Windows 365 Cloud PC Windows 365 Cloud PC

Umfassende Referenz zu Windows 365 Business und Enterprise, Provisioning Policies, Azure Network Connections, Images, Point-in-Time Restore, Frontline, Intune-Integration, Security und Graph-Automatisierung. Comprehensive reference for Windows 365 Business and Enterprise, provisioning policies, Azure network connections, images, point-in-time restore, Frontline, Intune integration, security, and Graph automation.

Cloud PC

Bereitstellungsmodell Provisioning model

ANC

Netzwerkanker Network anchor

PITR

Recovery Recovery

Frontline

Shared use Shared use

Windows 365 ist kein Remote-Desktop-Projekt alter Prägung Windows 365 is not a legacy remote desktop project

Cloud PCs verbinden Microsoft-365-Identität, Intune, Azure-Netzwerk, Images, Endpoint Security und Lizenzierung zu einem persistenten Arbeitsplatzmodell. Erfolgreicher Betrieb braucht deshalb Plattform- statt Einzeltool-Governance. Cloud PCs combine Microsoft 365 identity, Intune, Azure networking, images, endpoint security, and licensing into a persistent workplace model. Successful operations therefore require platform governance rather than a single-tool mindset.

Azure Network Connection ist häufig die kritische Vorbedingung Azure Network Connection is often the critical prerequisite

Die meisten Bereitstellungsprobleme entstehen aus DNS-, Routing-, Domain-Join-, IP- oder Firewall-Themen im ANC. Prüfen Sie die Health Checks vor jeder großflächigen Provisionierung und nach jeder Netzänderung erneut. Most provisioning problems originate in DNS, routing, domain join, IP, or firewall issues in the Azure network connection. Re-run health checks before every broad rollout and after every network change.

Service-Architektur Service architecture

Business, Enterprise, Join-Modelle und Lebenszyklus. Business, Enterprise, join models, and lifecycle.

Lizenzierung Licensing

Business, Enterprise, Frontline und Resize-Logik. Business, Enterprise, Frontline, and resize logic.

Technische Deep Dives Technical deep dives

Policies, ANC, Images, Restore, Boot, Switch und Monitoring. Policies, ANC, images, restore, Boot, Switch, and monitoring.

Administration Administration

Intune, Security, Power Management, Lifecycle und Lighthouse. Intune, security, power management, lifecycle, and Lighthouse.

Graph & PowerShell Graph & PowerShell

virtualEndpoint, Cloud PC Reports und Automatisierung. virtualEndpoint, Cloud PC reports, and automation.

Betrieb Operations

Provisioning, Troubleshooting, SSO und Restoreprozesse. Provisioning, troubleshooting, SSO, and restore processes.

Architektur und Betriebsmodell Architecture and operating model

Copilot-, Viva- und M365-Dienste wirken nur dann stabil, wenn Architektur, Datenpfade, Berechtigungen und Betriebsrollen zusammen geplant werden. Die folgenden Tabellen fokussieren die technische Wirklichkeit hinter der Produktverpackung. Copilot, Viva, and Microsoft 365 services remain stable only when architecture, data paths, permissions, and operating roles are planned together. The following tables focus on the technical reality behind the product packaging.

Diese Referenz priorisiert Admin-, Security- und Integrationsperspektiven. Sie ist deshalb näher am Microsoft-Learn-Betriebshandbuch als an Marketing- oder Endanwenderdokumentation. This reference prioritizes the admin, security, and integration perspective. It is therefore closer to an operational Microsoft Learn playbook than to marketing or end-user documentation.

Aspekt Aspect	Details Details
Produktlinien Product lines	Windows 365 Business richtet sich an kleinere oder isoliertere Szenarien, Windows 365 Enterprise an verwaltete, policygesteuerte Plattformmodelle mit Intune und ANC. Windows 365 Business targets smaller or more isolated scenarios, whereas Windows 365 Enterprise addresses managed, policy-driven platform models with Intune and Azure network connections.
Join-Optionen Join options	Enterprise unterstützt Entra Join und Hybrid Join je nach Design. Die Wahl beeinflusst Netzwerk, GPO-/Intune-Kombination, App-Strategie und SSO. Enterprise supports Entra join and hybrid join depending on design. That choice affects networking, GPO or Intune mix, app strategy, and SSO.
Provisioning Provisioning	Provisioning Policies binden Lizenz, Region, Image, Join-Modell und Benutzergruppe zusammen. Sie sind die zentrale Deklaration des Cloud-PC-Zielzustands. Provisioning policies bind license, region, image, join model, and user group together. They are the central declaration of the cloud PC target state.
Operations Operations	PITR, Resize, Reprovision, Restore, Power State, Reports und Verbindungsgesundheit machen Windows 365 zu einem Betriebsdienst, nicht nur zu einer Bereitstellungsplattform. PITR, resize, reprovision, restore, power state, reports, and connection health make Windows 365 an operational service rather than just a provisioning platform.
Security Security	Conditional Access, MFA, device compliance, Defender, screen capture protection, session hardening und least privilege gelten unverändert für Cloud PCs. Conditional Access, MFA, device compliance, Defender, screen capture protection, session hardening, and least privilege apply fully to cloud PCs.
Integration Integration	Intune ist für Enterprise das operative Herzstück. Lighthouse kann MSP-Szenarien ergänzen, Graph liefert Automation über virtualEndpoint. Intune is the operational heart for Enterprise. Lighthouse can support MSP scenarios, and Graph exposes automation through virtualEndpoint.

Lizenzierung und Voraussetzungen Licensing and prerequisites

Bereich Area	Leitlinie Guidance
Windows 365 Business Windows 365 Business	Einfacher Einstieg mit direkter Cloud-PC-Zuweisung und geringerem Plattformanspruch. Geeignet für kleinere Teams oder Spezialfälle ohne komplexes Intune-/Netzwerkmodell. Simpler entry with direct cloud PC assignment and lower platform complexity. Suitable for smaller teams or special cases without a complex Intune or network model.
Windows 365 Enterprise Windows 365 Enterprise	Voller Plattformansatz mit Intune, Provisioning Policies, Azure Network Connection und stärkerer Governance. Standard für größere Organisationen. Full platform approach with Intune, provisioning policies, Azure network connections, and stronger governance. Standard for larger organizations.
Windows 365 Frontline Windows 365 Frontline	Geteiltes Nutzungsmodell für Schicht- und Frontline-Szenarien. Die Anzahl gleichzeitiger Cloud-PC-Sessions ist durch das Lizenzmodell begrenzt. Shared usage model for shift and frontline scenarios. The number of concurrent cloud PC sessions is limited by the license model.
Sizing Sizing	vCPU-, RAM- und Storage-Größen bestimmen Kosten, Performance und Resize-Optionen. Unterdimensionierung führt schnell zu schlechter Akzeptanz. vCPU, RAM, and storage size determine cost, performance, and resize options. Undersizing quickly leads to poor user acceptance.
Point-in-Time Restore Point-in-Time Restore	PITR ist abhängig vom Dienststatus und den angebotenen Restore-Punkten. Es ersetzt keine fachlich differenzierte Backup-Strategie für alle Workloads. PITR depends on service status and available restore points. It does not replace a full business-driven backup strategy for every workload.
Partnerbetrieb Partner operations	Für MSPs ist Lighthouse plus GDAP häufig der organisatorische Rahmen, die Windows-365-Lizenz bleibt dennoch tenantbezogen. For MSPs, Lighthouse plus GDAP is often the organizational control plane, while Windows 365 licensing itself remains tenant-specific.

Deep Dive nach Funktionsbereich Deep dive by capability

Windows 365 Business Windows 365 Business

Business bietet schnelle Cloud-PC-Zuweisung mit weniger Infrastrukturvorarbeit. Es eignet sich für kleine Umgebungen, Contractors, PoCs oder isolierte Sonderanwendungen. Business offers quick cloud PC assignment with less infrastructure preparation. It fits small environments, contractors, proofs of concept, or isolated specialty workloads.

Architekturhinweis Architecture note

Business ist kein Ersatz für fehlendes Plattformdesign; es verschiebt nur Teile der Komplexität. Business is not a substitute for missing platform design; it merely shifts some of the complexity.

Eigenschaft Property	Beschreibung Description
Adminoberfläche Admin surface	Die Verwaltung ist schlanker; viele Enterprise-Feinheiten wie ANC-gesteuerte Topologien oder tiefes Intune-Design spielen hier eine kleinere Rolle. Administration is lighter-weight; many enterprise details such as ANC-governed topologies or deep Intune design play a smaller role here.
Integration Integration	Business integriert sich trotzdem mit Entra ID, Basisrichtlinien und der Cloud-PC-Oberfläche. Der Fokus liegt auf Geschwindigkeit statt maximaler Plattformkontrolle. Business still integrates with Entra ID, baseline policies, and the Cloud PC surface. The focus is speed rather than maximum platform control.
Daten & Compliance Data & compliance	Daten liegen im persistenten Cloud PC; Compliance folgt dem Windows-, OneDrive-, Defender- und App-Modell des Geräts. Data lives in the persistent cloud PC; compliance follows the Windows, OneDrive, Defender, and app model of the device.
Automation Automation	Automation ist geringer ausgeprägt als bei Enterprise, aber Lizenzierung, Benutzerzuweisung und Reporting können per Graph und PowerShell flankiert werden. Automation is less rich than in Enterprise, but licensing, user assignment, and reporting can be complemented with Graph and PowerShell.
Lizenzierung Licensing	Business verlangt die passende Cloud-PC-Lizenz pro Benutzer. Business requires the relevant cloud PC license per user.
Betriebsfokus Operational focus	Business ist ideal, wenn Sie geringe Komplexität priorisieren. Für größere Betriebsmodelle wird Enterprise meist schneller sauberer. Business is ideal when you prioritize low complexity. For larger operating models, Enterprise usually becomes cleaner faster.

Geeignet für schnelle Pilotierung und kleine Benutzermengen. Well suited for fast pilots and smaller user populations.
Weniger flexibel als Enterprise in Netzwerk- und Policy-Fragen. Less flexible than Enterprise for networking and policy design.
Gut für Contractors oder isolierte Wissensarbeitsplätze. Useful for contractors or isolated knowledge-worker scenarios.
Nicht die beste Wahl für tief integrierte Enterprise-Standards. Not the best choice for deeply integrated enterprise standards.

Windows 365 Enterprise Windows 365 Enterprise

Enterprise ist das eigentliche Plattformmodell mit Intune, Provisioning Policies, ANC, Join-Optionen und tieferem Security-Design. Es ist der Regelfall für größere Organisationen. Enterprise is the true platform model with Intune, provisioning policies, Azure network connections, join options, and deeper security design. It is the default for larger organizations.

Architekturhinweis Architecture note

Ohne ANC-, DNS- und Join-Kompetenz wird Enterprise unnötig schwer. Without ANC, DNS, and join expertise, Enterprise becomes harder than it needs to be.

Eigenschaft Property	Beschreibung Description
Adminoberfläche Admin surface	Admins steuern Zuweisung, Richtlinien, Images, Azure-Netzwerk, Join-Modell, SSO, Restore und App-Deployment über Intune und Windows 365 surfaces. Admins govern assignment, policies, images, Azure networking, join model, SSO, restore, and app deployment through Intune and Windows 365 surfaces.
Integration Integration	Enterprise integriert vollständig mit Intune, Entra ID, Defender, Conditional Access, Azure VNets und Reporting. Enterprise fully integrates with Intune, Entra ID, Defender, Conditional Access, Azure VNets, and reporting.
Daten & Compliance Data & compliance	Compliance und Security orientieren sich am verwalteten Windows-Endpunkt, ergänzt um Cloud-PC-spezifische Telemetrie und Lifecycle. Compliance and security follow the managed Windows endpoint, supplemented with cloud-PC-specific telemetry and lifecycle management.
Automation Automation	Automation über Graph virtualEndpoint, Intune, device management und Berichte ist hier am stärksten. Automation through Graph virtualEndpoint, Intune, device management, and reporting is strongest here.
Lizenzierung Licensing	Erfordert Enterprise-Cloud-PC-Lizenz plus die zugrunde liegenden Windows- und Managementvoraussetzungen. Requires an Enterprise cloud PC license plus the underlying Windows and management prerequisites.
Betriebsfokus Operational focus	Enterprise braucht eine klare Plattformverantwortung für Images, Netzwerk, Intune und Security; sonst verschwindet Zeit in Grenzstellenproblemen. Enterprise needs a clear platform owner for images, networking, Intune, and security; otherwise time disappears into boundary issues.

Enterprise sollte mit standardisierten Policies und Images betrieben werden. Enterprise should be run with standardized policies and images.
Join-Modell und Identitätsstrategie müssen früh entschieden werden. The join model and identity strategy must be decided early.
Verknüpfen Sie Cloud PCs eng mit Intune Compliance und Security Baselines. Bind cloud PCs closely to Intune compliance and security baselines.
Betriebsreports gehören in dasselbe Endpoint-Dashboard wie physische Geräte. Operational reports should feed the same endpoint dashboard as physical devices.

Provisioning Policies Provisioning policies

Provisioning Policies definieren Region, Image, Join-Modell, Netzwerk, Nutzerzuweisung und Identität des zukünftigen Cloud PCs. Sie sind das entscheidende Designobjekt des Dienstes. Provisioning policies define region, image, join model, network, user assignment, and the identity of the future cloud PC. They are the most important design object in the service.

Architekturhinweis Architecture note

Zu viele leicht unterschiedliche Policies sind ein Antimuster und erschweren Support, Capacity und Troubleshooting. Too many slightly different policies are an anti-pattern that complicates support, capacity, and troubleshooting.

Eigenschaft Property	Beschreibung Description
Adminoberfläche Admin surface	Admins pflegen Azure network connection, Image, Gruppenfilter, Rollout-Reihenfolge und Richtlinienhygiene. Kleinste Fehlkonfigurationen wirken sich sofort auf Provisioning aus. Admins maintain the Azure network connection, image, group filters, rollout sequencing, and policy hygiene. Small mistakes immediately affect provisioning.
Integration Integration	Policies binden Entra-Gruppen, Intune und Azure-Netzwerk zusammen. Damit verknüpfen sie Identität, Gerät und Netzwerk in einem Objekt. Policies bind Entra groups, Intune, and Azure networking together. They therefore join identity, device, and network in one object.
Daten & Compliance Data & compliance	Die Policy selbst ist Metadatenobjekt; ihre Wirkung bestimmt jedoch Join, Datenpfad und Sicherheitsgrenzen des resultierenden Geräts. The policy itself is a metadata object, but it determines join state, data path, and security boundaries of the resulting device.
Automation Automation	Graph und PowerShell können Provisioning Policies lesen, erstellen und dokumentieren; saubere Naming- und Versionierungsstandards sind deshalb wichtig. Graph and PowerShell can read, create, and document provisioning policies; good naming and versioning standards therefore matter.
Lizenzierung Licensing	Keine separate Lizenz jenseits des Windows-365-Enterprise-Szenarios. No separate license beyond the Windows 365 Enterprise scenario itself.
Betriebsfokus Operational focus	Bauen Sie Policies nach Persona und Sicherheitsprofil, nicht nach zufälligen Organisationsgrenzen. Build policies by persona and security profile, not by arbitrary org boundaries.

Benennen Sie Policies standardisiert nach Region, Join, Persona und Image. Name policies consistently by region, join model, persona, and image.
Testen Sie Health Checks nach jeder ANC- oder DNS-Änderung erneut. Re-run health checks after every ANC or DNS change.
Minimieren Sie Varianten, um Support und Reporting zu vereinfachen. Minimize variants to simplify support and reporting.
Nutzen Sie Pilot-Gruppen für jede neue Policy-Version. Use pilot groups for every new policy version.

Azure Network Connection Azure network connection

ANC bildet die technische Verbindung zwischen Windows 365 und Ihrem Netzwerk. DNS, Domain Join, IP-Planung, Routing und Firewalls entscheiden hier über Erfolg oder Misserfolg. The Azure network connection forms the technical bridge between Windows 365 and your network. DNS, domain join, IP planning, routing, and firewalls determine success or failure here.

Architekturhinweis Architecture note

ANC-Fehler werden oft zu Unrecht als Windows-365-Fehler interpretiert. ANC faults are often wrongly interpreted as Windows 365 defects.

Eigenschaft Property	Beschreibung Description
Adminoberfläche Admin surface	Admins prüfen Join-Funktion, vNet-Subnetze, Domain Controller, Namensauflösung, ausgehende Erreichbarkeit und Health-Checks. ANC braucht Netzwerk- und Identity-Kompetenz gemeinsam. Admins validate join functionality, vNet subnets, domain controllers, name resolution, outbound connectivity, and health checks. ANC requires network and identity expertise together.
Integration Integration	ANC integriert Azure, Entra ID, Domain Services, Firewalls und Windows-365-Provisioning. Er ist die Schicht, in der viele hybride Designannahmen sichtbar werden. ANC integrates Azure, Entra ID, domain services, firewalls, and Windows 365 provisioning. It is the layer where many hybrid design assumptions become visible.
Daten & Compliance Data & compliance	Falsche DNS- oder Routingpfade blockieren Join und App-Erreichbarkeit unmittelbar. Compliance betrifft hier vor allem Netzwerksegmentierung und kontrollierte Konnektivität. Incorrect DNS or routing paths block join and app reachability immediately. Compliance concerns here focus mainly on network segmentation and controlled connectivity.
Automation Automation	Automatisierung erfolgt über Azure-, Graph- und Policy-Automation, aber Troubleshooting bleibt stark von Netztelemetrie und Testdisziplin abhängig. Automation is possible through Azure, Graph, and policy automation, but troubleshooting still depends heavily on network telemetry and disciplined testing.
Lizenzierung Licensing	Keine eigene Lizenz, aber kritischer Erfolgsfaktor für Enterprise-Betrieb. No standalone license, but a critical success factor for Enterprise operations.
Betriebsfokus Operational focus	Dokumentieren Sie Ports, DNS, Service Tags, Join-Abhängigkeiten und IP-Kapazität wie einen produktiven Plattformdienst. Document ports, DNS, service tags, join dependencies, and IP capacity like a production platform service.

Verwenden Sie separate Subnetze und Kapazitätsberechnungen pro Region oder Persona. Use separate subnets and capacity calculations per region or persona.
DNS-Tests müssen sowohl Name Resolution als auch Join-Pfade abdecken. DNS tests must cover both name resolution and join flows.
Beobachten Sie Health Checks kontinuierlich, nicht nur vor Go-Live. Monitor health checks continuously, not only before go-live.
Hybrid Join erhöht die Netz- und Verzeichnisabhängigkeit deutlich. Hybrid join significantly increases network and directory dependency.

Images und Sizing Images and sizing

Windows 365 bietet Gallery Images, Custom Images, Resize und unterschiedliche Leistungsstufen. Eine gute Image-Strategie verhindert Nacharbeiten auf jedem einzelnen Cloud PC. Windows 365 offers gallery images, custom images, resize, and multiple performance tiers. A strong image strategy prevents rework on every single cloud PC.

Architekturhinweis Architecture note

Zu viele Custom Images machen Windows 365 zu einem Image-Lab und nicht zu einer Workplace-Plattform. Too many custom images turn Windows 365 into an image lab rather than a workplace platform.

Eigenschaft Property	Beschreibung Description
Adminoberfläche Admin surface	Admins steuern Basisimage, Sysprep-/Generalize-Prozess, App-Baseline, Treiberfreiheit, Capture-Qualität und Resize-Pfade. Admins govern the base image, sysprep or generalize process, app baseline, driver neutrality, capture quality, and resize paths.
Integration Integration	Custom Images integrieren bestehende App- oder Hardening-Standards. Gallery Images reduzieren Pflegeaufwand, Custom Images erhöhen Spezifität. Custom images integrate existing app or hardening standards. Gallery images reduce maintenance, while custom images increase specificity.
Daten & Compliance Data & compliance	Image-Qualität beeinflusst Security, Performance, App-Verträglichkeit und Supportkosten direkt. Versionsmanagement ist daher ein Security-Thema. Image quality directly affects security, performance, app compatibility, and support cost. Version management is therefore also a security concern.
Automation Automation	Graph kann Images und Cloud-PC-Objekte referenzieren; eigentliche Image-Erstellung folgt oft Azure-Image- oder Endpoint-Engineering-Prozessen. Graph can reference images and cloud PC objects; actual image creation typically follows Azure image or endpoint engineering processes.
Lizenzierung Licensing	Sizing bestimmt Kosten und Nutzererlebnis. Resize ist hilfreich, ersetzt aber keine saubere Erstklassifizierung. Sizing determines cost and user experience. Resize is helpful, but it does not replace proper initial classification.
Betriebsfokus Operational focus	Nutzen Sie wenige standardisierte Images und definierte Sizing-Personas, statt für jede Abteilung Sonderbauarten zu pflegen. Use a few standardized images and defined sizing personas instead of maintaining one-off builds for every department.

Setzen Sie Gallery Images ein, wenn Standardisierung wichtiger als Spezialsoftware ist. Use gallery images when standardization matters more than specialty software.
Custom Images brauchen denselben Patch- und Security-Lifecycle wie physische Golden Images. Custom images need the same patch and security lifecycle as physical golden images.
Dimensionieren Sie CPU/RAM nach echter Anwendungstelemetrie, nicht nur nach Jobtitel. Size CPU and RAM according to real application telemetry, not just job titles.
Resize ist nützlich für Korrekturen, sollte aber nicht die Standardreaktion auf schlechte Planung sein. Resize is useful for corrections, but it should not be the default reaction to poor planning.

SSO, Boot, Switch und Point-in-Time Restore SSO, Boot, Switch, and point-in-time restore

Windows 365 erweitert das Geräteerlebnis mit Single Sign-On, Windows 365 Boot, Windows 365 Switch und Restore-Punkten. Das bringt Cloud PCs näher an den physischen Arbeitsplatz heran. Windows 365 extends the device experience with single sign-on, Windows 365 Boot, Windows 365 Switch, and restore points. That makes cloud PCs feel much closer to a physical workstation.

Architekturhinweis Architecture note

Wenn Nutzer PITR mit klassischer Datensicherung verwechseln, entstehen falsche Erwartungen im Incident. If users confuse PITR with traditional backup, incidents produce the wrong expectations.

Eigenschaft Property	Beschreibung Description
Adminoberfläche Admin surface	Admins konfigurieren SSO-Voraussetzungen, Nutzerrechte, Restore-Optionen, lokale Admins und Kommunikationsleitlinien für Wiederherstellung oder Reset. Admins configure SSO prerequisites, user rights, restore options, local admin settings, and communications for recovery or reset.
Integration Integration	Boot und Switch integrieren den Cloud PC in das Windows-Erlebnis des Endgeräts. PITR unterstützt Betriebsunterbrechungen, Fehlerbehebung und schnelle Wiederherstellung. Boot and Switch integrate the cloud PC into the Windows experience of the endpoint. PITR supports outages, troubleshooting, and rapid recovery.
Daten & Compliance Data & compliance	Restore-Punkte sind Dienstartefakte mit definierter Retention, nicht frei konfigurierbare Vollbackups. Anwendererwartungen müssen daran angepasst werden. Restore points are service artifacts with defined retention, not freely configurable full backups. User expectations must align to that model.
Automation Automation	Automation kann Restore-Entscheidungen, Statusabfragen und Nutzerkommunikation flankieren; der eigentliche Wiederherstellungsvorgang bleibt kontrollierter Admin-Prozess. Automation can support restore decisions, status collection, and user communication, while the actual recovery flow remains an admin-controlled process.
Lizenzierung Licensing	Diese Funktionen folgen dem unterstützten Windows-365-SKU und Gerätemodell. These capabilities follow the supported Windows 365 SKU and device model.
Betriebsfokus Operational focus	Planen Sie Restore und Boot wie Enduser-Funktionen mit klarer Kommunikation, nicht nur als Admin-Feature im Hintergrund. Plan restore and Boot as end-user features with clear communication, not only as hidden admin capabilities.

SSO reduziert Friktion, braucht aber saubere Identity- und Gerätevoraussetzungen. SSO reduces friction, but needs clean identity and device prerequisites.
Boot und Switch eignen sich besonders für dedizierte Thin-Client- oder Shared-PC-Szenarien. Boot and Switch are especially useful for dedicated thin-client or shared-PC scenarios.
Restore muss in den Incident- und Supportprozess eingebettet sein. Restore must be embedded in the incident and support process.
Lokale Adminrechte auf Cloud PCs sollten nur ausnahmsweise vergeben werden. Local admin rights on cloud PCs should be granted only by exception.

Windows 365 Frontline Windows 365 Frontline

Frontline liefert gemeinsame Cloud-PC-Kapazität für Schichtmodelle und nicht parallel aktive Nutzer. Die Stärke liegt in Kostenoptimierung bei klarer Nutzungsorchestrierung. Frontline delivers shared cloud PC capacity for shift patterns and users who are not active at the same time. Its strength lies in cost optimization when usage is orchestrated clearly.

Architekturhinweis Architecture note

Falsch dimensionierte Parallelität erzeugt Frustration statt Kostenvorteil. Poorly sized concurrency creates frustration rather than savings.

Eigenschaft Property	Beschreibung Description
Adminoberfläche Admin surface	Admins müssen Nutzerkontingente, Parallelitätsregeln, Schichtmodelle und Supporterwartungen managen. Frontline ist ein Nutzungsmodell, kein abgespeckter Enterprise-Dienst. Admins must manage user entitlements, concurrency rules, shift patterns, and support expectations. Frontline is a usage model, not a cut-down enterprise service.
Integration Integration	Frontline integriert mit Intune, Policies, Apps und Security wie andere Cloud PCs, aber die Lizenzlogik folgt Gleichzeitigkeit statt permanenter Eins-zu-eins-Zuordnung. Frontline integrates with Intune, policies, apps, and security like other cloud PCs, but the licensing logic follows concurrency rather than permanent one-to-one assignment.
Daten & Compliance Data & compliance	Compliance, Logging und Geräteverantwortung bleiben bestehen, auch wenn das Lizenzmodell geteilt ist. Compliance, logging, and device accountability remain in place even when the licensing model is shared.
Automation Automation	Automation konzentriert sich auf Zuweisung, Schichtkoordination, Reporting und Lifecycle. Die Herausforderung ist organisatorisch, nicht nur technisch. Automation focuses on assignment, shift coordination, reporting, and lifecycle. The challenge is organizational rather than purely technical.
Lizenzierung Licensing	Erfordert Frontline-Lizenzmodell und bewusstes Kapazitätsdesign. Requires the Frontline licensing model and intentional capacity design.
Betriebsfokus Operational focus	Frontline eignet sich nur dort, wo Benutzer nicht gleichzeitig produktiv sein müssen. Sonst wird das Modell schnell zum Engpass. Frontline works only where users do not need simultaneous active sessions. Otherwise the model quickly becomes a bottleneck.

Dimensionieren Sie Frontline nach tatsächlichen Schicht- und Peakszenarien. Size Frontline according to real shift and peak patterns.
Kommunizieren Sie klar, dass nicht jeder Nutzer jederzeit eine exklusive Kapazität besitzt. Communicate clearly that not every user has exclusive capacity at all times.
Nutzen Sie Reporting, um konkurrierende Nutzungsfenster zu erkennen. Use reporting to identify conflicting usage windows.
Prüfen Sie, ob Windows 365 Boot in Frontline-Szenarien zusätzlichen Mehrwert liefert. Evaluate whether Windows 365 Boot adds value in Frontline scenarios.

Monitoring, Intune und Security Monitoring, Intune, and security

Cloud-PC-Betrieb braucht dieselbe Observability wie physische Geräte: Compliance, Performance, Verbindungsgesundheit, Security-Events, Patchstatus und Supportdaten. Cloud PC operations need the same observability as physical devices: compliance, performance, connection health, security events, patch state, and support data.

Architekturhinweis Architecture note

Cloud PCs als Sonderwelt zu behandeln, verdoppelt Aufwand und senkt Security-Niveau. Treating cloud PCs as a separate world doubles effort and lowers security maturity.

Eigenschaft Property	Beschreibung Description
Adminoberfläche Admin surface	Admins nutzen Intune, Defender, Conditional Access, device compliance, connection quality reports, Endpoint Analytics und gegebenenfalls Lighthouse für Partnerbetrieb. Admins use Intune, Defender, Conditional Access, device compliance, connection quality reports, Endpoint Analytics, and where relevant Lighthouse for partner operations.
Integration Integration	Security integriert MFA, CA, Defender, screen capture protection, least privilege, JIT-Admin und App-Deployment-Kontrolle. Monitoring integriert Berichte zu Health und Utilization. Security integrates MFA, Conditional Access, Defender, screen capture protection, least privilege, JIT admin, and controlled app deployment. Monitoring includes health and utilization reports.
Daten & Compliance Data & compliance	Cloud PCs unterliegen denselben Compliance- und Security-Policies wie verwaltete Endpoints. Das ist Stärke und Verpflichtung zugleich. Cloud PCs are governed by the same compliance and security policies as managed endpoints. That is both a strength and an obligation.
Automation Automation	Graph liefert Cloud-PC-Objekte, Status und Berichte; Intune- und Security-Automation ergänzen den Betrieb. Gute Telemetrie minimiert Blindflug. Graph exposes cloud PC objects, states, and reports; Intune and security automation complement operations. Good telemetry minimizes blind spots.
Lizenzierung Licensing	Lizenzierung hängt an Windows 365 und den Management-/Security-Komponenten des Tenants. Licensing depends on Windows 365 and the tenant's management or security components.
Betriebsfokus Operational focus	Integrieren Sie Cloud PCs in denselben SOC-, Endpoint- und Service-Desk-Prozess wie physische Geräte. Integrate cloud PCs into the same SOC, endpoint, and service desk process as physical devices.

Conditional Access und MFA gelten unverändert für Cloud-PC-Zugänge. Conditional Access and MFA apply fully to cloud PC access.
Screen Capture Protection sollte für sensible Daten geprüft werden. Screen Capture Protection should be evaluated for sensitive data.
Connection Quality Reports helfen, Netzwerk- und Standortprobleme von Geräteproblemen zu trennen. Connection quality reports help separate network or location issues from device issues.
Lighthouse ist nützlich, wenn MSPs mehrere Kundentenants mit Windows 365 betreiben. Lighthouse is useful when MSPs run Windows 365 across multiple customer tenants.

Administration und Governance Administration and governance

Admin-Thema Admin topic	Umsetzung Implementation
ANC Health ANC health	ANC-Health-Checks gehören in den Regelbetrieb; jede DNS-, Firewall- oder Routingänderung erfordert Re-Validierung. ANC health checks belong in routine operations; every DNS, firewall, or routing change requires re-validation.
Image Governance Image governance	Gallery versus Custom Image, Patchstand und Baseline-Apps müssen wie ein Endpoint-Engineering-Produkt geführt werden. Gallery versus custom images, patch level, and baseline apps must be managed like an endpoint engineering product.
Identity & Join Identity and join	Entscheiden Sie bewusst zwischen Entra Join und Hybrid Join. Die Komplexität steigt mit jedem hybriden Abhängigkeitsrest. Make a conscious decision between Entra join and hybrid join. Complexity rises with every remaining hybrid dependency.
Security Security	Lokale Adminrechte, CA, MFA, Defender, Compliance und JIT-Administration sind Kernbestandteile des Cloud-PC-Betriebs. Local admin rights, Conditional Access, MFA, Defender, compliance, and JIT administration are core parts of cloud PC operations.
Restore & Reprovision Restore and reprovision	Dokumentieren Sie, wann Resize, Reprovision, PITR oder vollständige Neuvergabe eingesetzt werden. Diese Entscheidungen dürfen nicht ad hoc erfolgen. Document when resize, reprovision, PITR, or full reassignment should be used. These decisions should not be made ad hoc.
Partnerbetrieb Partner operations	Bei MSP-Betrieb braucht es klare Trennung von Kundentenant, GDAP, Lighthouse-Rolle und Eskalationswegen. For MSP operation, you need clear separation of customer tenant, GDAP, Lighthouse role, and escalation paths.

API, Graph und PowerShell API, Graph, and PowerShell

Schnittstelle Interface	Praxis Practice
Graph virtualEndpoint Graph virtualEndpoint	Zentrale API für Cloud PCs, Provisioning Policies, User Settings, Reports und Aktionen wie Resize oder Restore sofern verfügbar. Central API for cloud PCs, provisioning policies, user settings, reports, and actions such as resize or restore where available.
PowerShell via Graph PowerShell via Graph	Connect-MgGraph und Invoke-MgGraphRequest decken viele Automations- und Reporting-Szenarien ab. Connect-MgGraph and Invoke-MgGraphRequest cover many automation and reporting scenarios.
Intune APIs Intune APIs	Intune ergänzt App-, Policy-, Compliance- und Gerätesteuerung für Cloud PCs. Intune complements app, policy, compliance, and device governance for cloud PCs.
Azure APIs Azure APIs	Azure-Netzwerkautomation ergänzt ANC, Subnetze, NSGs und abhängige Infrastruktur. Azure network automation complements ANCs, subnets, NSGs, and dependent infrastructure.
Reports Reports	Connection Quality, Utilization und Provisioning Status liefern die Grundlage für Capacity- und Supportprozesse. Connection quality, utilization, and provisioning status form the basis for capacity and support processes.
Lighthouse Lighthouse	Partner können Mehrmandantenbetrieb ergänzend über Lighthouse überwachen, die Cloud-PC-Verwaltung bleibt aber im jeweiligen Tenant verankert. Partners can complement multi-tenant operations through Lighthouse, but cloud PC management remains anchored in the customer tenant.

PowerShell PowerShell


Connect-MgGraph -Scopes CloudPC.Read.All, DeviceManagementConfiguration.Read.All
Invoke-MgGraphRequest -Method GET `
  -Uri "https://graph.microsoft.com/beta/deviceManagement/virtualEndpoint/cloudPCs"

HTTP / REST HTTP / REST


POST https://graph.microsoft.com/beta/deviceManagement/virtualEndpoint/provisioningPolicies
Authorization: Bearer eyJ0eXAiOiJKV1Qi...
Content-Type: application/json

JSON JSON


{
  "displayName": "W365-EMEA-Workers-EntraJoin",
  "description": "Knowledge worker pilot in Western Europe",
  "imageId": "gallery:win11-23h2-m365apps",
  "joinType": "azureADJoin",
  "managedBy": "microsoft365",
  "userGroupIds": [
    "11111111-2222-3333-4444-555555555555"
  ]
}

Betrieb, Rollout und Troubleshooting Operations, rollout, and troubleshooting

Join- und Netzwerkdesign festlegen Define join and network design

Entscheiden Sie früh zwischen Entra Join und Hybrid Join und testen Sie ANC, DNS und Routing realistisch mit Pilotkonten. Decide early between Entra join and hybrid join and validate ANC, DNS, and routing with real pilot identities.

Sizing- und Image-Personas standardisieren Standardize sizing and image personas

Erstellen Sie wenige Standardprofile für Information Worker, Power User, Entwickler oder Frontline-Szenarien. Variabilität erhöht Kosten und Support. Create a small set of standard profiles for information workers, power users, developers, or frontline scenarios. Variability increases cost and support.

Security und Intune-Baseline binden Bind security and Intune baseline

Cloud PCs gehören vom ersten Tag an in Compliance, Defender, CA, Patch- und App-Deployment-Richtlinien. Cloud PCs should enter compliance, Defender, Conditional Access, patch, and app deployment policy from day one.

Restore- und Supportprozess definieren Define restore and support process

Legen Sie fest, wann Resize, PITR, Reprovision oder Neuvergabe genutzt werden und wie Nutzer darüber informiert werden. Define when to use resize, PITR, reprovision, or full reassignment and how users are informed.

Telemetry in Endpoint Operations integrieren Integrate telemetry into endpoint operations

Verbindungsgesundheit, Utilization, Provisioning Status und Endpoint-Security-Daten müssen gemeinsam ausgewertet werden. Connection quality, utilization, provisioning status, and endpoint security data must be evaluated together.

Provisioning schlägt fehl Provisioning fails

Prüfen Sie zuerst ANC-Health, Join-Typ, DNS, IP-Kapazität, Gruppenmitgliedschaft und Lizenz. Die Ursache liegt selten in der Lizenz allein. Start with ANC health, join type, DNS, IP capacity, group membership, and licensing. The cause is rarely the license alone.

Anmeldung funktioniert, Apps oder Ressourcen aber nicht Sign-in works, but apps or resources do not

Analysieren Sie Netzwerkpfade, Proxy, private DNS-Zonen, Legacy-Abhängigkeiten und ob das Cloud-PC-Subnetz wirklich Zugriff auf die benötigten Ziele hat. Analyze network paths, proxy, private DNS zones, legacy dependencies, and whether the cloud PC subnet truly reaches the required targets.

Leistung ist schlecht Performance is poor

Prüfen Sie Sizing, Anwendungsprofil, Hintergrundprozesse, Teams-/AV-Druck und Verbindungsgüte. Nicht jedes Performanceproblem ist ein GPU-Thema. Validate sizing, application profile, background processes, Teams or AV load, and connection quality. Not every performance issue is a GPU issue.

Restore deckt die Erwartung nicht ab Restore does not meet expectations

PITR stellt den Cloud PC auf einen vorhandenen Wiederherstellungspunkt zurück; es ist kein generisches Datei-Backup. OneDrive, SharePoint und Exchange bleiben eigene Schutzdomänen. PITR restores the cloud PC to an available recovery point; it is not a generic file backup. OneDrive, SharePoint, and Exchange remain separate protection domains.

Grenzen, Quoten und Realitätscheck Limits, quotas, and reality check

Thema Topic	Bedeutung Meaning
ANC-Abhängigkeit ANC dependency	Netzwerk ist die häufigste harte Vorbedingung für Enterprise-Betrieb. Networking is the most common hard prerequisite for Enterprise operations.
Custom Images Custom images	Jedes zusätzliche Image erhöht Patch- und Security-Aufwand. Every additional image increases patching and security overhead.
Frontline Concurrency Frontline concurrency	Gleichzeitigkeit ist lizenztechnisch begrenzt und muss organisatorisch geplant werden. Concurrency is limited by license design and must be planned operationally.
PITR PITR	Restore ist hilfreich, aber kein Ersatz für vollständige Daten- und Workload-Backupstrategien. Restore is useful, but not a substitute for full data and workload backup strategies.
Hybrid Join Hybrid join	Hybrid erhöht DNS-, Join- und Abhängigkeitskomplexität deutlich. Hybrid join significantly increases DNS, join, and dependency complexity.
Resize Resize	Resize ist Korrekturwerkzeug, keine Dauerstrategie für fehlendes Persona-Design. Resize is a correction tool, not a permanent strategy for missing persona design.

Empfohlene Betriebsprinzipien Recommended operating principles

Behandeln Sie Windows 365 als Endpoint-Plattform mit eigenem Produktowner. Treat Windows 365 as an endpoint platform with a dedicated product owner.
Standardisieren Sie Join-Typ, Images und Sizing pro Persona. Standardize join type, images, and sizing per persona.
Testen Sie ANC nach jeder Netzwerkänderung erneut. Re-validate the ANC after every network change.
Integrieren Sie Cloud PCs vollständig in Intune, Defender und CA. Integrate cloud PCs fully into Intune, Defender, and Conditional Access.
Dokumentieren Sie Reprovision-, Restore- und Resize-Entscheidungen. Document reprovision, restore, and resize decisions.
Nutzen Sie Frontline nur bei echter Nicht-Gleichzeitigkeit. Use Frontline only where users truly do not need concurrent capacity.
Halten Sie die Image-Zahl klein und den Lifecycle strikt. Keep the image count low and the lifecycle disciplined.
Führen Sie Cloud-PC-Telemetrie in die Standard-Endpoint-Operations zurück. Feed cloud PC telemetry back into standard endpoint operations.

Begriffsreferenz Glossary

Begriff Term	Einordnung Meaning
Cloud PC Cloud PC	Persistenter Windows-Arbeitsplatz aus dem Microsoft-Cloud-Dienst. Persistent Windows desktop delivered as a Microsoft cloud service.
ANC ANC	Azure Network Connection als Netzwerk- und Join-Anker für Enterprise Cloud PCs. Azure network connection acting as the network and join anchor for Enterprise cloud PCs.
Provisioning Policy Provisioning policy	Deklaratives Objekt für Image, Netzwerk, Join und Benutzerzuweisung. Declarative object for image, network, join model, and user assignment.
PITR PITR	Point-in-Time Restore auf einen vorhandenen Wiederherstellungspunkt. Point-in-time restore to an available recovery point.
Frontline Frontline	Geteiltes Cloud-PC-Nutzungsmodell mit Gleichzeitigkeitsschranke. Shared cloud PC usage model with concurrency limits.
Boot Boot	Direkter Windows-Start auf den Cloud PC statt auf den lokalen Desktop. Direct Windows boot into the cloud PC instead of the local desktop.
Switch Switch	Schneller Wechsel zwischen lokalem Gerät und Cloud PC. Fast switching between the local device and the cloud PC.
Custom Image Custom image	Eigenes generalisiertes Windows-Image für Cloud-PC-Bereitstellung. Customer-built generalized Windows image for cloud PC provisioning.
Connection Quality Connection quality	Berichte zur Netz- und Sitzungsqualität von Cloud-PC-Verbindungen. Reports about network and session quality for cloud PC connections.
Resize Resize	Änderung der Cloud-PC-Größe auf andere vCPU-, RAM- oder Storage-Stufe. Changing the cloud PC size to a different vCPU, RAM, or storage tier.