Sessões do Microsoft Defender para Ponto de Extremidade para Área de Trabalho Virtual do Azure

  • 5 minutos

O Microsoft Defender para Ponto de Extremidade dá suporte ao monitoramento de sessões da VDI e da Área de Trabalho Virtual do Azure. Dependendo das necessidades da sua organização, talvez seja necessário implementar sessões da VDI ou da Área de Trabalho Virtual do Azure para ajudar seus funcionários a acessar dados corporativos e aplicativos de um dispositivo não gerenciado, local remoto ou cenário semelhante. Com o Microsoft Defender para Ponto de Extremidade, você pode monitorar essas máquinas virtuais para atividades anômalas.

Embora a Área de Trabalho Virtual do Azure não forneça opções de não persistência, ela fornece maneiras de usar uma imagem dourada do Windows que pode ser usada para provisionar novos hosts e reimplantar computadores. Isso aumenta a volatilidade no ambiente e, portanto, afeta quais entradas são criadas e mantidas no portal do Microsoft Defender para Ponto de Extremidade, potencialmente reduzindo a visibilidade para seus analistas de segurança.

Dependendo da sua escolha de método de integração, os dispositivos podem aparecer no portal do Microsoft Defender para Ponto de Extremidade como qualquer um deles:

  • Entrada única para cada área de trabalho virtual
  • Várias entradas para cada área de trabalho virtual

A Microsoft recomenda a integração da Área de Trabalho Virtual do Azure como uma única entrada por área de trabalho virtual. Isso garante que a experiência de investigação no portal do Microsoft Defender para Ponto de Extremidade esteja no contexto de um dispositivo com base no nome do computador. As organizações que frequentemente excluem e reimplantam hosts AVD devem considerar fortemente o uso desse método, pois ele impede que vários objetos para o mesmo computador sejam criados no portal do Microsoft Defender para Ponto de Extremidade. Isso pode causar confusão ao investigar incidentes. Para ambientes de teste ou não voláteis, você pode optar por escolher de forma diferente.

A Microsoft recomenda adicionar o script de integração do Microsoft Defender para Ponto de Extremidade à imagem dourada do AVD. Dessa forma, você pode ter certeza de que esse script de integração é executado imediatamente na primeira inicialização. Ele é executado como um script de inicialização na primeira inicialização em todos os computadores AVD que são provisionados a partir da imagem dourada do AVD. No entanto, se você estiver usando uma das imagens da galeria sem modificação, coloque o script em um local compartilhado e chame-o da política de grupo local ou de domínio.

Observação

O posicionamento e a configuração do script de inicialização de integração da VDI na imagem dourada do AVD o configura como um script de inicialização executado quando o AVD é iniciado. Não é recomendado integrar a imagem dourada real do AVD. Outra consideração é o método usado para executar o script. Ele deve ser executado o mais cedo possível no processo de inicialização/provisionamento para reduzir o tempo entre o computador que está disponível para receber sessões e a integração do dispositivo ao serviço. Os cenários 1 e 2 a seguir levam isso em conta.

Cenários

Há várias maneiras de integrar um computador host AVD:

Cenário 1: Usando a política de grupo local

Esse cenário requer colocar o script em uma imagem dourada e usa a política de grupo local para ser executado no início do processo de inicialização.

Use as instruções em Integrar os dispositivos de VDI (infraestrutura de área de trabalho virtual) não persistentes.

Siga as instruções para uma única entrada para cada dispositivo.

Cenário 2: Usando a política de grupo de domínio

Esse cenário usa um script localizado centralmente e o executa usando uma política de grupo baseada em domínio. Você também pode colocar o script na imagem dourada e executá-lo da mesma maneira.

Baixar o arquivo WindowsDefenderATPOnboardingPackage.zip no portal do Microsoft Defender

  1. Abra o arquivo de .zip do pacote de configuração VDI (WindowsDefenderATPOnboardingPackage.zip)

    1. No painel de navegação do portal do Microsoft Defender, selecione Configurações> Pontos de Extremidade>Integração (em Gerenciamento de Dispositivos).
    2. Seu sistema operacional principal é o Windows 10 ou o Windows 11.
    3. No campo Método de implantação, selecione scripts de integração VDI para pontos de extremidade não persistentes.
    4. Clique Baixar pacote e salve o arquivo .zip.

  2. Extraia o conteúdo do arquivo .zip para um local compartilhado somente leitura que pode ser acessado pelo dispositivo. Você deve ter uma pasta chamada OptionalParamsPolicy e os arquivos WindowsDefenderATPOnboardingScript.cmd e Onboard-NonPersistentMachine.ps1.

Usar o console de gerenciamento de Política de Grupo para executar o script quando a máquina virtual for iniciada

  1. Abra o GPMC (Console de Gerenciamento de Política de Grupo), clique com o botão direito do mouse no GPO (Objeto de Política de Grupo) que você deseja configurar e clique em Editar.

  2. No Editor de Gerenciamento de Política de Grupo, vá para Configuração do computador>Preferências>Configurações do painel Controle.

  3. Clique com o botão direito do mouse Tarefas agendadas, clique em Novoe clique em Tarefa Imediata (pelo menos Windows 7).

  4. Na janela Tarefa que é aberta, vá para a guia Geral. Em Opções de Segurança clique em Alterar usuário ou grupo e digite SYSTEM. Clique em Verificar Nomes e em seguida clique em OK. NT AUTHORITY\SYSTEM aparece como a conta de usuário em que a tarefa será executada.

  5. Selecione Executar se o usuário está conectado ou não e marque a caixa de seleção Executar com privilégios mais altos.

  6. Clique na guia Ações e, em seguida, clique em Nova. Verifique se Iniciar um programa está selecionado no campo Ação. Insira o seguinte:

    Ação = "Iniciar um programa"

    Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

    Adicionar argumentos (opcional) = -ExecutionPolicy Bypass -command "&\Path\To\Onboard-NonPersistentMachine.ps1"

    Em seguida, selecione OK e feche todas as janelas abertas do GPMC.

Cenário 3: Integração usando ferramentas de gerenciamento

Se você planeja gerenciar seus computadores usando uma ferramenta de gerenciamento, pode integrar dispositivos diretamente com o Microsoft Endpoint Configuration.

Dica

Depois de integrar o dispositivo, você pode optar por executar um teste de detecção para verificar se o dispositivo está integrado corretamente ao serviço. Para obter mais informações, consulte Executar um teste de detecção em um dispositivo recém-integrado do Microsoft Defender para Ponto de Extremidade.

Marcando seus computadores ao criar sua imagem dourada

Como parte da integração, talvez você queira considerar a configuração de uma marca de computador para diferenciar computadores AVD com mais facilidade na Central de Segurança da Microsoft. Para obter mais informações, consulte Adicionar marcas de dispositivo definindo um valor de chave do registro.

Ao criar sua imagem dourada, convém definir também as configurações de proteção inicial. Para obter mais informações, consulte Outras configurações recomendadas.

Além disso, se você estiver usando perfis de usuário FSlogix, recomendamos seguir as diretrizes descritas em Exclusões de antivírus FSLogix.

Requisitos de licenciamento

Observação sobre licenciamento: Ao usar as várias sessões do Windows Enterprise, dependendo de seus requisitos, você pode optar por ter todos os usuários licenciados por meio do Microsoft Defender para Ponto de Extremidade (por usuário), Windows Enterprise E5, Microsoft 365 E5 Security ou Microsoft 365 E5 ou ter a VM licenciada por meio do Microsoft Defender para Nuvem. Os requisitos de licenciamento do Microsoft Defender para Ponto de Extremidade podem ser encontrados em: Requisitos de licenciamento.