Поделиться через


Подключение устройств инфраструктуры виртуальных рабочих столов, не являющихся постоянными

Область применения:

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Подключение устройств VDI

Microsoft 365 поддерживает подключение сеансов инфраструктуры виртуальных рабочих столов (VDI).

Примечание.

Для подключения сеансов VDI, не являющихся постоянными, устройства VDI должны находиться на Windows 10 1809 или более поздней версии.

При подключении виртуальных идентификаторов могут возникнуть проблемы. Ниже приведены типичные проблемы для этого сценария.

  • Мгновенное раннее подключение коротких сеансов, которые должны быть подключены к Microsoft 365 до фактической подготовки.
  • Имя устройства обычно повторно используется для новых сеансов.

Устройства VDI могут отображаться в Портал соответствия требованиям Microsoft Purview следующим образом:

  • Одна запись для каждого устройства. Обратите внимание, что в этом случае при создании сеанса необходимо настроить одно и то же имя устройства, например с помощью автоматического файла ответов.
  • Несколько записей для каждого устройства — по одной для каждого сеанса.

Следующие шаги помогут вам подключить устройства VDI и выделит шаги для одной и нескольких записей.

Предупреждение

Поддержка защиты от потери данных конечных точек для Виртуального рабочего стола Windows поддерживает сценарии как одного сеанса, так и сценариев с несколькими сеансами. Для сред с низким уровнем ресурсов процедура загрузки VDI может замедлить процесс подключения устройства.

  1. Получите пакет конфигурации VDI .zip файл (DeviceCompliancePackage.zip) из Портал соответствия требованиям Microsoft Purview.

  2. В области навигации выберите Параметры>Подключение устройства>.

  3. В поле Метод развертывания выберите Скрипты подключения VDI для непрекращающихся конечных точек.

  4. Щелкните Скачать пакет и сохраните файл .zip.

  5. Скопируйте файлы из папки DeviceCompliancePackage, извлеченной из файла .zip, в golden образ по пути C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

  6. Если вы не реализуете одну запись для каждого устройства, скопируйте DeviceComplianceOnboardingScript.cmd.

  7. Если вы реализуете одну запись для каждого устройства, скопируйте как Onboard-NonPersistentMachine.ps1, так и DeviceComplianceOnboardingScript.cmd.

    Примечание.

    Если папка не отображается, она может быть скрыта C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup . Вам потребуется выбрать параметр Показать скрытые файлы и папки из проводник.

  8. Откройте окно редактора локальной групповая политика и перейдитев раздел Конфигурация > компьютераПараметры> WindowsСкрипты>запуска.

    Примечание.

    Групповая политика домена также можно использовать для подключения устройств VDI, не являющихся постоянными.

  9. В зависимости от метода, который вы хотите реализовать, выполните соответствующие действия.

    Для одной записи для каждого устройства

    Перейдите на вкладку Скрипты PowerShell и нажмите кнопку Добавить (windows Обозреватель откроется непосредственно в пути, куда вы скопировали скрипт подключения ранее). Перейдите к подключению скрипта Onboard-NonPersistentMachine.ps1PowerShell .

    Для нескольких записей для каждого устройства:

    Перейдите на вкладку Скрипты и нажмите кнопку Добавить (windows Обозреватель откроется непосредственно в пути, куда вы скопировали скрипт подключения ранее). Перейдите к скрипту DeviceComplianceOnboardingScript.cmdподключения bash.

  10. Протестируйте решение:

    1. Создайте пул с одним устройством.
    2. Войдите на устройство.
    3. Выйдите из устройства.
    4. Войдите на устройство с другим пользователем.
    5. Для одной записи для каждого устройства: проверьте только одну запись в Центр безопасности в Microsoft Defender. Для нескольких записей для каждого устройства: проверьте несколько записей в Центр безопасности в Microsoft Defender.
  11. В области навигации щелкните Список устройств .

  12. Используйте функцию поиска, введя имя устройства и выберите Устройство в качестве типа поиска.

Обновление образов инфраструктуры виртуальных рабочих столов (VDI)

Рекомендуется использовать средства автономного обслуживания для исправления "золотых" образов.

Например, можно использовать приведенные ниже команды для установки обновления, пока образ остается в автономном режиме:

DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit

Дополнительные сведения о командах DISM и автономном обслуживании см. в следующих статьях:

Если автономное обслуживание не является приемлемым вариантом для вашей среды VDI, необходимо выполнить следующие действия, чтобы обеспечить согласованность и работоспособность датчиков.

  1. После загрузки золотого образа для обслуживания по сети или установки исправлений выполните сценарий отключения, чтобы отключить датчик мониторинга устройств Microsoft 365. Дополнительные сведения см. в разделе Отключение устройств с помощью локального скрипта.

  2. Убедитесь, что датчик остановлен, выполнив следующую команду в окне CMD:

    sc query sense
    
  3. Обслужите образ по мере необходимости.

  4. Выполните приведенные ниже команды, используя PsExec.exe (которые можно скачать по ссылке https://download.sysinternals.com/files/PSTools.zip), чтобы очистить содержимое киберпапки, которое датчик, возможно, накопилось после загрузки:

    PsExec.exe -s cmd.exe
    cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber"
    del *.* /f /s /q
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
    exit
    
  5. Повторно запечатайте золотой образ, как вы обычно.