Azure Virtual Desktop – Gestione tramite Microsoft Intune e utilizzo degli administrative templates (ADMX) personalizzati
Da Microsoft Intune service release 2008 è disponibile una nuova funzionalità che permette di poter importare e successivamente utilizzare administrative templates (file ADMX e ADML) personalizzati per configurare le nostre applicazioni.
Dopo aver importato i template avete la possibilità di creare un configuration profile per distribuire le configurazioni che riterrete opportune. Ho già avuto modo di parlarne nella guida Microsoft Intune – Importare ed utilizzare Administrative Templates (ADMX) personalizzati – ICT Power
Potete scaricare gli administrative templates per la gestione di Azure Virtual Desktop dal link Azure Virtual Desktop policy templates file. All’interno del file AVDGPTemplate.cab troverete il file AVDGPTemplate.zip e procedete alla sua estrazione
Figura 1: Contenuto del file AVDGPTemplate.zip
Importazione degli administrative templates in Microsoft Intune
Il metodo corretto per importare gli Administrative Templates per la gestione di Azure Virtual Desktop è rispettare durante l’importazione un ordine preciso, legato alle dipendenze dei diversi template tra di loro:
- Windows.admx
- WindowsProducts.admx
- TerminalServer.admx
- Terminalserver-avd.admx
Trovate gli Administrative templates da importare (Windows.admx, WindowsProducts.admx e TerminalServer.admx) alla pagina Download Administrative Templates (.admx) for Windows 11 2022 Update (22H2) from Official Microsoft Download Center
Collegatevi al portale di Microsoft Intune https://endpoint.microsoft.com/ e selezionate Devices > Configuration profiles e cliccate sulla scheda Import ADMX. Fate clic su + Import e caricate i file ADMX e ADML nell’ordine che ho indicato prima.
Ho importato i file Windows.admx e WindowsProducts.admx con i loro rispettivi file ADML senza problemi.
Durante l’importazione di TerminalServer.admx ho invece ricevuto l’errore The given key was not present in the dictionary.
Figura 2: L’importazione di TerminalServer.admx fallisce e si riceve l’errore The given key was not present in the dictionary
Questo di fatto impedisce di poter continuare l’importazione del file Terminalserver-avd.admx, che dipende dal file Terminalserver.admx. Microsoft sta già lavorando per risolvere il problema.
Un workaround che potete utilizzare, nel frattempo che Microsoft risolva il problema, è quello di editare il file Terminalserver-avd.admx che avete scaricato da Azure Virtual Desktop policy templates file e rimuovere queste due righe che fanno riferimento al template padre Terminalserver.admx
- Rimuovete il rigo 6 <using prefix=”terminalserver” namespace=”Microsoft.Policies.TerminalServer” />
- Rimuovete ll rigo 17 <parentCategory ref=”terminalserver:TS_TERMINAL_SERVER” />
Il file Terminalserver-avd.admx deve essere uguale a quello mostrato in figura:
Figura 3: File Terminalserver-avd.admx modificato per eliminare le dipendenze ed evitare gli errori nel caricamento
NOTA: NON è necessario effettuare nessuna operazione sul file Terminalserver-avd.adml che si trova nella cartella en-US.
Se provate adesso ad importare il file Terminalserver-avd.admx con il rispettivo file Terminalserver-avd.adml nel portale di Microsoft Intune non riceverete nessun messaggio di errore.
Figura 4: Importazione del file Terminalserver-avd.admx e del file Terminalserver-avd.adml nel portale di Microsoft Intune
Figura 5: Importazione del file ADMX personalizzato completata con successo
Creazione di un nuovo profilo di configurazione per gestire Azure Virtual Desktop
Completata l’importazione degli administrative templates potrete procedere alla creazione di un nuovo profilo di configurazione per poter gestire Azure Virtual Desktop. Nel portale di Microsoft Intune fate clic sul pulsante + Create Profile e nel blade che si aprirà scegliete come platform Windows 10 and later, come profile type Templates e come template name scegliete Imported Administrative Templates (preview).
Figura 6: Creazione di un nuovo profilo che utilizzerà gli administrative templates personalizzati
Date un nome al profilo di configurazione.
Figura 7: Nome del profilo di configurazione
Procedete a questo punto a configurare quello che l’administrative template vi permette di fare. Noterete che la voce Azure Virtual Desktop appare come voce iniziale, perché abbiamo eliminato tutte le dipendenze nel file Terminalserver-avd.admx
Figura 8: Scelta delle configurazioni di Azure Virtual Desktop
Modificate le impostazioni a vostro piacimento. Io ho modificato la protezione di acquisizione dello schermo (screen capture protection), insieme alla filigrana (watermarking), disponibili in Windows 11 versione 22H2 e versioni successive, che consentono di impedire l’acquisizione di informazioni sensibili sugli endpoint di Azure Virtual Desktop e di Windows 365.
Figura 9: Abilitazione della screen capture protection
Figura 10: Abilitazione del watermarking
Figura 11: Configurazioni scelte per la gestione di Azure Virtual Desktop
Figura 12: Definizione di uno Scope Tag a cui associare il profilo di configurazione
Figura 13: Scelta dei gruppi di Azure AD a cui assegnare il profilo di configurazione
Figura 14: Schermata di riepilogo del nuovo profilo di configurazione
Figura 15: Profilo di configurazione che utilizza administrative templates personalizzati completato con successo
Attendete quindi che il profilo venga distribuito ai vostri dispositivi (o forzatene l’aggiornamento) e verificate che sia stato applicato correttamente.
Conclusioni
Gli administrative templates permettono di configurare le nostre macchine Windows 10 e Windows 11 in maniera centralizzata. Microsoft Intune prevede l’utilizzo di questa modalità di gestione e la possibilità di aggiungere administrative templates personalizzati ci avvantaggia tantissimo nella gestione e configurazioni di Azure Virtual Desktop.