將非持續虛擬桌面基礎結構裝置上線
適用於:
虛擬桌面基礎結構 (VDI) 裝置
提示
如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
Microsoft 365 支援非持續性虛擬桌面基礎結構 (VDI) 工作階段上線。
注意
若要將非持續性 VDI 工作階段上線,VDI 裝置必須在 Windows 10 1809 或更新版本上。
將 VDI 上線時,可能有相關聯的挑戰。 以下是此案例的一般挑戰:
- 短期會話的立即提早上線,必須在實際布建之前上線至 Microsoft 365。
- 裝置名稱通常會重複用於新的工作階段。
VDI 裝置可以在 Microsoft Purview 合規性入口網站 中顯示為:
- 每個裝置的單一項目。 請注意在這種情況下,建立工作階段時必須設定相同的裝置名稱,例如使用自動回應檔案。
- 每個裝置有多個項目 - 每個工作階段一個項目。
下列步驟將引導您完成將 VDI 裝置上線,並且醒目提示單一和多個項目的步驟。
警告
Windows 虛擬桌面的端點數據外洩防護支援支援單一會話和多重會話案例。 對於低資源組態的環境,VDI 開機程序可能會降低裝置上線程序的速度。
從 Microsoft Purview 合規性入口網站 取得 VDI 組態套件 .zip 檔案 (DeviceCompliancePackage.zip) 。
在瀏覽窗格中,選取 [設定]>[裝置上線]>[上線]。
在 [部署方法] 欄位中,選取 [非持續性端點的 VDI 上線指令碼]。
按一下 [下載套件],然後儲存 .zip 檔案。
將從 .zip 檔案解壓縮的 DeviceCompliancePackage 資料夾中的檔案複製到路徑
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
底下的golden
映像。如果您未對每個裝置實作單一項目,請複製 DeviceComplianceOnboardingScript.cmd。
如果您對每個裝置實作單一項目,請複製 Onboard-NonPersistentMachine.ps1 和 DeviceComplianceOnboardingScript.cmd。
注意
如果您看不到
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
資料夾,該資料夾可能隱藏起來。 您必須從檔案總管選擇 [顯示隱藏的檔案及資料夾] 選項。開啟 [本機群組原則編輯器] 視窗,並瀏覽至 [設定]>[Windows 設定]>[指令碼]>[啟動]。
注意
網域群組原則也可以用來將非持續性 VDI 裝置上線。
根據要實作的方法,請遵循適當的步驟:
針對每個裝置的單一項目
選取 [PowerShell 指令碼] 索引標籤,然後按一下 [新增] (Windows Explorer 會直接在您先前複製上線指令碼的路徑中開啟)。 瀏覽至上線 PowerShell 指令碼
Onboard-NonPersistentMachine.ps1
。針對每個裝置的多個項目:
選取 [指令碼] 索引標籤,然後按一下 [新增] (Windows Explorer 會直接在您先前複製上線指令碼的路徑中開啟)。 瀏覽至上線 bash 指令碼
DeviceComplianceOnboardingScript.cmd
。測試您的解決方案:
- 使用一個裝置建立一個集區。
- 登入裝置。
- 從裝置註銷。
- 與其他使用者一起登入裝置。
- 針對每個裝置的單一項目:在 Microsoft Defender 資訊安全中心中僅檢查一個項目。 針對每個裝置的多個項目:在 Microsoft Defender 資訊安全中心中檢查多個項目。
按一下 [瀏覽] 窗格上的 [裝置清單]。
藉由輸入裝置名稱並選取 [裝置] 作為搜尋類型,來使用搜尋功能。
最佳做法是使用離線服務工具來修補黃金影像。
例如,您可以使用下列命令在映像保持離線時安裝更新:
DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit
如需 DISM 命令和離線服務的詳細資訊,請參閱下列文章:
如果離線服務不是非持續性 VDI 環境的可行選項,則應該採取下列步驟以確保一致性和感應器健康狀態:
開機在線服務或修補的黃金映射之後,請執行脫機腳本以關閉 Microsoft 365 裝置監視感測器。 如需詳細資訊,請參閱使用本機指令碼將裝置下架。
在 CMD 視窗中執行下列命令,確保感應器已停止:
sc query sense
根據需要為映像提供服務。
使用可從 https://download.sysinternals.com/files/PSTools.zip) 下載的 PsExec.exe (執行下列命令,以清除感測器在開機後可能累積的網路資料夾內容:
PsExec.exe -s cmd.exe cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber" del *.* /f /s /q REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f exit
如往常般重新密封黃金影像。