Microsoft Defender XDRでの非永続的仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボード

仮想デスクトップ インフラストラクチャ (VDI) は、エンド ユーザーがほぼすべてのデバイス (パーソナル コンピューター、スマートフォン、タブレットなど) からエンタープライズ仮想デスクトップ インスタンスにアクセスできるようにする IT インフラストラクチャの概念であり、ユーザーに物理マシンを提供organization必要がなくなります。 VDI デバイスを使用すると、IT 部門が物理エンドポイントの管理、修復、および交換を行う必要がなくなるため、コストが削減されます。 承認されたユーザーは、セキュリティで保護されたデスクトップ クライアントまたはブラウザーを介して、承認された任意のデバイスから同じ会社のサーバー、ファイル、アプリ、およびサービスにアクセスできます。

IT 環境内の他のシステムと同様に、高度な脅威や攻撃から保護するためのエンドポイント検出と応答 (EDR) とウイルス対策ソリューションも必要です。

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

注:

永続 VDI の - 永続的な VDI マシンをMicrosoft Defender for Endpointにオンボードすることは、デスクトップやノート PC などの物理マシンをオンボードするのと同じ方法で処理されます。 グループ ポリシー、Microsoft Configuration Manager、およびその他の方法を使用して、永続的なマシンをオンボードできます。 Microsoft Defender ポータルの [オンボード] の下にある (https://security.microsoft.com) で、任意のオンボード方法を選択し、その種類の指示に従います。 詳細については、「 Windows クライアントのオンボード」を参照してください。

非永続的仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボード

Defender for Endpoint では、非永続的な VDI セッションオンボードがサポートされます。

VDI インスタンスのオンボード時に、関連する課題が発生する可能性があります。 このシナリオの一般的な課題を次に示します。

  • 実際のプロビジョニングの前に Defender for Endpoint にオンボードする必要がある、有効期間の短いセッションの即時早期オンボード。
  • 通常、デバイス名は新しいセッションで再利用されます。

VDI 環境では、VDI インスタンスの有効期間が短い場合があります。 VDI デバイスは、Microsoft Defender ポータルで、各 VDI インスタンスの 1 つのエントリとして、または各デバイスの複数のエントリとして表示できます。

  • VDI インスタンスごとに 1 つのエントリ。 VDI インスタンスが既にMicrosoft Defender for Endpointにオンボードされていて、ある時点で削除された後、同じホスト名で再作成された場合、この VDI インスタンスを表す新しいオブジェクトはポータルに作成されません。

    注:

    この場合、無人応答ファイルを使用するなど、セッションの作成時に 同じ デバイス名を構成する必要があります。

  • 各デバイスの複数のエントリ - VDI インスタンスごとに 1 つ。

重要

複製テクノロジを使用して非永続的な VDI をデプロイする場合は、内部テンプレート VM が Defender for Endpoint にオンボードされていないことを確認します。 この推奨事項は、複製された VM がテンプレート VM と同じ senseGuid でオンボードされないようにすることです。これにより、VM が [デバイス] リストに新しいエントリとして表示されない可能性があります。

次の手順では、VDI デバイスのオンボードについて説明し、1 つのエントリと複数のエントリの手順を強調表示します。

警告

リソース構成が少ない環境では、VDI ブート手順によって Defender for Endpoint センサーのオンボードが遅くなる可能性があります。

オンボード手順

注:

この機能を機能させるには、「Windows サーバーのオンボード」の手順に従って、最初にインストール パッケージを適用して、Windows Server 2016と R2 Windows Server 2012を準備する必要があります。

  1. サービス オンボード ウィザードからダウンロードした VDI 構成パッケージ .zip ファイル (WindowsDefenderATPOnboardingPackage.zip) を開きます。 Microsoft Defender ポータルからパッケージを取得することもできます。

    1. ナビゲーション ウィンドウで、[設定エンドポイント>] [デバイス管理>のオンボード]> の順に選択します。

    2. オペレーティング システムを選択します。

    3. [ デプロイ方法 ] フィールドで、 非永続的エンドポイントの VDI オンボード スクリプトを選択します

    4. [ パッケージのダウンロード ] をクリックし、.zip ファイルを保存します。

  2. .zip ファイルから抽出された WindowsDefenderATPOnboardingPackage フォルダーから、パス C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startupの下にあるゴールデン/プライマリ イメージにファイルをコピーします。

    1. デバイスごとに複数のエントリ (セッションごとに 1 つ) を実装する場合は、WindowsDefenderATPOnboardingScript.cmdをコピーします。

    2. デバイスごとに 1 つのエントリを実装する場合は、Onboard-NonPersistentMachine.ps1 とWindowsDefenderATPOnboardingScript.cmdの両方をコピーします。

    注:

    フォルダーが表示 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup されない場合は、非表示になっている可能性があります。 エクスプローラーから [非表示のファイルとフォルダーを表示する] オプションを選択する必要があります。

  3. [ローカル グループ ポリシー エディター] ウィンドウを開き、[コンピューターの構成>] [Windows 設定] [スクリプト>の起動]> の順に移動します。

    注:

    ドメイン グループ ポリシーは、非永続的 VDI デバイスのオンボードにも使用できます。

  4. 実装するメソッドに応じて、適切な手順に従います。

    • 各デバイスの単一エントリの場合:

      [PowerShell スクリプト] タブを選択し、[追加] を選択します (Windows エクスプローラーは、前にオンボード スクリプトをコピーしたパスで直接開きます)。 [オンボード PowerShell スクリプト Onboard-NonPersistentMachine.ps1] に移動します。 他のファイルは自動的にトリガーされるため、指定する必要はありません。

    • デバイスごとに複数のエントリの場合:

      [スクリプト] タブを選択し、[追加] をクリックします (Windows エクスプローラーは、前にオンボード スクリプトをコピーしたパスで直接開きます)。 オンボード bash スクリプト WindowsDefenderATPOnboardingScript.cmdに移動します。

  5. ソリューションをテストする:

    1. 1 つのデバイスを使用してプールをCreateします。

    2. デバイスにログオンします。

    3. デバイスからログオフします。

    4. 別のユーザーとデバイスにログオンします。

    5. 実装するメソッドに応じて、適切な手順に従います。

      • 各デバイスの 1 つのエントリの場合: ポータルで 1 つのエントリのみを確認Microsoft Defender。
      • デバイスごとに複数のエントリの場合: ポータルで複数のエントリMicrosoft Defender確認します。
  6. ナビゲーション ウィンドウで [ デバイスの一覧 ] をクリックします。

  7. デバイス名を入力して検索機能を使用し、検索の種類として [デバイス ] を選択します。

ダウンレベル SKU の場合 (Windows Server 2008 R2)

注:

他の Windows サーバー バージョンのこれらの手順は、MMA を必要とする Windows Server 2016 および Windows Server 2012 R2 の前のMicrosoft Defender for Endpointを実行している場合にも適用されます。 新しい統合ソリューションに移行する手順は、「Microsoft Defender for Endpoint のサーバー移行シナリオ」 にあります。

次のレジストリは、目的が "各デバイスの単一エントリ" を達成する場合にのみ関連します。

  1. レジストリ値を に設定します。

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
    "VDI"="NonPersistent"
    

    コマンド ラインを使用する場合:

    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
    
  2. サーバーの オンボード プロセスに従います。

仮想デスクトップ インフラストラクチャ (VDI) イメージの更新 (永続的または非永続的)

VDI で実行されている VM に更新プログラムを簡単にデプロイできるため、このガイドを短くして、コンピューターの更新プログラムを迅速かつ簡単に入手する方法に焦点を当てています。 更新プログラムはホスト サーバー上のコンポーネント ビットに展開され、オンになると VM に直接ダウンロードされるため、ゴールデン イメージを定期的に作成してシールする必要はなくなりました。

VDI 環境のプライマリ イメージをオンボードしている (SENSE サービスが実行されている) 場合は、イメージを運用環境に戻す前に、一部のデータをオフボードしてクリアする必要があります。

  1. マシンのオフボード

  2. CMD ウィンドウで次のコマンドを実行して、センサーが停止していることを確認します。

    sc query sense
    
  3. CMD ウィンドウで次のコマンドを実行します。

    del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
    exit
    

VDI にサード パーティを使用していますか?

VMware インスタント 複製または同様のテクノロジを使用して非永続的な VDI をデプロイする場合は、内部テンプレート VM とレプリカ VM が Defender for Endpoint にオンボードされていないことを確認します。 1 つのエントリ方法を使用してデバイスをオンボードした場合、オンボードされた VM からプロビジョニングされたインスタント クローンは、同じ senseGuid を持ち、新しいエントリが [デバイス インベントリ] ビューに表示されないようにすることができます (Microsoft Defender ポータルの [資産>デバイス] を選択します)。

プライマリ イメージ、テンプレート VM、またはレプリカ VM のいずれかが 1 つのエントリ メソッドを使用して Defender for Endpoint にオンボードされている場合、Microsoft Defender ポータルで新しい非永続的な VDI のエントリが Defender によって作成されなくなります。

詳細については、サード パーティベンダーにお問い合わせください。

デバイスをサービスにオンボードした後は、次の推奨構成設定でデバイスを有効にすることで、含まれている脅威保護機能を利用することが重要です。

次世代の保護構成

次の構成設定をお勧めします。

Cloud Protection サービス

  • クラウドによる保護を有効にする: はい
  • クラウドによる保護レベル: 未構成
  • Defender Cloud 拡張タイムアウト (秒単位): 20

除外

リアルタイム保護

  • すべての設定をオンにし、すべてのファイルを監視するように設定します

修復

  • 検疫されたマルウェアを保持する日数: 30
  • サンプルの送信同意: すべてのサンプルを自動的に送信する
  • 望ましくない可能性のあるアプリに対して実行するアクション: 有効
  • 検出された脅威に対するアクション:
    • 低脅威: クリーン
    • 中程度の脅威、高い脅威、重大な脅威: 検疫

スキャン

  • アーカイブされたファイルをスキャンする: はい
  • スケジュールされたスキャンに低い CPU 優先度を使用する: 未構成
  • キャッチアップ フル スキャンを無効にする: 未構成
  • キャッチアップ クイック スキャンを無効にする: 未構成
  • スキャンあたりの CPU 使用率の制限: 50
  • フル スキャン中にマップされたネットワーク ドライブをスキャンする: 未構成
  • 毎日のクイック スキャンの実行時間: 午後 12 時
  • スキャンの種類: 未構成
  • スケジュールされたスキャンを実行する曜日: 未構成
  • スケジュールされたスキャンを実行する時刻: 未構成
  • スキャンを実行する前に署名の更新を確認する: はい

更新プログラム

  • セキュリティ インテリジェンス更新プログラムをチェックする頻度を入力します: 8
  • 他の設定は既定の状態のままにします

ユーザー エクスペリエンス

  • Microsoft Defender アプリへのユーザー アクセスを許可する: 未構成

改ざん防止を有効にする

  • 改ざん防止を有効にして、Microsoft Defenderが無効にならないようにする: 有効にする

攻撃面の縮小

  • ネットワーク保護を有効にする: テスト モード
  • Microsoft Edge に SmartScreen を要求する: はい
  • 悪意のあるサイト アクセスをブロックする: はい
  • 未確認のファイルのダウンロードをブロックする: はい

攻撃面の減少ルール

  • [監査] に使用可能なすべてのルールを構成します。

注:

これらのアクティビティをブロックすると、正当なビジネス プロセスが中断される可能性があります。 最善の方法は、すべてを監査に設定し、どの設定を有効にしても安全かを特定し、誤検知検出がないエンドポイントでそれらの設定を有効にすることです。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。