非永続的な仮想デスクトップ インフラストラクチャ デバイスのオンボード
適用対象:
仮想デスクトップ インフラストラクチャ (VDI) デバイス
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。
Microsoft 365 では、非永続的仮想デスクトップ インフラストラクチャ (VDI) セッションのオンボードがサポートされています。
注意
非永続的な VDI セッションをオンボードするには、VDI デバイスが Windows 10 1809 以上である必要があります。
VDI のオンボード時に、関連する課題が発生する可能性があります。 このシナリオの一般的な課題を次に示します。
- 実際のプロビジョニングの前に Microsoft 365 にオンボードする必要がある、有効期間の短いセッションの即時早期オンボーディング。
- 通常、デバイス名は新しいセッションで再利用されます。
VDI デバイスは、次のようにMicrosoft Purview コンプライアンス ポータルに表示できます。
- 各デバイスの 1 つのエントリ。 この場合、無人応答ファイルを使用するなど、セッションの作成時に 同じ デバイス名を構成する必要があることに注意してください。
- 各デバイスの複数のエントリ - セッションごとに 1 つ。
次の手順では、VDI デバイスのオンボードについて説明し、1 つのエントリと複数のエントリの手順を強調表示します。
警告
Windows Virtual Desktop のエンドポイント データ損失防止のサポートでは、単一セッションシナリオとマルチセッション シナリオの両方がサポートされます。 リソース構成が少ない環境では、VDI ブート手順によってデバイスのオンボード プロセスが遅くなる可能性があります。
Microsoft Purview コンプライアンス ポータルから VDI 構成パッケージ .zip ファイル (DeviceCompliancePackage.zip) を取得します。
ナビゲーション ウィンドウで、 設定>Device onboarding>Onboarding を選択します。
[ デプロイ方法 ] フィールドで、 非永続的エンドポイントの VDI オンボード スクリプトを選択します。
[ パッケージのダウンロード ] をクリックし、.zip ファイルを保存します。
.zip ファイルから抽出した DeviceCompliancePackage フォルダーから、パス
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
の下のgolden
イメージにファイルをコピーします。デバイスごとに 1 つのエントリを実装していない場合は、DeviceComplianceOnboardingScript.cmdをコピーします。
デバイスごとに 1 つのエントリを実装する場合は、Onboard-NonPersistentMachine.ps1 とDeviceComplianceOnboardingScript.cmdの両方をコピーします。
注意
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
フォルダーが表示されない場合は、非表示になっている可能性があります。 エクスプローラーから [非表示のファイルとフォルダーを表示する] オプションを選択する必要があります。[ローカル グループ ポリシー エディター] ウィンドウを開き、[コンピューターの構成>Windows の設定>Scripts>Startup に移動します。
注意
ドメイン グループ ポリシーは、非永続的 VDI デバイスのオンボードにも使用できます。
実装するメソッドに応じて、適切な手順に従います。
各デバイスの 1 つのエントリの場合
[PowerShell スクリプト] タブを選択し、[追加] をクリックします (Windows エクスプローラーは、前にオンボード スクリプトをコピーしたパスで直接開きます)。 PowerShell スクリプト
Onboard-NonPersistentMachine.ps1
のオンボードに移動します。デバイスごとに複数のエントリの場合:
[スクリプト] タブを選択し、[追加] をクリックします (Windows エクスプローラーは、前にオンボード スクリプトをコピーしたパスで直接開きます)。 オンボード bash スクリプト
DeviceComplianceOnboardingScript.cmd
に移動します。ソリューションをテストする:
- 1 つのデバイスでプールを作成します。
- デバイスにログオンします。
- デバイスからログオフします。
- 別のユーザーとデバイスにログオンします。
- 各デバイスの 1 つのエントリの場合: Microsoft Defender セキュリティ センター内の 1 つのエントリのみを確認します。 デバイスごとに複数のエントリの場合: Microsoft Defender セキュリティ センターで複数のエントリを確認します。
ナビゲーション ウィンドウで [ デバイスの一覧 ] をクリックします。
デバイス名を入力して検索機能を使用し、検索の種類として [デバイス ] を選択します。
ベスト プラクティスとして、オフライン サービス ツールを使用してゴールデン イメージにパッチを適用することをお勧めします。
たとえば、次のコマンドを使用して、イメージがオフラインのまま更新プログラムをインストールできます。
DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit
DISM コマンドとオフライン サービスの詳細については、以下の記事を参照してください。
- DISM を使用して Windows イメージを変更する
- DISM イメージ管理の Command-Line オプション
- オフライン Windows イメージ内のコンポーネント ストアのサイズを小さくする
非永続的 VDI 環境でオフライン サービスが実行可能なオプションでない場合は、一貫性とセンサーの正常性を確保するために、次の手順を実行する必要があります。
オンライン サービスまたはパッチ適用のためにゴールデン イメージを起動した後、オフボード スクリプトを実行して Microsoft 365 デバイス監視センサーをオフにします。 詳細については、「 ローカル スクリプトを使用したオフボード デバイス」を参照してください。
CMD ウィンドウで次のコマンドを実行して、センサーが停止していることを確認します。
sc query sense
必要に応じてイメージをサービスします。
PsExec.exe (https://download.sysinternals.com/files/PSTools.zipからダウンロードできます) を使用して、次のコマンドを実行して、センサーが起動後に蓄積した可能性があるサイバー フォルダーの内容をクリーンします。
PsExec.exe -s cmd.exe cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber" del *.* /f /s /q REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f exit
通常と同じように、金色の画像を再シールします。
- グループ ポリシーを使用してWindows 10およびWindows 11デバイスをオンボードする
- Microsoft Endpoint Configuration Managerを使用してWindows 10およびWindows 11デバイスをオンボードする
- モバイル デバイス管理ツールを使用した Windows 10 および Windows 11 デバイスのオンボード
- ローカル スクリプトを使用した Windows 10 および Windows 11 デバイスのオンボード
- Advanced Threat Protection のオンボードに関する問題Microsoft Defenderトラブルシューティングする