21.09.2021 | Benjamin Schabauer

Azure Virtual Desktop – einfach und effizient

 

Was ist Azure Virtual Desktop?

Eigentlich ist AVD ein Terminal-Server, der als Dienst betrieben wird, für den lediglich ein Image bereitgestellt werden muss. Microsoft stellt die Infrastruktur bereit, während sich der Benutzer nur um das Image-Management und den Unterhalt kümmern muss.

Gleichzeitig wird Windows 10 zu Windows 10 Multisession und für den Einsatz von Office 365 optimiert. Dank der HTML5-Schnittstelle und der Remote Desktop App für Windows 10 ist die Lösung sofort einsatzbereit und vollständig integriert.

Die AVD-Architektur:

Zur Erinnerung finden Sie hier eine Liste der Azure-Dienste, die für jede AVD-Umgebung äußerst wichtig sind:

  • Domaine Active Directory: Bezüglich Domain gibt es zwei Varianten: Microsoft verwaltet die Domain (z.B. Azure Active Directory Domain Services) oder Sie verwalten die Domain selbst (z.B. Active Directory auf einer Windows-Server-VM). Egal, für welche der beiden Möglichkeiten Sie sich auch entscheiden, für die Implementierung einer AVD-Lösung und die Gewährleistung des Zugangs zu den Identitäten der Benutzer ist unbedingt eine Domain erforderlich. Weitere Informationen zu den beiden Varianten finden Sie im nächsten Abschnitt.
  • Virtuelle Maschine: Die VM ist in AVD-Umgebungen der «Ausgangspunkt» für die Benutzer. Sie ist für die CPU-/GPU-Rechenleistung zuständig und stellt die zum Starten von Programmen erforderliche Speicherkapazität bereit. Microsoft wiederum stellt die Grössenangaben gemäss Anzahl Benutzer und Verwendungszweck zur Verfügung (mehr erfahren).
  • Hostpool: Ein Hostpool ist eine Sammlung von Azure-VMs, die sich bei Azure Virtual Desktop als Session-Hosts anmelden, während Sie den AVD-Agenten ausführen. Es gibt zwei Arten von Hostpools:
    • Persönlich: Jeder Session-Host ist einem bestimmten Benutzer zugewiesen.
    • Pool: Die Session-Hosts akzeptieren Verbindungen aller berechtigter Benutzer mit einer Anwendungsgruppe im Hostpool.
  • Anwendungsgruppe: Eine Anwendungsgruppe ist eine logische Gruppierung von Anwendungen, die auf Session-Hosts im Hostpool installiert sind. Es gibt zwei Arten von Anwendungsgruppen:
    • RemoteApp: Die Benutzer greifen auf die von Ihnen individuell ausgewählten und über die Anwendungsgruppe bereitgestellten Remote-Anwendungen zu.
    • Desktop: Die Benutzer greifen auf das gesamte Desktop zu.
  • Workspace: Ein Workspace ist eine logische Gruppierung von Anwendungsgruppen in Azure Virtual Desktop. Jede AVD-Anwendungsgruppe muss mit einem Workspace verknüpft werden, damit die Benutzer die darin enthaltenen Anwendungen und Remote Desktops sehen können.
  • FSLogix Profile Container: Der Einsatz von auf einem Shared Storage Account konfigurierbaren FSLogix Profile Containers ist kein Muss, wird in AVD-Umgebungen jedoch dringend empfohlen, denn dieses Vorgehen vereinfacht das Profile Roaming in Remote-Computing-Umgebungen. So stehen den Benutzern ihre individuellen Einstellungen immer zur Verfügung, egal, auf welcher virtuellen Maschine die Windows-Session läuft.
  • Backup: Wie in jeder anderen IT-Umgebung gilt auch hier: Ohne Backup keine Wiederherstellung der Daten nach einem Datenverlust. Es macht keinen Sinn, die VM-Disks zu sichern, wenn diese keine Benutzerdaten enthalten. Für die Wiederherstellung müssen lediglich die folgenden AVD-Dienste gesichert werden:
    • Der für FSLogix dedizierte Storage Account
    • Die für die Domainverwaltung zuständigen VMs (falls die Domain nicht von Microsoft verwaltet wird)

Azure Virtual Desktop – verfügbare Betriebssysteme:

AVD-Architekturen können mit den folgenden Betriebssystemen betrieben werden:

  • Windows Server: Für AVD-Architekturen mit Windows Server sind eine Windows-Server-Lizenz sowie RDS-CAL-Lizenzen erforderlich, damit die Benutzer sich auf den virtuellen Maschinen anmelden können.
  • Windows 10 Multisession: Für AVD-Architekturen mit Windows 10 Multisession sind lediglich Benutzerlizenzen erforderlich. Weitere Informationen dazu finden Sie im nächsten Abschnitt.

Lizenzmodell Windows 10 Multisession:

Einer der Vorteile von Windows 10 Multisession auf AVD ist die Integration des Dienstes mit einer großen Anzahl bestehender Microsoft-365-Lizenzen. Die folgende Liste der Lizenzen, die Azure Virtual Desktop bereits enthalten, ist nicht abschließend:

  • Microsoft 365 E35
  • Microsoft 365 A3/A5/Student Use Benefits
  • Microsoft 365 F3
  • Microsoft 365 Business Premium
  • Windows VDA per User
  • Windows VDA Enterprise E3/E5
  • Windows VDA Enterprise A3/A5

Alternative AVD-Architekturen:

  • Active Directory Domains – wie bereits weiter oben erwähnt, hängt die Art der Domain-Verwaltung in Ihrer AVD-Umgebung von der bestehenden Architektur ab:
    • Cloud-only-Infrastruktur: Microsoft vereinfacht die Bereitstellung und die Verwaltung der Domain mit dem verwalteten Dienst Azure Active Directory Domain Service.
    • Domain auf Azure IaaS: Der Einsatz einer Domain, die auf Azure-VMs verwaltet wird, ist unter Umständen erforderlich, da in den Azure Active Directory Services bestimmte Managementfunktionen fehlen oder nur eingeschränkt verfügbar sind.
    • Hybride Infrastruktur: Wenn vor Ort bereits eine Domain besteht (physisch), muss diese mit dem AVD-Dienst verbunden werden. Für maximale Ausfallsicherheit wird die Replikation dieser Domain durch den Einsatz von Azure-VMs empfohlen. Die Domain wird über eine sichere Verbindung (VPN oder ExpressRoute) mit dem physischen Standort synchronisiert.
  • Globale Architektur: Es gibt auch AVD-Projekte für Benutzer, die sich überall auf der Welt befinden. Kein Problem für Azure Virtual Desktop! Die AVD-Client-Infrastruktur kann auf mehrere Azure-Regionen rund um den Globus verteilt werden.
  • Azure Site Recovery: Zur Vorbeugung gegen eine mögliche Panne in den Microsoft-Cloud-Rechenzentren unterstützt Azure Lösungen, welche die Daten in andere Rechenzentren replizieren. Azure bietet Ihnen die Flexibilität, Anwendungen dort bereitzustellen, wo sie gebraucht werden, u.a. in verschiedenen Regionen, um die interregionale Ausfallsicherheit sicherzustellen.

Kostenzusammenstellung – Azure Virtual Desktop:

  • Virtuelle Maschinen: Wie ein Windows- oder ein Linux-Server verursacht auch AVD bestimmte Kosten. Die Azure-Ressource umfasst die folgenden Elemente:
    • CPU-Leistung, Speicherkapazität, GPU
    • Festplattenleistung und -größe

Die Kosten hängen von der Performance ab, welche die Benutzer benötigen. Für eine Kostenschätzung werden deshalb die Anzahl Benutzer und die benutzerspezifischen Leistungsanforderungen benötigt:

  • Anzahl Benutzer: Die Anzahl gleichzeitig verbundener Benutzer definiert die Performance und/oder die Anzahl zu installierender VMs. Wie bereits oben erwähnt, kann die AVD-Architektur die virtuellen Maschinen individuell oder kollektiv zuteilen.
    • Leistungsanforderungen: Benutzer, die hauptsächlich mit Desktop-Anwendungen arbeiten, benötigen eine geringere Leistung als Benutzer, die mit leistungshungrigen AutoCAD- oder Business-Anwendungen arbeiten, deren Leistungsanforderungen i.d.R. vom Hersteller definiert werden.
  • Domaine Active Directory: Für die Nutzung von AVD ist zwingend eine Domain erforderlich. Für die Kostenberechnung gibt es drei mögliche Szenarien:
    • Azure Active Directory Domain Services (verwaltete Domain)
    • Active Directory auf Azure Windows-Server-VMs
    • Active Directory auf physischen Maschinen, die über eine gesicherte Netzwerkverbindung mit Azure verbunden sind.
  • Bandbreite: Diese Kosten entstehen, wenn die Anwendungen in Azure bereitgestellt werden und über das Internet zugänglich sind:
    • Die Übertragung der eingehenden Daten ins Azure-Rechenzentrum ist kostenlos.
    • Pro Monat sind die ersten 5 GB Datenübertragung (ausgehende Daten) kostenlos, danach gelten die üblichen Azure-Gebühren.
  • Hostpool: Wird von Microsoft nicht in Rechnung gestellt.
  • Anwendungsgruppen: Werden von Microsoft nicht in Rechnung gestellt.
  • Workspace: Wird von Microsoft nicht in Rechnung gestellt.
  • FSLogix Profile Container: Der für die Verwaltung der Benutzerprofile über FSLogix verwendete Storage Account wird in Rechnung gestellt. Der Account muss über eine hohe Leistung verfügen, um ein optimales Benutzererlebnis zu garantieren. Weitere Informationen zu den Gebühren finden Sie hier.
  • Backup: Die Backup-Kosten sind von folgenden Elementen abhängig:
    • Art der zu sichernden Ressource (VM, Storage Account usw.)
    • Zu sicherndes Speichervolumen (GB, TB)
    • Häufigkeit der Backup-Punkte
    • Aufbewahrungszeit der Sicherungen (Tage, Monate, Jahre)
    • Redundanz der Backups (1 Azure-Region, 2 Azure-Regionen usw.)

Es wird empfohlen, mindestens zwei Ressourcen der AVD-Architektur zu sichern:

  • Domaine Active Directory: Dieses für jede IT-Umgebung kritische Element muss unbedingt gesichert werden. Hinweis: Der verwaltete Azure-Dienst AADDS wird von Microsoft gesichert.
    • Storage Account für Benutzerprofile: FSLogix speichert die Profile in einem Storage Account des Typs File Sharing. Microsoft empfiehlt 30 GB pro Benutzerprofil. Hinweis: Nur die effektiv genutzte Speicherkapazität wird in Rechnung gestellt.

Kostenoptimierung – Azure Virtual Desktop:

Zahlreiche Azure-Ressourcen lassen sich optimieren. So auch die Kosten der für AVD erforderlichen Dienste.

  • Virtuelle Maschinen:
    • Reserved Instances: Die Kosten für die Azure-VMs lassen sich wesentlich senken, indem man sich für ein oder drei Jahre verpflichtet.
    • Wenn Ihre AVD-Architektur auf Windows Server basiert, ermöglicht Ihnen der Azure-Hybridvorteil erhebliche Einsparungen bei den Ausführungskosten Ihrer Workloads in der Cloud, da Sie Ihre bestehenden Windows-Server-Lizenzen verwenden können. Das gilt auch für Windows-Server-Lizenzen, die über ein CSP-Abonnement erworben wurden.
    • Promotionen: Es gibt Promotionen für bestimmte Familien von Azure-VMs für den Einsatz mit Azure Virtual Desktop.
  • Benutzerlizenzen: Wenn Ihre AVD-Architektur auf Windows 10 Multisession basiert, ist zu beachten, dass zahlreiche Microsoft-365-Lizenzen den AVD-Dienst bereits enthalten. So bieten bestehende Business-Standard-Lizenzen beispielsweise folgende Funktionen:
    • Endpoint Manager
    • Information Protection
    • Conditional Access
    • Azure Virtual Desktop
    • Windows Defender Antivirus
    • Defender for Office 365
    • Cloud App Security

Fazit:

Wie dieser Post zeigt, sind AVD-Architekturen auf Azure nicht wahnsinnig kompliziert. Sie erfordern nur wenige Azure-Ressourcen, eignen sich für verschiedene Szenarien und lassen sich bestens als Ergänzung für eine bestehende On-Premise-Architektur anpassen. Hier noch einmal die wichtigsten Vorteile von Azure Virtual Desktop:

  • Sicheres und produktives Remote-Arbeiten auf beliebigen Geräten
  • Senkung der Lizenz- und Infrastrukturkosten
  • Schutz gegen Pannen und Aufrechterhaltung der Produktivität
  • Vereinfachung des IT-Managements
  • Sicherung der Anwendungs- und Benutzerdaten

Zudem sind die Preise für bestimmte Nutzungsszenarien sehr vorteilhaft. Die kostensparenden Optimierungen von Azure in Bezug auf die Architektur sind für Azure Virtual Desktop stets aktuell. Auch größere AVD-Lösungen für mehrere hundert Benutzer sind möglich, wobei auch Azure keine Einschränkung bezüglich Projektgröße darstellt 😊

Microsoft stellt verschiedene nützliche Guides bereit, die Sie bei Ihrem Einstieg in das AVD-Universum unterstützen:

Lizenzinformationen: Microsoft