Blokker_1999 schreef op vrijdag 19 juni 2026 @ 13:14:
Even een vraagje of het volgende scenario naar jullie mening technisch ondersteund wordt door Microsoft. Dit komt voort uit een interessante discussie die we hebben met de externe consultants die helpen bij het project.
We zijn met een pilot bezig voor het opzetten van Azure Virtual Desktops die Entra (non-hybrid) en Intune joined zijn. De AVDs zullen individueel zijn (geen multi-sessie, persoonlijke machines) en hoewel de personen die zullen aanmelden allen een E5 licentie hebben, zal het account waarmee zij gaan aanmelden, wat een privileged account is, geen licentie hebben. Dat is toch het doel.
Technisch lijkt dit te werken in mijn eerste test setup die ik aan het gebruiken ben om Intune een beetje op te kuisen, maar nu ging de discussie vandaag over het feit of dit technisch ondersteund wordt door Micorosft. De consultant zegt namelijk dat hij in het verleden gezien heeft dat de VM kan stoppen met in te checken op Intune omdat er geen gelicensieerde gebruiker op aanmeld. Hierdoor zou de AVD uit compliance vallen en ook geen nieuwe policies meer ophalen. Tot op heden zie ik evenwel gewoon netjes check-ins in het Intune portaal.
Als ik dan op die machine de Company Portal opstart, en aanmeld met mijn primair account, die dus wel een licentie heeft, wordt in de CP de machine ook netjes aangemerkt als een shared device. Dat zie je ook in Intune terug, geen primaire gebruiker geregistreerd. En het lijkt mij daarnaast ook dat als je bijv. een kiosk hebt die je beheert via MDM, dat daar ook nooit een gebruiker op gaat aanmelden die een licentiecheck in leven zou moeten houden.
De laatste opmerking van de consultant was dat het technisch mogelijks wel zou werken, maar als we ooit ondersteuning van MS zouden nodig hebben, dat zij dan zouden zeggen dat onze setup niet ondersteund is. En het is daar dat ik dus even voor wil vragen of iemand daar opheldering in kan brengen.
Ik denk dat dit belangrijk voor je is:
Intune treats Azure Virtual Desktop personal VMs the same as Windows Enterprise physical desktops. This treatment lets you use some of your existing configurations and secure the VMs with compliance policy and Conditional Access. Intune management doesn't depend on or interfere with Azure Virtual Desktop management of the same virtual machine. (
Using Azure Virtual Desktop single-session with Microsoft Intune - Microsoft Intune | Microsoft Learn)
Als je de AVD netjes inschrijft via de Enroll the VM with Intune optie dan blijft het check-in meganisme bestaan zonder issues tussen AVD en de VM.
Licentie technisch zeg je ze hebben een E5 licentie maar als ik je goed begrijp zullen de users welke op de AVD aanmelden met een privileged account zonder licentie. De AVD is dan dus een PAW workstation? Begrijp ik dat goed?
Vanuit AVD wordt het device met "Device Credentials" aangemeld binnen Intune, als er dan vervolgens een gebruikter op aanmeld welke geen "User Credentials" licentie heeft dan heb je dus Intune Plan 1 Device-licenties nodig voor deze AVD machines om een supported / licentie supported omgeving te hebben.
Dan de E5 licentie, de Users welke een E5 licentie hebben kunnen inderdaad in de company portal en dan aanmelden etc maar Microsoft kijkt supported / licentie technisch naar de primaire gebruiker. De AVD heeft geen primaire gebruiker maar wel een E5 licentie en dit bijt elkaar een beetje. Als het er op aankomt dan zit je denk wel goed maar dit staat nergens echt duidelijk. Ik zou adviseren om de de Intune Plan 1 Device-licenties aanschaffen voor deze machines om zeker te zijn dat je goed zit mocht je ooit een audit krijgen of support nodig hebben.
/u/10108/FatPie2.JPG?f=community)
:strip_exif()/u/290839/crop5b757283a589c_cropped.gif?f=community)
:strip_icc():strip_exif()/u/78725/train-icon3.jpg?f=community)
. Het zal vermoedelijk weer wat extra geld worden dat naar MS zal vloeien, maar al tevreden dat er technisch geen beperkingen zijn.