Azure Virtual Desktop (AVD) für kleine Unternehmen Berlin: Cloud-Desktops mit Intune und Entra ID
Azure Virtual Desktop (AVD) stellt Windows-Desktops und -Anwendungen als verwalteten Cloud-Service bereit — Benutzer verbinden sich mit einer vollständigen Windows-11-Sitzung, die in Azure läuft, von jedem Gerät und überall, über den Remote-Desktop-Client oder einen Webbrowser. Für Berliner KMU ersetzt AVD lokale Terminalserver, reduziert den Verwaltungsaufwand für Endpunkte und ermöglicht BYOD-Szenarien ohne Kompromisse bei der Datensicherheit.
Im Gegensatz zu herkömmlicher VDI ist AVD ein PaaS-Angebot: Microsoft verwaltet die Control-Plane-Infrastruktur, Multi-Session-Windows-Lizenzierung und Session-Brokering. Sie stellen Session-Host-VMs bereit, konfigurieren Intune oder FSLogix, verbinden sich mit Entra ID und Ihrem bestehenden M365-Mandanten und definieren Benutzerzuweisungen. Dieser Beitrag behandelt Architektur, Lizenzierung, Entra ID Join, FSLogix-Profilcontainer und die Integration mit Microsoft Intune und Conditional Access.
Architekturübersicht
Eine AVD-Bereitstellung besteht aus: einem Host-Pool (Sammlung von Session-Host-VMs), einer oder mehreren Anwendungsgruppen (Desktop oder RemoteApp), einem Arbeitsbereich (benutzerseitige Sammlung von App-Gruppen) und den Session-Host-VMs selbst (Azure-VMs mit Windows 11 Multi-Session oder Single-Session).
Die AVD-Control-Plane — Gateway, Broker, Diagnose und Webzugriff — wird vollständig von Microsoft verwaltet, ohne Infrastruktur zum Bereitstellen oder Warten. Session-Host-VMs laufen in Ihrem Azure-Abonnement in Ihrer bevorzugten Azure-Region (Germany West Central ist die nächstgelegene Option für Berliner Workloads und bietet Datenresidenz innerhalb der EU).
Host-Pool-Typen
| Typ | Beschreibung | Anwendungsfall |
|---|---|---|
| Gepoolt (Multi-Session) | Mehrere Benutzer teilen sich jeden Session-Host-VM; Sitzungen werden auf VMs lastverteilt | Wissensarbeiter, Büroproduktivität — kosteneffizienteste Option |
| Persönlich (Dedicated) | Jeder Benutzer ist dauerhaft einer bestimmten VM zugewiesen | Entwickler, Power-User mit GPU-Bedarf oder persistentem lokalen Zustand |
Für Berliner KMU bieten gepoolte Host-Pools mit Windows 11 Multi-Session die beste Wirtschaftlichkeit — typischerweise 4-8 Benutzer pro 4-vCPU/16-GB-VM für Wissensarbeiter-Workloads, verglichen mit einer VM pro Benutzer bei persönlichen Pools.
Entra ID Join und Intune-Integration
Session-Host-VMs können Entra ID-joined sein (nur Cloud, für neue Bereitstellungen empfohlen) oder Hybrid-Entra-ID-joined (erfordert Active Directory Domain Services und Entra Connect). Entra ID Join eliminiert die Notwendigkeit eines Domänencontrollers in Azure und ermöglicht die vollständige Intune-Verwaltung von Session-Hosts — dieselben MDM-Richtlinien, Compliance-Prüfungen und Anwendungsbereitstellungen, die Ihre physischen Endpunkte regeln.
Mit Entra ID-joined Session-Hosts, die in Intune eingeschrieben sind, können Sie anwenden: Windows-Sicherheitsbaselines, BitLocker (für persönliche Pools), Windows Update-Ringe, Windows Defender-Richtlinie, Anwendungsbereitstellung (Win32, MSIX) und Compliance-Richtlinien, die nicht konforme Session-Hosts über Conditional Access vom Empfang von Verbindungen sperren.
Conditional Access für AVD
Conditional Access gilt für AVD-Verbindungen an zwei Punkten: der Cloud-App Windows Virtual Desktop (Benutzerauthentifizierung beim AVD-Broker) und der Cloud-App Microsoft Remote Desktop (Session-Host-Verbindung). Wichtige Richtlinienempfehlungen: MFA für AVD-Authentifizierung erfordern, konformes Gerät (Intune-Compliance) oder Entra ID-joined Gerät erfordern und Verbindungen von risikobehafteten Anmeldereignissen mithilfe von Entra ID Protection-Risikosignalen blockieren.
FSLogix-Profilcontainer
FSLogix-Profilcontainer speichern das gesamte Windows-Benutzerprofil in einer VHD(x)-Datei auf einer Netzwerkfreigabe — typischerweise Azure Files oder Azure NetApp Files — und binden es dynamisch ein, wenn sich der Benutzer anmeldet. Dies ermöglicht konsistente, persistente Profile in gepoolten (Multi-Session-)Umgebungen, in denen sich Benutzer täglich mit verschiedenen Session-Host-VMs verbinden können.
Für Berliner KMU ist Azure Files (Standard-Tier) mit SMB 3.0 und Kerberos-Authentifizierung (über Entra ID Kerberos für Entra-joined Hosts) das empfohlene FSLogix-Speicher-Backend. Wichtige Dimensionierungshinweise: 30-50 GB pro Benutzerprofilfreigabe einplanen, Azure Files Large File Share aktivieren (bis zu 100 TB) und Azure Backup für das Speicherkonto zum Schutz von Profildaten konfigurieren.
FSLogix-Konfigurationscheckliste
- Registrierungsschlüssel
VHDLocationsauf den Azure Files-SMB-Freigabe-UNC-Pfad setzen DeleteLocalProfileWhenVHDShouldApplyaktivieren, um Profilkonflikte auf gepoolten Hosts zu verhindernSizeInMBsauf 30720 setzen (30 GB Minimum; 51200 empfohlen für Wissensarbeiter)VolumeTypeauf VHDX für Entra ID Kerberos-Umgebungen setzen- Microsoft Teams-Cache, Browser-Caches und Windows-Temp-Dateien aus dem Profilcontainer ausschließen (FSLogix App Masking oder Redirections.xml verwenden)
- Azure Files SMB Multichannel aktivieren für verbesserten Durchsatz bei mehr als 20 Session-Hosts
Autoscale und Kostenoptimierung
AVD Autoscale startet und stoppt Session-Host-VMs dynamisch basierend auf der aktiven Sitzungsanzahl und einem konfigurierbaren Zeitplan. Definieren Sie Anlaufzeiten (z. B. 07:00-09:00), Spitzenzeiten (09:00-17:00), Abbauzeiten (17:00-19:00) und außerhalb der Spitzenzeiten (19:00-07:00). Während der außerpeak-Phasen entzügt Autoscale Session-Hosts ohne aktive Sitzungen und gibt VMs frei — Compute-Gebühren stoppen für freigegebene VMs, während VM-Datenträger und FSLogix-Speicher weiterhin minimale Kosten verursachen.
Zusätzliche Kostenkontrolle: Azure Reserved VM Instances für Basiskapazität (1-3-Jährige Verpflichtung, bis zu 72 % Rabatt auf Pay-as-you-go), Spot-Instances für Burst-Kapazität und Germany West Central-Region, um Kosten für den Datenverkehr zwischen Regionen zu vermeiden.
Microsoft 365 Apps und Teams-Optimierung
Microsoft 365 Apps (Word, Excel, Outlook, Teams) werden über Intune oder einen Standard-Installer aus dem AVD-Golden-Image auf Session-Hosts bereitgestellt. Microsoft Teams benötigt die AVD-spezifische Medienoptimierung für Teams — ein clientseitiges Plugin, das Audio- und Videoverarbeitung auf das lokale Endgerät umleitet, anstatt die Session-Host-VM zu belasten. Ohne Teams-Optimierung wird der gesamte Mediendatenverkehr serverseitig verarbeitet, was die CPU-Last auf Session-Hosts erheblich erhöht und Latenzen bei Anrufen verursacht.
Überprüfen Sie, ob die Teams-Optimierung aktiv ist, indem Sie den AVD-Info-Bereich im Teams-Client prüfen (Info → Version → AVD Media Optimised = True). Die Teams-Optimierung erfordert den Windows Desktop-Client Version 1.2.3401 oder höher und den Remote Desktop WebRTC Redirector Service auf dem Session-Host.
Sicherheitsabsicherung
AVD Session-Hosts sind im Internet erreichbare Compute-Ziele und müssen entsprechend gehärtet werden. Microsoft-Sicherheitsbaselines über Intune anwenden, Microsoft Defender for Endpoint (MDE) auf allen Session-Hosts aktivieren (AVD ist eine unterstützte Plattform), Windows Defender Application Control (WDAC) für Anwendungs-Allow-Listing in sicherheitskritischen gepoolten Umgebungen konfigurieren und Azure Bastion im Hub-VNet für den administrativen Zugriff auf Session-Hosts einrichten — was öffentliche RDP-Ports auf Session-Host-Subnetzen überflüssig macht.
Netzwerksicherheitsgruppen im Session-Host-Subnetz sollten den gesamten eingehenden Datenverkehr außer vom AVD-Diensttag (WindowsVirtualDesktop) ablehnen — AVD-Gateway-Datenverkehr nutzt diesen Diensttag für die Reverse-Connection-Architektur, was bedeutet, dass Session-Hosts ausgehende Verbindungen zur AVD-Control-Plane initiieren, anstatt direkt eingehende Verbindungen von Benutzern zu akzeptieren.
Lizenzierung
AVD ist ohne zusätzliche Lizenzierungskosten für Benutzer mit berechtigten Microsoft 365- oder Windows-Lizenzen enthalten: Microsoft 365 Business Premium, Microsoft 365 E3/E5, Windows 10/11 Enterprise E3/E5 pro Benutzer. Sie zahlen nur für die Azure-Compute-, Speicher- und Netzwerkressourcen der Session-Host-VMs. Für Berliner KMU mit Microsoft 365 Business Premium (bereits empfohlen für MFA, Defender und Intune) ist AVD eine Cloud-Desktop-Option ohne zusätzliche Lizenzierungskosten über die Azure-Infrastruktur hinaus.
IT Experts Berlin entwirft und implementiert Azure Virtual Desktop-Umgebungen für Berliner KMU — einschließlich Entra ID-joined Session-Hosts, FSLogix unter Azure Files, Intune-Richtlinienkonfiguration, Autoscale und Microsoft Teams-Optimierung. Kontaktieren Sie uns für eine kostenlose Architekturberatung.
Weiterfuehrende Artikel
- Intune Compliance-Richtlinien: Intune-Konformität als Conditional-Access-Bedingung für AVD-Verbindungen durchsetzen – nur verwaltete, richtlinienkonforme Geräte erhalten Zugriff auf Cloud-Desktop-Sitzungen
- Conditional Access: Conditional Access für Azure Virtual Desktop konfigurieren – MFA, Gerätekonformität und Entra ID Protection-Risikosignale als Bedingungen für sichere Cloud-Desktop-Verbindungen
- Azure Bastion: Azure Bastion für den sicheren Administrator-Zugriff auf AVD-Session-Hosts nutzen – öffentliche RDP-Ports auf Session-Host-Subnetzen eliminieren und alle Verwaltungssitzungen auditieren