Wat is Windows 365 ?

Een desktop as a service (DaaS) oplossing. Een persoonlijke Windows 10/11 virtuele desktop die in een cloud solution provider (CSP) model maandelijks kan worden gehuurd. Dat maakt dit een oplossing die enorm schaalbaar is, en dat op een heel erg vlotte en snelle manier.

Windows 365 cloud pc is beschikbaar in twee hoofd types: Windows 365 business & Windows 365 Enterprise. In deze blog zullen we focussen op Windows 365 Enterprise, omdat deze versie het beste aansluit op de noden van de grotere KMO en de Enterprise. Windows 365 business heeft niet de mogelijkheid voor vNet support en on-premises domain join, waarover later meer.

Windows 365 Enterprise

Verbinden naar je cloud pc

De cloud pc is een publieke service die vanop internet te bereiken is. Dit kan via een rdp client die beschikbaar is op de meest courante operating systemen, daarnaast kan je ook via een HTML 5 browser connecteren.

Endpoint Management

Windows 365 Enterprise (W365E) kan je cloud-only gebaseerd beheren met Azure Active Directory (AAD), Intune, Autopilot, Autopatch en optioneel defender for endpoint (DFE), maar als je deze virtuele desktop(s) graag meeneemt in het traditionele beheer, dat reeds in voege is en waarop de supportdiensten zijn ingericht, kan dat ook.

W365E kan “hybrid Azure AD + AD joined” (HAADJ) worden, waardoor je GPO’s, logonscripts, certificates etc toegepast worden. Hiervoor moet je zorgen voor “line of sight” naar je on premises domain controller (lees: netwerk connectiviteit naar je DC).

Als je naar de domain joined cloud pc ook een configuration manager client deployed en connectiviteit voorziet naar het datacenter (lees: MECM backend), zal het toestel onder MECM-beheer komen, net zoals de fysieke endpoints.

Om beheer van endpoints via Intune + MECM goed in te richten kijk je naar MEM co-management: Co-management for Windows devices – Configuration Manager | Microsoft Learn

Hieronder meer informatie over de netwerk configuratie.

Datacenter connectiviteit (Azure network connection)

Om van de cloud pc te connecteren naar resources in je datacenter zoals domain controllers, applicaties, file servers, PKI, MECM, etc kan je dat via een ExpressRoute connectie of site-2-site (S2S) vpn connecties.

De ExpressRoute connectie of de site-2-site (S2S) vpn connectie kan je instellen door de juiste paramaters in te geven:

Subscription → Resource group

vNet → Subnet

Operating system image (custom image)

Het is mogelijk om een custom image te gebruiken om nieuwe cloud pc ‘s aan te maken. Deze moet hiervoor speciaal klaar gemaakt worden. De volgende requirements moet je voorzien: https://learn.microsoft.com/en-us/windows-365/enterprise/device-images#image-requirements

Windows 10 Enterprise version 20H2 or later.
Windows 11 Enterprise 21H2 or later.
Generation 2 images.
Generalized VM image.
Single Session VM images (multi-session isn’t supported).
Geen recovery partition.
Default 64-GB OS disk size.

Let ook op de volgende noodzakelijkheden

Je custom image moet Azure AD joined zijn.
Je moet de custom image uploaden naar een Azure storage account (in dezelfde tenant)

Hou er rekening mee, dat de custom image die je gebruikt binnen MECM, niet 1 op 1 kan toegevoegd worden als custom image voor een cloud pc.

Wij raden aan om met gallery images te werken en aanpassing aan het OS via Intune in te richten. Vaak zien we een logge GPO-structuur met heel wat historische ballast. Aanbeveling is steeds om zo veel als mogelijk complexiteit weg te nemen, om de wendbaarheid te vergroten.

Bij de introductie van cloud pc‘s in je endpoint estate, is het best om kritisch te kijken naar de bestaande client GPO’s en enkel wat echt nodig is te identificeren. Die lijst kan je dan valideren met wat in Intune native mogelijk is.

Je kan ook je gpo’s importeren in Intune: https://learn.microsoft.com/en-us/mem/intune/configuration/administrative-templates-import-custom

Deze feature is op deze moment (26/11/2022) in public preview.

Provisioning profile

Provisioning profiles zijn nodig om te bepalen welk operating systeem geladen moet worden. Doorgaans voorzien we twee profiles. 1 voor Windows 10 en 1 voor Windows 11. Geef dit ook aan in de naam van je provisioning profile (zie screenshot hieronder). Uiteraard kan je dit ook doen per Windows 10/11 build.

Verder kan je in de provisioning profile aangeven welke taal en regio je wil instellen en aangeven of je Autopatch wil gebruiken voor het up-2-date houden van je operating systeem, Microsoft 365 app for enterprise (Office) en Microsoft Edge. Meer informatie: https://learn.microsoft.com/en-us/windows/deployment/windows-autopatch/overview/windows-autopatch-overview

User settings

User settings profiles gebruik je om de eindgebruiker lokale administrator rechten te geven of weg te nemen. In de user settings profiles kan je ook aangeven of de eindgebruiker zelf een backup kan terugzetten en de frequentie wanneer een system herstelpunt genomen moet worden.

Windows 365 beveiligen

Net zoals bij andere virtuele desktopoplossingen wil je enerzijds de eindgebruiker faciliteren met toegang tot bedrijfsmiddelen vanop bijvoorbeeld een eigen pc of tablet, maar wil je ook zeker zijn dat er geen bedrijfsdata de virtuele desktop verlaat en omgekeerd dat virussen of andere malware via de persoonlijke (niet onder beheer) pc de organisatie binnenkomt via de Windows 365 cloud pc.

Dit kan je inrichten door middel van administrative templates in Intune die je toekent op een azure ad device groep waarin je cloudpc’s zitten. De resource redirection admin template laat je toe om te beslissen welke lokale resources kunnen gebruikt worden in de virtuele desktop / cloud pc.

“Do not allow clipboard redirection” zal er voor zorgen dat je geen copy / paste kan doen van de lokale pc naar de cloud pc en omgekeerd. Daarnaast kan je kiezen of andere hardware zoals audio, usb, smart card, maar ook netwerk connecties, printer poorten, enz. gebruikt kunnen worden in de cloud pc.

Als je over de juiste M365 subscription beschikt raden we aan om de cloud pc te enrollen in defender for endpoint (net zoals de fysieke pc’s) om je endpoint estate optimaal te beschermen tegen de moderne dreigingen. Dat is voer voor een andere blog.

Ik hoop jullie hier wat meer inzicht verschaft te hebben over de mogelijkheden van de Windows 365 cloud pc.

Weet dat er specifiek voor de developer use case ook een andere service beschikbaar is.

Dev Box, wat een combinatie is van de cloud pc en azure virtual desktop waardoor je, in tegenstelling van de cloud pc, de dev box kan afzetten bij niet gebruik om de kosten te beheersen.

Meer informatie over dev box (nog in preview 26/11/2022):

https://azure.microsoft.com/en-us/products/dev-box/

Heb je na het lezen van deze blog nog vragen over Windows 365 en hoe de service volgens de “best practices” op te zetten, contacteer ons dan zeker! We gaan graag het gesprek aan met jou om je omgeving zo optimaal mogelijk te laten draaien.