Integrieren nicht persistenter virtueller Desktopinfrastrukturgeräte
Gilt für:
Verhinderung von Datenverlust am Endpunkt (Data Loss Prevention, DLP)
VDI-Geräte (Virtual Desktop Infrastructure)
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Microsoft 365 unterstützt das Onboarding nicht persistenter VDI-Sitzungen (Virtual Desktop Infrastructure).
Hinweis
Für das Onboarding nicht persistenter VDI-Sitzungen müssen sich VDI-Geräte auf Windows 10 1809 oder höher befinden.
Beim Onboarding von VDIs können damit verbundene Herausforderungen auftreten. Im Folgenden finden Sie typische Herausforderungen für dieses Szenario:
- Sofortiges frühes Onboarding von kurzlebigen Sitzungen, die vor der tatsächlichen Bereitstellung in Microsoft 365 integriert werden müssen.
- Der Gerätename wird in der Regel für neue Sitzungen wiederverwendet.
VDI-Geräte können im Microsoft Purview-Complianceportal wie folgt angezeigt werden:
- Einzelner Eintrag für jedes Gerät. Beachten Sie, dass in diesem Fall beim Erstellen der Sitzung derselbe Gerätename konfiguriert werden muss, z. B. mithilfe einer unbeaufsichtigten Antwortdatei.
- Mehrere Einträge für jedes Gerät – einer für jede Sitzung.
Die folgenden Schritte führen Sie durch das Onboarding von VDI-Geräten und zeigen die Schritte für einzelne und mehrere Einträge auf.
Warnung
Die Unterstützung zur Verhinderung von Datenverlust durch Endpunkte für Windows Virtual Desktop unterstützt szenarien mit einer und mehreren Sitzungen. In Umgebungen, in denen konfigurationen mit geringen Ressourcen vorhanden sind, kann die VDI-Startprozedur den Onboardingprozess des Geräts verlangsamen.
Rufen Sie das VDI-Konfigurationspaket .zip Datei (DeviceCompliancePackage.zip) aus Microsoft Purview-Complianceportal ab.
Wählen Sie im Navigationsbereich Einstellungen>Geräte-Onboarding Onboarding>aus.
Wählen Sie im Feld Bereitstellungsmethodedie Option VDI-Onboardingskripts für nicht persistente Endpunkte aus.
Klicken Sie auf Paket herunterladen , und speichern Sie die .zip Datei.
Kopieren Sie die Dateien aus dem Ordner DeviceCompliancePackage, der aus der .zip-Datei extrahiert wurde, in das
golden
Image unter dem PfadC:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
.Wenn Sie nicht einen einzelnen Eintrag für jedes Gerät implementieren, kopieren Sie DeviceComplianceOnboardingScript.cmd.
Wenn Sie einen einzelnen Eintrag für jedes Gerät implementieren, kopieren Sie sowohl Onboard-NonPersistentMachine.ps1 als auch DeviceComplianceOnboardingScript.cmd.
Hinweis
Wenn der
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
Ordner nicht angezeigt wird, ist er möglicherweise ausgeblendet. Sie müssen die Option Ausgeblendete Dateien und Ordner anzeigen aus Explorer auswählen.Öffnen Sie ein Lokales Gruppenrichtlinie Editor Fenster, und navigieren Sie zu Computerkonfiguration>Windows Einstellungen>Skripts>Start.
Hinweis
Domänen Gruppenrichtlinie können auch für das Onboarding nicht persistenter VDI-Geräte verwendet werden.
Führen Sie abhängig von der Methode, die Sie implementieren möchten, die entsprechenden Schritte aus:
Für einen einzelnen Eintrag für jedes Gerät
Wählen Sie die Registerkarte PowerShell-Skripts aus, und klicken Sie dann auf Hinzufügen (Windows Explorer wird direkt in dem Pfad geöffnet, in den Sie zuvor das Onboardingskript kopiert haben). Navigieren Sie zum Onboarding des PowerShell-Skripts
Onboard-NonPersistentMachine.ps1
.Für mehrere Einträge für jedes Gerät:
Wählen Sie die Registerkarte Skripts aus, und klicken Sie dann auf Hinzufügen (Windows Explorer wird direkt in dem Pfad geöffnet, in den Sie zuvor das Onboardingskript kopiert haben). Navigieren Sie zum Bash-Skript
DeviceComplianceOnboardingScript.cmd
für das Onboarding.Testen Sie Ihre Lösung:
- Erstellen Sie einen Pool mit einem Gerät.
- Melden Sie sich am Gerät an.
- Melden Sie sich vom Gerät ab.
- Melden Sie sich mit einem anderen Benutzer am Gerät an.
- Für einen einzelnen Eintrag für jedes Gerät: Überprüfen Sie nur einen Eintrag in Microsoft Defender Security Center. Für mehrere Einträge für jedes Gerät: Überprüfen Sie mehrere Einträge in Microsoft Defender Security Center.
Klicken Sie im Navigationsbereich auf Geräteliste .
Verwenden Sie die Suchfunktion, indem Sie den Gerätenamen eingeben und Gerät als Suchtyp auswählen.
Als bewährte Methode empfehlen wir die Verwendung von Offlinewartungstools, um goldene Images zu patchen.
Sie können beispielsweise die folgenden Befehle verwenden, um ein Update zu installieren, während das Image offline bleibt:
DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit
Weitere Informationen zu DISM-Befehlen und zur Offlinewartung finden Sie in den folgenden Artikeln:
- Ändern eines Windows-Images mithilfe von DISM
- DISM-Command-Line-Imageverwaltungsoptionen
- Reduzieren der Größe des Komponentenspeichers in einem Windows-Offlineimage
Wenn die Offlinewartung für Ihre nicht persistente VDI-Umgebung keine praktikable Option ist, sollten die folgenden Schritte ausgeführt werden, um Konsistenz und Sensorintegrität sicherzustellen:
Nachdem Sie das goldene Image für die Onlinewartung oder das Patchen gestartet haben, führen Sie ein Offboarding-Skript aus, um den Microsoft 365-Geräteüberwachungssensor zu deaktivieren. Weitere Informationen finden Sie unter Offboarding von Geräten mit einem lokalen Skript.
Stellen Sie sicher, dass der Sensor beendet wird, indem Sie den folgenden Befehl in einem CMD-Fenster ausführen:
sc query sense
Verwenden Sie das Image nach Bedarf.
Führen Sie die folgenden Befehle mit PsExec.exe (die von https://download.sysinternals.com/files/PSTools.zipheruntergeladen werden können) aus, um den Inhalt des Cyberordners zu sauber, den der Sensor seit dem Start möglicherweise angesammelt hat:
PsExec.exe -s cmd.exe cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber" del *.* /f /s /q REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f exit
Versiegeln Sie das goldene Bild wie gewohnt.
- Onboarding von Windows 10- und Windows 11-Geräten mithilfe von Gruppenrichtlinie
- Integrieren von Windows 10- und Windows 11-Geräten mithilfe von Microsoft Endpoint Configuration Manager
- Onboarding von Windows 10- oder Windows 11-Geräten mithilfe von MDM-Tools (Mobile Device Management)
- Onboarding von Windows 10- oder Windows 11-Geräten mithilfe eines lokalen Skripts
- Behandeln von Problemen beim Onboarding von Microsoft Defender Advanced Threat Protection