Integrando dispositivos de infraestrutura de área de trabalho virtual não persistente

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Integrar dispositivos não persistentes de VDI (virtual desktop infrastructure)

O Defender para Ponto de Extremidade dá suporte à integração de sessão VDI não persistente.

Pode haver desafios associados ao integração de VDIs. Veja a seguir os desafios típicos para este cenário:

  • Integração inicial instantânea de uma sessão de curta duração, que deve ser internada no Defender para o Ponto de Extremidade antes do provisionamento real.
  • O nome do dispositivo normalmente é reutilizável para novas sessões.

Dispositivos VDI podem aparecer no portal do Defender para Ponto de Extremidade como:

  • Entrada única para cada dispositivo.

    Observação

    Nesse caso, o mesmo nome de dispositivo deve ser configurado quando a sessão é criada, por exemplo, usando um arquivo de resposta autônoma.

  • Várias entradas para cada dispositivo - uma para cada sessão.

As etapas a seguir orientarão você através da integração de dispositivos VDI e destacarão etapas para entradas simples e múltiplas.

Aviso

Para ambientes em que há configurações de baixo recurso, o procedimento de inicialização VDI pode atrasar a integração do sensor Defender para Ponto de Extremidade.

Para Windows 10 ou Windows Server 2019

  1. Abra o arquivo de pacote de configuração .zip VDI(WindowsDefenderATPOnboardingPackage.zip) que você baixou do assistente de integração do serviço. Você também pode obter o pacote do portal Microsoft 365 Defender :

    1. No painel de navegação, selecione Configurações > Endpoints Gerenciamento de > > dispositivos Integrando.
    2. Selecione Windows 10 como o sistema operacional.
    3. No campo Método de implantação, selecione scripts de integração VDI para pontos de extremidade não persistentes .
    4. Clique em Baixar pacote e salve o .zip arquivo.
  2. Copie os arquivos da pasta WindowsDefenderATPOnboardingPackage extraída do arquivo .zip para a imagem dourada/mestra sob o caminho C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup .

    1. Se você estiver implementando várias entradas para cada dispositivo - uma para cada sessão, copie WindowsDefenderATPOnboardingScript.cmd.
    2. Se você estiver implementando uma única entrada para cada dispositivo, copie o Onboard-NonPersistentMachine.ps1 e WindowsDefenderATPOnboardingScript.cmd.

    Observação

    Se você não vir a C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup pasta, ela poderá estar oculta. Você precisará escolher a opção Mostrar arquivos e pastas ocultos no Explorador de Arquivos.

  3. Abra uma janela Editor de Política de Grupo Local e navegue até Configuração do > Computador Windows Configurações > Inicialização de > Scripts.

    Observação

    A Política de Grupo de Domínio também pode ser usada para a integração de dispositivos VDI não persistentes.

  4. Dependendo do método que você gostaria de implementar, siga as etapas apropriadas:

    • Para entrada única para cada dispositivo:

      Selecione a guia Scripts do PowerShell e clique em Adicionar (Windows Explorer abrirá diretamente no caminho onde você copiou o script de integração anteriormente). Navegue até o script do PowerShell de Onboard-NonPersistentMachine.ps1 integração. Não é necessário especificar o outro arquivo, pois ele será disparado automaticamente.

    • Para várias entradas para cada dispositivo:

      Selecione a guia Scripts e clique em Adicionar (Windows Explorer abrirá diretamente no caminho onde você copiou o script de integração anteriormente). Navegue até o script bash de WindowsDefenderATPOnboardingScript.cmd integração.

  5. Teste sua solução:

    1. Crie um pool com um dispositivo.
    2. Faça logoff no dispositivo.
    3. Faça logoff do dispositivo.
    4. Faça logoff no dispositivo com outro usuário.
    5. Dependendo do método que você gostaria de implementar, siga as etapas apropriadas:
      • Para entrada única para cada dispositivo: verifique apenas uma entrada no portal Microsoft 365 Defender portal.
      • Para várias entradas para cada dispositivo: Verifique várias entradas no Microsoft 365 Defender portal.
  6. Clique na lista Dispositivos no painel De navegação.

  7. Use a função de pesquisa inserindo o nome do dispositivo e selecione Dispositivo como tipo de pesquisa.

Para SKUs de nível baixo (Windows Server 2008 R2/2012 R2/2016)

Observação

O registro a seguir é relevante somente quando o objetivo é alcançar uma "Entrada única para cada dispositivo".

  1. De definir o valor do Registro como:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
    "VDI"="NonPersistent"
    

    ou usando a linha de comando:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
    
  2. Siga o processo de integração do servidor.

Atualizando imagens VDI (infraestrutura de área de trabalho virtual não persistente)

Como prática prática, recomendamos usar ferramentas de manutenção offline para corrigir imagens douradas/mestras.

Por exemplo, você pode usar os comandos abaixo para instalar uma atualização enquanto a imagem permanece offline:

DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit

Para obter mais informações sobre comandos DISM e manutenção offline, consulte os artigos abaixo:

Se a manutenção offline não for uma opção viável para seu ambiente VDI não persistente, as etapas a seguir devem ser tomadas para garantir a consistência e a saúde do sensor:

  1. Depois de inicializar a imagem mestra para manutenção ou correção online, execute um script de offboard para desativar o sensor Defender para Ponto de Extremidade. Para obter mais informações, consulte Offboard devices using a local script.

  2. Verifique se o sensor é interrompido executando o comando abaixo em uma janela CMD:

    sc query sense
    
  3. Service the image as needed.

  4. Execute os comandos abaixo usando PsExec.exe (que podem ser baixados para limpar o conteúdo da pasta cibernética que o sensor pode ter acumulado desde https://download.sysinternals.com/files/PSTools.zip) a inicialização:

    PsExec.exe -s cmd.exe
    cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber"
    del *.* /f /s /q
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
    exit
    
  5. Resear a imagem dourada/mestra como você normalmente faria.