辨識選擇性保留功能的目的是提供精確且未經修改的資料,以滿足法律、安全和運作需求。目前支援的使用案例允許在使用者因法律、事件回應或運作原因,而被置於「選擇性保留」狀態時,定期即時擷取與使用者桌面平台相關聯的資料。將使用者置於「辨識選擇性保留」狀態,會讓使用者的桌面平台暫時處於持續性狀態,從而避免重新整理或刪除 (「重新建立映像」) 桌面平台,並賦予管理員存取使用者桌面平台的權限,使其能夠以對使用者體驗影響最小的方式進行調查。

辨識選擇性保留功能如何運作

  • 角色型存取控制

    辨識功能由全域權限 FORENSICS 所控制。超級管理員可以將此權限指派給另一個稱為辨識管理員的管理員,但依預設,將不會為超級管理員啟用此權限。如需詳細資訊,請參閱《Horizon 管理》文件中的〈全域權限〉。

  • 封存資料存放區

    封存資料存放區是掛接的 NFS 或 VMFS,且全域設定在 LDAP 中。Horizon 8 會從 LDAP 讀取此設定,來判定封存資料的放置處。依預設,該設定會使用集區所在的同一資料存放區。

  • 選擇性保留工作流程
    • 將使用者置於保留狀態
      只能在單一 AD 使用者層級套用保留。當辨識管理員使用 API 將使用者置於保留狀態時,會發生以下情況:
      • 如果使用者已在使用虛擬機器,則這項保留會套用至其目前登入的虛擬機器,以及指派給該使用者的其他任何虛擬機器。
      • 當該使用者登入虛擬機器時,Horizon 8 會將即時複製虛擬機器的狀態從無狀態變更為可設定狀態,但是可設定狀態的虛擬機器仍留在其原始集區中。
      • 處於保留狀態的使用者仍會重新登入相同的虛擬機器,並查看先前對其桌面平台所做的所有變更。Horizon 8 不會以任何方式變更虛擬機器的內容。
      • 管理主控台中的狀態指示器會顯示虛擬機器處於保留狀態。
      • 在 vCenter 中會標記該虛擬機器,這樣 vCenter 管理員就知道不要變更它。
    • 在保留期間
      將使用者置於保留狀態後,辨識團隊可以存取可設定狀態的桌面平台以進行調查,並隨手擷取即時資料。對於這類資料擷取,辨識管理員可有下列選項可選。
      • 使用 Archive API。Archive API 可以跨多部虛擬機器和多名使用者運作。當使用者未登入時,您只能封存個別的虛擬機器。如果使用者已登入,則需要將封存命令延遲到使用者登出後才能執行。
        封存作業如下:
        • 關閉虛擬機器。
        • 合併所有磁碟。
        • 合併所有快照。
        • 將 VMDK 檔案複製到選取的封存位置。
        • 將虛擬機器重新同步至目標映像。
      • 使用您自己的指令碼或第三方工具。在這種情況下,您可以選擇是否僅封存 Hypervisor 記憶體、僅封存虛擬機器的 VMDK,還是同時封存 Hypervisor 記憶體和 VMDK。

        isHeldUser 環境變數指出連線到工作階段的使用者是否為保留的使用者。根據此變數的值,您可以在保留的使用者登入桌面平台時觸發資料收集指令碼。當連線伺服器虛擬機器上執行指令碼主機服務時,可以觸發指令碼。如需詳細資訊,請參閱《Horizon 遠端桌面平台功能和 GPO》文件中〈啟用 VMware Horizon View 指令碼主機服務〉。

      保留期間需要注意的事項:
      • 無法重新整理、復原、移除保留的虛擬機器,或將其置於維護模式。這僅適用於保留的虛擬機器,不適用於同一集區中的其他任何虛擬機器。
      • 無法刪除含有已保留之虛擬機器的集區。
      • 當設定集區自動縮小功能時,Horizon 8 會優先考量已保留的虛擬機器,因而不會遺失它。
      • 當即時複製集區需要執行集區重新整理或修補程式更新時,有兩個選項可選:
        • 當需要重新整理含有已保留之虛擬機器的集區,且未設定封存資料存放區時,推送映像會忽略這個可設定狀態的虛擬機器。如此會保存已保留的虛擬機器以進行辨識,且當使用者登入時,仍會將之導向至這個持續性虛擬機器。之後,必須使用個別的工具 (例如持續性虛擬機器) 來修補這些虛擬機器。
        • 當需要重新整理含有已保留之虛擬機器的集區,且設定了封存資料存放區時,Horizon 8 會先對集區中的所有其他虛擬機器執行推送映像,然後封存已保留的虛擬機器。在封存已保留的虛擬機器後,Horizon 8 會對它們執行正常的推送映像程序。當已保留的使用者下次重新登入時,他們會取得一個全新的虛擬機器,該虛擬機器將變為可設定狀態的虛擬機器,並重複此程序。請注意,每次執行修補作業時,需要更多儲存區來複製和封存可設定狀態的虛擬機器。
    • 移除使用者的保留狀態

      當辨識管理員使用 API 將使用者從保留狀態中釋放時,會發生以下情況。

      • Horizon 8 會將虛擬機器重新轉換成無狀態虛擬機器。
      • 使用者在下次登出時,虛擬機器會從最佳配置映像中刪除並重建,從而還原至全新狀態。
  • 事件資料庫中的辨識作業

    所有作業 (包括授予 FORENSICS 權限以及保留/釋放使用者) 都會被擷取到事件資料庫中。此作業可用來通知任何需要執行的指令碼。

使用 API 來執行辨識選擇性保留功能

您可以使用 Horizon API 來執行辨識選擇性保留功能,如下所述。對於每個 API,都有一個連結指向其 VMware {code} 網站上的說明文件。

  • 建立辨識管理員角色並指派使用者
    1. 使用以下 API 來建立自訂的辨識管理員角色:
      /config/v1/roles

      可在此處找到此 API 的相關說明文件。

    2. 按照《Horizon 管理》指南的〈在 Horizon Console 中建立管理員〉中的指示,來指派自訂的辨識管理員角色。
  • 指定用於封存的資料存放區
    若要指定用來封存虛擬磁碟和記憶體的資料存放區,請使用以下 API:
    /config/v1/virtual-centers/{id}/action/mark-datastores-for-archival

    可在此處找到此 API 的相關說明文件。

  • 讓使用者處於保留狀態
    若要將使用者置於保留狀態,請使用以下 API:
    /external/v1/ad-users-or-groups/action/hold
    針對指派給已保留使用者的所有桌面平台,此 API 會傳回桌面平台識別碼、集區識別碼和機器狀態。您可以使用此警示資訊來觸發以指令碼編寫的資料收集。可在 此處找到此 API 的相關說明文件。

    在 vCenter 中,ForensicHold 標記會套用至所有已保留之使用者所用的虛擬機器。

  • 封存虛擬機器的虛擬磁碟和記憶體
    若要封存虛擬機器的虛擬磁碟和記憶體,請使用以下 API:
    /inventory/v1/machines/action/archive

    可在此處找到此 API 的相關說明文件。

    • 當使用者從保留的虛擬機器登出時,會進行封存。
    • 在虛擬機器封存之後,它們會顯示在 vCenter 中 Archive 資料夾內的封存資料存放區 (如上述 API 中所指定)。
    • 如果虛擬機器有多個磁碟,則只會封存主要磁碟。此版本不支援封存多個磁碟。
  • 將使用者從保留狀態中釋放
    若要將使用者從保留狀態中釋放,請使用以下 API:
    /external/v1/ad-users-or-groups/action/release-hold

    針對指派給已保留使用者的所有桌面平台,此 API 會傳回桌面平台識別碼、集區識別碼和機器狀態。您可以使用此警示資訊來觸發以指令碼編寫的資料收集。可在此處找到此 API 的相關說明文件。

  • 列出保留的使用者
    若要列出已保留的使用者,請使用以下 API:
    /external/v1/ad-users-or-groups/held-users-or-groups

    可在此處找到此 API 的相關說明文件。

  • 列出保留的機器
    若要產生目前處於保留狀態的機器清單,請使用以下 API:
    /inventory/v3/machines

    可在此處找到此 API 的相關說明文件。

    備註: 此 API 將返回所有機器。在此回應中,處於保留狀態的虛擬機器會有 "held_machine": true 值。