إلحاق أجهزة البنية الأساسية لسطح المكتب الظاهري (VDI) غير المستمرة في Microsoft Defender XDR

ينطبق على:

• Microsoft Defender لنقطة النهاية الخطة 1 والخطة 2
• Microsoft Defender لنقطة النهاية للخوادم
• Microsoft Defender للخوادم الخطة 1 أو الخطة 2
• أجهزة البنية الأساسية لسطح المكتب الظاهري (VDI)
• Windows 11
• Windows 10
• Windows Server 2025
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016‏
• Windows Server 2012 R2
• Windows Server 2008‏

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

البنية الأساسية لسطح المكتب الظاهري (VDI) هي مفهوم البنية الأساسية تكنولوجيا المعلومات الذي يتيح للمستخدمين النهائيين الوصول إلى مثيلات أجهزة سطح المكتب الظاهرية للمؤسسة من أي جهاز تقريبا (مثل الكمبيوتر الشخصي أو الهاتف الذكي أو الكمبيوتر اللوحي)، ما يلغي الحاجة إلى المؤسسة لتزويد المستخدمين بأجهزة فعلية. يؤدي استخدام أجهزة VDI إلى تقليل التكاليف، حيث لم تعد أقسام تكنولوجيا المعلومات مسؤولة عن إدارة نقاط النهاية الفعلية وإصلاحها واستبدالها. يمكن للمستخدمين المعتمدين الوصول إلى نفس خوادم الشركة والملفات والتطبيقات والخدمات من أي جهاز معتمد من خلال عميل سطح مكتب آمن أو مستعرض.

مثل أي نظام آخر في بيئة تكنولوجيا المعلومات، يجب أن تحتوي أجهزة VDI على اكتشاف نقطة النهاية والاستجابة لها (EDR) وحل مكافحة الفيروسات للحماية من التهديدات والهجمات المتقدمة.

إلحاق أجهزة البنية الأساسية لسطح المكتب الظاهري (VDI) غير المستمرة

يدعم Defender لنقطة النهاية إعداد جلسة VDI غير المستمرة. قد تكون هناك تحديات مرتبطة عند إعداد مثيلات VDI. فيما يلي تحديات نموذجية لهذا السيناريو:

• الإعداد المبكر الفوري لجلسة قصيرة الأجل، والتي يجب إلحاقها ب Defender لنقطة النهاية قبل التزويد الفعلي.

• عادة ما تتم إعادة استخدام اسم الجهاز لجلسات العمل الجديدة.

• في بيئة VDI، يمكن أن يكون لمثيلات VDI عمر قصير. يمكن أن تظهر أجهزة VDI في مدخل Microsoft Defender إما كإدخالات مفردة لكل مثيل VDI أو إدخالات متعددة لكل جهاز.

  • إدخال واحد لكل مثيل VDI. إذا تم إلحاق مثيل VDI بالفعل Microsoft Defender لنقطة النهاية، وفي مرحلة ما تم حذفه، ثم إعادة إنشائه بنفس اسم المضيف، فلن يتم إنشاء كائن جديد يمثل مثيل VDI هذا في المدخل. في هذه الحالة، يجب تكوين نفس اسم الجهاز عند إنشاء جلسة العمل، على سبيل المثال باستخدام ملف إجابة غير مراقب.
  • إدخالات متعددة لكل جهاز - واحد لكل مثيل VDI.
  • بالنسبة لجميع أجهزة VDI، عند إلحاقها للمرة الأولى، يكون هناك تأخير للعميل من 3 إلى 4 ساعات تقريبا.

ترشدك الخطوات التالية خلال إلحاق أجهزة VDI وتمييز الخطوات للإدخالات الفردية والمتعددة.

خطوات الإلحاق

1. افتح ملف حزمة تكوين VDI (WindowsDefenderATPOnboardingPackage.zip) الذي قمت بتنزيله من معالج إلحاق الخدمة. يمكنك أيضا الحصول على الحزمة من مدخل Microsoft Defender.

   1. في جزء التنقل، حدد Settings>Endpoints>Device management>Onboarding.

   2. حدد نظام التشغيل.

   3. في حقل أسلوب النشر ، حدد VDI إلحاق البرامج النصية لنقاط النهاية غير المستمرة.

   4. حدد تنزيل الحزمة واحفظ الملف.

2. انسخ الملفات من WindowsDefenderATPOnboardingPackage المجلد المستخرج من المجلد المضغوط إلى الصورة الذهبية/الأساسية ضمن المسار C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

   • إذا كنت تقوم بتنفيذ إدخالات متعددة لكل جهاز - واحد لكل جلسة عمل، فانسخ WindowsDefenderATPOnboardingScript.cmd.

   • إذا كنت تقوم بتنفيذ إدخال واحد لكل جهاز، فانسخ كل من Onboard-NonPersistentMachine.ps1 و WindowsDefenderATPOnboardingScript.cmd.

   ملاحظة

   إذا لم تتمكن من C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup رؤية المجلد، فقد يكون مخفيا. ستحتاج إلى اختيار الخيار إظهار الملفات والمجلدات المخفية من مستكشف الملفات.

3. افتح نافذة local نهج المجموعة المحرر وانتقل إلى Computer Configuration>Windows Settings Scripts>>Startup.

   ملاحظة

   يمكن أيضا استخدام نهج المجموعة المجال لإلحاق أجهزة VDI غير المستمرة.

4. اعتمادا على الطريقة التي تريد تنفيذها، اتبع الخطوات المناسبة:

   أسلوب	الخطوات
   إدخال واحد لكل جهاز	1. حدد علامة التبويب PowerShell Scripts ، ثم حدد Add (يفتح Windows Explorer مباشرة في المسار حيث نسخت البرنامج النصي للإلحاق سابقا). 2. انتقل إلى إلحاق البرنامج النصي Onboard-NonPersistentMachine.ps1PowerShell . ليست هناك حاجة لتحديد الملف الآخر، حيث يتم تشغيله تلقائيا.
   إدخالات متعددة لكل جهاز	1. حدد علامة التبويب البرامج النصية ، ثم حدد إضافة (يفتح مستكشف Windows مباشرة في المسار حيث نسخت البرنامج النصي للإلحاق سابقا). 2. انتقل إلى البرنامج النصي WindowsDefenderATPOnboardingScript.cmdbash للإلحاق .

5. اختبر الحل باتباع الخطوات التالية:

   1. إنشاء تجمع مع جهاز واحد.

   2. تسجيل الدخول إلى الجهاز.

   3. تسجيل الخروج على الجهاز.

   4. سجل الدخول إلى الجهاز باستخدام حساب آخر.

   5. اعتمادا على الطريقة التي تريد تنفيذها، اتبع الخطوات المناسبة:

      • لإدخال واحد لكل جهاز: تحقق من إدخال واحد فقط في مدخل Microsoft Defender.
      • لإدخالات متعددة لكل جهاز: تحقق من إدخالات متعددة في مدخل Microsoft Defender.

6. في جزء التنقل، حدد قائمة الأجهزة.

7. استخدم وظيفة البحث عن طريق إدخال اسم الجهاز وحدد الجهاز كنوع بحث.

لوحدات SKU ذات المستوى الأدنى (Windows Server 2008 R2)

السجل التالي ذو صلة فقط عندما يكون الهدف هو تحقيق إدخال واحد لكل جهاز.

1. قم بتعيين قيمة التسجيل كما يلي:

   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging]
    "VDI"="NonPersistent"
   
   

   أو يمكنك استخدام سطر الأوامر كما يلي:

   
   reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging" /v VDI /t REG_SZ /d "NonPersistent" /f
   
   

2. اتبع عملية إلحاق الخادم.

تحديث صور البنية الأساسية لسطح المكتب الظاهري (VDI) (ثابتة أو غير ثابتة)

مع القدرة على نشر التحديثات بسهولة على الأجهزة الظاهرية التي تعمل في VDIs، قمنا بتقصير هذا الدليل للتركيز على كيفية الحصول على التحديثات على أجهزتك بسرعة وسهولة. لم تعد بحاجة إلى إنشاء صور ذهبية وختمها بشكل دوري، حيث يتم توسيع التحديثات إلى بتات المكون الخاصة بها على الخادم المضيف ثم تنزيلها مباشرة إلى الجهاز الظاهري عند تشغيله.

إذا قمت بإلحاق الصورة الأساسية لبيئة VDI الخاصة بك (خدمة SENSE قيد التشغيل)، فيجب عليك إلغاء إلحاق بعض البيانات ومسحها قبل إعادة الصورة إلى الإنتاج.

1. إلغاء إلحاق الجهاز.

2. تأكد من إيقاف المستشعر عن طريق تشغيل الأمر التالي في نافذة CMD:

   
   sc query sense
   
   

3. تشغيل الأوامر التالية في نافذة CMD::

   
   del "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber\*.*" /f /s /q
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v 7DC0B629-D7F6-4DB3-9BF7-64D5AAF50F1A /f
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\48A68F11-7A16-4180-B32C-7F974C7BD783" /f
   exit
   
   

هل تستخدم جهة خارجية ل VDIs؟

إذا كنت تقوم بنشر VDIs غير المستمرة من خلال الاستنساخ الفوري ل VMware أو تقنيات مشابهة، فتأكد من عدم إلحاق الأجهزة الظاهرية للقالب الداخلي والأجهزة الظاهرية المتماثلة ب Defender لنقطة النهاية. إذا قمت بإلحاق الأجهزة باستخدام أسلوب الإدخال الفردي، فقد يكون للنسخ الفورية التي يتم توفيرها من الأجهزة الظاهرية المإلحاقة نفس senseGuid، والتي يمكن أن تمنع إدراج إدخال جديد في طريقة عرض Device Inventory (في مدخل Microsoft Defender، اختر Assets>Devices).

إذا تم إلحاق الصورة الأساسية أو الجهاز الظاهري للقالب أو النسخة المتماثلة إلى Defender لنقطة النهاية باستخدام أسلوب الإدخال الفردي، فإنه يمنع Defender لنقطة النهاية من إنشاء إدخالات ل VDIs جديدة غير ثابتة في مدخل Microsoft Defender.

تواصل مع موردي الجهات الخارجية للحصول على مزيد من المساعدة.

إعدادات التكوين الموصى بها الأخرى

بعد إلحاق الأجهزة بالخدمة، من المهم الاستفادة من إمكانات الحماية من التهديدات المضمنة من خلال تمكينها بإعدادات التكوين الموصى بها التالية.

تكوين حماية الجيل التالي

يوصى بإعدادات التكوين في هذا الارتباط: تكوين Microsoft Defender مكافحة الفيروسات على سطح مكتب بعيد أو بيئة بنية أساسية لسطح المكتب الظاهري.

المقالات ذات الصلة

• أجهزة Windows باستخدام نهج المجموعة
• إلحاق أجهزة Windows باستخدام Microsoft Configuration Manager
• أجهزة Windows باستخدام أدوات الأجهزة المحمولة إدارة الجهاز المحمول
• أجهزة Windows باستخدام برنامج نصي محلي
• استكشاف مشكلات إعداد Microsoft Defender لنقطة النهاية وإصلاحها