このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
適用対象:
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
仮想デスクトップ インフラストラクチャ (VDI) は、エンド ユーザーがほぼすべてのデバイス (パーソナル コンピューター、スマートフォン、タブレットなど) からエンタープライズ仮想デスクトップ インスタンスにアクセスできるようにする IT インフラストラクチャの概念であり、ユーザーに物理マシンを提供organization必要がなくなります。 VDI デバイスを使用すると、IT 部門が物理エンドポイントの管理、修復、および交換を行う必要がなくなるため、コストが削減されます。 承認されたユーザーは、セキュリティで保護されたデスクトップ クライアントまたはブラウザーを介して、承認された任意のデバイスから同じ会社のサーバー、ファイル、アプリ、およびサービスにアクセスできます。
IT 環境内の他のシステムと同様に、VDI デバイスには、高度な脅威や攻撃から保護するためのエンドポイント検出と応答 (EDR) とウイルス対策ソリューションが必要です。
注意
永続 VDI の - 永続的な VDI マシンをMicrosoft Defender for Endpointにオンボードすることは、デスクトップやノート PC などの物理マシンをオンボードするのと同じ方法で処理されます。 グループ ポリシー、Microsoft Configuration Manager、およびその他の方法を使用して、永続的なマシンをオンボードできます。 Microsoft Defender ポータルの [オンボード] (https://security.microsoft.com) で、任意のオンボード方法を選択し、その種類の指示に従います。 詳細については、「 Windows クライアントのオンボード」を参照してください。
Defender for Endpoint では、非永続的な VDI セッションオンボードがサポートされます。 VDI インスタンスのオンボード時に、関連する課題が発生する可能性があります。 このシナリオの一般的な課題を次に示します。
有効期間の短いセッションの即時早期オンボード。これは、実際のプロビジョニングの前に Defender for Endpoint にオンボードする必要があります。
通常、デバイス名は新しいセッションで再利用されます。
VDI 環境では、VDI インスタンスの有効期間が短い場合があります。 VDI デバイスは、Microsoft Defender ポータルで、各 VDI インスタンスの 1 つのエントリとして、または各デバイスの複数のエントリとして表示できます。
重要
複製テクノロジを使用して非永続的な VDI をデプロイする場合は、内部テンプレート VM が Defender for Endpoint にオンボードされていないことを確認します。 この推奨事項は、複製された VM がテンプレート VM と同じ senseGuid でオンボードされないようにすることです。これにより、VM が [デバイス] リストに新しいエントリとして表示されない可能性があります。
次の手順では、VDI デバイスのオンボードについて説明し、1 つのエントリと複数のエントリの手順を強調表示します。
警告
リソース構成が少ない環境では、VDI ブート手順によって Defender for Endpoint センサーのオンボードが遅くなる可能性があります。
注意
Windows Server 2016と R2 Windows Server 2012は、まずインストール パッケージを適用して準備する必要があります。 「Windows Server 2012 R2 のオンボード」と「Microsoft Defender for EndpointへのWindows Server 2016」を参照してください。
サービス オンボード ウィザードからダウンロードした VDI 構成パッケージ ファイル (WindowsDefenderATPOnboardingPackage.zip) を開きます。
Microsoft Defender ポータルからパッケージを取得することもできます。
ナビゲーション ウィンドウで、 設定>Endpoints>Device management>Onboarding を選択します。
オペレーティング システムを選択します。
[ デプロイ方法 ] フィールドで、 非永続的エンドポイントの VDI オンボード スクリプトを選択します。
[ パッケージのダウンロード ] を選択し、ファイルを保存します。
zip フォルダーから抽出した WindowsDefenderATPOnboardingPackage フォルダーから、パス C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startupの下にあるゴールデン/プライマリ イメージにファイルをコピーします。
デバイスごとに複数のエントリ (セッションごとに 1 つ) を実装する場合は、 WindowsDefenderATPOnboardingScript.cmdコピーします。
デバイスごとに 1 つのエントリを実装する場合は、 Onboard-NonPersistentMachine.ps1 と WindowsDefenderATPOnboardingScript.cmdの両方をコピーします。
注意
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup フォルダーが表示されない場合は、非表示になっている可能性があります。 エクスプローラーから [非表示のファイルとフォルダーを表示する] オプションを選択する必要があります。
[ローカル グループ ポリシー エディター] ウィンドウを開き、[コンピューターの構成>Windows の設定>Scripts>Startup に移動します。
注意
ドメイン グループ ポリシーは、非永続的 VDI デバイスのオンボードにも使用できます。
実装するメソッドに応じて、適切な手順に従います。
| メソッド | 手順 |
|---|---|
| 各デバイスの 1 つのエントリ | 1. [PowerShell スクリプト] タブを選択し、[追加] を選択します (Windows エクスプローラーは、前にオンボード スクリプトをコピーしたパスで直接開きます)。 2. PowerShell スクリプト Onboard-NonPersistentMachine.ps1のオンボードに移動します。 他のファイルは自動的にトリガーされるため、指定する必要はありません。 |
| デバイスごとに複数のエントリ | 1. [スクリプト] タブを選択し、[追加] を選択します (Windows エクスプローラーは、前にオンボード スクリプトをコピーしたパスで直接開きます)。 2. オンボード bash スクリプト WindowsDefenderATPOnboardingScript.cmdに移動します。 |
次の手順に従ってソリューションをテストします。
1 つのデバイスでプールを作成します。
デバイスにサインインします。
デバイスでサインアウトします。
別のアカウントを使用してデバイスにサインインします。
実装するメソッドに応じて、適切な手順に従います。
ナビゲーション ウィンドウで、[ デバイスの一覧] を選択します。
デバイス名を入力して検索機能を使用し、検索の種類として [デバイス ] を選択します。
注意
他の Windows サーバー バージョンのこれらの手順は、MMA を必要とする Windows Server 2016 および Windows Server 2012 R2 の前のMicrosoft Defender for Endpointを実行している場合にも適用されます。 新しい統合ソリューションに移行する手順は、「Microsoft Defender for Endpoint のサーバー移行シナリオ」 にあります。
次のレジストリは、目的がデバイスごとに 1 つのエントリを達成する場合にのみ関連します。
レジストリ値を次のように設定します。
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
"VDI"="NonPersistent"
または、コマンド ラインを次のように使用できます。
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
サーバーの オンボード プロセスに従います。
VDI で実行されている VM に更新プログラムを簡単にデプロイできるため、このガイドを短くして、コンピューターの更新プログラムを迅速かつ簡単に入手する方法に焦点を当てています。 更新プログラムはホスト サーバー上のコンポーネント ビットに展開され、オンになると VM に直接ダウンロードされるため、ゴールデン イメージを定期的に作成してシールする必要はなくなりました。
VDI 環境のプライマリ イメージをオンボードしている (SENSE サービスが実行されている) 場合は、イメージを運用環境に戻す前に、一部のデータをオフボードしてクリアする必要があります。
CMD ウィンドウで次のコマンドを実行して、センサーが停止していることを確認します。
sc query sense
CMD ウィンドウで次のコマンドを実行します。
del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
exit
VMware インスタント 複製または同様のテクノロジを使用して非永続的な VDI をデプロイする場合は、内部テンプレート VM とレプリカ VM が Defender for Endpoint にオンボードされていないことを確認します。 1 つのエントリ方法を使用してデバイスをオンボードした場合、オンボードされた VM からプロビジョニングされたインスタント クローンは同じ senseGuid を持ち、新しいエントリが [デバイス インベントリ] ビューに表示されないようにすることができます (Microsoft Defender ポータルで、[Assets>Devices] を選択します)。
プライマリ イメージ、テンプレート VM、またはレプリカ VM のいずれかが 1 つのエントリ メソッドを使用して Defender for Endpoint にオンボードされている場合、Microsoft Defender ポータルで新しい非永続的な VDI のエントリが Defender for Endpoint によって作成されなくなります。
詳細については、サード パーティベンダーにお問い合わせください。
デバイスをサービスにオンボードした後は、次の推奨構成設定でデバイスを有効にすることで、含まれている脅威保護機能を利用することが重要です。
このリンクの構成設定は、リモート デスクトップまたは仮想デスクトップ インフラストラクチャ環境でMicrosoft Defenderウイルス対策を構成することをお勧めします。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
ドキュメント
リモート デスクトップまたは仮想デスクトップ インフラストラクチャ環境でMicrosoft Defenderウイルス対策を構成する - Microsoft Defender for Endpoint
リモート デスクトップまたは非永続的な仮想デスクトップ環境でMicrosoft Defenderウイルス対策を構成する方法の概要について説明します。
Azure Virtual Desktop での Windows デバイスのオンボード - Microsoft Defender for Endpoint
Azure Virtual Desktop での Defender for Endpoint への Windows デバイスのオンボードについて説明します
R2 Windows Server 2012オンボードし、Defender for Endpoint にWindows Server 2016する方法について説明します。
トレーニング
モジュール
Microsoft Defender for Endpointを使用してエンドポイント保護を実装する - Training
このモジュールでは、Microsoft Defender for Endpointが、エンドポイント動作センサー、クラウド セキュリティ分析、脅威インテリジェンスを使用して、高度な脅威を防止、検出、調査、対応する方法について説明します。 MS-102
認定資格
Microsoft Certified: Azure Virtual Desktop Specialty - Certifications
Microsoft Azure で任意のデバイスの仮想デスクトップ エクスペリエンスとリモート アプリを計画、配信、管理、監視します。