Hantera icke-beständiga VDI-enheter (Virtual Desktop Infrastructure) i Microsoft 365 Defender
Gäller för:
- Microsoft Defender för slutpunktsplan 2
- Microsoft 365 Defender
- VDI-enheter (Virtual Desktop Infrastructure)
- Windows 10, Windows 11, Windows Server 2019, Windows Server 2022 Windows Server 2008R2/2012R2/2016
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Anteckning
Beständiga VDI:er - Registrering av en beständig VDI-dator i Microsoft Defender för Endpoint hanteras på samma sätt som du skulle hantera en fysisk dator, till exempel en stationär eller bärbar dator. Grupprincip, Microsoft Endpoint Manager och andra metoder kan användas för att registrera en beständig dator. I Microsoft 365 Defender - portalen ( under onboarding väljer du önskad https://security.microsoft.com) onboarding-metod och följer instruktionerna för den typen.
Registrering av icke-beständiga VDI-enheter (Virtual Desktop Infrastructure)
Defender för Endpoint har stöd för icke-fortlöpande registrering av VDI-sessioner.
Det kan finnas associerade utmaningar vid registrering av VDE:er. Följande är vanliga utmaningar med det här scenariot:
- Direkt tidig registrering av en kort session, som måste vara onboarded till Defender för Endpoint innan den faktiska etableringen.
- Enhetsnamnet återanvänds vanligtvis för nya sessioner.
VDI-enheter kan visas i Defender för Endpoint-portalen som antingen:
Enskild post för varje enhet.
Anteckning
I det här fallet måste samma enhetsnamn konfigureras när sessionen skapas, till exempel med en obevakad svarsfil.
Flera poster för varje enhet – en för varje session.
Följande steg vägleder dig genom introduktionen av VDI-enheter och visar steg för enskilda och flera poster.
Varning
I miljöer där det finns konfigurationer med låg resurs kan VDI-startproceduren göra att Defender för Slutpunkts sensorbaserad hastighet går långsammare.
För Windows 10, Windows 11, eller Windows Server 2019 eller Windows Server 2022
Öppna filen för VDI.zip konfigurationspaket (WindowsDefenderATPOnboardingPackage.zip) som du laddade ned från guiden för service onboarding. Du kan också hämta paketet från Microsoft 365 Defender portalen:
I navigeringsfönstret väljer du Inställningar > Endpoints > Device Management > Onboarding.
Välj operativsystem.
Välj VDI-onboardingskript för icke-beständiga slutpunkter i fältet Distributionsmetod.
Klicka på Ladda ned paket och spara .zip filen.
Kopiera filerna från mappen WindowsDefenderATPOnboardingPackage som extraherats från .zip-filen till den gyllene bilden/masterbilden under
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startupsökvägen.Kopiera filerna från mappen WindowsDefenderATPOnboardingPackage som extraherats från .zip-filen till den gyllene bilden/masterbilden under
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startupsökvägen.- Om du implementerar flera poster för varje enhet – en för varje session kopierar du WindowsDefenderATPOnboardingScript.cmd.
- Om du implementerar en enda post för varje enhet kopierar du både Onboard-NonPersistentMachine.ps1 och WindowsDefenderATPOnboardingScript.cmd.
Anteckning
Om du inte ser mappen
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startupkan den vara dold. Du måste välja alternativet Visa dolda filer och mappar i Utforskaren.Öppna ett fönster för redigeraren för lokala grupprinciper och gå till > Datorkonfiguration Windows Inställningar > starta > skript.
Anteckning
Domain Group Policy kan också användas för registrering av icke-beständiga VDI-enheter.
Beroende på vilken metod du vill implementera följer du lämpliga steg:
För enskild inmatning för varje enhet:
Välj fliken PowerShell-skript och klicka sedan på Lägg till (Windows Utforskaren öppnas direkt i sökvägen där du kopierade onboarding-skriptet tidigare). Navigera till onboarding PowerShell-skript
Onboard-NonPersistentMachine.ps1. Du behöver inte ange den andra filen eftersom den utlöses automatiskt.För flera poster för varje enhet:
Välj fliken Skript och klicka sedan på Lägg Windows (utforskaren öppnas direkt i sökvägen där du kopierade onboarding-skriptet tidigare). Navigera till bash-skriptet
WindowsDefenderATPOnboardingScript.cmdonboarding.
Testa lösningen:
- Skapa en pool med en enhet.
- Logga in på enheten.
- Logga ut från enheten.
- Logga in på enheten med en annan användare.
- Beroende på vilken metod du vill implementera följer du lämpliga steg:
- För enskild post för varje enhet: Kontrollera bara en post i Microsoft 365 Defender portal.
- För flera poster för varje enhet: Kontrollera flera poster i Microsoft 365 Defender portal.
Klicka på listan Enheter i navigeringsfönstret.
Använd sökfunktionen genom att ange enhetens namn och välja Enhet som söktyp.
För nedåtnivå-SKU:er (Windows Server 2008 R2/2012 R2/2016)
Anteckning
Följande register är bara relevanta när syftet är att uppnå en "enskild post för varje enhet".
Ställ in registervärdet på:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging] "VDI"="NonPersistent"eller använda kommandorad:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
Uppdatera icke-beständiga VDI-bilder (Virtual Desktop Infrastructure)
Vi rekommenderar att du använder offlineserviceverktyg för att korrigera gyllene/huvudbilder.
Du kan till exempel använda kommandona nedan för att installera en uppdatering medan bilden förblir offline:
DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit
Mer information om DISM-kommandon och offlineunderhåll finns i artiklarna nedan:
- Ändra en Windows bild med DISM
- DISM Image Management Command-Line Options
- Minska storleken på komponentarkivet i en offline-Windows bild
Om offlineunderhåll inte är ett möjligt alternativ för din icke-beständiga VDI-miljö bör du vidta följande steg för att säkerställa konsekvens och sensorhälsa:
När huvudbilden startats för onlineunderhåll eller korrigering kör du ett offboardingskript för att inaktivera Defender för Slutpunkts sensor. Mer information finns i Offboard-enheter som använder ett lokalt skript.
Kontrollera att sensorn stoppas genom att köra kommandot nedan i ett CMD-fönster:
sc query senseTjänst för bilden efter behov.
Kör kommandona nedan med PsExec.exe (som kan laddas ned från för att rensa innehållet i cybermappen som sensorn kan ha ackumulerat https://download.sysinternals.com/files/PSTools.zip) sedan starten:
PsExec.exe -s cmd.exe cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber" del *.* /f /s /q REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f exitÅteralal den gyllene bilden/bildbakgrunden som vanligt.