Was muss ich beim Aufbau einer AVD Umgebung beachten?
Was muss ich beim Aufbau einer AVD Umgebung beachten?
Ich möchte in diesem Blog nicht auf den eigentlichen Aufbau eingehen, es gibt diverse gute Anleitungen im Internet, welche durch alle notwendigen Schritte führen, bis eine funktionierende Umgebung bereitgestellt ist. Ich möchte aber einige Punkte hervorheben, welche spezielle Beachtung verdienen.
Hybrid joined oder Azure AD only joined?
Eine AVD Umgebung lässt sich auf zwei Arten betreiben:
Mit Active Directory verknüpften Geräten, welche über Azure AD Connect auch mit Azure AD verbunden sind -> Hybrid joined,
oder mit Azure AD only joined Geräten.
Aktuell gibt es kein richtig oder falsch, jedoch werden die folgenden Fakten die Entscheidung erleichtern:
Für ein Hybrid joined Ansatz benötigt man natürlich ein Active Directory sowie einen Azure AD Connect Service, welcher die AD Objekte zwischen on-Prem und Cloud AD synchronisiert.
Damit man in einer Pooled Umgebung (geteilte Session Hosts) ein persistentes User Profil hat, braucht man einen Storage Account, auf welchem die Profile via FSLogix gespeichert werden. Dies ist aktuell nur mittels AD (Active Directory) oder AADDS (Azure Active Directory Domain Services) möglich. Ohne FSLogix wird ausserdem die Nutzung von OneDrive nicht unterstützt.
Sollten auf AAD only joined Hosts User Profile gespeichert und OneDrive richtig genutzt werden können, müssen persönliche Desktops bereitgestellt werden, auf denen die Profile lokal gespeichert werden.
Auf AAD only joined Hosts ist es mit Hybrid Identities möglich, die Profile zentral auf einem Storage Account abzulegen. Diese Funktion befindet sich im Moment im Status Public Preview.
Sizing
Beim Sizing der Session Hosts für Multiuser Systeme kann natürlich gespart werden, man macht sich bei den Usern dadurch aber nicht unbedingt beliebter 😉. Die Tabelle auf der folgenden Seite von Microsoft gibt einen guten Überblick, welche VM Size für welchen Workload gewählt werden sollte: Virtual machine sizing | Microsoft Docs
Wichtig ist, dass für produktive AVD Umgebungen immer eine D-Serie VM gewählt wird. Die B-Serie VMs sind eine gute Wahl für Benutzer:innen, die nicht immer die maximale CPU-Leistung benötigen.
Ausserdem sollte man den OS Disk Typ Premium SSD verwendet, da dieser ebenfalls die benötigte Performance bietet. ‘Standard SSD’ oder gar ‘Standard HDD’ sind zu vermeiden.
Zugriff von Nicht-Domain Geräten
Um den Zugriff von Geräten zu ermöglichen, die nicht mit Azure AD (z.B. MAC oder Linux) verbunden sind, muss als benutzerdefinierte RDP-Eigenschaft die Setting targetisaadjoined:i:1 im Host Pool hinzugefügt werden. Diese Verbindungen werden dann bei der Anmeldung am Session Host auf die Eingabe von Benutzernamen und Kennwort beschränkt.
MFA / Conditional Access
Da die AVD Umgebung public erreichbar ist, ist es dringend zu empfehlen, dass MFA (Multi Factor Authentication) via Conditional Access für alle User aktiviert wird.
Einerseits muss beachtet werden, dass für jeden Benutzer die veraltete ‘Pro-User MFA Einstellung’ deaktiviert ist.
Wenn die Anmeldung nicht auf starke Authentifizierungsmethoden wie Windows Hello for Business eingeschränkt werden soll, muss andererseits die Cloud App ‘Azure Windows VM Sign-In’ aus der Conditional Access Policy ausgenommen werden:
Kann AVD via IaC bereitgestellt werden?
Um die Bereitstellung einer AVD Umgebung noch mehr zu optimieren, kann der ganze Prozess auch mittels Infrastructure as Code (IaC) automatisiert werden. Die komplette Definition wird in einem ARM Template abgebildet und sobald dieses aktiviert wird, werden alle benötigten Ressourcen automatisch erstellt. Vom Starten der Bereitstellung bis zur Anmeldung eines Benutzers auf einem Desktop vergehen nur wenige Minuten.
Auf der einen Seite kann mittels Automatisierung durch IaC und gemäss Richtlinien durch Azure Governance garantiert werden, dass in der Cloud-Umgebung kein unkontrolliertes Wachstum stattfindet, somit keine unnötigen Kosten entstehen. Andererseits wird sichergestellt, dass die Infrastruktur jederzeit der gewünschten Definition entspricht. Dies vereinfacht den operativen Support erheblich und erwirkt eine Standardisierung bei der Bereitstellung.
Schluss
Brauchen Sie Unterstützung beim Aufbau einer AVD Umgebung oder möchten Sie Ihre bestehende Umgebung tunen? Zögern Sie nicht und kontaktieren Sie uns! Unsere Experten stehen Ihnen gerne zur Verfügung und werden Sie dabei unterstützen, das Beste für Ihre Benutzer:innen bereitzustellen.