Partager via

Intégrer des appareils Windows dans Azure Virtual Desktop

  • S’applique à: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

6 minutes de lecture

Microsoft Defender pour point de terminaison prend en charge la supervision des sessions VDI et Azure Virtual Desktop. En fonction des besoins de votre organization, vous devrez peut-être implémenter des sessions VDI ou Azure Virtual Desktop pour aider vos employés à accéder aux données et applications d’entreprise à partir d’un appareil non géré, d’un emplacement distant ou d’un scénario similaire. Avec Microsoft Defender pour point de terminaison, vous pouvez surveiller ces machines virtuelles pour détecter les activités anormales.

Remarque

L’outil de déploiement Defender (désormais en préversion publique) peut être utilisé pour déployer la sécurité des points de terminaison Defender sur les appareils Windows et Linux. L’outil est une application légère et auto-mise à jour qui simplifie le processus de déploiement. Pour plus d’informations, consultez Déployer Microsoft Defender sécurité de point de terminaison sur des appareils Windows à l’aide de l’outil de déploiement Defender (préversion) et Déployer Microsoft Defender sécurité de point de terminaison sur des appareils Linux à l’aide de l’outil de déploiement Defender (préversion) .

Avant de commencer

Familiarisez-vous avec les considérations relatives à l’infrastructure VDI non persistante. Bien que Azure Virtual Desktop ne fournisse pas d’options de non-persistance, il fournit des moyens d’utiliser une image Windows dorée qui peut être utilisée pour provisionner de nouveaux hôtes et redéployer des ordinateurs. Cela augmente la volatilité de l’environnement et a donc un impact sur les entrées créées et conservées dans le portail Microsoft Defender pour point de terminaison, ce qui peut réduire la visibilité de vos analystes de sécurité.

Remarque

Selon votre choix de méthode d’intégration, les appareils peuvent apparaître dans Microsoft Defender pour point de terminaison portail comme suit :

  • Entrée unique pour chaque bureau virtuel
  • Plusieurs entrées pour chaque bureau virtuel

Microsoft recommande l’intégration Azure Virtual Desktop en tant qu’entrée unique par bureau virtuel. Cela garantit que l’expérience d’investigation dans le portail Microsoft Defender pour point de terminaison est dans le contexte d’un appareil basé sur le nom de l’ordinateur. Les organisations qui suppriment et redéployent fréquemment des hôtes AVD doivent fortement envisager d’utiliser cette méthode, car elle empêche la création de plusieurs objets pour le même ordinateur dans le portail Microsoft Defender pour point de terminaison. Cela peut entraîner une confusion lors de l’examen des incidents. Pour les environnements de test ou non volatiles, vous pouvez choisir différemment. Lors de l’utilisation de l’entrée unique par méthode de bureau virtuel, il n’est pas nécessaire de retirer les bureaux virtuels.

Microsoft recommande d’ajouter le script d’intégration Microsoft Defender pour point de terminaison à l’image d’or AVD. De cette façon, vous pouvez être sûr que ce script d’intégration s’exécute immédiatement au premier démarrage. Il est exécuté en tant que script de démarrage au premier démarrage sur toutes les machines AVD approvisionnées à partir de l’image d’or AVD. Toutefois, si vous utilisez l’une des images de la galerie sans modification, placez le script dans un emplacement partagé et appelez-le à partir de la stratégie de groupe locale ou de domaine.

Remarque

Le placement et la configuration du script de démarrage d’intégration VDI sur l’image d’or AVD le configure en tant que script de démarrage qui s’exécute au démarrage de l’AVD. Il n’est pas recommandé d’intégrer l’image d’or AVD réelle. Une autre considération est la méthode utilisée pour exécuter le script. Il doit s’exécuter le plus tôt possible dans le processus de démarrage/approvisionnement pour réduire le temps entre la disponibilité de l’ordinateur pour recevoir des sessions et l’intégration de l’appareil au service. Les scénarios 1 et 2 ci-dessous en tiennent compte.

Scénarios

Il existe plusieurs façons d’intégrer un ordinateur hôte AVD :

Scénario 1 : Utilisation de la stratégie de groupe locale

Ce scénario nécessite de placer le script dans une image en or et utilise une stratégie de groupe locale pour s’exécuter au début du processus de démarrage.

Suivez les instructions fournies dans Intégrer les appareils VDI (Virtual Desktop Infrastructure) non persistants.

Suivez les instructions pour une entrée unique pour chaque appareil.

Scénario 2 : Utilisation de la stratégie de groupe de domaine

Ce scénario utilise un script situé de manière centralisée et l’exécute à l’aide d’une stratégie de groupe basée sur un domaine. Vous pouvez également placer le script dans l’image dorée et l’exécuter de la même façon.

Télécharger le fichier WindowsDefenderATPOnboardingPackage.zip à partir du portail Microsoft Defender

  1. Ouvrez le fichier .zip du package de configuration VDI (WindowsDefenderATPOnboardingPackage.zip)

    1. Dans le volet de navigation du portail Microsoft Defender, sélectionnez Paramètres>Intégration des points> de terminaison(sousGestion des appareils).
    2. Sélectionnez Windows 10 ou Windows 11 comme système d’exploitation.
    3. Dans le champ Méthode de déploiement , sélectionnez Scripts d’intégration VDI pour les points de terminaison non persistants.
    4. Cliquez sur Télécharger le package et enregistrez le fichier .zip.

  2. Extrayez le contenu du fichier .zip dans un emplacement partagé en lecture seule accessible par l’appareil. Vous devez avoir un dossier appelé OptionalParamsPolicy et les fichiers WindowsDefenderATPOnboardingScript.cmd et Onboard-NonPersistentMachine.ps1.

Utiliser stratégie de groupe console de gestion pour exécuter le script au démarrage de la machine virtuelle

  1. Ouvrez la console de gestion stratégie de groupe (GPMC), cliquez avec le bouton droit sur l’objet stratégie de groupe (GPO) que vous souhaitez configurer, puis cliquez sur Modifier.

  2. Dans l’Éditeur de gestion stratégie de groupe, accédez à Paramètres de configuration> de l’ordinateurParamètres>du Panneau de configuration.

  3. Cliquez avec le bouton droit sur Tâches planifiées, cliquez sur Nouveau, puis cliquez sur Tâche immédiate (Au moins Windows 7).

  4. Dans la fenêtre Tâche qui s’ouvre, accédez à l’onglet Général . Sous Options de sécurité , cliquez sur Modifier l’utilisateur ou le groupe , puis tapez SYSTÈME. Cliquez sur Vérifier les noms , puis sur OK. NT AUTHORITY\SYSTEM apparaît comme le compte d’utilisateur sous lequel la tâche s’exécutera.

  5. Sélectionnez Exécuter si l’utilisateur est connecté ou non et case activée la zone Exécuter avec les privilèges les plus élevés case activée.

  6. Accédez à l’onglet Actions , puis cliquez sur Nouveau. Vérifiez que Démarrer un programme est sélectionné dans le champ Action. Entrez les informations suivantes :

    Action = "Start a program"

    Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

    Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

    Sélectionnez ensuite OK et fermez toutes les fenêtres de la console GPMC ouvertes.

Scénario 3 : Intégration à l’aide d’outils de gestion

Si vous envisagez de gérer vos machines à l’aide d’un outil de gestion, vous pouvez intégrer des appareils avec Microsoft Endpoint Configuration Manager.

Pour plus d’informations, consultez Intégrer des appareils Windows à l’aide de Configuration Manager.

Avertissement

Si vous envisagez d’utiliser la référence règles de réduction de la surface d’attaque, notez que la règle « Bloquer les créations de processus provenant des commandes PSExec et WMI » ne doit pas être utilisée, car cette règle n’est pas compatible avec la gestion via Microsoft Endpoint Configuration Manager. La règle bloque les commandes WMI que le client Configuration Manager utilise pour fonctionner correctement.

Conseil

Après l’intégration de l’appareil, vous pouvez choisir d’exécuter un test de détection pour vérifier que l’appareil est correctement intégré au service. Pour plus d’informations, consultez Exécuter un test de détection sur un appareil Microsoft Defender pour point de terminaison nouvellement intégré.

Étiquetage de vos machines lors de la création de votre image dorée

Dans le cadre de votre intégration, vous pouvez envisager de définir une étiquette de machine pour différencier plus facilement les machines AVD dans microsoft Security Center. Pour plus d’informations, consultez Ajouter des balises d’appareil en définissant une valeur de clé de Registre.

Lors de la création de votre image golden, vous pouvez également configurer les paramètres de protection initiaux. Pour plus d’informations, consultez Autres paramètres de configuration recommandés.

En outre, si vous utilisez des profils utilisateur FSlogix, nous vous recommandons de suivre les instructions décrites dans Exclusions de l’antivirus FSLogix.

Conditions d'octroi de licence

Lorsque vous utilisez Windows Entreprise multisession, conformément à nos meilleures pratiques de sécurité, la machine virtuelle peut être concédée sous licence via Microsoft Defender pour serveurs ou vous pouvez choisir d’avoir tous les utilisateurs Azure machine virtuelle Virtual Desktop sous licence via l’une des licences suivantes :

  • Microsoft Defender pour point de terminaison Plan 1 ou Plan 2 (par utilisateur)
  • Windows Entreprise E3
  • Windows Entreprise E5
  • Microsoft 365 E3
  • Suite Microsoft Defender
  • Microsoft 365 E5

Vous trouverez les conditions de licence pour Microsoft Defender pour point de terminaison à l’adresse : Conditions requises pour les licences.

Ajouter des exclusions pour Defender pour point de terminaison via PowerShell

Exclusions anti-programmes malveillants FSLogix

Configurer Microsoft Defender Antivirus sur un environnement d’infrastructure de bureau à distance ou de bureau virtuel

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.

  • Last updated on