Intégrer des appareils d’infrastructure de bureau virtuel non persistants

S’applique à :

• Protection contre la perte de données (DLP) de point de terminaison

• Gestion des risques internes

• Appareils vDI (Virtual Desktop Infrastructure)

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Intégrer des appareils VDI

Microsoft 365 prend en charge l’intégration de session VDI (Virtual Desktop Infrastructure) non persistante.

Remarque

Pour intégrer des sessions VDI non persistantes, les appareils VDI doivent être sur Windows 10 1809 ou une version ultérieure.

Il peut y avoir des défis associés lors de l’intégration des VDIs. Voici les défis classiques de ce scénario :

• Intégration anticipée instantanée de sessions de courte durée, qui doivent être intégrées à Microsoft 365 avant le provisionnement réel.
• Le nom de l’appareil est généralement réutilisé pour les nouvelles sessions.

Les appareils VDI peuvent apparaître dans le portail de conformité Microsoft Purview comme suit :

• Entrée unique pour chaque appareil. Notez que dans ce cas, le même nom d’appareil doit être configuré lors de la création de la session, par exemple à l’aide d’un fichier de réponses sans assistance.
• Plusieurs entrées pour chaque appareil : une pour chaque session.

Les étapes suivantes vous guident tout au long de l’intégration d’appareils VDI et mettent en évidence les étapes pour les entrées uniques et multiples.

Avertissement

La prise en charge de la protection contre la perte de données de point de terminaison pour Windows Virtual Desktop prend en charge les scénarios à session unique et multisession. Pour les environnements où les configurations de ressources sont faibles, la procédure de démarrage VDI peut ralentir le processus d’intégration des appareils.

1. Obtenez le fichier de .zip du package de configuration VDI (DeviceCompliancePackage.zip) à partir de portail de conformité Microsoft Purview.

2. Dans le volet de navigation, sélectionnez Paramètres Intégration>de l’appareil>.

3. Dans le champ Méthode de déploiement , sélectionnez Scripts d’intégration VDI pour les points de terminaison non persistants.

4. Cliquez sur Télécharger le package et enregistrez le fichier .zip.

5. Copiez les fichiers du dossier DeviceCompliancePackage extraits du fichier .zip dans l’image golden sous le chemin d’accès C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

6. Si vous n’implémentez pas une seule entrée pour chaque appareil, copiez DeviceComplianceOnboardingScript.cmd.

7. Si vous implémentez une seule entrée pour chaque appareil, copiez Onboard-NonPersistentMachine.ps1 et DeviceComplianceOnboardingScript.cmd.

   Remarque

   Si vous ne voyez pas le C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup dossier, il est peut-être masqué. Vous devez choisir l’option Afficher les fichiers et dossiers masqués dans Explorateur de fichiers.

8. Ouvrez une fenêtre Éditeur de stratégie de groupe local et accédez à Configuration> ordinateurParamètres>Windows Scripts>de démarrage.

   Remarque

   Les stratégie de groupe de domaine peuvent également être utilisées pour l’intégration d’appareils VDI non persistants.

9. Selon la méthode que vous souhaitez implémenter, suivez les étapes appropriées :

   Pour une entrée unique pour chaque appareil

   Sélectionnez l’onglet Scripts PowerShell, puis cliquez sur Ajouter (Windows Explorer s’ouvre directement dans le chemin d’accès où vous avez copié le script d’intégration précédemment). Accédez à l’intégration du script Onboard-NonPersistentMachine.ps1PowerShell .

   Pour plusieurs entrées pour chaque appareil :

   Sélectionnez l’onglet Scripts, puis cliquez sur Ajouter (Windows Explorer s’ouvre directement dans le chemin d’accès où vous avez copié le script d’intégration précédemment). Accédez au script DeviceComplianceOnboardingScript.cmdbash d’intégration .

10. Testez votre solution :

    1. Créez un pool avec un seul appareil.
    2. Connectez-vous à l’appareil.
    3. Déconnectez-vous de l’appareil.
    4. Connectez-vous à l’appareil avec un autre utilisateur.
    5. Pour une entrée unique pour chaque appareil : vérifiez une seule entrée dans Centre de sécurité Microsoft Defender. Pour plusieurs entrées pour chaque appareil : vérifiez plusieurs entrées dans Centre de sécurité Microsoft Defender.

11. Cliquez sur Liste des appareils dans le volet de navigation.

12. Utilisez la fonction de recherche en entrant le nom de l’appareil et en sélectionnant Appareil comme type de recherche.

Mise à jour des images VDI (Virtual Desktop Infrastructure) non persistantes

En guise de meilleure pratique, nous vous recommandons d’utiliser des outils de maintenance hors connexion pour corriger les images golden.

Par exemple, vous pouvez utiliser les commandes ci-dessous pour installer une mise à jour pendant que l’image reste hors connexion :

DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit

Pour plus d’informations sur les commandes DISM et la maintenance hors connexion, reportez-vous aux articles ci-dessous :

• Modifier une image Windows à l’aide de DISM
• Options de Command-Line gestion des images DISM
• Réduire la taille du magasin de composants dans une image Windows hors connexion

Si la maintenance hors connexion n’est pas une option viable pour votre environnement VDI non persistant, les étapes suivantes doivent être effectuées pour garantir la cohérence et l’intégrité du capteur :

1. Après avoir démarré l’image dorée pour la maintenance en ligne ou la mise à jour corrective, exécutez un script de désintégrage pour désactiver le capteur de surveillance des appareils Microsoft 365. Pour plus d’informations, consultez Désactiver les appareils à l’aide d’un script local.

2. Vérifiez que le capteur est arrêté en exécutant la commande ci-dessous dans une fenêtre CMD :

   sc query sense
   

3. Entrez en service l’image en fonction des besoins.

4. Exécutez les commandes ci-dessous à l’aide de PsExec.exe (qui peut être téléchargé à partir de https://download.sysinternals.com/files/PSTools.zip) pour propre le contenu du cyber-dossier que le capteur a peut-être accumulé depuis le démarrage :

   PsExec.exe -s cmd.exe
   cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber"
   del *.* /f /s /q
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
   exit
   

5. Refermez l’image dorée comme vous le feriez normalement.

Voir aussi

• Intégrer des appareils Windows 10 et Windows 11 à l’aide de stratégie de groupe
• Intégrer des appareils Windows 10 et Windows 11 à l’aide de Microsoft Endpoint Configuration Manager
• Intégrer les appareils Windows 10 et Windows 11 à l’aide des outils de gestion des périphériques mobiles
• Intégrer les appareils Windows 10 et Windows 11 en utilisant un script local
• Résoudre les problèmes d’intégration Microsoft Defender Advanced Threat Protection