非永続的な仮想デスクトップ インフラストラクチャ デバイスのオンボード

  • [アーティクル]

適用対象:

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

VDI デバイスのオンボード

Microsoft 365 では、非永続的仮想デスクトップ インフラストラクチャ (VDI) セッションのオンボードがサポートされています。

注:

非永続的な VDI セッションをオンボードするには、VDI デバイスが Windows 10 1809 以上である必要があります。

VDI のオンボード時に、関連する課題が発生する可能性があります。 このシナリオの一般的な課題を次に示します。

  • 実際のプロビジョニングの前に Microsoft 365 にオンボードする必要がある、有効期間の短いセッションの即時早期オンボーディング。
  • 通常、デバイス名は新しいセッションで再利用されます。

VDI デバイスは、次のようにMicrosoft Purview コンプライアンス ポータルに表示できます。

  • 各デバイスの 1 つのエントリ。 この場合、無人応答ファイルを使用するなど、セッションの作成時に 同じ デバイス名を構成する必要があることに注意してください。
  • 各デバイスの複数のエントリ - セッションごとに 1 つ。

次の手順では、VDI デバイスのオンボードについて説明し、1 つのエントリと複数のエントリの手順を強調表示します。

警告

Windows Virtual Desktop のエンドポイント データ損失防止のサポートでは、単一セッションシナリオとマルチセッション シナリオの両方がサポートされます。 リソース構成が少ない環境では、VDI ブート手順によってデバイスのオンボード プロセスが遅くなる可能性があります。

  1. Microsoft Purview コンプライアンス ポータルから VDI 構成パッケージ .zip ファイル (DeviceCompliancePackage.zip) を取得します

  2. ナビゲーション ウィンドウで、[設定] [デバイスオンボードオンボード]> の順に>選択します。

  3. [ デプロイ方法 ] フィールドで、 非永続的エンドポイントの VDI オンボード スクリプトを選択します

  4. [ パッケージのダウンロード ] をクリックし、.zip ファイルを保存します。

  5. .zip ファイルから抽出した DeviceCompliancePackage フォルダーから、パスC:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startupの下のgoldenイメージにファイルをコピーします。

  6. デバイスごとに 1 つのエントリを実装していない場合は、DeviceComplianceOnboardingScript.cmd をコピーします。

  7. デバイスごとに 1 つのエントリを実装する場合は、Onboard-NonPersistentMachine.ps1 と DeviceComplianceOnboardingScript.cmd の両方をコピーします。

    注:

    フォルダーが表示 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup されない場合は、非表示になっている可能性があります。 エクスプローラーから [非表示のファイルとフォルダーを表示する] オプションを選択する必要があります。

  8. [ローカル グループ ポリシー エディター] ウィンドウを開き、[コンピューターの構成>] [Windows 設定] [スクリプトの>起動]> の順に移動します。

    注:

    ドメイン グループ ポリシーは、非永続的 VDI デバイスのオンボードにも使用できます。

  9. 実装するメソッドに応じて、適切な手順に従います。

    各デバイスの 1 つのエントリの場合

    [PowerShell スクリプト] タブを選択し、[追加] をクリックします (Windows エクスプローラーは、前にオンボード スクリプトをコピーしたパスで直接開きます)。 [オンボード PowerShell スクリプト Onboard-NonPersistentMachine.ps1] に移動します。

    デバイスごとに複数のエントリの場合:

    [スクリプト] タブを選択し、[追加] をクリックします (Windows エクスプローラーは、前にオンボード スクリプトをコピーしたパスで直接開きます)。 オンボード bash スクリプト DeviceComplianceOnboardingScript.cmdに移動します。

  10. ソリューションをテストする:

    1. 1 つのデバイスでプールを作成します。
    2. デバイスにログオンします。
    3. デバイスからログオフします。
    4. 別のユーザーとデバイスにログオンします。
    5. 各デバイスの 1 つのエントリの場合: Microsoft Defender セキュリティ センター内の 1 つのエントリのみを確認します。 デバイスごとに複数のエントリの場合: Microsoft Defender セキュリティ センターで複数のエントリを確認します。

  11. ナビゲーション ウィンドウで [ デバイスの一覧 ] をクリックします。

  12. デバイス名を入力して検索機能を使用し、検索の種類として [デバイス ] を選択します。

非永続的仮想デスクトップ インフラストラクチャ (VDI) イメージの更新

ベスト プラクティスとして、オフライン サービス ツールを使用してゴールデン イメージにパッチを適用することをお勧めします。

たとえば、次のコマンドを使用して、イメージがオフラインのまま更新プログラムをインストールできます。

DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit

DISM コマンドとオフライン サービスの詳細については、以下の記事を参照してください。

非永続的 VDI 環境でオフライン サービスが実行可能なオプションでない場合は、一貫性とセンサーの正常性を確保するために、次の手順を実行する必要があります。

  1. オンライン サービスまたはパッチ適用のためにゴールデン イメージを起動した後、オフボード スクリプトを実行して Microsoft 365 デバイス監視センサーをオフにします。 詳細については、「 ローカル スクリプトを使用したオフボード デバイス」を参照してください。

  2. CMD ウィンドウで次のコマンドを実行して、センサーが停止していることを確認します。

    sc query sense

  3. 必要に応じてイメージをサービスします。

  4. PsExec.exe (からhttps://download.sysinternals.com/files/PSTools.zipダウンロード可能) を使用して次のコマンドを実行して、センサーが起動後に蓄積した可能性があるサイバー フォルダーの内容をクリーンします。

    PsExec.exe -s cmd.exe
cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber"
del *.* /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
exit

  5. 通常と同じように、金色の画像を再シールします。