载入非持久性虚拟桌面基础结构设备
适用于:
Microsoft 365 支持非持久性虚拟桌面基础结构 (VDI) 会话载入。
备注
若要加入非持久性 VDI 会话,VDI 设备必须位于 Windows 10 1809 或更高版本。
加入 VDI 时可能存在相关的挑战。 下面是此方案的典型挑战:
- 即时提前加入短期会话,必须在实际预配之前加入 Microsoft 365。
- 设备名称通常重新用于新会话。
VDI 设备可以在Microsoft Purview 合规门户中显示为:
- 每个设备的单个条目。
请注意,在这种情况下,必须在创建会话时配置 相同的 设备名称,例如使用无人参与的应答文件。
- 每个设备的多个条目 - 每个会话一个条目。
以下步骤将指导你完成加入 VDI 设备,并突出显示单项和多个条目的步骤。
警告
Windows 虚拟桌面的终结点数据丢失防护支持支持单会话和多会话方案。 对于资源配置较低的环境,VDI 启动过程可能会减慢设备载入过程。
从 Microsoft Purview 合规门户 获取 VDI 配置包 .zip 文件 (DeviceCompliancePackage.zip) 。
在导航窗格中,选择“设置>设备载入>”。
在 “部署方法 ”字段中, 为非持久性终结点选择“VDI 载入脚本”。
单击“ 下载包 ”并保存 .zip 文件。
将从 .zip 文件 golden
提取的 DeviceCompliancePackage 文件夹中的文件复制到路径 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
下的映像中。
如果未为每个设备实现单个条目,请复制 DeviceComplianceOnboardingScript.cmd。
如果要为每个设备实现单个条目,请同时复制 Onboard-NonPersistentMachine.ps1 和 DeviceComplianceOnboardingScript.cmd。
备注
如果未看到该 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
文件夹,则它可能已隐藏。 需要从文件资源管理器选择“显示隐藏的文件和文件夹”选项。
打开“本地组策略编辑器”窗口并导航到“计算机配置>”“Windows 设置”“>脚本>启动”。
备注
域组策略还可用于载入非持久性 VDI 设备。
根据要实现的方法,请遵循相应的步骤:
对于每个设备的单个条目
选择“ PowerShell 脚本 ”选项卡,然后单击“ 添加 (Windows 资源管理器将直接打开之前复制载入脚本的路径) 。 导航到载入 PowerShell 脚本 Onboard-NonPersistentMachine.ps1
。
对于每个设备的多个条目:
选择“ 脚本 ”选项卡,然后单击“ 添加 (Windows 资源管理器将直接在) 之前复制载入脚本的路径中打开。 导航到载入 bash 脚本 DeviceComplianceOnboardingScript.cmd
。
测试解决方案:
- 创建包含一台设备的池。
- 登录到设备。
- 从设备注销。
- 使用其他用户登录到设备。
- 对于每个设备的单个条目:仅检查Microsoft Defender 安全中心中的一个条目。
对于每个设备的多个条目:检查Microsoft Defender 安全中心中的多个条目。
单击“导航”窗格上的“ 设备列表 ”。
输入设备名称并选择“ 设备 ”作为搜索类型,使用搜索功能。
作为最佳做法,我们建议使用脱机服务工具来修补黄金映像。
例如,可以使用以下命令在映像保持脱机状态时安装更新:
DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit
有关 DISM 命令和脱机服务的详细信息,请参阅以下文章:
如果脱机服务不是非持久性 VDI 环境的可行选项,应执行以下步骤以确保一致性和传感器运行状况:
启动黄金映像进行联机服务或修补后,请运行卸载脚本以关闭 Microsoft 365 设备监视传感器。 有关详细信息,请参阅 使用本地脚本的卸载设备。
通过在 CMD 窗口中运行以下命令,确保传感器已停止:
sc query sense
根据需要维护映像。
使用可从) 下载 https://download.sysinternals.com/files/PSTools.zip 的 PsExec.exe (运行以下命令,以清理传感器自启动后可能累积的网络文件夹内容:
PsExec.exe -s cmd.exe
cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber"
del *.* /f /s /q
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
exit
像平常一样重新密封金色图像。