• Cloud, Guide, Microsoft 365, Sistemi Operativi
• 15 Luglio 2021

Tra le novità annunciate il 7 giugno 2021 nell’articolo Azure Virtual Desktop: The flexible cloud VDI platform for the hybrid workplace | Azure Blog and Updates | Microsoft Azure, oltre al cambio di nome da Windows Virtual Desktop ad Azure Virtual Desktop, trovo interessante la possibilità di aggiungere (joinare) le VM di Azure Virtual Desktop ad Azure AD.

Il Modern Desktop, secondo la visione di Microsoft, è un computer con Windows 10 (e prossimamente con Windows 11), con Microsoft 365 Apps for Enterprise (o for Business), aggiunto ad Azure AD e gestito da Microsoft Endpoint Manager (Intune).

Se non conoscete già Azure Virtual Desktop vi suggerisco di leggere la mia guida Introduzione a Azure Virtual Desktop – ICT Power

In questa guida voglio mostrarvi come configurare un pool di host di Azure Virtual Desktop che utilizzeranno l’autenticazione di Azure AD. Le macchine del pool verranno infatti joinate direttamente ad Azure AD e per questo motivo, nonostante il servizio permetta di eseguire macchine virtuali con sistema operativo Windows 7, Windows 10, Windows Server 2012 R2, 2016, 2019, saremo limitati all’utilizzo delle sole immagini con Windows 10.

In più le macchine verranno automaticamente aggiunte a Microsoft Endpoint Manager per poter essere gestite.

NOTA: Al momento della scrittura di questa guida la funzionalità è in preview. Durante la preview l’host pool deve essere creato o deve essere convertito in modalità validation environment.

Creare un pool di host con il portale di Azure

I pool di host sono una raccolta di una o più macchine virtuali identiche all’interno degli ambienti Azure Virtual Desktop. Ogni pool di host può contenere un gruppo di app con cui gli utenti possono interagire come farebbero in un desktop fisico.

Dal portale di Azure cercate Virtual Desktop e lanciate la creazione di un nuovo pool dal pulsante Create a host pool

Figura 1: Lancio del wizard di creazione di un nuovo host pool di Azure Virtual Desktop

Inserite le informazioni richieste relative alla sottoscrizione, al resource group, all’host pool name e scegliete il tipo di host pool. Io ho deciso di creare un host pool personale, quindi ho scelto Personal. Ho anche deciso di assegnare i desktop in maniera dinamica agli utenti, man mano che si connetteranno.

Figura 2: Scelta del tipo di host pool e assignment type

Nella scheda Virtual Machines scegliete il prefisso che verrà assegnato alle VM che verranno create e l’immagine da utilizzare.

• Scelta del tipo di immagine da utilizzare: Potete scegliere un’immagine dal Marketplace di Azure tra quelle disponibili oppure potete utilizzare una vostra immagine precedentemente realizzata. Vi rimando alla lettura dell’articolo Preparare e personalizzare un’immagine del disco rigido virtuale Master-Azure | Microsoft Docs per le istruzioni corrette su come realizzare un’immagine specifica per Azure Virtual Desktop. Io ho scelto Windows 10 Enterprise, Version 20H2 (GEN2).

Attualmente le immagini disponibili nella Gallery sono:

• Windows 10 Enterprise, Version 1909
• Windows 10 Enterprise, Version 1909 (GEN2)
• Windows 10 Enterprise, Version 2004
• Windows 10 Enterprise, Version 2004 (GEN2)
• Windows 10 Enterprise, Version 20H2
• Windows 10 Enterprise, Version 20H2 (GEN2)

Figura 3: Scelta del tipo di immagine da utilizzare nel pool

In Number of VMs specificare il numero di macchine virtuali (al massimo 400) che si vuole creare nel pool di host. Io ho scelto di creare 5 macchine virtuali.

Figura 4: Configurazioni scelte per le macchine virtuali

Scegliete a quale virtual network connettere l’host pool, assicurandovi che la rete virtuale possa connettersi al domain controller (se decidete come domain join Active Directory), poiché sarà necessario joinare le macchine virtuali al dominio aziendale. I server DNS della rete virtuale selezionata devono essere quindi configurati per l’uso degli indirizzi IP dei controller di dominio.

Se volete permettere l’accesso da Internet potete dare un IP pubblico alle VM. Vi consiglio di selezionare No, perché un IP privato è più sicuro. Gli utenti, infatti, si potranno collegare anche da Internet attraverso il client di Azure Virtual Desktop anche se non assegnate un indirizzo IP pubblico alle macchine che compongono l’Host Pool.

A questo punto scegliete dal menu a tendina di voler effettuare il join ad Azure AD e mettete su Yes la possibilità di fare l’enrollment automatico ad Intune (Endpoint Manager).

Figura 5: Le macchine del pool verranno aggiunte ad Azure AD e gestite da Intune

Nella schermata Workspace è possibile registrare un gruppo di applicazioni che saranno poi utilizzate dai nostri utenti. Scegliere quindi se volete creare una nuova area di lavoro o selezionare un’area di lavoro esistente. È possibile registrare il gruppo di app in un secondo momento, ma è consigliabile eseguire la registrazione dell’area di lavoro appena possibile, in modo che il pool di host funzioni correttamente.

Figura 6: Creazione del Workspace

Figura 7: Verifica delle informazioni inserite

Dopo aver fatto clic su Create verrà lanciato il processo di distribuzione, che creerà:

• Un nuovo pool di host.
• Un gruppo di app desktop.
• Un’area di lavoro, se si è scelto di crearla.
• Se si sceglie di registrare il gruppo di app desktop, la registrazione verrà completata.
• Le macchine virtuali, che verranno aggiunte ad Azure AD e verrà effettuato l’enrollment in Intune

Figura 8: Creazione del nuovo Azure Virtual Desktop Host Pool completata

Visualizzando il resource group nel quale avete deciso di creare Azure Virtual Desktop è possibile verificare tutte le risorse di Azure che sono state create:

Figura 9: Risorse di Azure che sono state create dal wizard di Azure Virtual Desktop

In Azure Active Directory le VM create risulteranno joinate ad Azure AD e gestite tramite Microsoft Intune, come mostrato nella figura sotto.

NOTA: L’enrollment in Microsoft Intune è avvenuto in maniera automatica.

Figura 10: Le VM del pool sono state joinate ad Azure AD e sono gestite tramite Microsoft Intune

Anche nel portale di Microsoft Endpoint Manager sono visibili gli host del pool appena creato.

Figura 11: Gli host del pool di Azure Virtual Desktop sono visibili nel portale di Endpoint Manager

Gestire i gruppi di applicazioni

il gruppo di app predefinito creato per un nuovo pool di host di Azure Virtual Desktop pubblica il desktop completo. È inoltre possibile creare uno o più gruppi di applicazioni RemoteApp.

rima che i vostri utenti possano connettersi ad Azure Virtual Desktop è necessario assegnare gli utenti al Desktop Application Group (DAG) che è stato creato attraverso l’HostPool wizard. Il nome è in genere <HostPoolname>-DAG. Selezionate il Desktop Application Group dal pannello di Azure e nel nodo Assignment procedete ad aggiungere gli utenti, o meglio ancora i gruppi, che potranno accedere alle applicazioni offerta da Azure Virtual Desktop Host Pool.

Figura 12: Aggiunta di utenti e gruppi che potranno accedere al Desktop Application Group

Gestire l’accesso alle VM del pool

Per potersi connettere da dispositivi che non sono joinati ad Azure AD è necessario modificare le proprietà dell’host Pool. In particolare, bisogna aggiungere la proprietà targetisaadjoined:i:1 alle custom RDP property del pool, come mostrato nella figura sotto:

Figura 13: Modifica delle custom RDP properties dell’host pool per permettere le connessioni da macchine non joinate ad Azure AD

In più, per garantire l’accesso alle Azure AD-joined VMs è necessario configurare l’assegnazione dei ruoli di Azure AD per le VM. Potete assegnare il ruolo di  Virtual Machine User Login o di Virtual Machine Administrator Login direttamente alle VM, al resource group che le contiene oppure alla sottoscrizione. Io ho assegnato il ruolo a livello di resource group, come mostrato nella figura sotto:

Figura 14: Assegnazione dei ruoli per permettere l’accesso alle VM del pool di Azure Virtual Desktop

Distribuzione di una applicazione tramite Endpoint Manager

Visto che le macchine del pool di Azure Virtual Desktop sono gestite da Endpoint Manager, ho deciso di distribuire le Microsoft 365 Apps for Enterprise a tutti gli host. Nelle figure sotto sono mostrati tutti i passaggi.

NOTA: Maggiori dettagli sull’utilizzo di Microsoft Endpoint Manager sono disponibili su questo sito utilizzando le chiavi di ricerca Modern Desktop – ICT Power e Intune – ICT Power

Figura 15: Distribuzione di una nuova applicazione tramite Endpoint Manager

Figura 16: Selezione dell’applicazione Microsoft 365 Apps per Windows 10

Figura 17: Configurazione delle Microsoft 365 Apps per Windows 10

Figura 18: Configurazione delle Microsoft 365 Apps per Windows 10

Figura 19: Distribuzione delle Microsoft 365 Apps per Windows 10 per tutti i dispositivi

Figura 20: schermata di riepilogo delle configurazioni delle Microsoft 365 Apps per Windows 10

Nel giro di pochi minuti, poiché ho deciso di rendere le Microsoft 365 Apps obbligatorie per tutti i dispositivi, inizierà la distribuzione su tutte le macchine gestite da Intune.

In alternativa avrei potute distribuire l’applicazione anche solo per un gruppo di dispositivi, come le macchine del nostro pool di Azure Virtual Desktop. Un’idea potrebbe essere quella di creare un gruppo dinamico di dispositivi e tramite query inserire solo quelli del nostro pool. Nella figura sotto è mostrato un esempio:

Figura 21: Gruppo dinamico di dispositivi

Connessione ad Azure Virtual Desktop Host Pool

Per poter accedere a Azure Virtual Desktop è possibile utilizzare il client web HTML 5 disponibile all’indirizzo https://rdweb.wvd.microsoft.com/arm/webclient oppure è possibile utilizzare il client Windows dedicati, che potete trovare alla pagina Connettersi a desktop virtuale Windows 10 o 7-Azure | Microsoft Docs. Potete installare il client per l’utente corrente, nel qual caso non sono richiesti diritti di amministratore, oppure l’amministratore può installare e configurare il client in modo che tutti gli utenti del dispositivo possano accedervi. Dopo l’installazione, il client può essere avviato dal menu Start cercando Desktop remoto.

Nel mio caso ho utilizzato il client web e dopo l’autenticazione mi sono collegato al WorkSpace (Production) che avevo creato durante il wizard. Come si può vedere dalla figura sotto, è visibili il SessionDesktop pubblicato tramite il gruppo di applicazioni predefinito e a cui abbiamo dato i permessi si accedere ad un gruppo di utenti di Azure AD.

Figura 22: Connessione al Workspace tramite client web

Cliccando su SessionDesktop avrete a possibilità di vedere l’intero desktop remoto con Windows 10 e lavorare con tutte le applicazioni. Vi verrà richiesto di consentire l’accesso alle stampanti locali e ai dischi del dispositivo da cui si sta effettuando la connessione.

Inserite le credenziali per poter accedere al desktop remoto e sarete pronti per cominciare a lavorare!

Figura 23: Inserimento delle credenziali per poter accedere al desktop remoto

Come si può vedere dalla figura sotto, nel pool di host di Azure Virtual Desktop sono state distribuite le Microsoft 365 Apps da Endpoint Manager (Intune).

Figura 24: Nel pool di host di Azure Virtual Desktop sono state distribuite le Microsoft 365 Apps da Endpoint Manager (Intune)

Dall’app Settings (Impostazioni) possiamo verificare che la macchina è stata joinata ad Azure AD.

Figura 25: La macchina è stata joinata ad Azure AD

La presenza del pulsante Info ci fa capire che la macchina è gestita da Microsoft Endpoint Manager.

Figura 26: La VM è gestita da Microsoft Endpoint Manager

Conclusioni

La possibilità di utilizzare esclusivamente Azure AD per autenticare gli utenti nel pool di Azure Virtual Desktop e poter gestire le macchine del pool con Microsoft Endpoint Manager ci proietta verso la gestione del Modern Desktop e ci permette di poter lavorare esclusivamente in Cloud. In un futuro non troppo remoto sarà possibile avere solo dei thin client in azienda (o a casa) e poter ridurre costi di manutenzione, sicurezza e gestione on-premises.