Azure Virtual Desktop – Gestione tramite Microsoft Intune e utilizzo degli administrative templates (ADMX) personalizzati

Da Microsoft Intune service release 2008 è disponibile una nuova funzionalità che permette di poter importare e successivamente utilizzare administrative templates (file ADMX e ADML) personalizzati per configurare le nostre applicazioni.

Dopo aver importato i template avete la possibilità di creare un configuration profile per distribuire le configurazioni che riterrete opportune. Ho già avuto modo di parlarne nella guida Microsoft Intune – Importare ed utilizzare Administrative Templates (ADMX) personalizzati – ICT Power

Potete scaricare gli administrative templates per la gestione di Azure Virtual Desktop dal link Azure Virtual Desktop policy templates file. All’interno del file AVDGPTemplate.cab troverete il file AVDGPTemplate.zip e procedete alla sua estrazione

Figura 1: Contenuto del file AVDGPTemplate.zip

Importazione degli administrative templates in Microsoft Intune

Il metodo corretto per importare gli Administrative Templates per la gestione di Azure Virtual Desktop è rispettare durante l’importazione un ordine preciso, legato alle dipendenze dei diversi template tra di loro:

  1. Windows.admx
  2. WindowsProducts.admx
  3. TerminalServer.admx
  4. Terminalserver-avd.admx

Trovate gli Administrative templates da importare (Windows.admx, WindowsProducts.admx e TerminalServer.admx) alla pagina Download Administrative Templates (.admx) for Windows 11 2022 Update (22H2) from Official Microsoft Download Center

Collegatevi al portale di Microsoft Intune https://endpoint.microsoft.com/ e selezionate Devices > Configuration profiles e cliccate sulla scheda Import ADMX. Fate clic su + Import e caricate i file ADMX e ADML nell’ordine che ho indicato prima.

Ho importato i file Windows.admx e WindowsProducts.admx con i loro rispettivi file ADML senza problemi.

Durante l’importazione di TerminalServer.admx ho invece ricevuto l’errore The given key was not present in the dictionary.

Figura 2: L’importazione di TerminalServer.admx fallisce e si riceve l’errore The given key was not present in the dictionary

Questo di fatto impedisce di poter continuare l’importazione del file Terminalserver-avd.admx, che dipende dal file Terminalserver.admx. Microsoft sta già lavorando per risolvere il problema.

Un workaround che potete utilizzare, nel frattempo che Microsoft risolva il problema, è quello di editare il file Terminalserver-avd.admx che avete scaricato da Azure Virtual Desktop policy templates file e rimuovere queste due righe che fanno riferimento al template padre Terminalserver.admx

  1. Rimuovete il rigo 6 <using prefix=”terminalserver” namespace=”Microsoft.Policies.TerminalServer” />
  2. Rimuovete ll rigo 17 <parentCategory ref=”terminalserver:TS_TERMINAL_SERVER” />

Il file Terminalserver-avd.admx deve essere uguale a quello mostrato in figura:

Figura 3: File Terminalserver-avd.admx modificato per eliminare le dipendenze ed evitare gli errori nel caricamento

NOTA: NON è necessario effettuare nessuna operazione sul file Terminalserver-avd.adml che si trova nella cartella en-US.

Se provate adesso ad importare il file Terminalserver-avd.admx con il rispettivo file Terminalserver-avd.adml nel portale di Microsoft Intune non riceverete nessun messaggio di errore.

Figura 4: Importazione del file Terminalserver-avd.admx e del file Terminalserver-avd.adml nel portale di Microsoft Intune

Figura 5: Importazione del file ADMX personalizzato completata con successo

Creazione di un nuovo profilo di configurazione per gestire Azure Virtual Desktop

Completata l’importazione degli administrative templates potrete procedere alla creazione di un nuovo profilo di configurazione per poter gestire Azure Virtual Desktop. Nel portale di Microsoft Intune fate clic sul pulsante + Create Profile e nel blade che si aprirà scegliete come platform Windows 10 and later, come profile type Templates e come template name scegliete Imported Administrative Templates (preview).

Figura 6: Creazione di un nuovo profilo che utilizzerà gli administrative templates personalizzati

Date un nome al profilo di configurazione.

Figura 7: Nome del profilo di configurazione

Procedete a questo punto a configurare quello che l’administrative template vi permette di fare. Noterete che la voce Azure Virtual Desktop appare come voce iniziale, perché abbiamo eliminato tutte le dipendenze nel file Terminalserver-avd.admx

Figura 8: Scelta delle configurazioni di Azure Virtual Desktop

Modificate le impostazioni a vostro piacimento. Io ho modificato la protezione di acquisizione dello schermo (screen capture protection), insieme alla filigrana (watermarking), disponibili in Windows 11 versione 22H2 e versioni successive, che consentono di impedire l’acquisizione di informazioni sensibili sugli endpoint di Azure Virtual Desktop e di Windows 365.

Figura 9: Abilitazione della screen capture protection

Figura 10: Abilitazione del watermarking

Figura 11: Configurazioni scelte per la gestione di Azure Virtual Desktop

Figura 12: Definizione di uno Scope Tag a cui associare il profilo di configurazione

Figura 13: Scelta dei gruppi di Azure AD a cui assegnare il profilo di configurazione

Figura 14: Schermata di riepilogo del nuovo profilo di configurazione

Figura 15: Profilo di configurazione che utilizza administrative templates personalizzati completato con successo

Attendete quindi che il profilo venga distribuito ai vostri dispositivi (o forzatene l’aggiornamento) e verificate che sia stato applicato correttamente.

Conclusioni

Gli administrative templates permettono di configurare le nostre macchine Windows 10 e Windows 11 in maniera centralizzata. Microsoft Intune prevede l’utilizzo di questa modalità di gestione e la possibilità di aggiungere administrative templates personalizzati ci avvantaggia tantissimo nella gestione e configurazioni di Azure Virtual Desktop.