비영구 가상 데스크톱 인프라 디바이스 온보딩

적용 대상:

• 끝점 데이터 손실 방지(DLP)

• 내부자 위험 관리

• VDI(가상 데스크톱 인프라) 디바이스

팁

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

VDI 디바이스 온보딩

Microsoft 365는 비영구 VDI(가상 데스크톱 인프라) 세션 온보딩을 지원합니다.

참고

비영구 VDI 세션을 온보딩하려면 VDI 디바이스가 Windows 10 1809 이상이어야 합니다.

VDI를 온보딩할 때 관련 문제가 있을 수 있습니다. 이 시나리오의 일반적인 과제는 다음과 같습니다.

• 실제 프로비저닝 전에 Microsoft 365에 온보딩해야 하는 단기 세션의 즉각적인 조기 온보딩.
• 디바이스 이름은 일반적으로 새 세션에 다시 사용합니다.

VDI 디바이스는 Microsoft Purview 규정 준수 포털 다음과 같이 표시할 수 있습니다.

• 각 디바이스에 대한 단일 항목입니다. 이 경우 세션이 만들어질 때(예: 무인 응답 파일 사용) 동일한 디바이스 이름을 구성해야 합니다.
• 각 디바이스에 대한 여러 항목 - 각 세션에 대해 하나씩.

다음 단계에서는 VDI 디바이스 온보딩을 안내하고 단일 및 여러 항목에 대한 단계를 강조 표시합니다.

경고

Windows Virtual Desktop에 대한 엔드포인트 데이터 손실 방지 지원은 단일 세션 및 다중 세션 시나리오를 모두 지원합니다. 리소스 구성이 낮은 환경의 경우 VDI 부팅 프로시저로 인해 디바이스 온보딩 프로세스가 느려질 수 있습니다.

1. Microsoft Purview 규정 준수 포털 VDI 구성 패키지 .zip 파일(DeviceCompliancePackage.zip)을 가져옵니다.

2. 탐색 창에서 설정>디바이스 온보딩온보딩을> 선택합니다.

3. 배포 방법 필드에서 비영구 엔드포인트에 대한 VDI 온보딩 스크립트를 선택합니다.

4. 패키지 다운로드를 클릭하고 .zip 파일을 저장합니다.

5. .zip 파일에서 추출한 DeviceCompliancePackage 폴더의 파일을 경로 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup아래의 golden 이미지에 복사합니다.

6. 각 디바이스에 대해 단일 항목을 구현하지 않는 경우 DeviceComplianceOnboardingScript.cmd를 복사합니다.

7. 각 디바이스에 대해 단일 항목을 구현하는 경우 Onboard-NonPersistentMachine.ps1 및 DeviceComplianceOnboardingScript.cmd를 모두 복사합니다.

   참고

   폴더가 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup 표시되지 않으면 숨겨질 수 있습니다. 파일 탐색기 숨겨진 파일 및 폴더 표시 옵션을 선택해야 합니다.

8. 로컬 그룹 정책 편집기 창을 열고 컴퓨터 구성>Windows 설정>스크립트>시작으로 이동합니다.

   참고

   도메인 그룹 정책 비영구 VDI 디바이스 온보딩에도 사용할 수 있습니다.

9. 구현하려는 메서드에 따라 적절한 단계를 수행합니다.

   각 디바이스에 대한 단일 항목의 경우

   PowerShell 스크립트 탭을 선택한 다음 추가를 클릭합니다(Windows Explorer 이전에 온보딩 스크립트를 복사한 경로에서 직접 열립니다). PowerShell 스크립트 Onboard-NonPersistentMachine.ps1온보딩으로 이동합니다.

   각 디바이스에 대한 여러 항목의 경우:

   스크립트 탭을 선택한 다음 추가를 클릭합니다(Windows Explorer 이전에 온보딩 스크립트를 복사한 경로에서 직접 열립니다). 온보딩 bash 스크립트 DeviceComplianceOnboardingScript.cmd로 이동합니다.

10. 솔루션 테스트:

    1. 하나의 디바이스를 사용하여 풀을 만듭니다.
    2. 디바이스에 로그온합니다.
    3. 디바이스에서 로그오프합니다.
    4. 다른 사용자와 함께 디바이스에 로그온합니다.
    5. 각 디바이스에 대한 단일 항목의 경우: Microsoft Defender 보안 센터 하나의 항목만 확인합니다. 각 디바이스에 대한 여러 항목의 경우: Microsoft Defender 보안 센터 여러 항목을 확인합니다.

11. 탐색 창에서 디바이스 목록을 클릭합니다.

12. 디바이스 이름을 입력하여 검색 함수를 사용하고 디바이스를 검색 유형으로 선택합니다 .

비영구 VDI(가상 데스크톱 인프라) 이미지 업데이트

모범 사례로, 오프라인 서비스 도구를 사용하여 골든 이미지를 패치하는 것이 좋습니다.

예를 들어 아래 명령을 사용하여 이미지가 오프라인 상태로 유지되는 동안 업데이트를 설치할 수 있습니다.

DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit

DISM 명령 및 오프라인 서비스에 대한 자세한 내용은 아래 문서를 참조하세요.

• DISM을 사용하여 Windows 이미지 수정
• DISM 이미지 관리 Command-Line 옵션
• 오프라인 Windows 이미지에서 구성 요소 저장소의 크기 줄이기

오프라인 서비스가 비영구 VDI 환경에 대한 실행 가능한 옵션이 아닌 경우 일관성 및 센서 상태를 보장하기 위해 다음 단계를 수행해야 합니다.

1. 온라인 서비스 또는 패치를 위해 골든 이미지를 부팅한 후 오프보딩 스크립트를 실행하여 Microsoft 365 디바이스 모니터링 센서를 끕니다. 자세한 내용은 로컬 스크립트를 사용하여 디바이스 오프보딩을 참조하세요.

2. CMD 창에서 아래 명령을 실행하여 센서가 중지되었는지 확인합니다.

   sc query sense
   

3. 필요에 따라 이미지를 서비스합니다.

4. PsExec.exe(에서 https://download.sysinternals.com/files/PSTools.zip다운로드할 수 있음)를 사용하여 아래 명령을 실행하여 부팅 이후 센서가 누적했을 수 있는 사이버 폴더 콘텐츠를 클린.

   PsExec.exe -s cmd.exe
   cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber"
   del *.* /f /s /q
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
   exit
   

5. 평소처럼 황금빛 이미지를 다시 봉인합니다.

관련 항목

• 그룹 정책 사용하여 Windows 10 및 Windows 11 디바이스 온보딩
• Microsoft Endpoint Configuration Manager 사용하여 Windows 10 및 Windows 11 디바이스 온보딩
• 모바일 장치 관리 도구를 사용하여 Windows 10 및 Windows 11 장치 온보딩
• 로컬 스크립트를 사용하여 Windows 10 및 Windows 11 장치 온보딩
• Microsoft Defender Advanced Threat Protection 온보딩 문제 해결