Integrar dispositivos de infraestrutura de área de trabalho virtual não persistentes
Aplica-se a:
Prevenção contra Perda de Dados de Ponto de Extremidade (DLP)
Dispositivos VDI (infraestrutura de área de trabalho virtual)
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
O Microsoft 365 dá suporte à integração de sessão de VDI (infraestrutura de área de trabalho virtual) não persistente.
Observação
Para integrar sessões de VDI não persistentes, os dispositivos VDI devem estar em Windows 10 1809 ou superior.
Pode haver desafios associados ao integrar VDIs. Veja a seguir desafios típicos para este cenário:
- Integração antecipada instantânea de sessões de curta duração, que devem ser integradas ao Microsoft 365 antes do provisionamento real.
- Normalmente, o nome do dispositivo é reutilizado para novas sessões.
Os dispositivos VDI podem aparecer no portal de conformidade do Microsoft Purview como:
- Entrada única para cada dispositivo. Observe que, nesse caso, o mesmo nome do dispositivo deve ser configurado quando a sessão é criada, por exemplo, usando um arquivo de resposta autônomo.
- Várias entradas para cada dispositivo – uma para cada sessão.
As etapas a seguir orientarão você por meio da integração de dispositivos VDI e destacarão as etapas para entradas individuais e múltiplas.
Aviso
O suporte à prevenção de perda de dados do ponto de extremidade para a Área de Trabalho Virtual do Windows dá suporte a cenários de sessão única e de várias sessões. Para ambientes em que há configurações de recursos baixas, o procedimento de inicialização do VDI pode retardar o processo de integração do dispositivo.
Obtenha o arquivo de .zip do pacote de configuração VDI (DeviceCompliancePackage.zip) de portal de conformidade do Microsoft Purview.
No painel de navegação, selecione Configurações>Dispositivo integrando Integração>.
No campo Método de implantação , selecione Scripts de integração de VDI para pontos de extremidade não persistentes.
Clique em Baixar pacote e salve o arquivo .zip.
Copie os arquivos da pasta DeviceCompliancePackage extraída do arquivo .zip na
golden
imagem no caminhoC:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
.Se você não estiver implementando uma única entrada para cada dispositivo, copie DeviceComplianceOnboardingScript.cmd.
Se você estiver implementando uma única entrada para cada dispositivo, copie Onboard-NonPersistentMachine.ps1 e DeviceComplianceOnboardingScript.cmd.
Observação
Se você não vir a
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
pasta, ela poderá estar oculta. Você precisará escolher a opção Mostrar arquivos ocultos e pastas no Explorador de Arquivos.Abra uma janela editor de Política de Grupo local e navegue até aInicialização deScripts>> deConfiguração do Windowsde Configuração> do Computador.
Observação
Os Política de Grupo de domínio também podem ser usados para integrar dispositivos VDI não persistentes.
Dependendo do método que você deseja implementar, siga as etapas apropriadas:
Para entrada única para cada dispositivo
Selecione a guia Scripts do PowerShell e clique em Adicionar (o Windows Explorer abrirá diretamente no caminho em que você copiou o script de integração anteriormente). Navegue até integrar o script
Onboard-NonPersistentMachine.ps1
do PowerShell.Para várias entradas para cada dispositivo:
Selecione a guia Scripts e clique em Adicionar (o Windows Explorer será aberto diretamente no caminho em que você copiou o script de integração anteriormente). Navegue até o script
DeviceComplianceOnboardingScript.cmd
de bash de integração .Teste sua solução:
- Crie um pool com um dispositivo.
- Faça logon no dispositivo.
- Faça logon do dispositivo.
- Faça logon no dispositivo com outro usuário.
- Para entrada única para cada dispositivo: verifique apenas uma entrada no Central de Segurança do Microsoft Defender. Para várias entradas para cada dispositivo: verifique várias entradas no Central de Segurança do Microsoft Defender.
Clique na lista Dispositivos no painel Navegação.
Use a função de pesquisa inserindo o nome do dispositivo e selecione Dispositivo como tipo de pesquisa.
Como prática recomendada, recomendamos usar ferramentas de manutenção offline para corrigir imagens douradas.
Por exemplo, você pode usar os comandos abaixo para instalar uma atualização enquanto a imagem permanece offline:
DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit
Para obter mais informações sobre comandos DISM e manutenção offline, consulte os artigos abaixo:
- Modificar uma imagem do Windows usando DISM
- Opções de Command-Line de gerenciamento de imagens dism
- Reduzir o tamanho do Repositório de Componentes em uma imagem offline do Windows
Se a manutenção offline não for uma opção viável para seu ambiente VDI não persistente, as seguintes etapas devem ser tomadas para garantir a consistência e a integridade do sensor:
Depois de inicializar a imagem dourada para manutenção online ou patching, execute um script de offboarding para desativar o sensor de monitoramento de dispositivos do Microsoft 365. Para obter mais informações, confira Dispositivos offboard usando um script local.
Verifique se o sensor é interrompido executando o comando abaixo em uma janela CMD:
sc query sense
Serviço a imagem conforme necessário.
Execute os comandos abaixo usando PsExec.exe (que podem ser baixados de https://download.sysinternals.com/files/PSTools.zip) para limpo o conteúdo da pasta cibernética que o sensor pode ter acumulado desde a inicialização:
PsExec.exe -s cmd.exe cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber" del *.* /f /s /q REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f exit
Selar novamente a imagem dourada como normalmente faria.
- Integrar dispositivos Windows 10 e Windows 11 usando Política de Grupo
- Integrar dispositivos Windows 10 e Windows 11 usando o Microsoft Endpoint Configuration Manager
- Integrar dispositivos Windows 10 e Windows 11 usando ferramentas de Gerenciamento de Dispositivo Móvel
- Integrar dispositivos Windows 10 e Windows 11 usando um script local
- Solucionar problemas de integração Microsoft Defender Proteção Avançada contra Ameaças