Microsoft Intune hat meine Arbeit vereinfacht, indem es eine intuitive Plattform für die Verwaltung von Geräten und Anwendungen bietet. Es sichert Unternehmensdaten, unterstützt verschiedene Betriebssysteme und integriert sich nahtlos mit Microsoft-Diensten wie Azure und Microsoft 365. Daher habe ich beschlossen, Intune auch für die Verwaltung von meinen AVD-Hosts zu nutzen.
Zu diesem Zweck habe ich meine AVD-Hosts in Entra ID integriert und die bestehenden Intune-Richtlinien zugewiesen. Dabei stellte ich jedoch fest, dass nur ein Teil der Konfigurationen auf die AVD angewendet wurde, während andere ignoriert wurden. Nach gründlicher Recherche erfuhr ich, dass nicht alle Intune-Konfigurationen auf Multisession-Hosts anwendbar sind. Zudem muss bei den anwendbaren Konfigurationen darauf geachtet werden, ob es sich um benutzerspezifische oder gerätespezifische Einstellungen handelt.
Gerne teile ich meine Erfahrungen mit euch.
Intune-Konfigurationen
Welche Konfigurationsobjekte in Intune können auf Multisession-Hosts angewendet werden?
Grundsätzlich werden bestehende Konfigurationsprofile nicht mehr unterstützt. Diese müssen in eine "Settings catalog"-Richtlinie überführt werden. Keine Sorge, die meisten Einstellungen stehen bereits zur Verfügung.
Nebst den "Settings catalog"-Richtlinien werden noch folgende Konfigurationsobjekte auf Mulitisession-Hosts angewendet:
- Zertifikats Profile wie:
- Trusted certificates Profile
- SCEP certificate Profile
- PKCS certificate Profile
- Plattformbasierte Scripts
- Endpoint Protection Richtlinien
- VPN Device Tunnel Konfiguration
Geltungsbereich
Nachdem ich meine Konfigurationsprofile in den "Settings catalog" migriert hatte, stellte ich erneut fest, dass bestimmte Richtlinien nicht übernommen wurden, wie zum Beispiel die IE Enterprise Mode Website List.
Wie gewohnt habe ich mein Set an Konfigurationen auf eine dynamische Entra ID-Gerätegruppe angewendet. Diese Entra ID-Gruppe beinhaltet alle AVD-Hosts. Als ich die Richtlinien genauer betrachtete, stellte ich fest, dass alle Einstellungen im (User)-Bereich nicht funktionierten. Nach einigen Tests habe ich herausgefunden, dass (User)-Einstellungen auf eine Benutzergruppe angewendet werden müssen und (Machine)-Einstellungen auf eine Gerätegruppe.
Nun zur letzten Herausforderung. Wie appliziere ich eine Richtlinie, welche eine (User)-Einstellung beinhaltet, auf alle Benutzer aber so, dass sie nur auf den AVD-Hosts angewendet wird? Die Antwort:
Filter
Filter in Intune bieten die Möglichkeit, eine Konfiguration auf eine bestimmte Benutzergruppe anzuwenden und den Anwendungsbereich auf eine Gerätegruppe zu beschränken, indem man die "Include" Filter-Modus nutzt. Diese Filter können in der Tenant-Verwaltung von Intune erstellt werden.
Um sicherzustellen, dass alle AVD-Hosts im Filter berücksichtigt werden, kann folgender Regelsyntax verwendet werden:
(device.operatingSystemSKU -eq "ServerRdsh")
Dieser Filter kann danach in der Richtlinie angewendet werden.
Fassung
Berücksichtigt man alle diese Punkte, sollte man keine Probleme haben die AVD-Hosts mit Intune zu verwalten und man hat dabei noch einige Vorteile:
- Reporting: "Settings catalog"-Richtlinien bieten eine granulares Reporting bis auf die einzelne Einstellung runter.
- Cleanup: Man räumt mal wieder die Richtlinien in Intune auf.
- Structure: Man beachtet Benutzereinstellungen und Geräteeinstellungen und trennt diese voneinander.
- Recycling: Richtlinien mit Geräteeinstellungen können unter Umständen auch für die physischen Geräte genutzt werden.
