Das mittlerweile gut einsetzbare
winget upgrade --all
aktualisiert fast zuverlässig alle installierte Software.
Kommt es vor, dass man z.B. für die aktuellste Version keine Lizenz hat oder dass es wir beim Acrobat Pro den Reader installieren will kann man bestimmte Programme mit pinning ausnehmen.
Hier suchen wir den Reader und nehmen in von der Aktualisierung aus:
winget list --name reader winget pin add Adobe.Acrobat.Reader.64-bit
Möchte man ein online Benutzerkonto bei einer Neuinstallation vermeiden und lieber ein lokales Konto verwenden kann man beim Einrichtungsassistenten mit hilfe von SHIFT + F10 eine Eingabeaufforderung/Shell starten und folgendes eingeben:
start ms-cxh:localonly
Mit folgender Mitgliedsschaftregel kann man eine dynamische Sicherheitsgruppe erstellen die alle lizensierten Benutzer beinhaltet:
(user.userType -eq "member") and (user.accountEnabled -eq true) and (user.assignedPlans -any (assignedPlan.servicePlanId -ne "" -and assignedPlan.capabilityStatus -eq "Enabled"))
Um die Benutzererfahrung bei einem Setup aus AzureVirtual Desktop in einer Hybriden Active Directory Umgebung mit FSLogix Containern zu verbessern kann man folgende Schritte unternehmen ( auch die lästigen M365 Meldungen bezüglich Probleme mit dem Arbeits- oder Schulkonto / der Office Aktivierung werden dadurch verschwinden):
Zuerst erstellt man für die Unterstützung von Windows Hello und anderen kennwortlosen Authentifizierungsschlüsseln ein Kerberos Server Objekt auf dem onpremise AD Controller im Entra AD:
Wir benötigen das Azure HybridAuth Modul für die Powershell:
Install-Module -Name AzureADHybridAuthenticationManagement
Bereitstellung des Kerberos Servers:
Set-AzureADKerberosServer -Domain LOCALDOMAIN.DOM -UserPrincipalName ENTRAADMIN@ONLINEDOMAIN.onmicrosoft.com
Nun deaktiviert man in der FSLogix GPO den Punkt für „Roam Identity“, befindet sich unter:
Computer configuration -> Policies -> Administrative Templates -> FSLogix -> Profile Containers
Jetzt benötigt man bei dem Azure ActiveDirectory Connect Client unter User Sign In die „Pass Through Authentication“ mit „Enable Single Sign In“ aktiviert.
Als letztes ist nun nur noch in dem AVD Pool unter RDP Properties der Microsoft Entra Single Sign-On zu aktivieren.
Steht in einem Azure Desktop Pool eine Maschine auf nicht verfügbar / not available, entferne man diese aus dem Pool und deaktiviere die Registrierung auf der betroffenen Maschine via Power Shell:
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\RDInfraAgent" -Name "IsRegistered" -Value 0 -Force
Registration Key des Pools neu erstellen oder wenn noch gültig kopieren und in die Registry eintragen
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\RDInfraAgent" -Name "RegistrationToken" -Value 'AVD-POOL-REGISTRATION-KEY' -Force
Azure Virtual Desktop-Agent Dienst neu starten
Restart-Service RDAgentBootLoader
Um ein vorhandenes öffentliches Zertifikat mit dem privaten Schlüssel zu importieren konvertiere man das .cer und den privaten .key mit Hilfe von OpenSSL zu einem kennwortgeschützen .pfx
openssl pkcs12 -export -out ExchangeXXX.pfx -inkey XXX.key -in XXX.cer
Nun kann man es über eine beliebige Freigabe via Exchange Management Shell als Admin importieren:
Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\SERVER\c$\_PATHtoCERT\XXX.pfx')) -FriendlyName ExchangeXXX -Password (ConvertTo-SecureString -String 'PASSWORD' -AsPlainText -Force)