Intégrer des appareils VDI (Virtual Desktop Infrastructure) non persistants dans Microsoft Defender XDR
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
- Appareils vDI (Virtual Desktop Infrastructure)
- Windows 10, Windows 11, Windows Server 2019, Windows Server 2022, Windows Server 2008R2/2012R2/2016
Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
L’infrastructure de bureau virtuel (VDI) est un concept d’infrastructure informatique qui permet aux utilisateurs finaux d’accéder aux instances de bureaux virtuels d’entreprise à partir de presque n’importe quel appareil (par exemple, votre ordinateur personnel, votre smartphone ou votre tablette), éliminant ainsi la nécessité d’organization pour fournir aux utilisateurs des machines physiques. L’utilisation d’appareils VDI réduit les coûts, car les services informatiques ne sont plus responsables de la gestion, de la réparation et du remplacement des points de terminaison physiques. Les utilisateurs autorisés peuvent accéder aux mêmes serveurs, fichiers, applications et services d’entreprise à partir de n’importe quel appareil approuvé par le biais d’un navigateur ou d’un client de bureau sécurisé.
Comme tout autre système dans un environnement informatique, les appareils VDI doivent disposer d’une solution antivirus et de détection de point de terminaison (EDR) pour se protéger contre les menaces et les attaques avancées.
Remarque
VDI persistantes : l’intégration d’un ordinateur VDI persistant dans Microsoft Defender pour point de terminaison est gérée de la même façon que vous intégrez un ordinateur physique, tel qu’un ordinateur de bureau ou un ordinateur portable. La stratégie de groupe, les Microsoft Configuration Manager et d’autres méthodes peuvent être utilisées pour intégrer un ordinateur persistant. Dans le portail Microsoft Defender, (https://security.microsoft.com) sous Intégration, sélectionnez votre méthode d’intégration préférée, puis suivez les instructions pour ce type. Pour plus d’informations, consultez Intégration du client Windows.
Intégration d’appareils VDI (Virtual Desktop Infrastructure) non persistants
Defender pour point de terminaison prend en charge l’intégration de session VDI non persistante. Il peut y avoir des défis associés lors de l’intégration d’instances VDI. Voici les défis classiques de ce scénario :
Intégration anticipée instantanée d’une session de courte durée, qui doit être intégrée à Defender pour point de terminaison avant le provisionnement réel.
Le nom de l’appareil est généralement réutilisé pour les nouvelles sessions.
Dans un environnement VDI, les instances VDI peuvent avoir une courte durée de vie. Les appareils VDI peuvent apparaître dans le portail Microsoft Defender sous la forme d’entrées uniques pour chaque instance VDI ou de plusieurs entrées pour chaque appareil.
Entrée unique pour chaque instance VDI. Si le instance VDI a déjà été intégré à Microsoft Defender pour point de terminaison, puis supprimé, puis recréé avec le même nom d’hôte, un nouvel objet représentant cette instance VDI n’est PAS créé dans le portail. Dans ce cas, le même nom d’appareil doit être configuré lors de la création de la session, par exemple à l’aide d’un fichier de réponses sans assistance.
Plusieurs entrées pour chaque appareil : une pour chaque instance VDI.
Importante
Si vous déployez des VDIs non persistants via la technologie de clonage, assurez-vous que vos machines virtuelles de modèle interne ne sont pas intégrées à Defender pour point de terminaison. Cette recommandation est d’éviter que les machines virtuelles clonées ne soient intégrées avec le même senseGuid que vos machines virtuelles de modèle, ce qui peut empêcher les machines virtuelles de s’afficher en tant que nouvelles entrées dans la liste Appareils.
Les étapes suivantes vous guident tout au long de l’intégration d’appareils VDI et mettent en évidence les étapes pour les entrées uniques et multiples.
Avertissement
Pour les environnements où les configurations de ressources sont faibles, la procédure de démarrage VDI peut ralentir l’intégration du capteur Defender pour point de terminaison.
Étapes d’intégration
Remarque
Windows Server 2016 et Windows Server 2012 R2 doivent être préparés en appliquant d’abord le package d’installation à l’aide des instructions fournies dans Intégrer des serveurs Windows pour que cette fonctionnalité fonctionne.
Ouvrez le fichier de package de configuration VDI (
WindowsDefenderATPOnboardingPackage.zip) que vous avez téléchargé à partir de l’Assistant Intégration du service. Vous pouvez également obtenir le package à partir du portail Microsoft Defender.Dans le volet de navigation, sélectionnez Paramètres Points>de terminaison> Intégrationde la gestion des>appareils.
Sélectionnez le système d’exploitation.
Dans le champ Méthode de déploiement , sélectionnez Scripts d’intégration VDI pour les points de terminaison non persistants.
Sélectionnez Télécharger le package et enregistrez le fichier.
Copiez les fichiers du
WindowsDefenderATPOnboardingPackagedossier extraits du dossier compressé dans l’image golden/primary sous le chemin d’accèsC:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.Si vous implémentez plusieurs entrées pour chaque appareil ( une pour chaque session), copiez
WindowsDefenderATPOnboardingScript.cmd.Si vous implémentez une seule entrée pour chaque appareil, copiez et
Onboard-NonPersistentMachine.ps1WindowsDefenderATPOnboardingScript.cmd.
Remarque
Si vous ne voyez pas le
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startupdossier, il est peut-être masqué. Vous devez choisir l’option Afficher les fichiers et dossiers masqués dans Explorateur de fichiers.Ouvrez une fenêtre Stratégie de groupe Rédacteur locale et accédez à Configuration> ordinateurParamètres>Windows Scripts>de démarrage.
Remarque
Les stratégie de groupe de domaine peuvent également être utilisées pour l’intégration d’appareils VDI non persistants.
Selon la méthode que vous souhaitez implémenter, suivez les étapes appropriées :
Méthode Étapes Entrée unique pour chaque appareil 1. Sélectionnez l’onglet Scripts PowerShell, puis sélectionnez Ajouter (Windows Explorer s’ouvre directement dans le chemin d’accès où vous avez copié le script d’intégration précédemment).
2. Accédez à l’intégration du scriptOnboard-NonPersistentMachine.ps1PowerShell . Il n’est pas nécessaire de spécifier l’autre fichier, car il est déclenché automatiquement.Plusieurs entrées pour chaque appareil 1. Sélectionnez l’onglet Scripts, puis ajouter (Windows Explorer s’ouvre directement dans le chemin où vous avez copié le script d’intégration précédemment).
2. Accédez au scriptWindowsDefenderATPOnboardingScript.cmdbash d’intégration .Testez votre solution en procédant comme suit :
Créez un pool avec un seul appareil.
Connectez-vous à l’appareil.
Déconnectez-vous de l’appareil.
Connectez-vous à l’appareil à l’aide d’un autre compte.
Selon la méthode que vous souhaitez implémenter, suivez les étapes appropriées :
- Pour une entrée unique pour chaque appareil : recherchez une seule entrée dans le portail Microsoft Defender.
- Pour plusieurs entrées pour chaque appareil : vérifiez plusieurs entrées dans le portail Microsoft Defender.
Dans le volet de navigation, sélectionnez Liste des appareils.
Utilisez la fonction de recherche en entrant le nom de l’appareil et en sélectionnant Appareil comme type de recherche.
Pour les références SKU de niveau inférieur (Windows Server 2008 R2)
Remarque
Ces instructions pour les autres versions de Windows Server s’appliquent également si vous exécutez la Microsoft Defender pour point de terminaison précédente pour Windows Server 2016 et Windows Server 2012 R2 qui nécessite MMA. Les instructions pour migrer vers la nouvelle solution unifiée se trouvent dans Scénarios de migration de serveur dans Microsoft Defender pour point de terminaison.
Le registre suivant n’est pertinent que lorsque l’objectif est d’obtenir une seule entrée pour chaque appareil.
Définissez la valeur de Registre comme suit :
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging] "VDI"="NonPersistent"Vous pouvez également utiliser la ligne de commande comme suit :
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /fSuivez le processus d’intégration du serveur.
Mise à jour des images VDI (Virtual Desktop Infrastructure) (persistantes ou non persistantes)
Avec la possibilité de déployer facilement des mises à jour sur des machines virtuelles s’exécutant dans des VDIs, nous avons raccourci ce guide pour vous concentrer sur la façon dont vous pouvez obtenir des mises à jour sur vos machines rapidement et facilement. Vous n’avez plus besoin de créer et de sceller régulièrement des images dorées, car les mises à jour sont développées dans leurs bits de composant sur le serveur hôte, puis téléchargées directement sur la machine virtuelle lorsqu’elle est activée.
Si vous avez intégré l’image principale de votre environnement VDI (le service SENSE est en cours d’exécution), vous devez désactiver et effacer certaines données avant de remettre l’image en production.
Vérifiez que le capteur est arrêté en exécutant la commande suivante dans une fenêtre CMD :
sc query senseExécutez les commandes suivantes dans une fenêtre CMD :
del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f exit
Utilisez-vous un tiers pour les VDIs ?
Si vous déployez des VDIs non persistantes via le clonage instantané VMware ou des technologies similaires, assurez-vous que vos machines virtuelles de modèle interne et réplica machines virtuelles ne sont pas intégrées à Defender pour point de terminaison. Si vous intégrez des appareils à l’aide de la méthode d’entrée unique, les clones instantanés approvisionnés à partir de machines virtuelles intégrées peuvent avoir le même senseGuid, ce qui peut empêcher une nouvelle entrée d’être répertoriée dans la vue Inventaire des appareils (dans le portail Microsoft Defender, choisissez Appareils multimédias>).
Si l’image principale, le modèle de machine virtuelle ou la machine virtuelle réplica sont intégrés à Defender pour point de terminaison à l’aide de la méthode d’entrée unique, cela empêche Defender pour point de terminaison de créer des entrées pour de nouveaux VDIs non persistants dans le portail Microsoft Defender.
Contactez vos fournisseurs tiers pour obtenir de l’aide.
Autres paramètres de configuration recommandés
Après l’intégration des appareils au service, il est important de tirer parti des fonctionnalités de protection contre les menaces incluses en les activant avec les paramètres de configuration recommandés suivants.
Configuration de la protection nouvelle génération
Les paramètres de configuration de ce lien sont recommandés : Configurer Microsoft Defender Antivirus sur un environnement d’infrastructure de bureau à distance ou de bureau virtuel.
Articles connexes
- Intégrer des appareils Windows à l’aide d’une stratégie de groupe
- Intégrer des appareils Windows à l’aide de Microsoft Configuration Manager
- Intégrer les appareils Windows à l’aide des outils de gestion des appareils mobiles
- Intégrer les appareils Windows utilisant un script local
- Résoudre les problèmes d’intégration Microsoft Defender pour point de terminaison
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.