非永続的な仮想デスクトップ インフラストラクチャ デバイスのオンボード
適用対象:
仮想デスクトップ インフラストラクチャ (VDI) デバイス
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。
VDI デバイスのオンボード
Microsoft 365 では、非永続的仮想デスクトップ インフラストラクチャ (VDI) セッションのオンボードがサポートされています。
注:
非永続的な VDI セッションをオンボードするには、VDI デバイスが Windows 10 1809 以上である必要があります。
VDI のオンボード時に、関連する課題が発生する可能性があります。 このシナリオの一般的な課題を次に示します。
- 実際のプロビジョニングの前に Microsoft 365 にオンボードする必要がある、有効期間の短いセッションの即時早期オンボーディング。
- 通常、デバイス名は新しいセッションで再利用されます。
VDI デバイスは、次のようにMicrosoft Purview コンプライアンス ポータルに表示できます。
- 各デバイスの 1 つのエントリ。 この場合、無人応答ファイルを使用するなど、セッションの作成時に 同じ デバイス名を構成する必要があることに注意してください。
- 各デバイスの複数のエントリ - セッションごとに 1 つ。
次の手順では、VDI デバイスのオンボードについて説明し、1 つのエントリと複数のエントリの手順を強調表示します。
警告
Windows Virtual Desktop のエンドポイント データ損失防止のサポートでは、単一セッションシナリオとマルチセッション シナリオの両方がサポートされます。 リソース構成が少ない環境では、VDI ブート手順によってデバイスのオンボード プロセスが遅くなる可能性があります。
Microsoft Purview コンプライアンス ポータルから VDI 構成パッケージ .zip ファイル (DeviceCompliancePackage.zip) を取得します。
ナビゲーション ウィンドウで、 設定>Device onboarding>Onboarding を選択します。
[ デプロイ方法 ] フィールドで、 非永続的エンドポイントの VDI オンボード スクリプトを選択します。
[ パッケージのダウンロード ] をクリックし、.zip ファイルを保存します。
.zip ファイルから抽出した DeviceCompliancePackage フォルダーから、パス
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
の下のgolden
イメージにファイルをコピーします。デバイスごとに 1 つのエントリを実装していない場合は、DeviceComplianceOnboardingScript.cmdをコピーします。
デバイスごとに 1 つのエントリを実装する場合は、Onboard-NonPersistentMachine.ps1 とDeviceComplianceOnboardingScript.cmdの両方をコピーします。
注:
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
フォルダーが表示されない場合は、非表示になっている可能性があります。 エクスプローラーから [非表示のファイルとフォルダーを表示する] オプションを選択する必要があります。[ローカル グループ ポリシー エディター] ウィンドウを開き、[コンピューターの構成>Windows の設定>Scripts>Startup に移動します。
注:
ドメイン グループ ポリシーは、非永続的 VDI デバイスのオンボードにも使用できます。
実装するメソッドに応じて、適切な手順に従います。
各デバイスの 1 つのエントリの場合
[PowerShell スクリプト] タブを選択し、[追加] をクリックします (Windows エクスプローラーは、前にオンボード スクリプトをコピーしたパスで直接開きます)。 PowerShell スクリプト
Onboard-NonPersistentMachine.ps1
のオンボードに移動します。デバイスごとに複数のエントリの場合:
[スクリプト] タブを選択し、[追加] をクリックします (Windows エクスプローラーは、前にオンボード スクリプトをコピーしたパスで直接開きます)。 オンボード bash スクリプト
DeviceComplianceOnboardingScript.cmd
に移動します。ソリューションをテストする:
- 1 つのデバイスでプールを作成します。
- デバイスにログオンします。
- デバイスからログオフします。
- 別のユーザーとデバイスにログオンします。
- 各デバイスの 1 つのエントリの場合: Microsoft Defender セキュリティ センター内の 1 つのエントリのみを確認します。 デバイスごとに複数のエントリの場合: Microsoft Defender セキュリティ センターで複数のエントリを確認します。
ナビゲーション ウィンドウで [ デバイスの一覧 ] をクリックします。
デバイス名を入力して検索機能を使用し、検索の種類として [デバイス ] を選択します。
非永続的仮想デスクトップ インフラストラクチャ (VDI) イメージの更新
ベスト プラクティスとして、オフライン サービス ツールを使用してゴールデン イメージにパッチを適用することをお勧めします。
たとえば、次のコマンドを使用して、イメージがオフラインのまま更新プログラムをインストールできます。
DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit
DISM コマンドとオフライン サービスの詳細については、以下の記事を参照してください。
- DISM を使用して Windows イメージを変更する
- DISM イメージ管理の Command-Line オプション
- オフライン Windows イメージ内のコンポーネント ストアのサイズを小さくする
非永続的 VDI 環境でオフライン サービスが実行可能なオプションでない場合は、一貫性とセンサーの正常性を確保するために、次の手順を実行する必要があります。
オンライン サービスまたはパッチ適用のためにゴールデン イメージを起動した後、オフボード スクリプトを実行して Microsoft 365 デバイス監視センサーをオフにします。 詳細については、「 ローカル スクリプトを使用したオフボード デバイス」を参照してください。
CMD ウィンドウで次のコマンドを実行して、センサーが停止していることを確認します。
sc query sense
必要に応じてイメージをサービスします。
PsExec.exe (https://download.sysinternals.com/files/PSTools.zipからダウンロードできます) を使用して、次のコマンドを実行して、センサーが起動後に蓄積した可能性があるサイバー フォルダーの内容をクリーンします。
PsExec.exe -s cmd.exe cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber" del *.* /f /s /q REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f exit
通常と同じように、金色の画像を再シールします。
関連項目
- グループ ポリシーを使用してWindows 10およびWindows 11デバイスをオンボードする
- Microsoft Endpoint Configuration Managerを使用してWindows 10およびWindows 11デバイスをオンボードする
- モバイル デバイス管理ツールを使用した Windows 10 および Windows 11 デバイスのオンボード
- ローカル スクリプトを使用した Windows 10 および Windows 11 デバイスのオンボード
- Advanced Threat Protection のオンボードに関する問題Microsoft Defenderトラブルシューティングする