Azure Virtual Desktop (AVD) Azure Virtual Desktop (AVD)

Azure Virtual Desktop ist der von Microsoft verwaltete Desktop- und App-Virtualisierungsdienst in Azure. Die Plattform kombiniert einen vollständig gemanagten Control Plane mit kundenseitig betriebenen Session Hosts, FSLogix-Profilen, Microsoft Entra ID und Azure-Netzwerkdiensten für skalierbare Remote-Workloads. Azure Virtual Desktop is Microsoft's managed desktop and application virtualization service in Azure. The platform combines a fully managed control plane with customer-operated session hosts, FSLogix profiles, Microsoft Entra ID, and Azure networking services for scalable remote workloads.

Architektur Architecture

AVD trennt die Plattform sauber in einen von Microsoft betriebenen Control Plane und einen kundenseitig verantworteten Data Plane. Der Benutzer verbindet sich nicht per eingehendem RDP-Port auf die VM, sondern über Reverse Connect zum Microsoft-Dienst, der die Sitzung an den passenden Session Host vermittelt. AVD cleanly separates the platform into a Microsoft-operated control plane and a customer-responsible data plane. The user does not connect through an inbound RDP port to the VM; instead, Reverse Connect uses the Microsoft service to broker the session to the appropriate session host.

Zum Control Plane gehören Vermittlung, Gateway, Webzugriff, Feed-Veröffentlichung und Telemetrie. Zum Data Plane gehören Session Hosts, VNet, DNS, Identitätsintegration, Profilspeicher sowie die Performance- und Härtungsentscheidungen für die eigentlichen Benutzerworkloads. The control plane includes brokering, gateway, web access, feed publication, and telemetry. The data plane includes session hosts, VNets, DNS, identity integration, profile storage, and the performance and hardening decisions for the actual user workloads.

• Depth First konsolidiert Sitzungen auf wenigen Hosts und spart Kosten, Breadth First verteilt Last gleichmäßiger für bessere Benutzererfahrung. Depth First consolidates sessions onto fewer hosts and saves cost, while Breadth First spreads load more evenly for a better user experience.
• Reverse Connect reduziert Angriffsfläche, weil keine eingehenden TCP-3389-Regeln auf den Session Hosts benötigt werden. Reverse Connect reduces attack surface because no inbound TCP 3389 rules are required on session hosts.
• Diagnostikdaten aus AVD sollten in denselben Log-Analytics-Arbeitsbereich wie VM- und Security-Daten fließen, damit Korrelationen möglich bleiben. AVD diagnostic data should land in the same Log Analytics workspace as VM and security data so correlations remain possible.
• Ein Host Pool ist eine logische Steuerungsebene; die eigentliche Compute-Kapazität steckt ausschließlich in den Session-Host-VMs. A host pool is a logical control plane object; the actual compute capacity resides entirely in the session-host VMs.

Bereitstellung Deployment

Die Basishierarchie in AVD besteht aus Host Pools, Application Groups und Workspaces. Der Host Pool beschreibt die Sammlung von Session Hosts und das Verteilungsverhalten. Application Groups publizieren entweder komplette Desktops oder einzelne RemoteApps. Workspaces bündeln diese Anwendungsfeeds für den Endbenutzer. The base hierarchy in AVD consists of host pools, application groups, and workspaces. The host pool describes the collection of session hosts and the load-distribution behavior. Application groups publish either full desktops or individual RemoteApps. Workspaces bundle these application feeds for the end user.

Pooled Host Pools werden für geteilte Kapazität, maximale Auslastung und Standardisierung verwendet. Personal Host Pools weisen einem Benutzer dauerhaft denselben Desktop zu und sind ideal, wenn lokale Maschinenidentität, persistente Gerätebeziehung oder Spezialsoftware gefragt sind. Pooled host pools are used for shared capacity, maximum utilization, and standardization. Personal host pools assign the same desktop to a user permanently and are ideal when local machine identity, persistent device affinity, or specialist software is required.

Desktop Application Groups publizieren den vollständigen Windows-Desktop. RemoteApp Application Groups publizieren nur ausgewählte Anwendungen. Ein Workspace kann mehrere Application Groups bündeln, sodass Abteilungen und Regionen getrennt, aber benutzerfreundlich veröffentlicht werden können. Desktop application groups publish the full Windows desktop. RemoteApp application groups publish selected applications only. A workspace can aggregate multiple application groups so that departments and regions can be separated while still being presented cleanly to users.

• Pro Host Pool sollte ein klares Lastprofil gelten, zum Beispiel Knowledge Worker, Contact Center oder GPU-optimierte CAD-Workloads. Each host pool should represent a clear workload profile such as knowledge workers, contact center, or GPU-optimized CAD workloads.
• Registration Tokens für Session Hosts müssen nur kurzlebig sein und nach dem Join erneuert oder gelöscht werden. Registration tokens for session hosts should be short lived and renewed or removed after join.
• RemoteApp und Desktop sollten nur dann im selben Workspace landen, wenn die Zielgruppe und das Supportmodell identisch sind. RemoteApp and desktop should live in the same workspace only when the target audience and support model are the same.
• Namensstandards nach Region, Umgebung und Persona erleichtern Monitoring, Automatisierung und Kostenanalyse. Naming standards by region, environment, and persona simplify monitoring, automation, and cost analysis.

Import-Module Az.DesktopVirtualization

$resourceGroup = 'rg-avd-prod-ne'
$location = 'northeurope'

$hostPool = New-AzWvdHostPool `
  -ResourceGroupName $resourceGroup `
  -Name 'hp-pooled-prod-01' `
  -Location $location `
  -HostPoolType 'Pooled' `
  -LoadBalancerType 'DepthFirst' `
  -PreferredAppGroupType 'Desktop' `
  -MaxSessionLimit 16 `
  -StartVMOnConnect:$true

$appGroup = New-AzWvdApplicationGroup `
  -ResourceGroupName $resourceGroup `
  -Name 'dag-pooled-prod-01' `
  -Location $location `
  -ApplicationGroupType 'Desktop' `
  -HostPoolArmPath $hostPool.Id

$workspace = New-AzWvdWorkspace `
  -ResourceGroupName $resourceGroup `
  -Name 'ws-pooled-prod-01' `
  -Location $location

Register-AzWvdApplicationGroup `
  -ResourceGroupName $resourceGroup `
  -WorkspaceName $workspace.Name `
  -ApplicationGroupPath $appGroup.Id
        

Session Hosts & Images Session Hosts & Images

Session Hosts sind gewöhnliche Azure-VMs, die den AVD-Agent und den Boot Loader ausführen. Für produktive Umgebungen empfiehlt sich ein Golden-Image-Ansatz mit reproduzierbarer Härtung, Sprachpaketen, Microsoft 365 Apps, Sicherheitstools und abgestimmten Performance-Optimierungen. Session hosts are standard Azure VMs that run the AVD agent and boot loader. For production environments, a golden-image approach is recommended with reproducible hardening, language packs, Microsoft 365 Apps, security tools, and tuned performance optimizations.

Die Wahl der VM-Serie hängt stark von Persona, CPU/RAM-Verhältnis, Storage-IO und gegebenenfalls GPU-Bedarf ab. Für Office- und Browser-lastige Workloads werden häufig Dsv5- oder Esv5-Serien gewählt, während Visualisierung und CAD eher NV- oder NC-basierte Profile benötigen. VM series selection depends strongly on persona, CPU-to-RAM ratio, storage I/O, and any GPU requirement. Dsv5 or Esv5 series are often chosen for Office- and browser-heavy workloads, while visualization and CAD require NV- or NC-based profiles more often.

• Ein Golden Image wird typischerweise per Sysprep generalisiert und anschließend als Version in eine Azure Compute Gallery veröffentlicht. A golden image is typically generalized with Sysprep and then published as a version into Azure Compute Gallery.
• Azure Image Builder automatisiert Baseline-Patching, Agent-Installation, Treiber und Validierung in einer nachvollziehbaren Pipeline. Azure Image Builder automates baseline patching, agent installation, drivers, and validation in a repeatable pipeline.
• Microsoft 365 Apps sollten auf Multisession-Betrieb, Shared Computer Activation und Teams Optimization abgestimmt werden. Microsoft 365 Apps should be aligned for multisession operation, shared computer activation, and Teams optimization.
• Antiviren- und Defender-Ausschlüsse für FSLogix und Caches sollten nur nach Herstellervorgaben gesetzt werden. Antivirus and Defender exclusions for FSLogix and caches should be set only according to vendor guidance.

$gallery = New-AzGallery `
  -ResourceGroupName 'rg-images-prod-ne' `
  -Name 'galAvdProdNe' `
  -Location 'northeurope' `
  -Description 'Azure Virtual Desktop gallery'

$imageDefinition = New-AzGalleryImageDefinition `
  -GalleryName $gallery.Name `
  -ResourceGroupName 'rg-images-prod-ne' `
  -Location 'northeurope' `
  -Name 'win11-23h2-avd-ms' `
  -OsState 'Generalized' `
  -OsType 'Windows' `
  -Publisher 'Contoso' `
  -Offer 'AVD' `
  -Sku 'win11-multisession'

New-AzGalleryImageVersion `
  -GalleryName $gallery.Name `
  -GalleryImageDefinitionName $imageDefinition.Name `
  -ResourceGroupName 'rg-images-prod-ne' `
  -Name '1.0.0' `
  -Location 'northeurope' `
  -SourceImageId '/subscriptions/<subId>/resourceGroups/rg-images-prod-ne/providers/Microsoft.Compute/images/img-avd-win11-23h2'
        

Multisession mit Windows 10/11 Enterprise Multisession with Windows 10/11 Enterprise

Azure Virtual Desktop ist die einzige Microsoft-Plattform, die Windows 10 oder Windows 11 Enterprise im Multisession-Modell bereitstellt. Mehrere Benutzer teilen sich dabei denselben Windows-Client-Host, was Lizenzrechte, Benutzererfahrung und VM-Auslastung deutlich von klassischem VDI oder RDSH unterscheidet. Azure Virtual Desktop is the only Microsoft platform that provides Windows 10 or Windows 11 Enterprise in a multisession model. Multiple users share the same Windows client host, which makes licensing, user experience, and VM utilization notably different from classic VDI or RDSH.

Multisession erhöht die Dichte, erfordert aber klare Governance für CPU-Spitzen, Browser-Speicherverbrauch, Teams-Audio/Video und Profil-I/O. Lasttests pro Persona sind deshalb wichtiger als pauschale Benutzer-pro-vCPU-Regeln. Multisession increases density but requires clear governance for CPU spikes, browser memory consumption, Teams audio/video, and profile I/O. Persona-based load testing is therefore more important than generic users-per-vCPU rules.

• Shared Computer Activation ist für Microsoft 365 Apps in AVD essenziell. Shared Computer Activation is essential for Microsoft 365 Apps in AVD.
• OneDrive Known Folder Move und Files On-Demand reduzieren Profilgröße und Anmeldezeit. OneDrive Known Folder Move and Files On-Demand reduce profile size and sign-in time.
• Session Limits und Drain Mode schützen den Pool während Wartung und Störungsbehebung. Session limits and drain mode protect the pool during maintenance and troubleshooting.

Netzwerk Networking

Session Hosts werden in ein kundeneigenes VNet eingebunden und verwenden dessen DNS-, Routing- und Sicherheitsrichtlinien. Dadurch können AVD-Desktops private Anwendungen, Dateifreigaben, Domänencontroller, Proxys, Firewalls und Private Endpoints so nutzen wie andere Azure-Workloads auch. Session hosts are joined to a customer-owned VNet and inherit its DNS, routing, and security policies. This allows AVD desktops to use private applications, file shares, domain controllers, proxies, firewalls, and private endpoints just like other Azure workloads.

Für große gepoolte Umgebungen ist ein Subnet im Bereich /24 oder größer oft sinnvoll, weil Session Hosts, Wartungsfenster, Blue/Green-Rollouts und Reservekapazität gleichzeitig Adressen benötigen. Eine zu knappe Adressierung wird bei Scale-out, Rebuilds und kurzfristiger Überbuchung schnell zum Engpass. For large pooled environments, a /24 or larger subnet is often sensible because session hosts, maintenance windows, blue/green rollouts, and reserve capacity all require addresses at the same time. Overly tight address space becomes a bottleneck quickly during scale-out, rebuilds, and temporary overprovisioning.

Erforderliche ausgehende Konnektivität für Session Hosts umfasst in der Praxis HTTPS zu Microsoft Entra ID, AVD-Control-Plane, Azure Monitor und gegebenenfalls Azure Storage oder Key Vault. RDP Shortpath nutzt zusätzlich UDP 3390 zwischen Client und Hostpfad, wenn die Topologie dies erlaubt. Required outbound connectivity for session hosts typically includes HTTPS to Microsoft Entra ID, the AVD control plane, Azure Monitor, and optionally Azure Storage or Key Vault. RDP Shortpath additionally uses UDP 3390 between client and host path when the topology allows it.

• TCP 443 zu AVD-Dienstendpunkten wie wvd.microsoft.com und verwandten Dienstdomänen. TCP 443 to AVD service endpoints such as wvd.microsoft.com and related service domains.
• TCP 443 zu login.microsoftonline.com und anderen Microsoft-Entra-ID-Endpunkten für Authentifizierung und Tokenfluss. TCP 443 to login.microsoftonline.com and other Microsoft Entra ID endpoints for authentication and token flow.
• TCP 443 zu Azure Monitor, Log Analytics und Eventing-Endpunkten für Telemetrie und Health Reporting. TCP 443 to Azure Monitor, Log Analytics, and eventing endpoints for telemetry and health reporting.
• TCP 443 zu Azure Files, Azure NetApp Files, Key Vault oder Anwendungsschnittstellen im eigenen Tenant. TCP 443 to Azure Files, Azure NetApp Files, Key Vault, or application endpoints inside the tenant.
• UDP 3390 für RDP Shortpath, sofern bestmögliche Medienqualität und geringere Latenz gewünscht sind. UDP 3390 for RDP Shortpath when best possible media quality and lower latency are desired.

$rg = 'rg-avd-prod-ne'
$hostPool = 'hp-pooled-prod-01'
$sessionHost = 'avd-prd-001.contoso.local'

# Drain Mode aktivieren: keine neuen Sitzungen zulassen.
Update-AzWvdSessionHost `
  -ResourceGroupName $rg `
  -HostPoolName $hostPool `
  -Name $sessionHost `
  -AllowNewSession:$false

# In einigen Automationsbeispielen wird dieselbe Aktion als Set-AzWvdSessionHost bezeichnet.
Set-AzWvdSessionHost `
  -ResourceGroupName $rg `
  -HostPoolName $hostPool `
  -Name $sessionHost `
  -AllowNewSession:$false
        

FSLogix Profile Container FSLogix Profile Container

FSLogix ist der Standardmechanismus für persistente Benutzerprofile in AVD. Statt klassischer Roaming Profiles oder User Profile Disks wird das Benutzerprofil als VHDX-Container auf einem zentralen Storage-Backend gemountet. Dadurch bleiben Outlook-Cache, Office-Anmeldung, OneDrive-Metadaten und viele Profilpfade deutlich konsistenter. FSLogix is the standard mechanism for persistent user profiles in AVD. Instead of classic roaming profiles or user profile disks, the user profile is mounted as a VHDX container from a central storage backend. This keeps Outlook cache, Office sign-in state, OneDrive metadata, and many profile paths far more consistent.

Roaming Profiles kopieren viele Dateien bei An- und Abmeldung und skalieren für moderne Office-Workloads schlecht. UPD stammt aus der RDS-Welt und ist funktional eingeschränkter. FSLogix liefert für AVD die beste Kombination aus Performance, Benutzererfahrung und Microsoft-Supportfähigkeit. Roaming profiles copy many files during sign-in and sign-out and scale poorly for modern Office workloads. UPD comes from the RDS world and is functionally more limited. FSLogix provides the best combination of performance, user experience, and Microsoft supportability for AVD.

• Cloud Cache kann Resilienz verbessern, erhöht aber Komplexität und sollte nur mit klarer Designbegründung eingesetzt werden. Cloud Cache can improve resilience, but it also increases complexity and should be used only with clear design justification.
• Antimalware-Scans auf VHDX-Dateien, Suchindizes und Cache-Pfaden müssen nach Microsoft-Empfehlung abgestimmt werden. Antimalware scans on VHDX files, search indexes, and cache paths must be aligned with Microsoft guidance.
• Profile Cleanup bei Defekten oder abrupten Abmeldungen sollte in den Betriebsprozess eingeplant werden. Profile cleanup after corruption or abrupt sign-outs should be included in the operating model.
• FSLogix-Profilgröße, IOPS-Spitzen und Logon-Dauer gehören zu den wichtigsten Kapazitätsmetriken eines Host Pools. FSLogix profile size, IOPS peaks, and sign-in duration are among the most important capacity metrics for a host pool.

New-Item -Path 'HKLM:\SOFTWARE\FSLogix\Profiles' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\FSLogix\Profiles' -Name 'Enabled' -PropertyType DWord -Value 1 -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\FSLogix\Profiles' -Name 'DeleteLocalProfileWhenVHDShouldApply' -PropertyType DWord -Value 1 -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\FSLogix\Profiles' -Name 'VHDLocations' -PropertyType MultiString -Value '\\stfslogixprd01.file.core.windows.net\profiles' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\FSLogix\Profiles' -Name 'IsDynamic' -PropertyType DWord -Value 1 -Force | Out-Null
        

Benutzererfahrung User Experience

AVD stellt native Clients für Windows, macOS, iOS und Android sowie einen HTML5-Webclient bereit. Welche Option optimal ist, hängt von Gerätestandard, Peripheriebedarf, Sicherheitsmodell und Offline-/Browserrestriktionen ab. AVD offers native clients for Windows, macOS, iOS, and Android, plus an HTML5 web client. The best option depends on device standards, peripheral requirements, security model, and browser/offline constraints.

Die Benutzererfahrung wird neben CPU und Storage stark durch RDP-Eigenschaften geprägt. Hier steuern Administratoren Umleitungen für Zwischenablage, Laufwerke, Drucker, Mikrofon, Kamera oder USB-Geräte sowie Anzeige- und Multimonitor-Verhalten. Beyond CPU and storage, user experience is heavily shaped by RDP properties. Administrators control redirections for clipboard, drives, printers, microphone, camera, and USB devices, as well as display and multi-monitor behavior here.

• Windows App und der klassische Windows AVD Client bieten die größte Funktionsbreite für Peripherie und Multimedia. Windows App and the classic Windows AVD client provide the broadest feature set for peripherals and multimedia.
• Der Web Client eignet sich für browserbasierte Zugriffe ohne lokale Installation, unterstützt aber nicht jede Spezialumleitung. The web client is suitable for browser-based access without local installation, but it does not support every advanced redirection scenario.
• macOS-, iOS- und Android-Clients sind für mobile und BYOD-Szenarien wichtig, sollten aber separat gegen Kamera-, Mikrofon- und Tastatur-Layouts getestet werden. macOS, iOS, and Android clients are important for mobile and BYOD scenarios, but camera, microphone, and keyboard layouts should be tested separately.
• Client-Versionen und Policies sollten zentral überwacht werden, weil Medienoptimierung und Feature-Parität sich laufend weiterentwickeln. Client versions and policies should be monitored centrally because media optimization and feature parity evolve continuously.

• Testen Sie Drucker- und USB-Umleitung nur für klar definierte Gerätegruppen, da Fehlersuche und Supportaufwand sonst stark steigen. Enable printer and USB redirection only for clearly defined device groups because troubleshooting and support effort otherwise rise sharply.
• Grafisch anspruchsvolle Apps profitieren von GPU-VMs, dynamischer Auflösung und sauber abgestimmter Bandbreite. Graphics-intensive applications benefit from GPU VMs, dynamic resolution, and cleanly tuned bandwidth.

Sicherheit Security

AVD-Sicherheit ist eine Kombination aus Identität, Sitzungsrichtlinien, Netzwerksegmentierung, Host-Härtung und Überwachung. Weil der Control Plane gemanagt ist, verschiebt sich der Sicherheitsfokus auf die Identitätskette, den Hostzustand, den Datenpfad zu Anwendungen und den Umgang mit Datenabfluss aus der Sitzung. AVD security is a combination of identity, session policies, network segmentation, host hardening, and monitoring. Because the control plane is managed, the security focus shifts to the identity chain, host state, data path to applications, and the handling of data exfiltration from the session.

Microsoft Entra ID Conditional Access, MFA, Defender for Cloud, Defender for Endpoint, Intune und Azure-Netzwerkfunktionen ergänzen sich. Die stärkste Absicherung entsteht, wenn Zugriff, Gerätezustand, Protokollierung und Reaktion gemeinsam modelliert werden. Microsoft Entra ID Conditional Access, MFA, Defender for Cloud, Defender for Endpoint, Intune, and Azure networking capabilities complement each other. The strongest protection emerges when access, device state, logging, and response are modeled together.

• Least Privilege bedeutet in AVD oft getrennte Rollen für Plattformbetrieb, Image-Team, Netzwerk und Helpdesk. Least privilege in AVD often means separate roles for platform operations, image engineering, networking, and help desk.
• Defender for Endpoint auf Session Hosts liefert wertvolle Telemetrie für verdächtige Prozesse, Makros und Browser-Angriffe. Defender for Endpoint on session hosts provides valuable telemetry for suspicious processes, macros, and browser attacks.
• Privileged Access Workstations oder Jump Hosts sollten für AVD-Admin-Konten Standard sein. Privileged access workstations or jump hosts should be standard for AVD administrator accounts.

Monitoring & Diagnostics Monitoring & Diagnostics

Azure Monitor für AVD liefert Workbooks, Metriken und Diagnoseprotokolle für Verbindungsaufbau, Feed-Probleme, Hostregistrierung und Agent-Gesundheit. Die beste Wirkung erzielt das Monitoring, wenn Host Pool, Application Group und Workspace ihre Diagnostic Settings in denselben Log-Analytics-Workspace schreiben. Azure Monitor for AVD provides workbooks, metrics, and diagnostic logs for connection setup, feed issues, host registration, and agent health. Monitoring delivers the most value when host pool, application group, and workspace diagnostic settings all write to the same Log Analytics workspace.

Wichtige Tabellen in Log Analytics sind WVDConnections, WVDErrors, WVDCheckpoints, WVDHostRegistrations und WVDAgentHealthStatus. Zusammen mit Heartbeat, SecurityEvent, Event und Defender-Daten lässt sich damit der komplette Pfad von Anmeldung bis Betriebssystemproblem nachvollziehen. Important Log Analytics tables include WVDConnections, WVDErrors, WVDCheckpoints, WVDHostRegistrations, and WVDAgentHealthStatus. Combined with Heartbeat, SecurityEvent, Event, and Defender data, they let you trace the full path from sign-in to operating-system issues.

• WVDConnections zeigt Verbindungsstatus, Benutzer, Clientinformationen und Sitzungszustände. WVDConnections shows connection status, user, client information, and session states.
• WVDErrors enthält service- und agentbezogene Fehlercodes für Fehlschläge im Anmeldepfad. WVDErrors contains service and agent error codes for failures in the sign-in path.
• WVDCheckpoints zerlegt den Logon-Prozess in Zeitpunkte und erleichtert Latenzanalysen. WVDCheckpoints breaks the logon process into checkpoints and helps with latency analysis.
• WVDHostRegistrations zeigt, ob Session Hosts sich erfolgreich im Host Pool registrieren. WVDHostRegistrations shows whether session hosts register successfully with the host pool.
• WVDAgentHealthStatus macht den Zustand von Agent und Boot Loader transparent. WVDAgentHealthStatus exposes the health of the AVD agent and boot loader.

WVDConnections
| where TimeGenerated > ago(24h)
| summarize Connections = count() by UserName, State
| order by Connections desc
        

Autoscaling / Auto-Scaling Autoscaling / Auto-Scaling

Scaling Plans automatisieren das Hoch- und Herunterfahren von Session Hosts anhand von Zeitplänen und Lastwerten. Für gepoolte Umgebungen wird damit definiert, wie viele Hosts in Ramp-up, Peak, Ramp-down und Off-peak mindestens verfügbar sind und wann neue Hosts aktiviert oder entleert werden. Scaling plans automate starting and stopping session hosts based on schedules and load values. For pooled environments, they define how many hosts remain available during ramp-up, peak, ramp-down, and off-peak, and when additional hosts are activated or drained.

Wichtig ist die Abstimmung mit Benutzerverhalten, Wartungsfenstern, Update-Ringen und Login-Spitzen. Ein reines Zeitmodell ohne Kenntnis des tatsächlichen Anmeldeprofils spart oft weniger als erwartet oder verschlechtert die Morgen-Performance. The key is to align the plan with user behavior, maintenance windows, update rings, and sign-in peaks. A purely time-based model without real sign-in profile awareness often saves less than expected or degrades morning performance.

• Start VM on Connect ist besonders für kleine Pools oder Off-peak-Zeiten hilfreich. Start VM on Connect is especially useful for small pools or off-peak periods.
• Drain Mode vor dem Herunterfahren verhindert, dass neue Benutzer auf Hosts landen, die gleich beendet werden. Drain mode before shutdown prevents new users from landing on hosts that are about to be stopped.
• Patch- und Neustartfenster müssen im Scaling Plan berücksichtigt werden, damit Pools nach Updates nicht unterkapazitiv bleiben. Patch and reboot windows must be reflected in the scaling plan so pools do not remain under-capacity after updates.

$plan = New-AzWvdScalingPlan `
  -ResourceGroupName 'rg-avd-prod-ne' `
  -Name 'sp-avd-pooled-prod-01' `
  -Location 'northeurope' `
  -HostPoolType 'Pooled' `
  -TimeZone 'W. Europe Standard Time'

New-AzWvdScalingPlanPooledSchedule `
  -ResourceGroupName 'rg-avd-prod-ne' `
  -ScalingPlanName $plan.Name `
  -ScalingPlanScheduleName 'weekday-office-hours' `
  -DaysOfWeek @('Monday','Tuesday','Wednesday','Thursday','Friday') `
  -RampUpStartTime '06:30' `
  -RampUpMinimumHostsPct 30 `
  -PeakStartTime '08:00' `
  -RampDownStartTime '17:00' `
  -OffPeakStartTime '19:00' `
  -OffPeakMinimumHostsPct 10
        

App Attach / MSIX App Attach App Attach / MSIX App Attach

MSIX App Attach trennt Betriebssystem-Image und Anwendungsbereitstellung stärker voneinander. Anwendungen werden als MSIX-Pakete vorbereitet und bei Bedarf in AVD-Sitzungen eingehängt, anstatt dauerhaft in jedes Golden Image eingebrannt zu werden. MSIX App Attach further separates operating-system images from application delivery. Applications are prepared as MSIX packages and mounted into AVD sessions when needed instead of being permanently baked into every golden image.

Damit lassen sich Image-Versionen schlanker halten und Rollouts gezielter staffeln. App Attach eignet sich vor allem für sauber paketierbare Anwendungen mit wenigen Kernel- oder Treiberabhängigkeiten. Traditionelle Installationen bleiben für komplexe Legacy-Apps oft weiterhin nötig. This keeps image versions leaner and allows more targeted rollout waves. App Attach is most suitable for applications that can be cleanly packaged and have few kernel or driver dependencies. Traditional installations often remain necessary for complex legacy apps.

• Code Signing und Paketversionierung gehören in denselben Release-Prozess wie herkömmliche Anwendungsbereitstellung. Code signing and package versioning should be part of the same release process as traditional application deployment.
• Treiber, Browser-Add-ons mit Maschinenkontext oder tiefes COM-/Shell-Integrationstuning erschweren MSIX App Attach. Drivers, machine-context browser add-ins, or deep COM/shell integration can make MSIX App Attach difficult.
• App Attach reduziert Image-Sprawl, ersetzt aber keine saubere Anwendungskompatibilitätsprüfung. App Attach reduces image sprawl but does not replace proper application compatibility testing.

Disaster Recovery Disaster Recovery

Bei AVD konzentriert sich Disaster Recovery vor allem auf Host Pools, Profilspeicher, Images, Automatisierung und die Erreichbarkeit geschäftskritischer Anwendungen. Der Control Plane ist Microsoft-seitig hochverfügbar; der Engpass liegt meist im kundenseitigen Data Plane und in abhängigen Plattformdiensten. In AVD, disaster recovery focuses mainly on host pools, profile storage, images, automation, and the reachability of business-critical applications. The control plane is highly available on the Microsoft side; the bottleneck usually sits in the customer-managed data plane and dependent platform services.

Session Hosts können oft schneller neu bereitgestellt als vollständig repliziert werden. Darum sollte DR stärker auf reproduzierbare Images, Infrastruktur als Code, FSLogix-Speicherstrategie und Identitäts-/DNS-Resilienz setzen als auf manuelle Host-Rettung. Session hosts can often be rebuilt faster than fully replicated. DR should therefore emphasize reproducible images, infrastructure as code, FSLogix storage strategy, and identity/DNS resilience over manual host rescue.

• Typische RPO-Ziele für Profilspeicher liegen im Minutenbereich, wenn Replikation oder Snapshots sauber umgesetzt sind. Typical RPO targets for profile storage are measured in minutes when replication or snapshots are implemented properly.
• Typische RTO-Ziele hängen davon ab, ob Host Pools bereits warm bereitstehen oder aus Image und IaC neu gebaut werden müssen. Typical RTO targets depend on whether host pools are already warm or have to be rebuilt from images and IaC.
• DNS, Domänencontroller, Key Vault, Storage und line-of-business Anwendungen müssen Teil desselben DR-Plans sein. DNS, domain controllers, Key Vault, storage, and line-of-business applications must all be part of the same DR plan.
• Regelmäßige Failover-Tests sind wichtiger als ein theoretisches RTO im Architekturpapier. Regular failover tests matter more than a theoretical RTO written in an architecture document.

Preismodell / Pricing Pricing Model

Bei AVD entstehen die wesentlichen Kosten nicht durch den Dienst selbst, sondern durch die darunterliegende Infrastruktur. Compute, Profilspeicher, Netzwerk, Sicherheitsdienste und Betriebswerkzeuge bestimmen den Großteil der Gesamtbetriebskosten. With AVD, the major costs do not come from the service itself but from the underlying infrastructure. Compute, profile storage, networking, security services, and operational tooling drive most of the total cost of ownership.

Kosteneffizienz entsteht durch die richtige Poolgröße, Multisession-Dichte, Autoscaling, Reserved Instances oder Savings Plans, passende Storage-SKU und kontrollierte Image-/App-Strategie. Ohne Nutzungsdaten ist Kostenoptimierung in AVD meist nur Vermutung. Cost efficiency comes from the right pool size, multisession density, autoscaling, reserved instances or savings plans, the appropriate storage SKU, and a controlled image/application strategy. Without usage data, cost optimization in AVD is mostly guesswork.

• Reserved Instances oder Savings Plans sind besonders effektiv für Personal Host Pools und planbare 24x7-Desktops. Reserved Instances or Savings Plans are especially effective for personal host pools and predictable 24x7 desktops.
• Pooled Multisession reduziert Kosten oft drastisch, wenn Persona, Anwendungen und Supportmodell standardisierbar sind. Pooled multisession often reduces cost dramatically when personas, applications, and the support model can be standardized.
• Die teuerste AVD-Umgebung ist oft die, die wegen schlechter Performance überdimensioniert oder wegen schlechter Governance unterausgelastet bleibt. The most expensive AVD environment is often the one that stays oversized because of poor performance or underutilized because of weak governance.

Vergleich mit Windows 365 und Citrix Comparison with Windows 365 and Citrix

AVD, Windows 365 und Citrix DaaS adressieren ähnliche Zielbilder, setzen aber andere Schwerpunkte. AVD bietet maximale Azure-Nähe, Windows 365 priorisiert Einfachheit und vorhersehbare Benutzerkosten, Citrix DaaS bringt zusätzliche Protokoll- und Managementfunktionen für komplexe Enterprise-Szenarien. AVD, Windows 365, and Citrix DaaS target similar outcomes but emphasize different priorities. AVD offers the deepest Azure integration, Windows 365 prioritizes simplicity and predictable per-user cost, and Citrix DaaS adds protocol and management capabilities for complex enterprise scenarios.

PowerShell & Bicep PowerShell & Bicep

Az.DesktopVirtualization, Az.Compute, Az.Network und Bicep bilden zusammen den Kern einer automatisierbaren AVD-Plattform. Erfolgreiche Umgebungen modellieren Host Pools, Netzwerke, Images, Diagnoseeinstellungen und RBAC konsistent als Code. Az.DesktopVirtualization, Az.Compute, Az.Network, and Bicep together form the core of an automatable AVD platform. Successful environments model host pools, networking, images, diagnostic settings, and RBAC consistently as code.

• Vor jeder Automatisierung sollte der Ressourcenanbieter Microsoft.DesktopVirtualization registriert sein. Before any automation, the Microsoft.DesktopVirtualization resource provider should be registered.
• Deployment-Skripte sollten idempotent sein und dieselben Namens- und Tagging-Regeln wie die Landing Zone verwenden. Deployment scripts should be idempotent and use the same naming and tagging rules as the landing zone.
• Für produktive Pipelines gehören Secret-Handling, RBAC und What-If-Prüfungen in die Release-Logik. Production pipelines should include secret handling, RBAC, and what-if validation in the release logic.

PowerShell-Bereitstellung PowerShell deployment

Connect-AzAccount
Set-AzContext -Subscription 'Production-Enterprise'
Import-Module Az.DesktopVirtualization

$rg = 'rg-avd-prod-ne'
$location = 'northeurope'
$hostPoolName = 'hp-pooled-prod-01'
$appGroupName = 'dag-pooled-prod-01'
$workspaceName = 'ws-pooled-prod-01'

$hostPool = New-AzWvdHostPool `
  -ResourceGroupName $rg `
  -Name $hostPoolName `
  -Location $location `
  -HostPoolType 'Pooled' `
  -LoadBalancerType 'BreadthFirst' `
  -PreferredAppGroupType 'Desktop' `
  -MaxSessionLimit 16 `
  -Description 'Knowledge worker pooled host pool' `
  -StartVMOnConnect:$true

$appGroup = New-AzWvdApplicationGroup `
  -ResourceGroupName $rg `
  -Name $appGroupName `
  -Location $location `
  -ApplicationGroupType 'Desktop' `
  -FriendlyName 'Finance Desktop' `
  -HostPoolArmPath $hostPool.Id

$workspace = New-AzWvdWorkspace `
  -ResourceGroupName $rg `
  -Name $workspaceName `
  -Location $location `
  -FriendlyName 'Finance Workspace'

Register-AzWvdApplicationGroup `
  -ResourceGroupName $rg `
  -WorkspaceName $workspace.Name `
  -ApplicationGroupPath $appGroup.Id
        

Betriebsbefehle mit Az.DesktopVirtualization Operations with Az.DesktopVirtualization

$rg = 'rg-avd-prod-ne'
$hostPool = 'hp-pooled-prod-01'

Get-AzWvdSessionHost -ResourceGroupName $rg -HostPoolName $hostPool |
    Select-Object Name, AllowNewSession, Status, Sessions

Disconnect-AzWvdUserSession `
  -ResourceGroupName $rg `
  -HostPoolName $hostPool `
  -SessionHostName 'avd-prd-001.contoso.local' `
  -Id 3

Remove-AzWvdSessionHost `
  -ResourceGroupName $rg `
  -HostPoolName $hostPool `
  -Name 'avd-prd-009.contoso.local' `
  -Force
        

Bicep-Definition für einen Host Pool Bicep definition for a host pool

param hostPoolName string = 'hp-pooled-prod-01'
param location string = resourceGroup().location

resource hostPool 'Microsoft.DesktopVirtualization/hostPools@2024-04-03' = {
  name: hostPoolName
  location: location
  properties: {
    hostPoolType: 'Pooled'
    loadBalancerType: 'BreadthFirst'
    preferredAppGroupType: 'Desktop'
    maxSessionLimit: 16
    startVMOnConnect: true
    validationEnvironment: false
    customRdpProperty: 'audiocapturemode:i:1;redirectclipboard:i:1;redirectprinters:i:0;drivestoredirect:s:*'
    friendlyName: 'Knowledge Worker Pool'
    description: 'Primary AVD pooled host pool'
  }
}
        

KQL für Verbindungsfehler KQL for connection errors

WVDErrors
| where TimeGenerated > ago(24h)
| summarize Errors = count() by ErrorCode, Source, SessionHostName
| order by Errors desc