將非持續虛擬桌面基礎結構裝置上線

適用於：

• 端點資料外洩防護 (DLP)

• 內部風險管理

• 虛擬桌面基礎結構 (VDI) 裝置

提示

如果您不是 E5 客戶，請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。

將 VDI 裝置上線

Microsoft 365 支援非持續性虛擬桌面基礎結構 (VDI) 工作階段上線。

注意事項

若要將非持續性 VDI 工作階段上線，VDI 裝置必須在 Windows 10 1809 或更新版本上。

將 VDI 上線時，可能有相關聯的挑戰。 以下是此案例的一般挑戰：

• 短期會話的立即提早上線，必須在實際布建之前上線至 Microsoft 365。
• 裝置名稱通常會重複用於新的工作階段。

VDI 裝置可以在 Microsoft Purview 合規性入口網站 中顯示為：

• 每個裝置的單一項目。 請注意在這種情況下，建立工作階段時必須設定相同的裝置名稱，例如使用自動回應檔案。
• 每個裝置有多個項目 - 每個工作階段一個項目。

下列步驟將引導您完成將 VDI 裝置上線，並且醒目提示單一和多個項目的步驟。

警告

Windows 虛擬桌面的端點數據外洩防護支援支援單一會話和多重會話案例。 對於低資源組態的環境，VDI 開機程序可能會降低裝置上線程序的速度。

1. 從 Microsoft Purview 合規性入口網站 取得 VDI 組態套件 .zip 檔案 (DeviceCompliancePackage.zip) 。

2. 在瀏覽窗格中，選取 [設定]>[裝置上線]>[上線]。

3. 在 [部署方法] 欄位中，選取 [非持續性端點的 VDI 上線指令碼]。

4. 按一下 [下載套件]，然後儲存 .zip 檔案。

5. 將從 .zip 檔案解壓縮的 DeviceCompliancePackage 資料夾中的檔案複製到路徑 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup 底下的 golden 映像。

6. 如果您未對每個裝置實作單一項目，請複製 DeviceComplianceOnboardingScript.cmd。

7. 如果您對每個裝置實作單一項目，請複製 Onboard-NonPersistentMachine.ps1 和 DeviceComplianceOnboardingScript.cmd。

   注意事項

   如果您看不到 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup 資料夾，該資料夾可能隱藏起來。 您必須從檔案總管選擇 [顯示隱藏的檔案及資料夾] 選項。

8. 開啟 [本機群組原則編輯器] 視窗，並瀏覽至 [設定]>[Windows 設定]>[指令碼]>[啟動]。

   注意事項

   網域群組原則也可以用來將非持續性 VDI 裝置上線。

9. 根據要實作的方法，請遵循適當的步驟：

   針對每個裝置的單一項目

   選取 [PowerShell 指令碼] 索引標籤，然後按一下 [新增] (Windows Explorer 會直接在您先前複製上線指令碼的路徑中開啟)。 瀏覽至上線 PowerShell 指令碼 Onboard-NonPersistentMachine.ps1。

   針對每個裝置的多個項目：

   選取 [指令碼] 索引標籤，然後按一下 [新增] (Windows Explorer 會直接在您先前複製上線指令碼的路徑中開啟)。 瀏覽至上線 bash 指令碼 DeviceComplianceOnboardingScript.cmd。

10. 測試您的解決方案：

    1. 使用一個裝置建立一個集區。
    2. 登入裝置。
    3. 從裝置註銷。
    4. 與其他使用者一起登入裝置。
    5. 針對每個裝置的單一項目：在 Microsoft Defender 資訊安全中心中僅檢查一個項目。 針對每個裝置的多個項目：在 Microsoft Defender 資訊安全中心中檢查多個項目。

11. 按一下 [瀏覽] 窗格上的 [裝置清單]。

12. 藉由輸入裝置名稱並選取 [裝置] 作為搜尋類型，來使用搜尋功能。

更新非持續性虛擬桌面基礎結構 (VDI) 映像

最佳做法是使用離線服務工具來修補黃金影像。

例如，您可以使用下列命令在映像保持離線時安裝更新：

DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit

如需 DISM 命令和離線服務的詳細資訊，請參閱下列文章：

• 使用 DISM 修改 Windows 映像
• DISM 映像管理命令列選項
• 減少離線 Windows 映像中的元件存放區大小

如果離線服務不是非持續性 VDI 環境的可行選項，則應該採取下列步驟以確保一致性和感應器健康狀態：

1. 開機在線服務或修補的黃金映射之後，請執行脫機腳本以關閉 Microsoft 365 裝置監視感測器。 如需詳細資訊，請參閱使用本機指令碼將裝置下架。

2. 在 CMD 視窗中執行下列命令，確保感應器已停止：

   sc query sense
   

3. 根據需要為映像提供服務。

4. 使用可從 https://download.sysinternals.com/files/PSTools.zip) 下載的 PsExec.exe (執行下列命令，以清除感測器在開機後可能累積的網路資料夾內容：

   PsExec.exe -s cmd.exe
   cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber"
   del *.* /f /s /q
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
   exit
   

5. 如往常般重新密封黃金影像。

相關主題

• 使用群組原則將 Windows 10 和 Windows 11 裝置上線
• 使用 Microsoft Endpoint Configuration Manager 將 Windows 10 和 Windows 11 裝置上線
• 使用行動裝置管理工具將 Windows 10 和 Windows 11 裝置上線
• 使用本機指令碼將 Windows 10 和 Windows 11 裝置上線
• 針對 Microsoft Defender 進階威脅防護上線問題進行疑難排解