载入非持久性虚拟桌面基础结构设备

适用于:

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。

载入 VDI 设备

Microsoft 365 支持非持久性虚拟桌面基础结构 (VDI) 会话载入。

注意

若要加入非持久性 VDI 会话,VDI 设备必须位于 Windows 10 1809 或更高版本。

加入 VDI 时可能存在相关的挑战。 下面是此方案的典型挑战:

  • 短生存期会话的即时提前加入,必须在实际预配之前加入到 Microsoft 365。
  • 设备名称通常重新用于新会话。

VDI 设备可以在Microsoft Purview 合规门户中显示为:

  • 每个设备的单个条目。 请注意,在这种情况下,必须在创建会话时配置 相同的 设备名称,例如使用无人参与的应答文件。
  • 每个设备的多个条目 - 每个会话一个条目。

以下步骤将指导你完成加入 VDI 设备,并突出显示单项和多个条目的步骤。

警告

Windows 虚拟桌面的终结点数据丢失防护支持支持单会话和多会话方案。 对于资源配置较低的环境,VDI 启动过程可能会减慢设备载入过程。

  1. 从 Microsoft Purview 合规门户 获取 VDI 配置包 .zip 文件 (DeviceCompliancePackage.zip)

  2. 在导航窗格中,选择“设置>设备载入>”。

  3. “部署方法 ”字段中, 为非持久性终结点选择“VDI 载入脚本”。

  4. 单击“ 下载包 ”并保存 .zip 文件。

  5. 将从 .zip 文件 golden 提取的 DeviceCompliancePackage 文件夹中的文件复制到路径 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup下的映像中。

  6. 如果未为每个设备实现单个条目,请复制DeviceComplianceOnboardingScript.cmd。

  7. 如果要为每个设备实现单个条目,请同时复制 Onboard-NonPersistentMachine.ps1 和DeviceComplianceOnboardingScript.cmd。

    注意

    如果未看到该 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup 文件夹,则它可能已隐藏。 需要从文件资源管理器选择“显示隐藏的文件和文件夹”选项。

  8. 打开“本地组策略 编辑器”窗口并导航到“计算机配置>”“Windows 设置”“>脚本>启动”。

    注意

    域组策略还可用于载入非持久性 VDI 设备。

  9. 根据要实现的方法,请遵循相应的步骤:

    对于每个设备的单个条目

    选择“ PowerShell 脚本 ”选项卡,然后单击“ 添加 (Windows 资源管理器将直接打开之前复制载入脚本的路径) 。 导航到载入 PowerShell 脚本 Onboard-NonPersistentMachine.ps1

    对于每个设备的多个条目

    选择“ 脚本 ”选项卡,然后单击“ 添加 (Windows 资源管理器将直接在) 之前复制载入脚本的路径中打开。 导航到载入 bash 脚本 DeviceComplianceOnboardingScript.cmd

  10. 测试解决方案:

    1. 创建包含一台设备的池。
    2. 登录到设备。
    3. 从设备注销。
    4. 使用其他用户登录到设备。
    5. 对于每个设备的单个条目:仅检查Microsoft Defender 安全中心中的一个条目。 对于每个设备的多个条目:检查Microsoft Defender 安全中心中的多个条目。
  11. 单击“导航”窗格上的“ 设备列表 ”。

  12. 输入设备名称并选择“ 设备 ”作为搜索类型,使用搜索功能。

(VDI) 映像更新非持久性虚拟桌面基础结构

作为最佳做法,我们建议使用脱机服务工具来修补黄金映像。

例如,可以使用以下命令在映像保持脱机状态时安装更新:

DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit

有关 DISM 命令和脱机服务的详细信息,请参阅以下文章:

如果脱机服务不是非持久性 VDI 环境的可行选项,应执行以下步骤以确保一致性和传感器运行状况:

  1. 启动黄金映像进行联机服务或修补后,运行卸载脚本以关闭 Microsoft 365 设备监视传感器。 有关详细信息,请参阅 使用本地脚本的卸载设备

  2. 通过在 CMD 窗口中运行以下命令,确保传感器已停止:

    sc query sense
    
  3. 根据需要维护映像。

  4. 使用可从) 下载 https://download.sysinternals.com/files/PSTools.zip 的 PsExec.exe (运行以下命令,以清理传感器自启动后可能累积的网络文件夹内容:

    PsExec.exe -s cmd.exe
    cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber"
    del *.* /f /s /q
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
    exit
    
  5. 像平常一样重新密封金色图像。