Eseguire l'onboarding di dispositivi di infrastruttura desktop virtuale non persistenti

Si applica a:

• Prevenzione della perdita di dati (DLP) degli endpoint

• Gestione dei rischi Insider

• Dispositivi VDI (Virtual Desktop Infrastructure)

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Eseguire l'onboarding di dispositivi VDI

Microsoft 365 supporta l'onboarding di sessioni VDI (Virtual Desktop Infrastructure) non persistenti.

Nota

Per eseguire l'onboarding di sessioni VDI non persistenti, i dispositivi VDI devono trovarsi Windows 10 1809 o versione successiva.

Potrebbero verificarsi problemi associati durante l'onboarding di interfacce virtuali. Di seguito sono riportate le problematiche tipiche di questo scenario:

• Onboarding immediato anticipato di sessioni di breve durata, che devono essere sottoposte a onboarding in Microsoft 365 prima del provisioning effettivo.
• Il nome del dispositivo viene in genere riutilizzato per le nuove sessioni.

I dispositivi VDI possono essere visualizzati nella Portale di conformità di Microsoft Purview come segue:

• Voce singola per ogni dispositivo. Si noti che in questo caso, lo stesso nome del dispositivo deve essere configurato quando viene creata la sessione, ad esempio usando un file di risposte automatico.
• Più voci per ogni dispositivo, una per ogni sessione.

La procedura seguente illustra l'onboarding dei dispositivi VDI ed evidenzia i passaggi per singole voci e più voci.

Avviso

Il supporto per la prevenzione della perdita dei dati degli endpoint per Desktop virtuale Windows supporta scenari a sessione singola e a più sessioni. Per gli ambienti in cui le configurazioni delle risorse sono scarse, la procedura di avvio VDI potrebbe rallentare il processo di onboarding del dispositivo.

1. Ottenere il pacchetto di configurazione VDI .zip file (DeviceCompliancePackage.zip) da Portale di conformità di Microsoft Purview.

2. Nel riquadro di spostamento selezionare Impostazioni>Onboarding del> dispositivo.

3. Nel campo Metodo di distribuzione selezionare Script di onboarding VDI per endpoint non persistenti.

4. Fare clic su Scarica pacchetto e salvare il file .zip.

5. Copiare i file dalla cartella DeviceCompliancePackage estratta dal file .zip nell'immagine golden nel percorso C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

6. Se non si implementa una singola voce per ogni dispositivo, copiare DeviceComplianceOnboardingScript.cmd.

7. Se si implementa una singola voce per ogni dispositivo, copiare sia Onboard-NonPersistentMachine.ps1 che DeviceComplianceOnboardingScript.cmd.

   Nota

   Se la cartella non viene visualizzata C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup , potrebbe essere nascosta. È necessario scegliere l'opzione Mostra file e cartelle nascosti da Esplora file.

8. Aprire una finestra Editor Criteri di gruppo locale e passare a Configurazione> computerImpostazioni di> WindowsScript>di avvio.

   Nota

   È anche possibile usare Criteri di gruppo di dominio per l'onboarding di dispositivi VDI non persistenti.

9. A seconda del metodo che si vuole implementare, seguire la procedura appropriata:

   Per una singola voce per ogni dispositivo

   Selezionare la scheda Script di PowerShell , quindi fare clic su Aggiungi (Esplora risorse verrà aperto direttamente nel percorso in cui è stato copiato lo script di onboarding in precedenza). Passare all'onboarding dello script Onboard-NonPersistentMachine.ps1di PowerShell.

   Per più voci per ogni dispositivo:

   Selezionare la scheda Script e quindi fare clic su Aggiungi (Esplora risorse verrà aperto direttamente nel percorso in cui è stato copiato lo script di onboarding in precedenza). Passare allo script DeviceComplianceOnboardingScript.cmdbash di onboarding.

10. Testare la soluzione:

    1. Creare un pool con un dispositivo.
    2. Accedere al dispositivo.
    3. Disconnettersi dal dispositivo.
    4. Accedere al dispositivo con un altro utente.
    5. Per una singola voce per ogni dispositivo: controllare una sola voce in Microsoft Defender Security Center. Per più voci per ogni dispositivo: controllare più voci in Microsoft Defender Security Center.

11. Fare clic su Elenco dispositivi nel riquadro di spostamento.

12. Usare la funzione di ricerca immettendo il nome del dispositivo e selezionare Dispositivo come tipo di ricerca.

Aggiornamento di immagini VDI (Virtual Desktop Infrastructure) non persistenti

Come procedura consigliata, è consigliabile usare strumenti di manutenzione offline per applicare patch alle immagini d'oro.

Ad esempio, è possibile usare i comandi seguenti per installare un aggiornamento mentre l'immagine rimane offline:

DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit

Per altre informazioni sui comandi di Gestione e manutenzione offline, vedere gli articoli seguenti:

• Modificare un'immagine Windows usando Gestione e manutenzione immagini distribuzione
• Opzioni Command-Line Gestione immagini Gestione e manutenzione immagini distribuzione
• Ridurre le dimensioni dell'archivio componenti in un'immagine Windows offline

Se la manutenzione offline non è un'opzione valida per l'ambiente VDI non persistente, è necessario eseguire i passaggi seguenti per garantire la coerenza e l'integrità del sensore:

1. Dopo aver avviato l'immagine d'oro per la manutenzione online o l'applicazione di patch, eseguire uno script di offboarding per disattivare il sensore di monitoraggio del dispositivo Microsoft 365. Per altre informazioni, vedere Dispositivi offboard con uno script locale.

2. Verificare che il sensore venga arrestato eseguendo il comando seguente in una finestra CMD:

   sc query sense
   

3. Usare l'immagine in base alle esigenze.

4. Eseguire i comandi seguenti usando PsExec.exe (che possono essere scaricati da https://download.sysinternals.com/files/PSTools.zip) per pulire il contenuto della cartella informatica che il sensore potrebbe aver accumulato dopo l'avvio:

   PsExec.exe -s cmd.exe
   cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber"
   del *.* /f /s /q
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
   exit
   

5. Sigillare nuovamente l'immagine dorata come si farebbe normalmente.

Argomenti correlati

• Eseguire l'onboarding di dispositivi Windows 10 e Windows 11 con Criteri di gruppo
• Eseguire l'onboarding di dispositivi Windows 10 e Windows 11 con Microsoft Endpoint Configuration Manager
• Eseguire l'onboarding dei dispositivi Windows 10 e Windows 11 con gli strumenti di Gestione di dispositivi mobili
• Eseguire l'onboarding dei dispositivi Windows 10 e Windows 11 con uno script locale
• Risolvere i problemi di onboarding di Microsoft Defender Advanced Threat Protection