Sessions Microsoft Defender for Endpoint pour Azure Virtual Desktop

  • 5 minutes

Microsoft Defender for Endpoint prend en charge la surveillance des sessions VDI et Azure Virtual Desktop. Selon les besoins de votre organisation, vous devrez peut-être implémenter des sessions VDI ou Azure Virtual Desktop pour aider vos employés à accéder aux données et applications d’entreprise à partir d’un appareil non géré, d’un emplacement distant ou d’un scénario similaire. Avec Microsoft Defender for Endpoint, vous pouvez surveiller ces machines virtuelles pour une activité anormale.

Bien qu’Azure Virtual Desktop ne fournit pas d’options de non persistance, il fournit des moyens d’utiliser une image Windows d’or qui peut être utilisée pour approvisionner de nouveaux hôtes et redéployer des machines. Cela augmente la volatilité dans l’environnement et a donc un impact sur les entrées créées et conservées dans le portail Microsoft Defender for Endpoint, ce qui peut réduire la visibilité de vos analystes de sécurité.

Selon votre choix de méthode d’intégration, les appareils peuvent apparaître dans le portail Microsoft Defender for Endpoint comme suit :

  • Entrée unique pour chaque bureau virtuel
  • Plusieurs entrées pour chaque bureau virtuel

Microsoft recommande d’intégrer Azure Virtual Desktop en tant qu’entrée unique par bureau virtuel. Cela garantit que l’expérience d’investigation dans le portail Microsoft Defender for Endpoint se trouve dans le contexte d’un appareil basé sur le nom de l’ordinateur. Les organisations qui suppriment et redéploient fréquemment des hôtes AVD doivent fortement envisager d’utiliser cette méthode, car elle empêche la création de plusieurs objets pour la même machine dans le portail Microsoft Defender for Endpoint. Cela peut entraîner une confusion lors de l’examen des incidents. Pour les environnements de test ou non volatiles, vous pouvez choisir différemment.

Microsoft recommande d’ajouter le script d’intégration Microsoft Defender for Endpoint à l’image d’or AVD. De cette façon, vous pouvez être sûr que ce script d’intégration s’exécute immédiatement au premier démarrage. Il est exécuté en tant que script de démarrage au premier démarrage sur tous les ordinateurs AVD approvisionnés à partir de l’image d’or AVD. Toutefois, si vous utilisez l’une des images de la galerie sans modification, placez le script dans un emplacement partagé et appelez-le à partir d’une stratégie de groupe de domaine ou locale.

Remarque

Le placement et la configuration du script de démarrage d’intégration VDI sur l’image d’or AVD le configurent en tant que script de démarrage qui s’exécute au démarrage de l’AVD. Il n’est pas recommandé d’intégrer l’image d’or AVD réelle. Une autre considération est la méthode utilisée pour exécuter le script. Il doit s’exécuter aussi tôt que possible dans le processus de démarrage/approvisionnement pour réduire le temps entre la machine disponible pour recevoir des sessions et l’intégration de l’appareil au service. Les scénarios ci-dessous 1 et 2 tiennent compte de cela.

Scénarios

Il existe plusieurs façons d’intégrer un ordinateur hôte AVD :

Scénario 1 : Utilisation de la stratégie de groupe locale

Ce scénario nécessite de placer le script dans une image d’or et utilise la stratégie de groupe locale pour s’exécuter tôt dans le processus de démarrage.

Utilisez les instructions de Intégrer les appareils VDI (Virtual Desktop Infrastructure) non persistants.

Suivez les instructions d’une seule entrée pour chaque appareil.

Scénario 2 : Utilisation de la stratégie de groupe de domaine

Ce scénario utilise un script centralisé et l'exécute à l'aide d'une stratégie de groupe basée sur le domaine. Vous pouvez également placer le script dans l’image d’or et l’exécuter de la même façon.

Téléchargez le fichier WindowsDefenderATPOnboardingPackage.zip à partir du portail Microsoft Defender

  1. Ouvrez le fichier de .zip du package de configuration VDI (WindowsDefenderATPOnboardingPackage.zip)

    1. Dans le volet de navigation du portail Microsoft Defender, sélectionnez Paramètres>Points de terminaison> Intégration (sous Gestion des appareils).
    2. Sélectionnez Windows 10 ou Windows 11 comme système d’exploitation.
    3. Dans le champ Méthode de déploiement , sélectionnez des scripts d’intégration VDI pour les points de terminaison non persistants.
    4. Cliquez sur Télécharger le package et enregistrez le fichier .zip.

  2. Extrayez le contenu du fichier .zip dans un emplacement partagé en lecture seule accessible par l’appareil. Vous devez avoir un dossier appelé OptionalParamsPolicy et les fichiers WindowsDefenderATPOnboardingScript.cmd et Onboard-NonPersistentMachine.ps1.

Utiliser la console de gestion des stratégies de groupe pour exécuter le script au démarrage de la machine virtuelle

  1. Ouvrez la console de gestion des stratégies de groupe (GPMC), cliquez avec le bouton droit sur l’objet de stratégie de groupe (GPO) que vous souhaitez configurer, puis cliquez sur Modifier.

  2. Dans l’Éditeur de gestion des stratégies de groupe, accédez à Configuration de l’ordinateur>Préférences>Paramètres du panneau de configuration.

  3. Cliquez avec le bouton droit sur Tâches planifiées, cliquez sur Nouveau, puis sur Tâche immédiate (Au moins Windows 7).

  4. Dans la fenêtre Tâche qui s’ouvre, accédez à l’onglet Général . Sous Options de sécurité , cliquez sur Modifier l’utilisateur ou le groupe et tapez SYSTEM. Cliquez sur Vérifier les noms , puis sur OK. NT AUTHORITY\SYSTEM apparaît en tant que compte d’utilisateur sur lequel la tâche s’exécutera.

  5. Sélectionnez Exécuter si l’utilisateur est connecté ou non et cochez la case Exécuter avec les privilèges les plus élevés .

  6. Accédez à l’onglet Actions , puis cliquez sur Nouveau. Vérifiez que l’option Démarrer un programme est sélectionnée dans le champ Action. Saisissez les informations suivantes :

    Action = « Démarrer un programme »

    Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

    Ajouter des arguments (facultatif) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

    Ensuite, sélectionnez OK et fermez toutes les fenêtres GPMC ouvertes.

Scénario 3 : Intégration à l’aide d’outils de gestion

Si vous envisagez de gérer vos machines à l’aide d’un outil de gestion, vous pouvez intégrer directement des appareils à Microsoft Endpoint Configuration.

Conseil

Après l’intégration de l’appareil, vous pouvez choisir d’exécuter un test de détection pour vérifier que l’appareil est correctement intégré au service. Pour plus d’informations, consultez Exécuter un test de détection sur un appareil Microsoft Defender pour point de terminaison nouvellement intégré.

Marquage de vos machines lors de la création de votre image d’or

Dans le cadre de votre intégration, vous pouvez envisager de définir une balise d’ordinateur pour différencier plus facilement les machines AVD dans le Centre de sécurité Microsoft. Pour plus d’informations, consultez Ajouter des balises d’appareil en définissant une valeur de clé de Registre.

Lorsque vous générez votre image d’or, vous pouvez également configurer les paramètres de protection initiaux. Pour plus d’informations, consultez Autres paramètres de configuration recommandés.

En outre, si vous utilisez des profils utilisateur FSlogix, nous vous recommandons de suivre les instructions décrites dans les exclusions antivirus FSLogix.

Exigences en matière de licences

Remarque concernant les licences : Lorsque vous utilisez Windows Enterprise multisession, selon vos besoins, vous pouvez choisir de disposer d’une licence pour tous les utilisateurs via Microsoft Defender pour Endpoint (par utilisateur), Windows Enterprise E5, Microsoft 365 E5 Security ou Microsoft 365 E5, ou de disposer d’une licence pour la machine virtuelle via Microsoft Defender pour Cloud. Vous trouverez les exigences en matière de licences pour Microsoft Defender pour Endpoint : conditions de licence.