Integrar dispositivos de infraestrutura de ambiente de trabalho virtual não persistentes

Aplica-se a:

• Prevenção contra Perda de Dados de Ponto de Extremidade (DLP)

• Gerenciamento de risco interno

• Dispositivos de infraestrutura de ambiente de trabalho virtual (VDI)

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Integrar dispositivos VDI

O Microsoft 365 suporta a inclusão de sessões de infraestrutura de ambiente de trabalho virtual (VDI) não persistentes.

Observação

Para integrar sessões VDI não persistentes, os dispositivos VDI têm de estar no Windows 10 1809 ou superior.

Podem existir desafios associados ao integrar VDIs. Seguem-se desafios típicos para este cenário:

• Integração antecipada instantânea de sessões de curta duração, que têm de ser integradas no Microsoft 365 antes do aprovisionamento real.
• Normalmente, o nome do dispositivo é reutilizado para novas sessões.

Os dispositivos VDI podem aparecer na portal de conformidade do Microsoft Purview como:

• Entrada única para cada dispositivo. Tenha em atenção que, neste caso, o mesmo nome do dispositivo tem de ser configurado quando a sessão é criada, por exemplo, utilizando um ficheiro de resposta automática.
• Múltiplas entradas para cada dispositivo - uma para cada sessão.

Os passos seguintes irão orientá-lo ao longo da integração de dispositivos VDI e irão realçar os passos para entradas individuais e múltiplas.

Aviso

O suporte de prevenção de perda de dados de ponto final para o Windows Virtual Desktop suporta cenários de sessão única e de várias sessões. Para ambientes em que existem poucas configurações de recursos, o procedimento de arranque VDI pode atrasar o processo de integração do dispositivo.

1. Obtenha o ficheiro de .zip do pacote de configuração VDI (DeviceCompliancePackage.zip) do portal de conformidade do Microsoft Purview.

2. No painel de navegação, selecione Definições>Inclusão de dispositivos Integração>.

3. No campo Método de implementação , selecione Scripts de inclusão VDI para pontos finais não persistentes.

4. Clique em Transferir pacote e guarde o ficheiro .zip.

5. Copie os ficheiros da pasta DeviceCompliancePackage extraída do ficheiro .zip para a golden imagem no caminho C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup.

6. Se não estiver a implementar uma única entrada para cada dispositivo, copie DeviceComplianceOnboardingScript.cmd.

7. Se estiver a implementar uma única entrada para cada dispositivo, copie Onboard-NonPersistentMachine.ps1 e DeviceComplianceOnboardingScript.cmd.

   Observação

   Se não vir a C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup pasta, esta poderá estar oculta. Terá de escolher a opção Mostrar ficheiros e pastas ocultos de Explorador de Arquivos.

8. Abra uma janela de Política de Grupo Editor Local e navegue para Configuração> do ComputadorArranque dosScripts>de Definições> do Windows.

   Observação

   Os Política de Grupo de domínio também podem ser utilizados para integrar dispositivos VDI não persistentes.

9. Consoante o método que pretende implementar, siga os passos adequados:

   Para uma única entrada para cada dispositivo

   Selecione o separador Scripts do PowerShell e, em seguida, clique em Adicionar (o Windows Explorer será aberto diretamente no caminho onde copiou o script de inclusão anteriormente). Navegue para o script Onboard-NonPersistentMachine.ps1do PowerShell de inclusão.

   Para múltiplas entradas para cada dispositivo:

   Selecione o separador Scripts e, em seguida, clique em Adicionar (o Windows Explorer será aberto diretamente no caminho onde copiou o script de inclusão anteriormente). Navegue para o script DeviceComplianceOnboardingScript.cmdbash de inclusão .

10. Teste a sua solução:

    1. Crie um conjunto com um dispositivo.
    2. Inicie sessão no dispositivo.
    3. Termine sessão no dispositivo.
    4. Inicie sessão no dispositivo com outro utilizador.
    5. Para uma única entrada para cada dispositivo: verifique apenas uma entrada no Central de Segurança do Microsoft Defender. Para múltiplas entradas para cada dispositivo: verifique múltiplas entradas no Central de Segurança do Microsoft Defender.

11. Clique em Lista de dispositivos no painel navegação.

12. Utilize a função de pesquisa ao introduzir o nome do dispositivo e selecione Dispositivo como tipo de pesquisa.

Atualizar imagens de infraestrutura de ambiente de trabalho virtual (VDI) não persistentes

Como melhor prática, recomendamos a utilização de ferramentas de manutenção offline para aplicar patches a imagens douradas.

Por exemplo, pode utilizar os comandos abaixo para instalar uma atualização enquanto a imagem permanece offline:

DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit

Para obter mais informações sobre comandos DISM e manutenção offline, veja os artigos abaixo:

• Modificar uma imagem do Windows com DISM
• Opções de Command-Line de Gestão de Imagens DISM
• Reduzir o Tamanho do Arquivo de Componentes numa Imagem do Windows Offline

Se a manutenção offline não for uma opção viável para o seu ambiente VDI não persistente, devem ser seguidos os seguintes passos para garantir a consistência e o estado de funcionamento do sensor:

1. Depois de arrancar a imagem dourada para manutenção online ou aplicação de patches, execute um script de exclusão para desativar o sensor de monitorização de dispositivos do Microsoft 365. Para obter mais informações, veja Offboard devices using a local script (Exclusão de dispositivos com um script local).

2. Certifique-se de que o sensor está parado ao executar o comando abaixo numa janela cmd:

   sc query sense
   

3. Servir a imagem conforme necessário.

4. Execute os comandos abaixo com PsExec.exe (que podem ser transferidos de https://download.sysinternals.com/files/PSTools.zip) para limpo o conteúdo da pasta cibernética que o sensor pode ter acumulado desde o arranque:

   PsExec.exe -s cmd.exe
   cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber"
   del *.* /f /s /q
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
   exit
   

5. Volte a selar a imagem dourada como faria normalmente.

Tópicos relacionados

• Integrar dispositivos Windows 10 e Windows 11 com Política de Grupo
• Integrar Windows 10 e Windows 11 dispositivos com o Microsoft Endpoint Configuration Manager
• Integrar dispositivos Windows 10 e Windows 11 usando ferramentas de Gerenciamento de Dispositivo Móvel
• Integrar dispositivos Windows 10 e Windows 11 usando um script local
• Resolver problemas de inclusão do Microsoft Defender Advanced Threat Protection