Integrieren nicht persistenter virtueller Desktopinfrastrukturgeräte

Gilt für:

• Verhinderung von Datenverlust am Endpunkt (Data Loss Prevention, DLP)

• Insider-Risikomanagement

• VDI-Geräte (Virtual Desktop Infrastructure)

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Onboarding von VDI-Geräten

Microsoft 365 unterstützt das Onboarding nicht persistenter VDI-Sitzungen (Virtual Desktop Infrastructure).

Hinweis

Für das Onboarding nicht persistenter VDI-Sitzungen müssen sich VDI-Geräte auf Windows 10 1809 oder höher befinden.

Beim Onboarding von VDIs können damit verbundene Herausforderungen auftreten. Im Folgenden finden Sie typische Herausforderungen für dieses Szenario:

• Sofortiges frühes Onboarding von kurzlebigen Sitzungen, die vor der tatsächlichen Bereitstellung in Microsoft 365 integriert werden müssen.
• Der Gerätename wird in der Regel für neue Sitzungen wiederverwendet.

VDI-Geräte können im Microsoft Purview-Complianceportal wie folgt angezeigt werden:

• Einzelner Eintrag für jedes Gerät. Beachten Sie, dass in diesem Fall beim Erstellen der Sitzung derselbe Gerätename konfiguriert werden muss, z. B. mithilfe einer unbeaufsichtigten Antwortdatei.
• Mehrere Einträge für jedes Gerät – einer für jede Sitzung.

Die folgenden Schritte führen Sie durch das Onboarding von VDI-Geräten und zeigen die Schritte für einzelne und mehrere Einträge auf.

Warnung

Die Unterstützung zur Verhinderung von Datenverlust durch Endpunkte für Windows Virtual Desktop unterstützt szenarien mit einer und mehreren Sitzungen. In Umgebungen, in denen konfigurationen mit geringen Ressourcen vorhanden sind, kann die VDI-Startprozedur den Onboardingprozess des Geräts verlangsamen.

1. Rufen Sie das VDI-Konfigurationspaket .zip Datei (DeviceCompliancePackage.zip) aus Microsoft Purview-Complianceportal ab.

2. Wählen Sie im Navigationsbereich Einstellungen>Geräte-Onboarding Onboarding>aus.

3. Wählen Sie im Feld Bereitstellungsmethodedie Option VDI-Onboardingskripts für nicht persistente Endpunkte aus.

4. Klicken Sie auf Paket herunterladen , und speichern Sie die .zip Datei.

5. Kopieren Sie die Dateien aus dem Ordner DeviceCompliancePackage, der aus der .zip-Datei extrahiert wurde, in das golden Image unter dem Pfad C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

6. Wenn Sie keinen einzelnen Eintrag für jedes Gerät implementieren, kopieren Sie DeviceComplianceOnboardingScript.cmd.

7. Wenn Sie einen einzelnen Eintrag für jedes Gerät implementieren, kopieren Sie sowohl Onboard-NonPersistentMachine.ps1 als auch DeviceComplianceOnboardingScript.cmd.

   Hinweis

   Wenn der C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup Ordner nicht angezeigt wird, ist er möglicherweise ausgeblendet. Sie müssen die Option Ausgeblendete Dateien und Ordner anzeigen aus Explorer auswählen.

8. Öffnen Sie ein Lokales Gruppenrichtlinie-Editor-Fenster, und navigieren Sie zu Computerkonfiguration>Windows Einstellungen>Skripts>Start.

   Hinweis

   Domänen Gruppenrichtlinie können auch für das Onboarding nicht persistenter VDI-Geräte verwendet werden.

9. Führen Sie abhängig von der Methode, die Sie implementieren möchten, die entsprechenden Schritte aus:

   Für einen einzelnen Eintrag für jedes Gerät

   Wählen Sie die Registerkarte PowerShell-Skripts aus, und klicken Sie dann auf Hinzufügen (Windows Explorer wird direkt in dem Pfad geöffnet, in den Sie zuvor das Onboardingskript kopiert haben). Navigieren Sie zum Onboarding des PowerShell-Skripts Onboard-NonPersistentMachine.ps1.

   Für mehrere Einträge für jedes Gerät:

   Wählen Sie die Registerkarte Skripts aus, und klicken Sie dann auf Hinzufügen (Windows Explorer wird direkt in dem Pfad geöffnet, in den Sie zuvor das Onboardingskript kopiert haben). Navigieren Sie zum Bash-Skript DeviceComplianceOnboardingScript.cmdfür das Onboarding.

10. Testen Sie Ihre Lösung:

    1. Erstellen Sie einen Pool mit einem Gerät.
    2. Melden Sie sich am Gerät an.
    3. Melden Sie sich vom Gerät ab.
    4. Melden Sie sich mit einem anderen Benutzer am Gerät an.
    5. Für einen einzelnen Eintrag für jedes Gerät: Überprüfen Sie nur einen Eintrag in Microsoft Defender Security Center. Für mehrere Einträge für jedes Gerät: Überprüfen Sie mehrere Einträge in Microsoft Defender Security Center.

11. Klicken Sie im Navigationsbereich auf Geräteliste .

12. Verwenden Sie die Suchfunktion, indem Sie den Gerätenamen eingeben und Gerät als Suchtyp auswählen.

Aktualisieren nicht persistenter VDI-Images (Virtual Desktop Infrastructure)

Als bewährte Methode empfehlen wir die Verwendung von Offlinewartungstools, um goldene Images zu patchen.

Sie können beispielsweise die folgenden Befehle verwenden, um ein Update zu installieren, während das Image offline bleibt:

DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit

Weitere Informationen zu DISM-Befehlen und zur Offlinewartung finden Sie in den folgenden Artikeln:

• Ändern eines Windows-Images mithilfe von DISM
• DISM-Command-Line-Imageverwaltungsoptionen
• Reduzieren der Größe des Komponentenspeichers in einem Windows-Offlineimage

Wenn die Offlinewartung für Ihre nicht persistente VDI-Umgebung keine praktikable Option ist, sollten die folgenden Schritte ausgeführt werden, um Konsistenz und Sensorintegrität sicherzustellen:

1. Nachdem Sie das goldene Image für die Onlinewartung oder das Patchen gestartet haben, führen Sie ein Offboarding-Skript aus, um den Microsoft 365-Geräteüberwachungssensor zu deaktivieren. Weitere Informationen finden Sie unter Offboarding von Geräten mit einem lokalen Skript.

2. Stellen Sie sicher, dass der Sensor beendet wird, indem Sie den folgenden Befehl in einem CMD-Fenster ausführen:

   sc query sense
   

3. Verwenden Sie das Image nach Bedarf.

4. Führen Sie die folgenden Befehle mit PsExec.exe (die von https://download.sysinternals.com/files/PSTools.zipheruntergeladen werden können) aus, um den Inhalt des Cyberordners zu sauber, den der Sensor seit dem Start möglicherweise angesammelt hat:

   PsExec.exe -s cmd.exe
   cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber"
   del *.* /f /s /q
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
   exit
   

5. Versiegeln Sie das goldene Bild wie gewohnt.

Verwandte Themen

• Onboarding von Windows 10- und Windows 11-Geräten mithilfe von Gruppenrichtlinie
• Integrieren von Windows 10- und Windows 11-Geräten mithilfe von Microsoft Endpoint Configuration Manager
• Onboarding von Windows 10- oder Windows 11-Geräten mithilfe von MDM-Tools (Mobile Device Management)
• Onboarding von Windows 10- oder Windows 11-Geräten mithilfe eines lokalen Skripts
• Behandeln von Problemen beim Onboarding von Microsoft Defender Advanced Threat Protection