载入非持久性虚拟桌面基础结构设备

适用于：

• 终结点数据丢失防护 (DLP)

• 内部风险管理

• 虚拟桌面基础结构 (VDI) 设备

载入 VDI 设备

Microsoft 365 支持非持久性虚拟桌面基础结构 (VDI) 会话载入。

加入 VDI 时可能存在相关的挑战。 下面是此方案的典型挑战：

• 短生存期会话的即时提前加入，必须在实际预配之前加入到 Microsoft 365。
• 设备名称通常重新用于新会话。

VDI 设备可以在 Microsoft Purview 门户中显示为：

• 每个设备的单个条目。 在这种情况下，必须在创建会话时配置 相同的 设备名称，例如使用无人参与的应答文件。
• 每个设备的多个条目 - 每个会话一个条目。

以下步骤将指导你完成加入 VDI 设备，并将突出显示单项和多个条目的步骤。

1. 从 Microsoft Purview 门户获取 VDI 配置包 .zip 文件 (DeviceCompliancePackage.zip) 。

2. 在导航窗格中，选择“设置>设备载入>”。

3. 在 “部署方法 ”字段中， 为非持久性终结点选择“VDI 载入脚本”。

4. 选择“ 下载包 ”并保存 .zip 文件。

5. 将从 .zip 文件 golden 提取的 DeviceCompliancePackage 文件夹中的文件复制到路径 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup下的映像中。

6. 如果未为每个设备实现单个条目，请复制DeviceComplianceOnboardingScript.cmd。

7. 如果要为每个设备实现单个条目，请同时复制 Onboard-NonPersistentMachine.ps1 和DeviceComplianceOnboardingScript.cmd。

   注意

   如果未看到该 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup 文件夹，则它可能已隐藏。 需要从文件资源管理器选择“显示隐藏的文件和文件夹”选项。

8. 打开“本地组策略 编辑器”窗口并导航到“计算机配置>”“Windows 设置”“>脚本>启动”。

   注意

   域组策略还可用于载入非持久性 VDI 设备。

9. 根据要实现的方法，请遵循相应的步骤：

   对于每个设备的单个条目

   选择“ PowerShell 脚本 ”选项卡，然后选择“ 添加 (Windows 资源管理器”，直接在前面) 复制载入脚本的路径中打开。 导航到载入 PowerShell 脚本 Onboard-NonPersistentMachine.ps1。

   对于每个设备的多个条目：

   选择“ 脚本 ”选项卡，然后选择“ 添加 (Windows 资源管理器”，直接在前面) 复制载入脚本的路径中打开。 导航到载入 bash 脚本 DeviceComplianceOnboardingScript.cmd。

10. 测试解决方案：

    1. 创建包含一台设备的池。
    2. 登录设备。
    3. 从设备注销。
    4. 使用其他用户登录设备。
    5. 对于每个设备的单个条目：仅检查Microsoft Defender 安全中心中的一个条目。 对于每个设备的多个条目：检查Microsoft Defender 安全中心中的多个条目。

11. 在“导航”窗格中选择“ 设备列表 ”。

12. 输入设备名称并选择“ 设备 ”作为搜索类型，使用搜索功能。

(VDI) 映像更新非持久性虚拟桌面基础结构

作为最佳做法，我们建议使用脱机服务工具来修补黄金映像。

例如，可以使用以下命令在映像保持脱机状态时安装更新：

DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit

有关 DISM 命令和脱机服务的详细信息，请参阅以下文章：

• 使用 DISM 修改 Windows 映像
• DISM 映像管理 Command-Line 选项
• 减小脱机 Windows 映像中组件存储区的大小

如果脱机服务不是非持久性 VDI 环境的可行选项，应执行以下步骤以确保一致性和传感器运行状况：

1. 启动黄金映像进行联机服务或修补后，运行卸载脚本以关闭 Microsoft 365 设备监视传感器。 有关详细信息，请参阅 使用本地脚本的卸载设备。

2. 通过在 CMD 窗口中运行以下命令，确保传感器已停止：

   sc query sense
   

3. 根据需要维护映像。

4. 使用可从) 下载 https://download.sysinternals.com/files/PSTools.zip 的 PsExec.exe (运行以下命令，以清理传感器自启动后可能累积的网络文件夹内容：

   PsExec.exe -s cmd.exe
   cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber"
   del *.* /f /s /q
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
   exit
   

5. 像平常一样重新封装金色图像。

相关文章

• 使用组策略加入Windows 10和Windows 11设备
• 使用 Microsoft Endpoint Configuration Manager 载入Windows 10和Windows 11设备
• 使用移动设备管理工具载入 Windows 10 和 Windows 11 设备
• 使用本地脚本载入 Windows 10 和 Windows 11 设备
• 排查Microsoft Defender高级威胁防护加入问题