Azure Virtual Desktop での Windows デバイスのオンボード

  • [アーティクル]

6 分読み取り

適用対象:

Microsoft Defender for Endpoint では、VDI と Azure Virtual Desktop の両方のセッションの監視がサポートされています。 組織のニーズに応じて、アンマネージド デバイス、リモートロケーション、または同様のシナリオから従業員が企業データやアプリにアクセスできるように、VDI または Azure Virtual Desktop セッションを実装することが必要になる場合があります。 Microsoft Defender for Endpoint を使用すると、これらの仮想マシンで異常なアクティビティを監視できます。

開始する前に

非永続的 VDI に関する考慮事項について理解します。 Azure Virtual Desktop には非永続化オプションはありませんが、新しいホストのプロビジョニングやマシンの再デプロイに使用できるゴールデン Windows イメージを使用する方法が提供されます。 これにより、環境内の揮発性が高まるため、Microsoft Defender for Endpoint ポータルで作成および管理されるエントリに影響を与え、セキュリティ アナリストの可視性が低下する可能性があります。

注:

オンボーディング方法の選択に応じて、デバイスは次のように Microsoft Defender for Endpoint ポータルに表示されます。

  • 仮想デスクトップごとに 1 つのエントリ
  • 仮想デスクトップごとに複数のエントリ

Microsoft では、仮想デスクトップごとに 1 つのエントリとして Azure Virtual Desktop をオンボードすることをお勧めします。 これにより、Microsoft Defender for Endpoint ポータルでの調査エクスペリエンスが、マシン名に基づいて 1 つのデバイスのコンテキストに確実に存在します。 AVD ホストを頻繁に削除して再デプロイする組織は、Microsoft Defender for Endpoint ポータルで同じマシンの複数のオブジェクトが作成されないようにするため、このメソッドの使用を強くお勧めします。 これは、インシデントを調査するときに混乱を招く可能性があります。 テスト環境または非揮発性環境の場合は、別の方法で選択することもできます。

Microsoft では、AVD ゴールデン イメージに Microsoft Defender for Endpoint オンボード スクリプトを追加することをお勧めします。 これにより、このオンボード スクリプトが最初の起動時にすぐに実行されることを確認できます。 これは、AVD ゴールデン イメージからプロビジョニングされたすべての AVD マシンで、最初の起動時にスタートアップ スクリプトとして実行されます。 ただし、いずれかのギャラリー イメージを変更せずに使用している場合は、スクリプトを共有の場所に配置し、ローカルまたはドメイン グループ ポリシーから呼び出します。

注:

AVD ゴールデン イメージ上の VDI オンボード スタートアップ スクリプトの配置と構成により、AVD の起動時に実行されるスタートアップ スクリプトとして構成されます。 実際の AVD ゴールデン イメージをオンボード することは お勧めしません。 もう 1 つの考慮事項は、スクリプトの実行に使用されるメソッドです。 スタートアップ/プロビジョニング プロセスの早い段階で実行して、マシンがセッションを受信できる時間と、サービスへのデバイス オンボードまでの時間を短縮する必要があります。 以下のシナリオ 1 と 2 では、これを考慮します。

シナリオ

AVD ホスト マシンをオンボードするには、いくつかの方法があります。

  • 起動時にゴールデン イメージ (または共有の場所から) でスクリプトを実行します。
  • 管理ツールを使用してスクリプトを実行します。
  • Microsoft Defender for Cloud との統合を通じて

シナリオ 1: ローカル グループ ポリシーの使用

このシナリオでは、スクリプトをゴールデン イメージに配置し、ローカル グループ ポリシーを使用してブート プロセスの早い段階で実行する必要があります。

「非永続的仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボード」の手順を使用します。

各デバイスの 1 つのエントリの手順に従います。

シナリオ 2: ドメイン グループ ポリシーの使用

このシナリオでは、中央に配置されたスクリプトを使用し、ドメイン ベースのグループ ポリシーを使用して実行します。 また、スクリプトをゴールデン イメージに配置し、同じ方法で実行することもできます。

Microsoft Defender ポータルから WindowsDefenderATPOnboardingPackage.zip ファイルをダウンロードする

  1. VDI 構成パッケージ .zip ファイルを開きます (WindowsDefenderATPOnboardingPackage.zip)

    1. Microsoft Defender ポータルのナビゲーション ウィンドウで、 設定>Endpoints>Onboarding ( [デバイス管理] の下) を選択します。
    2. オペレーティング システムとして [Windows 10] または [Windows 11] を選択します。
    3. [ デプロイ方法 ] フィールドで、非永続的エンドポイントの VDI オンボード スクリプトを選択します。
    4. [ パッケージのダウンロード ] をクリックし、.zip ファイルを保存します。

  2. デバイスからアクセスできる共有の読み取り専用の場所に、.zip ファイルの内容を抽出します。 OptionalParamsPolicy という名前のフォルダーと、ファイルがWindowsDefenderATPOnboardingScript.cmdされ、Onboard-NonPersistentMachine.ps1されている必要があります。

グループ ポリシー管理コンソールを使用して、仮想マシンの起動時にスクリプトを実行する

  1. グループ ポリシー管理コンソール (GPMC) を開き、構成するグループ ポリシー オブジェクト (GPO) を右クリックし、[編集] をクリックします。

  2. グループ ポリシー管理エディターで、 コンピューターの構成>Preferences>Control パネルの設定に移動します。

  3. [ スケジュールされたタスク] を右クリックし、[ 新規] をクリックし、[ イミディエイト タスク (Windows 7 以上)] をクリックします。

  4. 開いた [タスク] ウィンドウで、[ 全般 ] タブに移動します。[ セキュリティ オプション ] の [ ユーザーの変更] または [グループ ] をクリックし、「SYSTEM」と入力します。 [ 名前の確認 ] をクリックし、[OK] をクリックします。 NT AUTHORITY\SYSTEM は、タスクを実行するユーザー アカウントとして表示されます。

  5. [ユーザーがログオンしているかどうかに関係なく実行する] を選択し、[最高の権限で実行する] チェックボックスをオンにします。

  6. [ アクション ] タブに移動し、[ 新規] をクリックします。 [アクション] フィールド で [プログラムの開始 ] が選択されていることを確認します。 次の情報を入力します。

    Action = "Start a program"

    Program/Script = C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe

    Add Arguments (optional) = -ExecutionPolicy Bypass -command "& \\Path\To\Onboard-NonPersistentMachine.ps1"

    次に、[ OK] を 選択し、開いている GPMC ウィンドウを閉じます。

シナリオ 3: 管理ツールを使用したオンボード

管理ツールを使用してマシンを管理する場合は、Microsoft Endpoint Configuration Manager を使用してデバイスをオンボードできます。

詳細については、「 Configuration Manager を使用した Windows デバイスのオンボード」を参照してください。

警告

攻撃面の縮小ルールリファレンスを使用する予定の場合は、ルールが Microsoft Endpoint Configuration Manager を使用した管理と互換性がないため、"PSExec および WMI コマンドから発生するプロセスの作成をブロックする" というルールは使用しないでください。 規則は、Configuration Manager クライアントが正しく機能するために使用する WMI コマンドをブロックします。

ヒント

デバイスのオンボード後、検出テストを実行して、デバイスがサービスに適切にオンボードされていることを確認できます。 詳細については、「新しくオンボードされた Microsoft Defender for Endpoint デバイスで検出テストを実行する」 を参照してください。

ゴールデン イメージを構築するときにマシンにタグを付ける

オンボードの一環として、Microsoft Security Center で AVD マシンをより簡単に区別するようにマシン タグを設定することを検討してください。 詳細については、「 レジストリ キー値を設定してデバイス タグを追加する」を参照してください。

ゴールデン イメージをビルドするときは、初期保護設定も構成できます。 詳細については、「 その他の推奨構成設定」を参照してください。

また、FSlogix ユーザー プロファイルを使用している場合は、「 FSLogix ウイルス対策の除外」で説明されているガイダンスに従うことをお勧めします。

ライセンスの要件

Windows Enterprise マルチセッションを使用する場合、セキュリティのベスト プラクティスに従って、仮想マシンは Microsoft Defender for Servers を通じてライセンスを取得することも、次のいずれかのライセンスを使用してすべての Azure Virtual Desktop 仮想マシン ユーザーにライセンスを付与するかを選択できます。

  • Microsoft Defender for Endpoint プラン 1 またはプラン 2 (ユーザーごと)
  • Windows Enterprise E3
  • Windows Enterprise E5
  • Microsoft 365 E3
  • Microsoft 365 E5 Security
  • Microsoft 365 E5

Microsoft Defender for Endpoint のライセンス要件については、「 ライセンス要件」を参照してください。

PowerShell を使用して Defender for Endpoint の除外を追加する

FSLogix マルウェア対策の除外

リモート デスクトップまたは仮想デスクトップ インフラストラクチャ環境で Microsoft Defender ウイルス対策を構成する

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。