閱讀英文

共用方式為


將非持續虛擬桌面基礎結構裝置上線

適用於:

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

將 VDI 裝置上線

Microsoft 365 支援非持續性虛擬桌面基礎結構 (VDI) 工作階段上線。

注意

若要將非持續性 VDI 工作階段上線,VDI 裝置必須在 Windows 10 1809 或更新版本上。

將 VDI 上線時,可能有相關聯的挑戰。 以下是此案例的一般挑戰:

  • 短期會話的立即提早上線,必須在實際布建之前上線至 Microsoft 365。
  • 裝置名稱通常會重複用於新的工作階段。

VDI 裝置可以在 Microsoft Purview 合規性入口網站 中顯示為:

  • 每個裝置的單一項目。 請注意在這種情況下,建立工作階段時必須設定相同的裝置名稱,例如使用自動回應檔案。
  • 每個裝置有多個項目 - 每個工作階段一個項目。

下列步驟將引導您完成將 VDI 裝置上線,並且醒目提示單一和多個項目的步驟。

警告

Windows 虛擬桌面的端點數據外洩防護支援支援單一會話和多重會話案例。 對於低資源組態的環境,VDI 開機程序可能會降低裝置上線程序的速度。

  1. 從 Microsoft Purview 合規性入口網站 取得 VDI 組態套件 .zip 檔案 (DeviceCompliancePackage.zip)

  2. 在瀏覽窗格中,選取 [設定]>[裝置上線]>[上線]

  3. [部署方法] 欄位中,選取 [非持續性端點的 VDI 上線指令碼]

  4. 按一下 [下載套件],然後儲存 .zip 檔案。

  5. 將從 .zip 檔案解壓縮的 DeviceCompliancePackage 資料夾中的檔案複製到路徑 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup 底下的 golden 映像。

  6. 如果您未對每個裝置實作單一項目,請複製 DeviceComplianceOnboardingScript.cmd。

  7. 如果您對每個裝置實作單一項目,請複製 Onboard-NonPersistentMachine.ps1 和 DeviceComplianceOnboardingScript.cmd。

    注意

    如果您看不到 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup 資料夾,該資料夾可能隱藏起來。 您必須從檔案總管選擇 [顯示隱藏的檔案及資料夾] 選項。

  8. 開啟 [本機群組原則編輯器] 視窗,並瀏覽至 [設定]>[Windows 設定]>[指令碼]>[啟動]

    注意

    網域群組原則也可以用來將非持續性 VDI 裝置上線。

  9. 根據要實作的方法,請遵循適當的步驟:

    針對每個裝置的單一項目

    選取 [PowerShell 指令碼] 索引標籤,然後按一下 [新增] (Windows Explorer 會直接在您先前複製上線指令碼的路徑中開啟)。 瀏覽至上線 PowerShell 指令碼 Onboard-NonPersistentMachine.ps1

    針對每個裝置的多個項目

    選取 [指令碼] 索引標籤,然後按一下 [新增] (Windows Explorer 會直接在您先前複製上線指令碼的路徑中開啟)。 瀏覽至上線 bash 指令碼 DeviceComplianceOnboardingScript.cmd

  10. 測試您的解決方案:

    1. 使用一個裝置建立一個集區。
    2. 登入裝置。
    3. 從裝置註銷。
    4. 與其他使用者一起登入裝置。
    5. 針對每個裝置的單一項目:在 Microsoft Defender 資訊安全中心中僅檢查一個項目。 針對每個裝置的多個項目:在 Microsoft Defender 資訊安全中心中檢查多個項目。
  11. 按一下 [瀏覽] 窗格上的 [裝置清單]

  12. 藉由輸入裝置名稱並選取 [裝置] 作為搜尋類型,來使用搜尋功能。

更新非持續性虛擬桌面基礎結構 (VDI) 映像

最佳做法是使用離線服務工具來修補黃金影像。

例如,您可以使用下列命令在映像保持離線時安裝更新:

DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit

如需 DISM 命令和離線服務的詳細資訊,請參閱下列文章:

如果離線服務不是非持續性 VDI 環境的可行選項,則應該採取下列步驟以確保一致性和感應器健康狀態:

  1. 開機在線服務或修補的黃金映射之後,請執行脫機腳本以關閉 Microsoft 365 裝置監視感測器。 如需詳細資訊,請參閱使用本機指令碼將裝置下架

  2. 在 CMD 視窗中執行下列命令,確保感應器已停止:

    sc query sense
    
  3. 根據需要為映像提供服務。

  4. 使用可從 https://download.sysinternals.com/files/PSTools.zip) 下載的 PsExec.exe (執行下列命令,以清除感測器在開機後可能累積的網路資料夾內容:

    PsExec.exe -s cmd.exe
    cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber"
    del *.* /f /s /q
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
    exit
    
  5. 如往常般重新密封黃金影像。