Hantera icke-beständiga enheter som är virtuella skrivbordsinfrastrukturenheter

Gäller för:

Varning

Microsoft 365 Stöd för dataförlustskydd för slutpunkter för Windows virtuella skrivbordet har stöd för scenarier med enstaka sessioner. Scenarier med flera sessioner på Windows virtuella skrivbordet stöds för närvarande inte.

Introducera VDI-enheter

Microsoft 365 Dataförlustskydd i slutpunkten stöder icke-fortlöpande VDI-sessionsinfrastruktur (Virtual Desktop Infrastructure).

Anteckning

För att icke-beständiga VDI-sessioner ska kunna användas måste VDI-enheter Windows 10 1809 eller senare.

Det kan finnas associerade utmaningar vid registrering av VDE:er. Följande är vanliga utmaningar med det här scenariot:

  • Direkt snabb registrering av korta sessioner, som måste vara onboarded till Microsoft 365 Endpoint data loss prevention innan den faktiska etableringen.
  • Enhetsnamnet återanvänds vanligtvis för nya sessioner.

VDI-enheter kan visas i Microsoft 365 kompatibilitetscenter som antingen:

  • Enskild post för varje enhet. Observera att i det här fallet måste samma enhetsnamn konfigureras när sessionen skapas, till exempel med en obevakad svarsfil.
  • Flera poster för varje enhet – en för varje session.

Följande steg vägleder dig genom introduktionen av VDI-enheter och visar steg för enskilda och flera poster.

Varning

I miljöer där det finns konfigurationer för låga resurser kan VDI-startproceduren göra att dataförlustskydden i Microsoft 365 inkonfigurering av dataförlust kan gå långsammare.

  1. Öppna den VDI-.zip filen (DeviceCompliancePackage.zip) som du laddade ned från guiden för service onboarding.

  2. I navigeringsfönstret väljer du Inställningar > Onboarding > Onboarding för enheter.

  3. Välj VDI-onboardingskript för icke-beständiga slutpunkter i fältet Distributionsmetod.

  4. Klicka på Ladda ned paket och spara .zip filen.

  5. Kopiera filerna från mappen DeviceCompliancePackage som extraheras från .zip-filen till golden/master bilden under C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup sökvägen.

  6. Om du inte implementerar en enskild post för varje enhet kopierar du DeviceComplianceOnboardingScript.cmd.

  7. Om du implementerar en enskild post för varje enhet kopierar du både Onboard-NonPersistentMachine.ps1 och DeviceComplianceOnboardingScript.cmd.

    Anteckning

    Om du inte ser mappen C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup kan den vara dold. Du måste välja alternativet Visa dolda filer och mappar i Utforskaren.

  8. Öppna ett fönster för redigeraren för lokala grupprinciper och gå till > datorkonfiguration Windows Inställningar vid start > av > skript.

    Anteckning

    Domain Group Policy kan också användas för registrering av icke-beständiga VDI-enheter.

  9. Beroende på vilken metod du vill implementera följer du lämpliga steg:

    För enskild inmatning för varje enhet

    Välj fliken PowerShell-skript och klicka sedan på Lägg till (Windows Utforskaren öppnas direkt i sökvägen där du kopierade onboarding-skriptet tidigare). Navigera till onboarding PowerShell-skript Onboard-NonPersistentMachine.ps1 .

    För flera poster för varje enhet:

    Välj fliken Skript och klicka sedan Lägg Windows (utforskaren öppnas direkt i sökvägen där du kopierade onboarding-skriptet tidigare). Navigera till bash-skriptet DeviceComplianceOnboardingScript.cmd onboarding.

  10. Testa lösningen:

    1. Skapa en pool med en enhet.
    2. Logga in på enheten.
    3. Logga ut från enhet.
    4. Logga in på enhet med en annan användare.
    5. För enskild post för varje enhet: Kontrollera bara en post i Microsoft Defender Säkerhetscenter. För flera poster för varje enhet: Kontrollera flera poster i Microsoft Defender Säkerhetscenter.
  11. Klicka på listan Enheter i navigeringsfönstret.

  12. Använd sökfunktionen genom att ange enhetens namn och välja Enhet som söktyp.

Uppdatera icke-beständiga VDI-bilder (Virtual Desktop Infrastructure)

Vi rekommenderar att du använder offlineserviceverktyg för att korrigera gyllene/huvudbilder.

Du kan till exempel använda kommandona nedan för att installera en uppdatering medan bilden förblir offline:

DISM /Mount-image /ImageFile:"D:\Win10-1909.vhdx" /index:1 /MountDir:"C:\Temp\OfflineServicing"
DISM /Image:"C:\Temp\OfflineServicing" /Add-Package /Packagepath:"C:\temp\patch\windows10.0-kb4541338-x64.msu"
DISM /Unmount-Image /MountDir:"C:\Temp\OfflineServicing" /commit

Mer information om DISM-kommandon och offlineunderhåll finns i artiklarna nedan:

Om offlineunderhåll inte är ett möjligt alternativ för din icke-beständiga VDI-miljö bör du vidta följande steg för att säkerställa konsekvens och sensorhälsa:

  1. När huvudbilden har startats för onlineunderhåll eller korrigering kör du ett offboardingskript för att stänga av Microsoft 365 för skydd mot dataförlust i slutpunkten. Mer information finns i Offboard-enheter som använder ett lokalt skript.

  2. Kontrollera att sensorn stoppas genom att köra kommandot nedan i ett CMD-fönster:

    sc query sense
    
  3. Tjänst för bilden efter behov.

  4. Kör kommandona nedan med PsExec.exe (som kan laddas ned från för att rensa innehållet i cybermappen som sensorn kan ha ackumulerat https://download.sysinternals.com/files/PSTools.zip) sedan starten:

    PsExec.exe -s cmd.exe
    cd "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Cyber"
    del *.* /f /s /q
    REG DELETE “HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection" /v senseGuid /f
    exit
    
  5. Omsälsa den gyllene bilden/originalbilden som vanligt.