Onboarding di dispositivi dell'infrastruttura desktop virtuale non persistente

Si applica a:

Vuoi provare Defender per Endpoint? iscriversi a una versione di valutazione gratuita.

Onboarding di dispositivi VDI (Virtual Desktop Infrastructure) non persistenti

Defender for Endpoint supporta l'onboarding di sessioni VDI non persistenti.

Quando si esegue l'onboarding di VDI, potrebbero verificarsi problemi associati. Di seguito sono riportate le sfide tipiche per questo scenario:

  • Onboarding immediato anticipato di una sessione di breve durata, che deve essere onboarding in Defender for Endpoint prima del provisioning effettivo.
  • Il nome del dispositivo viene in genere riutilizzato per le nuove sessioni.

I dispositivi VDI possono essere visualizzati in Defender for Endpoint Portal come:

  • Voce singola per ogni dispositivo.

    Nota

    In questo caso, è necessario configurare lo stesso nome del dispositivo al momento della creazione della sessione, ad esempio utilizzando un file di risposta automatico.

  • Più voci per ogni dispositivo- una per ogni sessione.

I passaggi seguenti ti guideranno nell'onboarding dei dispositivi VDI e indicheranno i passaggi per una o più voci.

Avviso

Per gli ambienti in cui le configurazioni delle risorse sono scarse, la procedura di avvio VDI potrebbe rallentare l'onboarding del sensore Defender for Endpoint.

Per Windows 10 o Windows Server 2019

  1. Apri il pacchetto di configurazione VDI .zip file (WindowsDefenderATPOnboardingPackage.zip) scaricato dall'onboarding guidato del servizio. Puoi anche ottenere il pacchetto dal portale Microsoft 365 Defender:

    1. Nel riquadro di spostamento seleziona Impostazioni > > > Onboarding gestione dispositivi endpoint.
    2. Seleziona Windows 10 come sistema operativo.
    3. Nel campo Metodo di distribuzione selezionare Script di onboarding VDI per gli endpoint non persistenti.
    4. Fai clic su Scarica pacchetto e salva il file .zip file.
  2. Copiare i file dalla cartella WindowsDefenderATPOnboardingPackage estratta dal file .zip nell'immagine golden/master nel percorso C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup .

    1. Se stai implementando più voci per ogni dispositivo, una per ogni sessione, copia WindowsDefenderATPOnboardingScript.cmd.
    2. Se stai implementando una singola voce per ogni dispositivo, copia sia Onboard-NonPersistentMachine.ps1 windowsDefenderATPOnboardingScript.cmd.

    Nota

    Se la cartella non è C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup visualizzata, è possibile che sia nascosta. Dovrai scegliere l'opzione Mostra cartelle e file nascosti da Esplora file.

  3. Aprire una finestra Editor Criteri di gruppo locali e passare a Configurazione computer > Windows Impostazioni > Script di > avvio.

    Nota

    I Criteri di gruppo di dominio possono essere utilizzati anche per l'onboarding di dispositivi VDI non persistenti.

  4. A seconda del metodo che vuoi implementare, segui la procedura appropriata:

    • Per una singola voce per ogni dispositivo:

      Selezionare la scheda Script di PowerShell, quindi fare clic su Aggiungi (Windows Explorer si aprirà direttamente nel percorso in cui è stato copiato lo script di onboarding in precedenza). Passare a script di PowerShell di Onboard-NonPersistentMachine.ps1 onboarding. Non è necessario specificare l'altro file, perché verrà attivato automaticamente.

    • Per più voci per ogni dispositivo:

      Seleziona la scheda Script, quindi fai clic su Aggiungi (Windows Explorer si aprirà direttamente nel percorso in cui hai copiato lo script di onboarding in precedenza). Passare allo script di onboarding bash WindowsDefenderATPOnboardingScript.cmd .

  5. Testare la soluzione:

    1. Creare un pool con un solo dispositivo.
    2. Accedi al dispositivo.
    3. Disconnettersi dal dispositivo.
    4. Accedere al dispositivo con un altro utente.
    5. A seconda del metodo che vuoi implementare, segui la procedura appropriata:
      • Per una singola voce per ogni dispositivo: controlla solo una voce nel Microsoft 365 Defender portale.
      • Per più voci per ogni dispositivo: controlla più voci nel Microsoft 365 Defender portale.
  6. Fare clic su Elenco dispositivi nel riquadro di spostamento.

  7. Usa la funzione di ricerca immettendo il nome del dispositivo e seleziona Dispositivo come tipo di ricerca.

Per SKU di livello inferiore (Windows Server 2008 R2/2012 R2/2016)

Nota

Il Registro di sistema seguente è rilevante solo quando l'obiettivo è quello di ottenere una "voce singola per ogni dispositivo".

  1. Impostare il valore del Registro di sistema su:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
    "VDI"="NonPersistent"
    

    o utilizzando la riga di comando:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
    
  2. Seguire il processo di onboarding del server.

Aggiornamento di immagini VDI (Virtual Desktop Infrastructure) non persistenti

Come procedura consigliata, è consigliabile utilizzare gli strumenti di manutenzione offline per applicare patch alle immagini golden/master.

Ad esempio, puoi usare i comandi seguenti per installare un aggiornamento mentre l'immagine rimane offline:

DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit

Per ulteriori informazioni sui comandi di Gestione e manutenzione immagini distribuzione e sulla manutenzione offline, vedere gli articoli seguenti:

Se la manutenzione offline non è un'opzione valida per l'ambiente VDI non persistente, è necessario eseguire le operazioni seguenti per garantire la coerenza e l'integrità dei sensori:

  1. Dopo aver avviato l'immagine master per la manutenzione online o l'applicazione di patch, esegui uno script di offboarding per disattivare il sensore Defender for Endpoint. Per altre informazioni, vedi Offboard devices using a local script.

  2. Assicurati che il sensore sia arrestato eseguendo il comando seguente in una finestra CMD:

    sc query sense
    
  3. Utilizzare l'immagine in base alle esigenze.

  4. Esegui i comandi seguenti usando PsExec.exe (che può essere scaricato da per pulire il contenuto della cartella cyber che il sensore potrebbe aver https://download.sysinternals.com/files/PSTools.zip) accumulato dopo l'avvio:

    PsExec.exe -s cmd.exe
    cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber"
    del *.* /f /s /q
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
    exit
    
  5. Rieseguire il resealamento dell'immagine golden/master come faresti normalmente.