將非持續虛擬桌面基礎結構裝置上線

適用於：

• 端點資料外洩防護 (DLP)

• 內部風險管理

• 虛擬桌面基礎結構 (VDI) 裝置

將 VDI 裝置上線

Microsoft 365 支援非持續性虛擬桌面基礎結構 (VDI) 工作階段上線。

將 VDI 上線時，可能有相關聯的挑戰。 以下是此案例的一般挑戰：

• 短期會話的即時早期上線，必須在實際布建之前上線至 Microsoft 365。
• 裝置名稱通常會重複用於新的工作階段。

VDI 裝置可以出現在 Microsoft Purview 入口網站中，如下所示：

• 每個裝置的單一項目。 在此情況下，建立會話時必須設定 相同的 裝置名稱，例如使用自動應答檔案。
• 每個裝置有多個項目 - 每個工作階段一個項目。

下列步驟將引導您完成 VDI 裝置的上線，並將醒目提示單一和多個項目的步驟。

1. 從 Purview 入口網站取得 VDI 組態套件 .zip 檔案 (DeviceCompliancePackage.zip) Microsoft。

2. 在瀏覽窗格中，選取 [設定]>[裝置上線]>[上線]。

3. 在 [部署方法] 欄位中，選取 [非持續性端點的 VDI 上線指令碼]。

4. 選取 [ 下載套件 ]，然後儲存 .zip 檔案。

5. 將從 .zip 檔案解壓縮的 DeviceCompliancePackage 資料夾中的檔案複製到路徑 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup 底下的 golden 映像。

6. 如果您未為每個裝置實作單一專案，請複製DeviceComplianceOnboardingScript.cmd。

7. 如果您要為每個裝置實作單一項目，請同時複製 Onboard-NonPersistentMachine.ps1 和DeviceComplianceOnboardingScript.cmd。

   注意事項

   如果您看不到 C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup 資料夾，該資料夾可能隱藏起來。 您需要選擇 顯示隱藏檔案和資料夾 檔案總管中的選項。

8. 開啟 [本機群組原則編輯器] 視窗，並瀏覽至 [設定]>[Windows 設定]>[指令碼]>[啟動]。

   注意事項

   網域群組原則也可以用來將非持續性 VDI 裝置上線。

9. 根據要實作的方法，請遵循適當的步驟：

   針對每個裝置的單一項目

   選取 [ PowerShell 腳本] 索引標籤，然後選取 [ 新增 (Windows 檔案總管會直接在您稍早複製上線腳本的路徑中開啟) 。 瀏覽至上線 PowerShell 指令碼 Onboard-NonPersistentMachine.ps1。

   針對每個裝置的多個項目：

   選取 [腳本] 索引標籤，然後選取 [ 新增 (Windows 檔案總管] 會直接在您稍早複製上線腳本的路徑中開啟) 。 瀏覽至上線 bash 指令碼 DeviceComplianceOnboardingScript.cmd。

10. 測試您的解決方案：

    1. 使用一個裝置建立一個集區。
    2. 登入裝置。
    3. 從裝置登出。
    4. 使用其他使用者登入裝置。
    5. 針對每個裝置的單一項目：在 Microsoft Defender 資訊安全中心中僅檢查一個項目。 針對每個裝置的多個項目：在 Microsoft Defender 資訊安全中心中檢查多個項目。

11. 選取 [導覽] 窗格上的 [裝置] 清單 。

12. 藉由輸入裝置名稱並選取 [裝置] 作為搜尋類型，來使用搜尋功能。

更新非持續性虛擬桌面基礎結構 (VDI) 映像

最佳做法是，建議您使用離線服務工具來修補最佳配置映像。

例如，您可以使用下列命令在映像保持離線時安裝更新：

DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit

如需 DISM 命令和離線服務的詳細資訊，請參閱下列文章：

• 使用 DISM 修改 Windows 映像
• DISM 映像管理命令列選項
• 減少離線 Windows 映像中的元件存放區大小

如果離線服務不是非持續性 VDI 環境的可行選項，則應該採取下列步驟來確保一致性和感測器健康情況：

1. 開機最佳配置映像以進行線上服務或修補之後，請執行離線腳本以關閉 Microsoft 365 裝置監視感應器。 如需詳細資訊，請參閱使用本機指令碼將裝置下架。

2. 在 CMD 視窗中執行下列命令，確保感應器已停止：

   sc query sense
   

3. 根據需要為映像提供服務。

4. 使用可從) 下載 https://download.sysinternals.com/files/PSTools.zip 的 PsExec.exe (運行以下命令，以清理感測器自啟動以來可能累積的網路資料夾內容：

   PsExec.exe -s cmd.exe
   cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber"
   del *.* /f /s /q
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
   exit
   

5. 像往常一樣重新密封金色圖像。

相關文章

• 使用群組原則將 Windows 10 和 Windows 11 裝置上線
• 使用 Microsoft Endpoint Configuration Manager 將 Windows 10 和 Windows 11 裝置上線
• 使用行動裝置管理工具將 Windows 10 和 Windows 11 裝置上線
• 使用本機指令碼將 Windows 10 和 Windows 11 裝置上線
• 針對 Microsoft Defender 進階威脅防護上線問題進行疑難排解