices

S’applique à :Applies to:

Vous souhaitez faire l’expérience de Defender for Endpoint ?Want to experience Defender for Endpoint? Inscrivez-vous à un essai gratuit.Sign up for a free trial.

Intégrer les ordinateurs virtuels d’infrastructure de bureau virtuel (VDI) non persistants.Onboard non-persistent virtual desktop infrastructure (VDI) devices

Defender pour le point de terminaison prend en charge l’intégration de session VDI non persistante.Defender for Endpoint supports non-persistent VDI session onboarding.

Il peut y avoir des difficultés associées lors de l’intégration des VDIs.There might be associated challenges when onboarding VDIs. Les défis classiques de ce scénario sont les suivants :The following are typical challenges for this scenario:

  • Intégration anticipée instantanée d’une session à durée de vie courte, qui doit être intégré à Defender for Endpoint avant la mise en service réelle.Instant early onboarding of a short-lived sessions, which must be onboarded to Defender for Endpoint prior to the actual provisioning.
  • Le nom de l’appareil est généralement réutilisé pour les nouvelles sessions.The device name is typically reused for new sessions.

Les appareils VDI peuvent apparaître dans le portail Defender for Endpoint sous la forme :VDI devices can appear in Defender for Endpoint portal as either:

  • Entrée unique pour chaque appareil.Single entry for each device.

    Notes

    Dans ce cas, le même nom d’appareil doit être configuré lors de la création de la session, par exemple à l’aide d’un fichier de réponses sans surveillance.In this case, the same device name must be configured when the session is created, for example using an unattended answer file.

  • Plusieurs entrées pour chaque appareil - une pour chaque session.Multiple entries for each device - one for each session.

Les étapes suivantes vous guident tout au long de l’intégration des appareils VDI et mettent en évidence les étapes pour les entrées simples et multiples.The following steps will guide you through onboarding VDI devices and will highlight steps for single and multiple entries.

Avertissement

Pour les environnements dans lequel il existe des configurations de ressources faibles, la procédure de démarrage VDI peut ralentir l’intégration du capteur Defender for Endpoint.For environments where there are low resource configurations, the VDI boot procedure might slow the Defender for Endpoint sensor onboarding.

Pour Windows 10 ou Windows Server 2019For Windows 10 or Windows Server 2019

  1. Ouvrez le fichier de package de configuration VDI .zip (WindowsDefenderATPOnboardingPackage.zip) que vous avez téléchargé à partir de l’Assistant d’intégration de service.Open the VDI configuration package .zip file (WindowsDefenderATPOnboardingPackage.zip) that you downloaded from the service onboarding wizard. Vous pouvez également obtenir le package à partir de Centre de sécurité Microsoft Defender:You can also get the package from Microsoft Defender Security Center:

    1. Dans le volet de navigation, sélectionnez > Paramètres’intégration.In the navigation pane, select Settings > Onboarding.

    2. Sélectionnez Windows 10 comme système d’exploitation.Select Windows 10 as the operating system.

    3. Dans le champ Méthode de déploiement, sélectionnez les scripts d’intégration VDI pour les points de terminaison non persistants.In the Deployment method field, select VDI onboarding scripts for non-persistent endpoints.

    4. Cliquez sur Télécharger le package et enregistrez .zip fichier.Click Download package and save the .zip file.

  2. Copiez les fichiers du dossier WindowsDefenderATPOnboardingPackage extraits du fichier .zip dans l’image sous golden/master le chemin d’accès. C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\StartupCopy the files from the WindowsDefenderATPOnboardingPackage folder extracted from the .zip file into the golden/master image under the path C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

    1. Si vous n’implémentez pas une seule entrée pour chaque appareil, copiez WindowsDefenderATPOnboardingScript.cmd.If you are not implementing a single entry for each device, copy WindowsDefenderATPOnboardingScript.cmd.

    2. Si vous implémentez une entrée unique pour chaque appareil, copiez à la fois Onboard-NonPersistentMachine.ps1 et WindowsDefenderATPOnboardingScript.cmd.If you are implementing a single entry for each device, copy both Onboard-NonPersistentMachine.ps1 and WindowsDefenderATPOnboardingScript.cmd.

    Notes

    Si vous ne voyez pas le C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup dossier, il peut être masqué.If you don't see the C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup folder, it might be hidden. Vous devez choisir l’option Afficher les fichiers et dossiers masqués dans l’Explorateur de fichiers.You'll need to choose the Show hidden files and folders option from File Explorer.

  3. Ouvrez une fenêtre Éditeur de stratégie de groupe locale et accédez à Configuration ordinateur > Windows Paramètres > scripts de > démarrage.Open a Local Group Policy Editor window and navigate to Computer Configuration > Windows Settings > Scripts > Startup.

    Notes

    La stratégie de groupe de domaine peut également être utilisée pour l’intégration d’appareils VDI non persistants.Domain Group Policy may also be used for onboarding non-persistent VDI devices.

  4. Selon la méthode que vous souhaitez implémenter, suivez les étapes appropriées :Depending on the method you'd like to implement, follow the appropriate steps:

    • Pour une entrée unique pour chaque appareil :For single entry for each device:

      Sélectionnez l’onglet Scripts PowerShell, puis cliquez sur Ajouter (Windows Explorer s’ouvre directement dans le chemin d’accès où vous avez copié le script d’intégration précédemment).Select the PowerShell Scripts tab, then click Add (Windows Explorer will open directly in the path where you copied the onboarding script earlier). Accédez au script PowerShell Onboard-NonPersistentMachine.ps1 d’intégration.Navigate to onboarding PowerShell script Onboard-NonPersistentMachine.ps1. Il n’est pas nécessaire de spécifier l’autre fichier, car il sera déclenché automatiquement.There is no need to specify the other file, as it will be triggered automatically.

    • Pour plusieurs entrées pour chaque appareil :For multiple entries for each device:

      Sélectionnez l’onglet Scripts, puis cliquez sur Ajouter (Windows Explorer s’ouvre directement dans le chemin d’accès où vous avez copié le script d’intégration précédemment).Select the Scripts tab, then click Add (Windows Explorer will open directly in the path where you copied the onboarding script earlier). Accédez au script Bash WindowsDefenderATPOnboardingScript.cmd d’intégration.Navigate to the onboarding bash script WindowsDefenderATPOnboardingScript.cmd.

  5. Testez votre solution :Test your solution:

    1. Créez un pool avec un seul appareil.Create a pool with one device.

    2. Logon à l’appareil.Logon to device.

    3. Ffage de la logo à partir de l’appareil.Logoff from device.

    4. Se rendre sur l’appareil avec un autre utilisateur.Logon to device with another user.

    5. Selon la méthode que vous souhaitez implémenter, suivez les étapes appropriées :Depending on the method you'd like to implement, follow the appropriate steps:

      • Pour une entrée unique pour chaque appareil :For single entry for each device:

        Vérifiez une seule entrée dans Centre de sécurité Microsoft Defender.Check only one entry in Microsoft Defender Security Center.

      • Pour plusieurs entrées pour chaque appareil :For multiple entries for each device:

        Vérifiez plusieurs entrées dans Centre de sécurité Microsoft Defender.Check multiple entries in Microsoft Defender Security Center.

  6. Cliquez sur La liste Appareils dans le volet de navigation.Click Devices list on the Navigation pane.

  7. Utilisez la fonction de recherche en entrant le nom de l’appareil et sélectionnez Appareil comme type de recherche.Use the search function by entering the device name and select Device as search type.

Pour les SSO de niveau basFor downlevel SKUs

Notes

Le Registre suivant n’est pertinent que lorsque l’objectif est d’obtenir une entrée unique pour chaque appareil.The following registry is relevant only when the aim is to achieve a 'Single entry for each device'.

  1. Définissez la valeur de Registre sur :Set registry value to:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
    "VDI"="NonPersistent"
    

    ou à l’aide de la ligne de commande :or using command line:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
    
  2. Suivez le processus d’intégration du serveur.Follow the server onboarding process.

Mise à jour d’images VDI (Virtual Desktop Infrastructure) non persistantesUpdating non-persistent virtual desktop infrastructure (VDI) images

En tant que meilleure pratique, nous vous recommandons d’utiliser des outils de maintenance hors connexion pour mettre à jour les images de base/de base.As a best practice, we recommend using offline servicing tools to patch golden/master images.
Par exemple, vous pouvez utiliser les commandes ci-dessous pour installer une mise à jour pendant que l’image reste hors connexion :For example, you can use the below commands to install an update while the image remains offline:

DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing" 
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit

Pour plus d’informations sur les commandes DISM et la maintenance hors connexion, consultez les articles ci-dessous :For more information on DISM commands and offline servicing, please refer to the articles below:

Si la maintenance hors connexion n’est pas une option viable pour votre environnement VDI non persistant, les étapes suivantes doivent être prises pour garantir la cohérence et l’état du capteur :If offline servicing is not a viable option for your non-persistent VDI environment, the following steps should be taken to ensure consistency and sensor health:

  1. Après avoir démarré l’image maître pour la maintenance en ligne ou la correction, exécutez un script de mise hors service pour désactiver le capteur Defender pour point de terminaison.After booting the master image for online servicing or patching, run an offboarding script to turn off the Defender for Endpoint sensor. Pour plus d’informations, voir Les appareils hors-carte à l’aide d’un script local.For more information, see Offboard devices using a local script.

  2. Assurez-vous que le capteur est arrêté en exécutant la commande ci-dessous dans une fenêtre CMD :Ensure the sensor is stopped by running the command below in a CMD window:

    sc query sense
    
  3. Service de l’image selon les besoins.Service the image as needed.

  4. Exécutez les commandes ci-dessous à l’aide PsExec.exe (qui peut être téléchargé à partir de pour nettoyer le contenu du dossier cyber que le capteur a peut-être cumulé https://download.sysinternals.com/files/PSTools.zip) depuis le démarrage :Run the below commands using PsExec.exe (which can be downloaded from https://download.sysinternals.com/files/PSTools.zip) to cleanup the cyber folder contents that the sensor may have accumulated since boot:

    PsExec.exe -s cmd.exe
    cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber"
    del *.* /f /s /q
    REG DELETE “HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
    exit
    
  5. Rescellez l’image de premier plan comme vous le feriez normalement.Re-seal the golden/master image as you normally would.