デバイス内の非永続的仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボードMicrosoft 365 Defender

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

非永続的仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボード

Defender for Endpoint は、永続的でない VDI セッションオンボーディングをサポートします。

VDIs をオンボーディングする際に関連する課題が生じ得る場合があります。 このシナリオの一般的な課題は次のとおりです。

  • 短命セッションの即時早期オンボーディング。実際のプロビジョニングの前に Defender for Endpoint にオンボードする必要があります。
  • 通常、デバイス名は新しいセッションに再利用されます。

VDI デバイスは、Defender for Endpoint ポータルに次のように表示できます。

  • デバイスごとに 1 つのエントリ。

    注意

    この場合、セッションの作成 に、無人応答ファイルを使用する場合など、同じデバイス名を構成する必要があります。

  • デバイスごとに複数のエントリ (セッションごとに 1 つ)。

次の手順では、VDI デバイスのオンボードについて説明し、単一エントリと複数エントリの手順を強調表示します。

警告

リソース構成が低い環境では、VDI ブート手順によって Defender for Endpoint センサーのオンボーディングが遅くなる可能性があります。

サーバー 11 Windows 10、Windowsサーバー 2019、Windowsサーバー 2022 Windowsの場合

  1. サービス オンボーディング ウィザードから.zipした VDI 構成パッケージ(WindowsDefenderATPOnboardingPackage.zip) を開きます。 パッケージは、次のポータルからMicrosoft 365 Defenderすることもできます

    1. ナビゲーション ウィンドウで、[エンドポイント デバイス設定 > > オンボーディング] > を選択します

    2. オペレーティング システムを選択します。

    3. [展開方法 ] フィールドで 、[永続的でないエンドポイントの VDI オンボーディング スクリプト] を選択します

    4. [パッケージ のダウンロード] を クリックし、.zip保存します。

  2. .zip ファイルから抽出された WindowsDefenderATPOnboardingPackage フォルダーから、パスの下にあるゴールデン/マスター イメージにファイルをコピーします C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup

  3. .zip ファイルから抽出された WindowsDefenderATPOnboardingPackage フォルダーから、パスの下にあるゴールデン/マスター イメージにファイルをコピーします C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup

    1. 各デバイスに複数のエントリ (セッションごとに 1 つ) を実装する場合は、WindowsDefenderATPOnboardingScript.cmd をコピーします。
    2. デバイスごとに 1 つのエントリを実装する場合は、windowsDefenderATPOnboardingScript.cmd と windowsDefenderATPOnboardingScript.cmd の両方Onboard-NonPersistentMachine.ps1コピーします。

    注意

    フォルダーが表示しない場合 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup は、非表示になる可能性があります。 エクスプローラーから [非表示のファイル とフォルダーを 表示する] オプションを選択する必要があります。

  4. [ローカル グループ ポリシー エディター] ウィンドウを開き、[コンピューター の構成] Windows 設定 > > > 移動します

    注意

    ドメイン グループ ポリシーは、永続的でない VDI デバイスのオンボーディングにも使用できます。

  5. 実装するメソッドに応じて、適切な手順に従います。

    • デバイスごとに 1 つのエントリの場合:

      [PowerShell スクリプト] タブを選択し、[追加] (Windows オンボーディング スクリプトをコピーしたパスでエクスプローラーが直接開きます) をクリックします。 PowerShell スクリプトのオンボーディングに移動します Onboard-NonPersistentMachine.ps1 。 他のファイルは自動的にトリガーされますので、指定する必要はありません。

    • 各デバイスの複数のエントリの場合:

      [スクリプト ] タブを 選択し、[追加]をクリック します (Windows、以前にオンボーディング スクリプトをコピーしたパスでエクスプローラーが直接開きます)。 オンボーディング bash スクリプトに移動します WindowsDefenderATPOnboardingScript.cmd

  6. ソリューションをテストします。

    1. 1 つのデバイスでプールを作成します。
    2. デバイスにログオンします。
    3. デバイスからログオフします。
    4. 別のユーザーと一緒にデバイスにログオンします。
    5. 実装するメソッドに応じて、適切な手順に従います。
      • デバイスごとに 1 つのエントリの場合: ポータルで 1 つのエントリMicrosoft 365 Defenderします。
      • デバイスごとに複数のエントリの場合: ポータルで複数のエントリMicrosoft 365 Defenderします。
  7. [ナビゲーション ] ウィンドウの [ デバイス] リストをクリックします。

  8. デバイス名を入力して検索機能を使用し、[検索の種類として デバイス] を選択します。

ダウンレベル SKU の場合 (Windows Server 2008 R2/2012 R2/2016)

注意

次のレジストリは、目的が "デバイスごとに 1 つのエントリ" を達成する場合にのみ関連します。

  1. レジストリ値を次に設定します。

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
    "VDI"="NonPersistent"
    

    またはコマンド ラインを使用する:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
    
  2. サーバーのオン ボーディング プロセスに従います

非永続的仮想デスクトップ インフラストラクチャ (VDI) イメージの更新

ベスト プラクティスとして、オフライン サービス ツールを使用してゴールデン/マスター イメージにパッチを適用することをお勧めします。

たとえば、次のコマンドを使用して、イメージがオフラインのままで更新プログラムをインストールできます。

DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit

DISM コマンドとオフライン サービスの詳細については、以下の記事を参照してください。

非永続的な VDI 環境でオフライン サービスが実行可能なオプションでない場合は、一貫性とセンサーの正常性を確保するために次の手順を実行する必要があります。

  1. オンライン サービスまたは修正プログラムのマスター イメージを起動した後、オフボード スクリプトを実行して Defender for Endpoint センサーをオフにします。 詳細については、「ローカル スクリプトを 使用したオフボード デバイス」を参照してください

  2. CMD ウィンドウで以下のコマンドを実行して、センサーが停止した状態を確認します。

    sc query sense
    
  3. 必要に応じてイメージをサービスします。

  4. 次のコマンドを PsExec.exe を使用して実行します (起動後にセンサーが蓄積した可能性があるサイバー フォルダーの内容をクリーンアップするためにダウンロード https://download.sysinternals.com/files/PSTools.zip) できます。

    PsExec.exe -s cmd.exe
    cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber"
    del *.* /f /s /q
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
    exit
    
  5. 通常と同じ方法で、ゴールデン/マスター イメージを再シールします。