people sitting down near table with assorted laptop computers

Windows 365 – die neue Virtualisierungslösung (Teil 3: Windows 365 Enterprise)

In diesem Artikel zeige ich euch, wie man Windows 365 Enterprise konfiguriert.

Die Blogserie enthält folgende Artikel (die Links werden geupdated sobald neue Artikel erscheinen).

Dieser Artikel behandelt die folgenden Themen:

Technische Voraussetzungen

Azure vorbereiten

Windows 365 Enterprise lizensieren

Netzwerk vorbereiten

Azure image für Windows 365

Hybrid Azure AD join

Zusammenfassung

Technische Voraussetzungen

Ohne einige Voraussetzungen ist es ziemlich spaßbefreit mit Windows 365 zu arbeiten.

  • Die Benutzer benötigenn eine passende Lizenz, d.h.: Windows 10 Enterprise E3 + EMS E3 oder Microsoft 365 F3/E3/E5/Business Premium
  • Falls diese Lizenz nicht vorhanden ist, dann benötigen sie Windows VDA E3 + EMS E3 oder Microsoft 365 F3/E3/F5/Business Premium
  • Aktive (bezahlte oder pay-as-you-go) Azure Subscription. Der Admin, der das Setup macht, benötigt hier natürlich entsprechende Rechte -> Subscription owner. Ich persönlich empfehle, die Windows 365 PCs in einer separaten Subscription zu hosten um separate Rechte zu haben und Wechselwirkungen mit anderen Systemen zu vermeiden.
  • DNS ist kritisch! Windows 365 PCs müssen DNS abfragen und AD-Domain(s) erreichen können. Die Azure Config sollte also sauber sein – siehe Netzwerk.
    Der externe DNS muss den Microsoft Vorgaben nach konfiguriert sein: Network endpoints for Microsoft Intune | Microsoft Docs und Azure Virtual Desktop required URL list – Azure | Microsoft Docs.
  • Virtual network in der Subscription mit routable DNS zum on-prem AD. Dieses Netzwerk wird auch das Gateway ins Internet.
  • Das on-prem AD muss in Sync mit dem AAD sein
  • Intune Rechte für das Setup, z.B. Intune Admin or Global Admin.

Azure vorbereiten

Natürlich kann eine bestehende Subscription verwendet werden. Soll Windows 365 allerdings nur getestet werden, empfiehlt sich eine neue pay-as-you-go Subscription.

Ich habe in meinem Lab eine neue Subscription erstellt, die per Kreditkarte bezahlt wird. So kann ich alles auf Knopfdruck herunterfahren um die Kosten im Griff zu haben. In der Subscription existiert ein VNET. Ich nehme den Standard 10.0.0.0/16 und auch alle anderen Standardwerte. Ich lasse Azure auch DNS verwalten, denn ich habe keine on-prem Verbindung (was später noch zum Problem wird – lies weiter 🙂 )

Windows 365 Enterprise lizensieren

Lizenzen können auf verschiedenen Wegen gekauft werden. Zum Beispiel über die Windows 365 Website. Ich wette, das werden die wenigsten tun, die meisten Kunden gehen über ihre Verträge oder das Adminportal.Unter Billing > Purchase Services findet man alles was das Herz begehrt:

Auf den ersten Blick sieht man dass es einen großen Unterschied zwischen Windows 365 Business und Enterprise Lizenzen gibt. Denn es gibt 2 Business Editionen aber nur 1 Enterprise. Der Grund ist, dass MS davon ausgeht, dass ein Enterprise Benutzer eine passende Windows Lizenz hat. Unternehmen nutzen gerne Funktionen wie Credential Guard oder Bitlocker, also sind entsprechende Lizenzen vorhanden, der Hybrid benefit ist einkalkuliert. Kleinere Unternehmen haben solche Lizenzen nicht immer, darum gibt es 2 Editionen.

Um die Bestellung abzuschließen muss man wie in der Business Variante die Größe der VM angeben. Auf der Webseite Windows 365 size recommendations | Microsoft Docs gibt es Hinweise welche Größe zu welchem Anwendungsfall passt. Der Erfahrung nach sind die Empfehlungen von MS sehr gut, ein CloudPC sollte nicht ebenso großzügig dimensioniert sein wie ein neuer PC oder Laptop den man im Geschäft kauft. Das ist viel zu teuer und nutzt man nicht, Auf Azure läuft alles effizienter.

Und nun beginnt im Gegensatz zur Business Edition erst die Arbeit. Ein Business Cloud PC kann genutzt werden, ein Enterprise Cloud PC muss fertig konfiguriert und angebunden werden.

Netzwerk vorbereiten

Wie so oft im Leben ist auch hier die Firewall essentiell. Die muss den Traffic nämlich erlauben. Microsoft beschreibt sehr gut, was gemacht werden muss:

Im Endpoint Manager taucht nun der neue Punkt Windows 365 auf – bzw wird er mit Leben gefüllt:

Alle weiteren Konfigurationsschritte werden hier vorgenommen. Microsoft hat hier gute Arbeit geleistet – alles kann aus 1 Admin Center heraus konfiguriert werden, man muss nicht von Center zu Center springen.

Azure image

Es muss eine Netzwerkverbindung erstellt werden, die auf das Azure VNET zeigt:

Einfach erstellen, Namen vergeben, Ressourcengruppe auswählen und auch VNET und Subnetz:

Nun muss die AD Anbindung konfiguriert werden:

Am Ende dann – wie üblich – ein letzter Check und das wars:

Wichtig ist hier, dass man sieht, dass ein Service Account erstellt wird, der in der Subscription Rechte erhält. Man muss also gut überlegen wie das Azure Rechtekonzeot aussieht!

Das ist der Punkt an dem ich keine "echten" Beispiele weiterführen kann, da ich in meiner Tesumgebung kein (legacy) on-prem AD habe. Das ist nämlich zwingend erforderlich. Ohne AD kann man nur die Business Edition nutzen. 

Weiter geht es mit den Provisioning Policies. Microsoft beschreibt die hier: Create provisioning policies for Windows 365 | Microsoft Docs

Und nun weiter zu den Device images:

Hier kann man eigene Images für die Provisionierung hochladen und für die CloudPCs zur Verfügung stellen. Zum Beispiel ein speziell gehärtetes Image für HR. Schöne Praxisbeispiele finden sich hier: Get started with Windows 365 Enterprise – Microsoft Tech Community

Hybrid Azure AD Join

Der ADConnect muss für Hybrid Join konfiguriert sein. Ich persönlich mache das gerne zu Beginn des Setups, weil das geht schnell und einfach:

Ensure your environment is Hybrid Azure AD join enabled

Summary

Windows 365 Enterprise macht einen guten Eindruck und es spielt viele Stärken durch die AD Integration aus. Ich frage mich allerdings warum ein AD Pflicht ist. Braucht man als moderner cloud-only Kunde 300+ CloudPCs schaut man wahrscheinlich in die Röhre, denn Enterprise ist nicht nutzbar. Also bräuchte man einen zweiten oder dritten Tenant – und auf das Thema Multi-Tenant gehe ich hier nicht ein, denn das ist die schlechteste Idee, die man im Bereich Microsoft 365 haben kann.

Published by Andreas

Gründer von M365 Evangelists Cloud-Architekt, Strategieberater, Consultant für Microsoft Technologien Graph API Enthusiast, PowerShell Enthusiast
%d Bloggern gefällt das: