Beste oplossing: Citrix, Windows RDS, VMWare Horizon? RAS?

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • Tweakez
  • Registratie: Maart 2015
  • Niet online
Ik ben bezig met het uitzoeken van en opzetten van een nieuwe virtuele werkomgeving voor 100-150 gebruikers en ben op zoek naar de beste en meest stabiele oplossing anno 2025. In mijn ervaring heeft elke oplossing zijn voor- en nadelen, en ik ben benieuwd naar praktische ervaringen en best practices van anderen.

Wat ik zelf al onderzocht heb:
✅ Citrix – Bekend om ICA/HDX en een feature-rich omgeving, maar in VDI-omgevingen ervaar ik vaak hoge resourcebelasting en trage prestaties vergeleken met RDS. Het kan goed schalen, maar de overhead is fors.
✅ Windows RDS (Remote Desktop Services) + Ivanti – RDS voelt soepeler en lijkt minder overhead te hebben dan Citrix. Ivanti zou qua beheer en optimalisatie handig kunnen zijn, maar de Broadcom-achtige licentiestructuur is een struikelblok.
✅ VMware Horizon – Tja… Should I say more? 😅 Het werkt, maar VMware lijkt na de Broadcom-overname een risicovolle keuze te worden qua support en licentiekosten.
✅ AVD (Azure Virtual Desktop) – Een logische cloud-native optie, maar hoe zit het met latency, kosten en performance vergeleken met on-prem? maar ook downtime, we willen een stabiele vaste omgeving.
✅ Parallels RAS – Wordt vaak genoemd als een Citrix-alternatief, maar hoe goed is het écht in een productieomgeving met 100-150 gebruikers?

Mijn omgeving & behoeften:
Aantal gebruikers: 100-150
Workloads: Office 365, Teams (AV-optimalisatie), SAP/ERP.
Infrastructuur: On-prem met mogelijkheid tot hybrid/cloud
Belangrijkste factoren: Stabiliteit, performance, licentiekosten, beheerbaarheid en gebruikerservaring

Ik ben dus op zoek naar ervaringen van anderen:

Welke oplossing gebruiken jullie en waarom?
1. Hoe is de stabiliteit en performance?
2. Zijn er hidden costs of licentieproblemen waar ik op moet letten?
3. Zijn er nog andere opties die ik over het hoofd zie?

Alle input is welkom! Thanks alvast! 🙌

Acties:
  • 0 Henk 'm!

  • janvanhetdak
  • Registratie: Mei 2014
  • Laatst online: 14:22
Vmware Horizon is niet meer van VMware het is van Omnisa. Heb je trouwens ook gekeken naar Microsoft CloudPC? En hoe wil je het aanbieden aan de eindgebruikers?

Acties:
  • 0 Henk 'm!

  • 99ruud99
  • Registratie: December 2018
  • Laatst online: 16:53
Leuk topic om te volgen, wij zijn juist aan het afstappen van een virtuele werkomgeving, naar m365. Voornamelijk zodat je ook offline verbinding hebt.
We zitten nu op Citrix. Dit werkt, maar stabiliteit hangt sterk af van de stabiliteit van server... En daar kan je maar beter meteen heel wat extra in investeren.

Acties:
  • 0 Henk 'm!

  • RvV
  • Registratie: Juli 2000
  • Laatst online: 13:48

RvV

Hier draaien we al 10+ jaar een Horizon omgeving. Dat gaat echt als een trein, ook met youtube videos, teams etc... Maar we hebben het serverpark ook op vmware draaien, dus dan hoef je niet die gehele infrastructuur nog op te tuigen met een fatsoenlijk netwerk, san etc...
Goedkoop? Nee, vast niet. Maar als ik kijk hoe weinig problemen en onderhoud we eraan hebben, dan durf ik wel te stellen dat het onder de streep best betaalbaar is.
Wat de toekomst gaat brengen met licenties? Dat is overal een probleem. Dan denk je een goedkope oplossing te hebben en ineens, een paar jaar latern, out of the blue krijg je een "Broadcom" actie om je oren.

Y'24


Acties:
  • +2 Henk 'm!

  • P_de_B
  • Registratie: Juli 2003
  • Niet online
Veel bedrijven maken de switch weg van virtuele desktops? Ik ben nog nooit zo blij geweest met gewoon een fatsoenlijke laptop met MDM en M365 zodat je gewoon je werk kunt doen.

Heb je deze optie onderzocht? Zo nee, zijn daar goede argumenten voor?

Oops! Google Chrome could not find www.rijks%20museum.nl


Acties:
  • 0 Henk 'm!

  • Sharky
  • Registratie: September 1999
  • Laatst online: 08-07 21:30

Sharky

Skamn Dippy!

Wat de rest ook zegt; is er een grote noodzaak om te virtualiseren? Wij adviseren onze klanten om juist alles lekker werkplekgericht te maken, allemaal een beheerde laptop met M365 en gaan met die banaan. Als je applicaties hebt die per se een server nodig hebben dan zou ik eerst een Azurecalculatie maken. Dan ben je schaalbaarder en kun je ook tussentijds andere oplossingen kiezen. Een server moet je eerst in 5 jaar afschrijven, qua kosten zal het elkaar niet heel erg ontlopen over die 5 jaar. Met als belangrijkste verschil dat je een server na circa 5 jaar moet vervangen, een Azureomgeving blijft gewoon draaien.

This too shall pass


Acties:
  • 0 Henk 'm!

  • 3DDude
  • Registratie: November 2005
  • Laatst online: 08-07 22:59

3DDude

I void warranty's

Tweakez schreef op vrijdag 7 februari 2025 @ 10:01:

✅ VMware Horizon – Tja… Should I say more? 😅 Het werkt, maar VMware lijkt na de Broadcom-overname een risicovolle keuze te worden qua support en licentiekosten.
Horizon is niet meer van Broadcom he, dat is Omnissa geworden.

Be nice, You Assholes :)


Acties:
  • +2 Henk 'm!

  • Woohooo
  • Registratie: Februari 2001
  • Laatst online: 16:59

Woohooo

Smilie, James Smilie

Als Office 365 en Teams je voornaamste workloads zijn zou ik geen RDP oplossing aanbieden.
SAP/ERP of andere webtooling zou je kunnen ontsluiten naar je laptops met app proxy via azure of ander soort dergelijke oplossingen.

Acties:
  • +1 Henk 'm!

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 16:17

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Tweakez schreef op vrijdag 7 februari 2025 @ 10:01:
Welke oplossing gebruiken jullie en waarom?
Mijn allereerste vraag (en dat vraag ik met een sterke Citrix achtergrond), waarom zou je (nog) virtueel willen gaan?

Gebruikers hebben sowieso een endpoint nodig om uberhaubt verbinding te kunnen maken, en een deftige thin client die voldoende performance heeft om bv. Teams te kunnen ofloaden kost bijna net zoveel als een laptop. Naast het feit dat je dit endpoint nog steeds moet beheren...

Waarom kies je niet voor laptops, die via bv. Intune volledig beheerd worden? Wat is je specifieke usecase?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


Acties:
  • +1 Henk 'm!

  • Blokker_1999
  • Registratie: Februari 2003
  • Laatst online: 14:08

Blokker_1999

Full steam ahead

Scenario's waar wij VDI aanbieden:
- extern ingehuurde krachten die tijdelijk voor ons werken vanop afstand
- opleidings systemen
- mensen die niet op kantoor zitten en ineens een defecte laptop hebben
- leveranciers van ons die bijvoorbeeld aan gebouwbeheer moeten kunnen of die instaan voor het onderhoud van bepaalde systemen bij ons op de firma

En daarvoor gebruiken wij op dit moment verschillende oplossingen, afhankelijk van welke taken er moeten gebeuren. Voor een veilige omgeving zoals bij opleidingen, die in een volledig afgescherm netwerk zitten is dat een vorm van RDS, maar onze leveranciers komen op een andere manier binnen waarbij wij betere logging toepassen alsook screen recording doen.

Iedereen kan zeggen waarom ze voor een oplossing kiezen, maar het belangrijkste blijft natuurlijk wat de reden is dat jij nu op zoek bent naar een nieuwe oplossing. Zijn dit bijv. permanente werkplekken voor mensen in loondienst die geen systeem van de zaak krijgen? En zo ja, waarmee gaan zij verbinden? Is dit een omgeving waarop klanten of leveranciers kunnen aanmelden? Is dit voor tijdelijk gebruik waarbij je vaak credentials gaat moeten wisselen?

En nog veel meer vragen die gaan bepalen wat een goede oplossing is.

No keyboard detected. Press F1 to continue.


Acties:
  • 0 Henk 'm!

  • Tweakez
  • Registratie: Maart 2015
  • Niet online
janvanhetdak schreef op vrijdag 7 februari 2025 @ 10:03:
Vmware Horizon is niet meer van VMware het is van Omnisa. Heb je trouwens ook gekeken naar Microsoft CloudPC? En hoe wil je het aanbieden aan de eindgebruikers?
Goede opmerking, Microsoft Cloud PC heb ik overwogen, maar ik vraag me af hoe de latency en kosten zich verhouden tot een on-prem of hybride oplossing. Heb jij ervaring met Cloud PC op grotere schaal (100+ users)? Al moet ik zeggen dat ook dat een prijzige bedoening is.

Wat betreft de manier van aanbieden:

Thin clients en zero clients zijn een optie, maar ik vraag me af of dat nog de beste keuze is anno 2025.
Beheerde laptops met M365 en een hybride model is een alternatief, maar dan zitten we ook met andere kosten (XDR uitbreiding voor volwaardig endpoint, remote support et cetera

Hoe hebben jullie dit aangepakt? Tenminste als je iets met Cloud PC doet ?
RvV schreef op vrijdag 7 februari 2025 @ 10:18:
Hier draaien we al 10+ jaar een Horizon omgeving. Dat gaat echt als een trein, ook met youtube videos, teams etc... Maar we hebben het serverpark ook op vmware draaien, dus dan hoef je niet die gehele infrastructuur nog op te tuigen met een fatsoenlijk netwerk, san etc...
Goedkoop? Nee, vast niet. Maar als ik kijk hoe weinig problemen en onderhoud we eraan hebben, dan durf ik wel te stellen dat het onder de streep best betaalbaar is.
Wat de toekomst gaat brengen met licenties? Dat is overal een probleem. Dan denk je een goedkope oplossing te hebben en ineens, een paar jaar latern, out of the blue krijg je een "Broadcom" actie om je oren.
Over de kosten: als je zegt dat het onderhoudsarm en stabiel is (Horizon/Omnissa), dan is dat misschien de investering waard. Ik ben benieuwd of je RDS, AVD of Citrix hebt overwogen voordat jullie destijds voor Horizon kozen? Wat zijn ongeveer de kosten (anno 2025) per user?
P_de_B schreef op vrijdag 7 februari 2025 @ 10:25:
Veel bedrijven maken de switch weg van virtuele desktops? Ik ben nog nooit zo blij geweest met gewoon een fatsoenlijke laptop met MDM en M365 zodat je gewoon je werk kunt doen.

Heb je deze optie onderzocht? Zo nee, zijn daar goede argumenten voor?
Ja, M365 met beheerde endpoints is absoluut een optie die ik overweeg. Het probleem is dat er bij ons veel externe vestigingen zijn, waar de investering minimaal kan zijn met thinclients en vervolgens een citrix of rds omgeving om ook makkelijk remote support te leveren bij issues.

Hoe lossen jullie dat op in een volledige M365 eventueel met externe locaties?

Via App Proxy/Azure Remote Apps?
Daarnaast vraag ik me af hoe je gebruikers met beperkte IT-kennis ondersteunt als je niet een centrale VDI hebt waar je alles kunt managen. Wat is jullie ervaring daarmee? Neem je dan Teamviewer af i.c.m. Intune (gebruiken we overigens ook al)
Sharky schreef op vrijdag 7 februari 2025 @ 10:29:
Wat de rest ook zegt; is er een grote noodzaak om te virtualiseren? Wij adviseren onze klanten om juist alles lekker werkplekgericht te maken, allemaal een beheerde laptop met M365 en gaan met die banaan. Als je applicaties hebt die per se een server nodig hebben dan zou ik eerst een Azurecalculatie maken. Dan ben je schaalbaarder en kun je ook tussentijds andere oplossingen kiezen. Een server moet je eerst in 5 jaar afschrijven, qua kosten zal het elkaar niet heel erg ontlopen over die 5 jaar. Met als belangrijkste verschil dat je een server na circa 5 jaar moet vervangen, een Azureomgeving blijft gewoon draaien.
Het is vooral ook, beheerbaarheid en support bij storingen. Maar AVD en CloudPC zijn duurdere alternatieven dan zelf tot een on-prem/hybrid aanschaf van RDS + Broker over te gaan. Dat is dan weer een afschrijving van 5 jaar, en wat langer volhoudt is winst 8)7
Woohooo schreef op vrijdag 7 februari 2025 @ 10:57:
Als Office 365 en Teams je voornaamste workloads zijn zou ik geen RDP oplossing aanbieden.
SAP/ERP of andere webtooling zou je kunnen ontsluiten naar je laptops met app proxy via azure of ander soort dergelijke oplossingen.
Office 365 en Teams is een lokale laptop inderdaad genoeg met MDM, maar we hebben te maken met zo'n 20 vestigingen en gedeelde werkplekken noem ze voor de gein, utrecht, amsterdam, eindhoven, antwerpen, en de doorloop is zo nu en dan hoog (logistiek) en veel IT kennis is daar niet aanwezig. Remote support is dan via een Citrix en/of RDS wel soepeler...
Question Mark schreef op vrijdag 7 februari 2025 @ 11:36:
[...]

Mijn allereerste vraag (en dat vraag ik met een sterke Citrix achtergrond), waarom zou je (nog) virtueel willen gaan?

Gebruikers hebben sowieso een endpoint nodig om uberhaubt verbinding te kunnen maken, en een deftige thin client die voldoende performance heeft om bv. Teams te kunnen ofloaden kost bijna net zoveel als een laptop. Naast het feit dat je dit endpoint nog steeds moet beheren...

Waarom kies je niet voor laptops, die via bv. Intune volledig beheerd worden? Wat is je specifieke usecase?
Goede vraag! Ik zoek naar de beste balans tussen centralisatie en performance. De specifieke redenen waarom VDI/RDS nog besproken wordt is:

Beheerbaarheid: Updates, security, onderhoud en support zijn makkelijker centraal.
Flexibel werkplekgebruik: Niet iedereen heeft een vaste laptop.

Maar je hebt gelijk: de hoge kosten en beheerlast van VDI maken dat ik alternatieven serieus overweeg. Maar het beheren van 20 vestigingen, met op elke vestiging 5 tot 8 werkplekken en gedeelde machines, kan in dit geval wel winst bieden in beheer en de winst van een VDI of RDS zichtbaar maken.

Heb jij ervaring met een hybride aanpak zoals wij deze voor ogen zouden zien?

Acties:
  • 0 Henk 'm!

  • Sharky
  • Registratie: September 1999
  • Laatst online: 08-07 21:30

Sharky

Skamn Dippy!

Tweakez schreef op vrijdag 7 februari 2025 @ 15:11:


[...]


Het is vooral ook, beheerbaarheid en support bij storingen.
Dat kun je ook bieden met goed beheerde werkplekken. Hoe gaan de gebruikers de RDS benaderen? Thin client? Dan is thuiswerken alleen maar ingewikkelder. Virtualisatie alleen om beheerbaarheid en support is lullig gezegd niet meer van deze tijd
Maar AVD en CloudPC zijn duurdere alternatieven dan zelf tot een on-prem/hybrid aanschaf van RDS + Broker over te gaan. Dat is dan weer een afschrijving van 5 jaar, en wat langer volhoudt is winst 8)7
Langer dan 5 jaar kan echt wel, maar je kunt niet wachten met vervangen tot iets stuk gaat. Als je zoveel gebruikers hebt is er een beter plan nodig dan 'wat langer volhoudt is winst' en de vraag uitzetten op een forum. Als ik jou/jullie was zou ik een één of meer externe partijen een advies laten uitschrijven.

This too shall pass


Acties:
  • 0 Henk 'm!

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 16:17

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Tweakez schreef op vrijdag 7 februari 2025 @ 15:11:
[...]
Goede vraag! Ik zoek naar de beste balans tussen centralisatie en performance. De specifieke redenen waarom VDI/RDS nog besproken wordt is:

Beheerbaarheid: Updates, security, onderhoud en support zijn makkelijker centraal.
Flexibel werkplekgebruik: Niet iedereen heeft een vaste laptop.
Beheer is met Intune (of alternatief) natuurlijk ook centraal geregeld... En daarnaast hebben gebruikers ook bij VDI een endpoint nodig. Men heeft simpelweg een vorm van een werkplek nodig om een VDI/RDS sessie te starten...
Maar je hebt gelijk: de hoge kosten en beheerlast van VDI maken dat ik alternatieven serieus overweeg. Maar het beheren van 20 vestigingen, met op elke vestiging 5 tot 8 werkplekken en gedeelde machines, kan in dit geval wel winst bieden in beheer en de winst van een VDI of RDS zichtbaar maken.
Je kosten gaan wat verschuiven. Waar je kunt minderen in RDS-licenties en centrale serverhardware zul je iets meer moeten investeren in licenties rondom endpoint beheer.
Heb jij ervaring met een hybride aanpak zoals wij deze voor ogen zouden zien?
Het is sterk afhankelijk van je applicatielandschap... Simpelweg wat SaaS-applicaties / M365 / Teams is niet heel spannend om te ontsluiten... Heb je daarentegen nog wat legacy die je moet gaan aanbieden, dan wordt het al wat spannender. Niet alleen latency, maar ook beveiligingsaspecten en daaraan gekoppelde gebruikerservaring. Hoe ga je immers om met legacy applicaties waarbij data je premises gaat verlaten?

Je kunt een werkplek volledig dichttimmeren, maar gebruikers "willen" toch al gauw een zakelijke laptop ook wel wat privé in kunnen zetten. Zeker als zaken als vanuit huis werken ook toegestaan zijn. Wil, of ga je dan zaken als Temu of Tiktok toestaan op de laptops? Dat zijn belangrijke scenario's waar ook een stukje beleid voor zou moeten ontstaan (als het er al niet is). :)

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


Acties:
  • 0 Henk 'm!

  • Tweakez
  • Registratie: Maart 2015
  • Niet online
Sharky schreef op vrijdag 7 februari 2025 @ 15:33:
Dat kun je ook bieden met goed beheerde werkplekken. Hoe gaan de gebruikers de RDS benaderen? Thin client? Dan is thuiswerken alleen maar ingewikkelder. Virtualisatie alleen om beheerbaarheid en support is lullig gezegd niet meer van deze tijd
Ik ben het hier mee eens. De RDS wordt inderdaad benaderd via een thin client en thuiswerken is voor deze gebruikers niet nodig. Alles blijft intern, maar omdat alles op Locatie A staat, moeten Locaties B tot en met Z hier soepel toegang toe hebben. Daarnaast is het belangrijk dat digibeten eenvoudig ondersteund kunnen worden. Dit maakt het beheer en support in ieder geval een stuk makkelijker.
Sharky schreef op vrijdag 7 februari 2025 @ 15:33:
Langer dan 5 jaar kan echt wel, maar je kunt niet wachten met vervangen tot iets stuk gaat. Als je zoveel gebruikers hebt is er een beter plan nodig dan 'wat langer volhoudt is winst' en de vraag uitzetten op een forum. Als ik jou/jullie was zou ik een één of meer externe partijen een advies laten uitschrijven.
Uiteraard kun je niet wachten met vervangen, en we werken ook samen met externe partijen. Echter, ik heb een duidelijke visie/duidelijk idee en ben juist op zoek naar een breder perspectief. Ik wil graag de pro’s en con’s van de verschillende oplossingen in de Nederlandse markt anno 2025 horen en ervaringen van anderen meenemen in de overweging. Externe partijen adviseren vaak binnen hun eigen scope en hebben vaak een eigen belang, terwijl praktijkervaringen van anderen soms net dat extra inzicht geven. Ook over de diverse oplossingen zoals parallels RAS of RDS of Citrix of Horizon of welk pakket dan ook,.[quote][b]

Acties:
  • +1 Henk 'm!

  • Sharky
  • Registratie: September 1999
  • Laatst online: 08-07 21:30

Sharky

Skamn Dippy!

Kun je iets meer vertellen over applicatielandschap? Doorgaans is dat leidend bij de keus voor het type omgeving. Als alles SaaS is zou ik centralisatie echt afraden. Het beheerargument kan ik m'n vinger ook niet achter krijgen. Vanuit security-oogpunt zou je het nog kunnen overwegen omdat je alle data dan op één plek hebt.

Laat ik het bij mezelf houden; ik werk bij een middelgrote kantoorautomatiseerder en onze voorkeur gaat altijd uit naar werkplekgerichte oplossingen zoals De Moderne Werkplek, daarna Azure en daarna lokale RDS-oplossingen. Alles op basis van noodzaak. De klanten die wij nog hebben met een on premises oplossing doen dat vanwege regelgeving (ABDO) of omdat ze lokale performance nodig hebben voor omvangrijke productieprocessen in combinatie met een ERP. Op basis van beheer heb ik nog nooit meegemaakt dat iemand voor een lokale oplossing koos.

This too shall pass


Acties:
  • 0 Henk 'm!

  • Tweakez
  • Registratie: Maart 2015
  • Niet online
Question Mark schreef op vrijdag 7 februari 2025 @ 15:37:
Beheer is met Intune (of alternatief) natuurlijk ook centraal geregeld... En daarnaast hebben gebruikers ook bij VDI een endpoint nodig. Men heeft simpelweg een vorm van een werkplek nodig om een VDI/RDS sessie te starten...
Dat klopt helemaal, en we gebruiken momenteel een vergelijkbare oplossing voor zo’n 140 werkplekken. De thin client-oplossing is een strak afgeschermde machine die uitsluitend verbinding kan maken met de RDS-omgeving. Binnen deze omgeving is alles geregeld, zoals Outlook, Adobe, ERP, Teams, etc.

Een groot voordeel is dat we nu eenvoudig sessies kunnen overnemen via /shadow of met Ivanti via de rechtermuisknop, iets wat bij Intune een betaalde extra functionaliteit is. Waar dit vroeger via TeamViewer ging, is dat nu vervangen door de betaalde ‘Remote Help’-oplossing van Microsoft in combinatie met Quick Assist.

We maken momenteel gebruik van het gratis instappakket van Ivanti, maar vanwege kennisgebrek wordt dit nog niet volledig benut en uitgebreid qua licentiekosten.
[b]Question Mark schreef op vrijdag 7 februari 2025 @ 15:37:
Je kosten gaan wat verschuiven. Waar je kunt minderen in RDS-licenties en centrale serverhardware zul je iets meer moeten investeren in licenties rondom endpoint beheer.
RDS-licenties schaf je natuurlijk eenmalig per serverversie aan, en die hoeven we op dit moment initieel nog niet opnieuw aan te schaffen. We hebben namelijk al Windows Server 2022 en 2019-licenties afgenomen, waarin de RDS-CAL’s al beschikbaar voor zijn.

Op dit moment onderzoeken we de migratie naar een nieuw serverpark voor RDS, Citrix of Horizon, waarbij we kijken naar kosten, baten en technische mogelijkheden. Qua licenties hebben we dus al RDS-CALs en bestaande hardware, al wordt die laatste dus eventueel vernieuwd.

Mijn voorkeur gaat sterk uit naar managed Intune-devices, maar aan de andere kant biedt Citrix of RDS het voordeel van gedeelde accounts. Denk aan een afdeling zoals logistiek, waar niet iedereen een eigen e-mailadres nodig heeft, maar ze wel met een gedeeld account (bijv. logistiek@company.com) snel iets moeten kunnen controleren. Maar dus ook de 'support' die vereenvoudigd wordt en het 'gelijk houden' aan een standaard. Of ik ben hier kortzichtig en denk verkeerd...

Ik heb zelf dus al een duidelijke visie, maar ik vind het waardevol om ook andere inzichten en argumenten te lezen. Externe partijen hebben uiteraard hun eigen standpunten, maar ik mis de praktische ervaringen en meningen van vakgenoten. Daarom ben ik benieuwd naar ervaringen uit de praktijk, zowel voor als tegen de verschillende oplossingen.
[b]Question Mark schreef op vrijdag 7 februari 2025 @ 15:37:
Het is sterk afhankelijk van je applicatielandschap... Simpelweg wat SaaS-applicaties / M365 / Teams is niet heel spannend om te ontsluiten... Heb je daarentegen nog wat legacy die je moet gaan aanbieden, dan wordt het al wat spannender. Niet alleen latency, maar ook beveiligingsaspecten en daaraan gekoppelde gebruikerservaring. Hoe ga je immers om met legacy applicaties waarbij data je premises gaat verlaten?

Je kunt een werkplek volledig dichttimmeren, maar gebruikers "willen" toch al gauw een zakelijke laptop ook wel wat privé in kunnen zetten. Zeker als zaken als vanuit huis werken ook toegestaan zijn. Wil, of ga je dan zaken als Temu of Tiktok toestaan op de laptops? Dat zijn belangrijke scenario's waar ook een stukje beleid voor zou moeten ontstaan (als het er al niet is). :)
Zakelijke apparaten mogen hier uitsluitend voor werk worden gebruikt, dat is een harde regel. Elk privégebruik van het device wordt direct aangekaart – zelfs iets simpels als privé e-mail kan al een probleem vormen.

Wat betreft applicaties: er is niet per se veel legacy, maar de focus ligt vooral op eenvoud en uniformiteit voor onze verschillende vestigingen. Zoals ik eerder aangaf richting @Sharky, hebben we meerdere locaties waar ook digibeten werken. In die situatie biedt een Citrix- of RDS-oplossing in combinatie met een thin client nog altijd de meest gebruiksvriendelijke en beheersbare optie. Daarom is de wens daar ook sterk naar, waar ik zelf toch bij mijn Intune + M365 + Laptop blijf.

Acties:
  • 0 Henk 'm!

  • Tweakez
  • Registratie: Maart 2015
  • Niet online
Sharky schreef op vrijdag 7 februari 2025 @ 16:06:
[...]


Kun je iets meer vertellen over applicatielandschap? Doorgaans is dat leidend bij de keus voor het type omgeving. Als alles SaaS is zou ik centralisatie echt afraden. Het beheerargument kan ik m'n vinger ook niet achter krijgen. Vanuit security-oogpunt zou je het nog kunnen overwegen omdat je alle data dan op één plek hebt.

Laat ik het bij mezelf houden; ik werk bij een middelgrote kantoorautomatiseerder en onze voorkeur gaat altijd uit naar werkplekgerichte oplossingen zoals De Moderne Werkplek, daarna Azure en daarna lokale RDS-oplossingen. Alles op basis van noodzaak. De klanten die wij nog hebben met een on premises oplossing doen dat vanwege regelgeving (ABDO) of omdat ze lokale performance nodig hebben voor omvangrijke productieprocessen in combinatie met een ERP. Op basis van beheer heb ik nog nooit meegemaakt dat iemand voor een lokale oplossing koos.
Het applicatielandschap is allesbehalve complex. We werken met standaardapplicaties, en de focus ligt vooral op eenvoudig beheer en gebruiksgemak. Daarom is de huidige opzet simpel: thin client + account = klaar. Binnen die omgeving hebben gebruikers toegang tot PDF, Outlook, Teams en het ERP-pakket – allemaal vrij standaard.

Toch merk ik dat ik steeds andere oplossingen voorgeschoteld krijg, terwijl mijn voorkeur eigenlijk ligt bij een M365 + Intune-gebaseerde moderne werkplek. De initiële wens was een virtuele werkomgeving, maar gezien de hoge kosten anno 2025 vraag ik me af of dat nog wel de beste optie is.

In plaats van direct voor een technologie te kiezen, wil ik objectief alle mogelijkheden vergelijken. Externe partijen hebben vaak hun eigen voorkeuren: de één zweert bij Citrix, de ander wil Ivanti verkopen, en AVD is ronduit prijzig. Daarom zoek ik brede ervaringen en inzichten buiten wat vendors voorschrijven.

Acties:
  • 0 Henk 'm!

  • Gr4mpyC3t
  • Registratie: Juni 2016
  • Laatst online: 16:46
Leuk topic @Tweakez en tof om te lezen dat je zo uitgebreid antwoord en vooral ook openstaat voor alternatieven!

Naar aanleiding van jouw laatste reactie heb ik mogelijk nog een bijdrage. De kern van de oplossing zit in het MDM-beheer. Je hebt laptops, thin clients en een VDI-oplossing (Windows 11 Multi Session). Al deze apparaten kun je op dezelfde manier beheren met Microsoft Intune.

Laptops kunnen worden gebruikt zoals normaal: medewerkers installeren software via de Company Portal en werken lokaal. Voor gebruikers zonder laptop of andere fysieke hardware biedt Azure Virtual Desktop uitkomst. Met Windows 11 Multi-Session krijgen zij een vergelijkbare werkplek, maar dan als VDI-oplossing.

Het eindresultaat? Een uniforme Windows-werkplek, ongeacht welk apparaat iemand gebruik en centraal beheert met Microsoft Intune.

Have you tried turning it off and on again?


Acties:
  • 0 Henk 'm!

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 16:17

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Tweakez schreef op vrijdag 7 februari 2025 @ 16:12:
[...]

RDS-licenties schaf je natuurlijk eenmalig per serverversie aan, en die hoeven we op dit moment initieel nog niet opnieuw aan te schaffen.
Op dit moment onderzoeken we de migratie naar een nieuw serverpark voor RDS, Citrix of Horizon,
Als je iets van teams audio/video wil doen vanuit je VDI, dan moet je al kiezen voor Citrix, Vmware, Windows 365 of Azure Virtual Desktop oplossingen. Offloaden van Audio/Video functioneert niet met standaard Windows RDS oplossingen.

Licentiemodellen van die producten zijn op subscription basis, en dus niet eenmalig af te kopen. Kijk dan ook heel goed of je genoeg hebt aan Windows RDS licenties en de (beperktere) functionaliteiten die daaraan gekoppeld zijn.
Gr4mpyC3t schreef op zaterdag 8 februari 2025 @ 13:50:
Leuk topic @Tweakez en tof om te lezen dat je zo uitgebreid antwoord en vooral ook openstaat voor alternatieven!
^^ What he says... :)

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


Acties:
  • 0 Henk 'm!

  • Blokker_1999
  • Registratie: Februari 2003
  • Laatst online: 14:08

Blokker_1999

Full steam ahead

De offloading van audio/video werkt misschien niet, maar dan stream je het dus gewoon over de RDS verbinding. Ja, dan zit je met latency, maar dat zijn keuzes die je maakt natuurlijk. Hangt er natuurlijk van af wat je net wenst te gaan doen. Wij raden mensen altijd aan hun meetings vanuit de eigen browser te doen ipv via de VDI.

No keyboard detected. Press F1 to continue.


Acties:
  • +1 Henk 'm!

  • janvanhetdak
  • Registratie: Mei 2014
  • Laatst online: 14:22
Je had het over kosten, idd is CloudPc niet goedkoop maar je betaald ongeacht hoe lang iets aan staat een vast bedrag heb je dat afgezet tegen de kosten die je kwijt bent met AVD.

Als je voor een CloudPC concept gaat zou ik wel hierop zoals meerdere al hebben gezegd het beschouwen als een modern workplace (dus behandelen zoals je een Laptop ook behandeld) en minimaal managen met Intune. Het mooie hiervan is dat je een mix kan creeren van mensen die een "vaste" laptop krijgen en mensen die eigen werkplek of thin client gebruiken.

Er komen veel uitbreidingen aan op het CloudPC concept waarvan Frontline workers heel interesant kan gaan worden.

Acties:
  • 0 Henk 'm!

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 16:17

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Blokker_1999 schreef op zondag 9 februari 2025 @ 19:01:
De offloading van audio/video werkt misschien niet, maar dan stream je het dus gewoon over de RDS verbinding. Ja, dan zit je met latency, maar dat zijn keuzes die je maakt natuurlijk. Hangt er natuurlijk van af wat je net wenst te gaan doen
Los van latency en een slechte gebruikerservaring loop je met "serverside rendering" een enorm risico op een te hoge cpu-usage op je backend. Dat moet wel heel goed getest worden.
. Wij raden mensen altijd aan hun meetings vanuit de eigen browser te doen ipv via de VDI.
Als toegestaan wordt dat teams buiten een "managed device" gebruikt wordt, zul je wel de beveiligingsrandvoorwaarden moeten invullen. Dat geeft andere uitdagingen, zeker op het vlak van adoptie.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


Acties:
  • 0 Henk 'm!

  • Tweakez
  • Registratie: Maart 2015
  • Niet online
Gr4mpyC3t schreef op zaterdag 8 februari 2025 @ 13:50:
Leuk topic @Tweakez en tof om te lezen dat je zo uitgebreid antwoord en vooral ook openstaat voor alternatieven!

Naar aanleiding van jouw laatste reactie heb ik mogelijk nog een bijdrage. De kern van de oplossing zit in het MDM-beheer. Je hebt laptops, thin clients en een VDI-oplossing (Windows 11 Multi Session). Al deze apparaten kun je op dezelfde manier beheren met Microsoft Intune.

Laptops kunnen worden gebruikt zoals normaal: medewerkers installeren software via de Company Portal en werken lokaal. Voor gebruikers zonder laptop of andere fysieke hardware biedt Azure Virtual Desktop uitkomst. Met Windows 11 Multi-Session krijgen zij een vergelijkbare werkplek, maar dan als VDI-oplossing.

Het eindresultaat? Een uniforme Windows-werkplek, ongeacht welk apparaat iemand gebruik en centraal beheert met Microsoft Intune.
Ik heb inderdaad ook naar Windows 11 Multi-Session gekeken, en dat lijkt een interessante optie. Voor 150 gebruikers kom ik uit op zo’n $13 per gebruiker per maand, en met een Business Premium-licentie zou dat rond de $30 per gebruiker uitkomen.

In de huidige situatie gebruiken sommige gebruikers een vestigingsaccount (zoals "Zwolle" of "Amsterdam") waarop meerdere medewerkers kunnen inloggen. Bijvoorbeeld een logistiek medewerker die geen e-mailaccount nodig heeft, maar wel in een logboek of documentatie moet kunnen kijken. In het huidige RDS-model werkt dit goed, en dat betekent dat we mogelijk zo’n 50 "concurrent users" minder nodig hebben, wat de kosten kan drukken. Het betreft in ieder geval al met al een heel groot bos met veel bomen. _/-\o_
Question Mark schreef op zaterdag 8 februari 2025 @ 15:01:
Als je iets van teams audio/video wil doen vanuit je VDI, dan moet je al kiezen voor Citrix, Vmware, Windows 365 of Azure Virtual Desktop oplossingen. Offloaden van Audio/Video functioneert niet met standaard Windows RDS oplossingen.

Licentiemodellen van die producten zijn op subscription basis, en dus niet eenmalig af te kopen. Kijk dan ook heel goed of je genoeg hebt aan Windows RDS licenties en de (beperktere) functionaliteiten die daaraan gekoppeld zijn.
Wat betreft Teams: op dit moment wordt het vooral gebruikt voor chat - althans binnen de RDS.

Momenteel neig ik er steeds meer naar om VDI/RDS/RAS/Horizon volledig los te laten en in plaats daarvan te focussen of te sturen op de aanschaf van fysieke hardware. Bijvoorbeeld door refurbished Dell 7060’s in te zetten en vervolgens Intune Remote Help af te nemen (€3 per gebruiker per maand). Daarmee kunnen we op een eenvoudige manier remote support bieden binnen Intune, vergelijkbaar met de huidige RDS shadow-functionaliteit, zonder de complexiteit en kosten van een volledige VDI/RDS-oplossing. Hoewel er wel, 60 devices moeten worden aangeschaft á +- 400 euro per device als we het over instappers hebben - op zich een investering van 24.000 euro even aan de bodemkant zittende tot 40000 euro als we iets uitgebreidere versies nemen

Op dit moment gebruiken we Ivanti voor gebruiksgemak voor het beheer van RDS, maar met een Intune-setup in combinatie met Remote Help lijkt dat overbodig te worden. Een belangrijk aspect voor ons is software-updates, uniformiteit en het gemak van echt vlot meekijken.

Daarnaast vind ik de investering voor een volledige RDS- of Citrix-omgeving voor 150 gebruikers fors, dat terwijl, zoals hier al door menig persoon werd gezegd veel bedrijven juist afstappen van deze virtuele oplossingen en daarnaast dat ik er eigenlijk van uit moet gaan dat elke 5 jaar een volledige vernieuwing nodig is. Met een hardwaregestuurde aanpak kunnen we mogelijk op lange termijn efficiënter en flexibeler omgaan met deze kosten en de IT-infrastructuur. Ik denk dat ik een aardige visie begin te krijgen.
janvanhetdak schreef op maandag 10 februari 2025 @ 10:33:
Je had het over kosten, idd is CloudPc niet goedkoop maar je betaald ongeacht hoe lang iets aan staat een vast bedrag heb je dat afgezet tegen de kosten die je kwijt bent met AVD.

Als je voor een CloudPC concept gaat zou ik wel hierop zoals meerdere al hebben gezegd het beschouwen als een modern workplace (dus behandelen zoals je een Laptop ook behandeld) en minimaal managen met Intune. Het mooie hiervan is dat je een mix kan creeren van mensen die een "vaste" laptop krijgen en mensen die eigen werkplek of thin client gebruiken.

Er komen veel uitbreidingen aan op het CloudPC concept waarvan Frontline workers heel interesant kan gaan worden.
Ja, het Cloud PC-concept begint toch interessanter te lijken (en daarmee spreek ik mezelf deels tegen 😅). Maar als ik het goed begrijp, is dit vergelijkbaar met AVD Multi-Session, of is dat weer een compleet andere aanpak? Ik zie namelijk dat er drie varianten zijn:

Azure Virtual Desktop - Single Session
Azure Virtual Desktop - Multi-Session (voor ~150 users zou dat neerkomen op zo’n 28 instances volgens de Microsoft-calculatie)
Microsoft 365 Cloud PC, maar dat lijkt per gebruiker gelicenseerd te moeten worden.
Een van mijn vragen hierbij is: hoe flexibel is Microsoft 365 Cloud PC in praktijk? Kan ik het bijvoorbeeld inzetten voor een vestigingsaccount zoals amsterdam@company.com, net zoals we dat nu met RDS shared accounts doen? Of loop je dan tegen licentiebeperkingen aan omdat het per gebruiker gekoppeld moet zijn?

Daarnaast ben ik benieuwd hoe dit zich gedraagt op een goedkope thin client (~€65). Draait dat probleemloos of zou je tegen beperkingen aanlopen qua performance?

Heb jij meer informatie over de toekomst van Cloud PC en specifiek over de ontwikkelingen rondom Frontline Workers? Ik probeer alle opties open te houden, maar omdat dit relatief nieuw is, heb ik nog niet overal volledig inzicht in.

Acties:
  • 0 Henk 'm!

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 16:17

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Ik hoor een proof-of-concept aankomen… :-)

Los daarvan… het valt mij op dat je erg focussed op remote mee kunnen kijken. Is dat iets wat jullie echt veel gebruiken en nodig zijn? Met een goed ingerichte en beheerde werkplek zou ik verwachten dat incidenten veelal remote, zonder gebruikersinteractie opgelost kunnen worden.

Dat is iets waar ik zeker ervaring mee zou willen opdoen in een proof-of-concept. :-)

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


Acties:
  • +1 Henk 'm!

  • MrJT
  • Registratie: Augustus 2001
  • Laatst online: 07-07 22:51
Heb inmiddels een aantal jaar ervaring met een moderne werkplek met een combi van intune en zScaler, in lijn met de principes van Zero Trust, wat een verademing is dat.

Voordelen:
- Attack surface reductie door VPN de deur uit te doen en je applicaties vanuit het DC inside out te ontsluiten. (Microsoft verkoopt dit nu zelf ook onder de noemer Entra Private Access)
- Betere beveiliging doordat je endpoints buiten je LAN zet en af kan sluiten voor verkeer onderling.
- Volledig in control over alle verbindingen vanaf endpoint devices op basis van context gebaseerde policies (volledig zicht op shadow IT en gebruik van SAAS) (Microsoft verkoopt dit inmiddels onder de noemer Entra internet Access )
- Kostenreductie omdat je minder verkeer door jouw eigen infra hoeft te laten lopen en managen.
- Kostenreductie doordat je minder zware hardware nodig hebt in het datacenter en op kantoor locaties.
- Kostenreductie omdat je op kantoren tot 250 werkplekken af kan met een goedkope internet verbinding a +/- €75,- per maand (meer werkplekken vast ook wel, maar geen ervaring mee)
- Reductie van de beheerlast omdat je alle devices op een eenduidige manier in beheer neemt en het niet meer uit maakt op welke locatie een endpoint zich bevind (geen SD-WAN)
- Reductie van SPOF van eigen DC doordat communicatie met SAAS diensten niet meer door eigen infra hoeft.
- Volledige app segmentatie gestuurd vanuit identiteit en context is een peulenschil om in te richten met policies.
- Out of the box mogelijkheden voor browser isolation en honeypotting
- Out of the box mogelijkheid tot veilig koppelen van resources uit willekeurige externe netwerken op basis van FQDN (app connectors) (dus zonder VPN`s)
- Schaalbaarheid beter door optimaal gebruik van lokale device resources en lokale internetvoorziening.
- Reductie van kosten en beheerlast doordat je geen VDI meer hoeft te beheren/schalen etc.
- Betere performance van M365 apps door optimalisaties binnen zScaler netwerk.
- Optimale flexibiliteit in ondersteuning van plaats onafhankelijk werken, het maakt niet uit waar de gebruiker verbinding maakt, als de verbinding maar stabiel is.
- D.m.v. goede inrichting van de technician fase van de autopilot deployment zijn laptops volledig vooraf in te spoelen met alles erop en eraan, waardoor de user fase bij eerste aanmelding binnen 10 minuten toegang kan geven tot de belangrijke aspecten van een werkomgeving. Defecte laptop of verdacht gedrag -> direct wipen en vervangen.
- Ondersteuning voor meerdere iDP`s waardoor je meerdere tenants kunt combineren om zo toegang te geven tot elkaars on prem resources zonder migraties.

Ik lijk wel een verkoper, maar ben gewoon enthousiast omdat dit een bijzondere combinatie van kostenreductie, beveiligingsverbetering, beheerlast/complexiteit reductie en flexibiliteit geeft die je eigenlijk nooit tegenkomt. Vermoed dat deze optie niet zo populair is om aan te bieden omdat er voor IT leveranciers een stuk minder te verdienen is met deze oplossing.......

[ Voor 31% gewijzigd door MrJT op 10-02-2025 22:47 ]


Acties:
  • +1 Henk 'm!

  • Tweakez
  • Registratie: Maart 2015
  • Niet online
MrJT schreef op maandag 10 februari 2025 @ 19:19:
Heb inmiddels een aantal jaar ervaring met een moderne werkplek met een combi van intune en zScaler, in lijn met de principes van Zero Trust, wat een verademing is dat.

Voordelen:
- Attack surface reductie door VPN de deur uit te doen en je applicaties vanuit het DC inside out te ontsluiten. (Microsoft verkoopt dit nu zelf ook onder de noemer Entra Private Access)
- Betere beveiliging doordat je endpoints buiten je LAN zet en af kan sluiten voor verkeer onderling.
- Volledig in control over alle verbindingen vanaf endpoint devices op basis van context gebaseerde policies (volledig zicht op shadow IT en gebruik van SAAS) (Microsoft verkoopt dit inmiddels onder de noemer Entra internet Access )
- Kostenreductie omdat je minder verkeer door jouw eigen infra hoeft te laten lopen en managen.
- Kostenreductie doordat je minder zware hardware nodig hebt in het datacenter en op kantoor locaties.
- Kostenreductie omdat je op kantoren tot 250 werkplekken af kan met een goedkope internet verbinding a +/- €75,- per maand (meer werkplekken vast ook wel, maar geen ervaring mee)
- Reductie van de beheerlast omdat je alle devices op een eenduidige manier in beheer neemt en het niet meer uit maakt op welke locatie een endpoint zich bevind (geen SD-WAN)
- Reductie van SPOF van eigen DC doordat communicatie met SAAS diensten niet meer door eigen infra hoeft.
- Volledige app segmentatie gestuurd vanuit identiteit en context is een peulenschil om in te richten met policies.
- Out of the box mogelijkheden voor browser isolation en honeypotting
- Out of the box mogelijkheid tot veilig koppelen van resources uit willekeurige externe netwerken op basis van FQDN (app connectors) (dus zonder VPN`s)
- Schaalbaarheid beter door optimaal gebruik van lokale device resources en lokale internetvoorziening.
- Reductie van kosten en beheerlast doordat je geen VDI meer hoeft te beheren/schalen etc.
- Betere performance van M365 apps door optimalisaties binnen zScaler netwerk.
- Optimale flexibiliteit in ondersteuning van plaats onafhankelijk werken, het maakt niet uit waar de gebruiker verbinding maakt, als de verbinding maar stabiel is.
- D.m.v. goede inrichting van de technician fase van de autopilot deployment zijn laptops volledig vooraf in te spoelen met alles erop en eraan, waardoor de user fase bij eerste aanmelding binnen 10 minuten toegang kan geven tot de belangrijke aspecten van een werkomgeving. Defecte laptop of verdacht gedrag -> direct wipen en vervangen.
- Ondersteuning voor meerdere iDP`s waardoor je meerdere tenants kunt combineren om zo toegang te geven tot elkaars on prem resources zonder migraties.

Ik lijk wel een verkoper, maar ben gewoon enthousiast omdat dit een bijzondere combinatie van kostenreductie, beveiligingsverbetering, beheerlast/complexiteit reductie en flexibiliteit geeft die je eigenlijk nooit tegenkomt. Vermoed dat deze optie niet zo populair is om aan te bieden omdat er voor IT leveranciers een stuk minder te verdienen is met deze oplossing.......
Vind je het erg als ik zeg dat ik even de draad kwijt ben na het lezen van je bericht? Waar gaat de situatie precies naartoe? Betekent dit dat iedereen een eigen werkplek krijgt? Heb je misschien een organisatie beschikbaar die hier wel in meer detail op kan of wil ingaan?

Op dit moment hebben we bijvoorbeeld 100 werkstations/laptops in de organisatie en mogelijk komen daar 150 bij, wat neerkomt op 250 werkplekken in totaal, die we samen met Zscaler en Intune zouden inzetten. Maar ik krijg het gevoel dat deze input een heel andere richting op gaat dan de oorspronkelijke vraag.

Het klinkt nu bijna inderdaad alsof je de verkoper bent, haha. Nogmaals, ik probeer gewoon te begrijpen hoe ik jouw bericht moet plaatsen binnen de context van de situatie. Ik volg het deels, maar raak op sommige punten ook de draad kwijt.

Acties:
  • +2 Henk 'm!

  • MrJT
  • Registratie: Augustus 2001
  • Laatst online: 07-07 22:51
Nee hoor niet erg, het is ook even behoorlijk omdenken, dat was het voor ons ook, maar toen het kwartje eenmaal viel ging er een wereld open. Je stapt over van complexe firewall rules en het tot in detail managen van je verkeer, naar een landschap waarin je groepen medewerkers koppelt aan specifieke apps / data. Vervolgens kun je overwegen om de M365 groepen van teams te gaan gebruiken in je policies voor uitrol van applicaties vanuit intune en je toegangspolicies binnen zScaler, heb je de boel mooi gesegmenteerd en geniet de organisatie van self service.

Alle gebruikers krijgen een intune managed laptop, uitgerold met autopilot waarbij je de zScaler client deployed, deze dwingt af dat al het verkeer op dat device volgens jouw policies verloopt. Vervolgens rol je een app connector pair (virtual applicance) uit in ieder netwerk waar jouw host servers en data staan, deze maakt inside out verbinding met de zScaler cloud dienst. Dit werkt vergelijkbaar als Microsoft Entra Application Proxy, maar dan niet gelimiteerd tot enkel webapplicaties. Op basis van de FQDN van ieder request wordt door zScaler bepaald of dit request bij een App connector moet landen, of dat het gewoon het internet op gaat (uiteraard wel beveiligd en geblocked indien nodig). Op de laptops laat je intune jouw client applicaties deployen die kunnen vervolgens op basis van FQDN de hostservers benaderen in de on prem omgevingen/domeinen waar je app connectors hebt staan. Ook netwerkshares (indien gewenst in verschillende netwerken/domeinen) zijn op die manier gewoon te benaderen alsof je het device in dat LAN hebt hangen (zoals met een VPN het geval zou zijn) maar dan zonder de complexiteit en attacksurface van VPNs. Theoretisch kun je bij het gebruik van app connectors dat hele netwerk vanaf de buitenwereld dark houden, gewoon geen ingang van buiten naar binnen, de app connectors initiëren van binnen naar buiten de verbinding.

Natuurlijk moet je applicatie wel kunnen dealen met de latency van het internet, anders moet je overwegen om voor die specifieke gevallen iets van RemoteApp te gebruiken, maar dat verkeer loopt dan wel gewoon via de zscaler app connector en heb je op dat vlak dus weinig omkijken naar in risico en of beheer van een public facing component.

Ook android/iOS devices zijn op deze manier te voorzien van een zScaler client, en die kunnen dan leunen op dezelfde policy set, immers heb je daar in staan wie waar bij mag. De mogelijkheden van die policies gaan nog veel verder, denk aan devicetype/software versie/tijdstip/land etcetc, en er is nog veel meer te vertellen over de verschillende manieren waarop dit concept voordelen bied, ik zou zeggen youtube is gewillig :)

[ Voor 22% gewijzigd door MrJT op 12-02-2025 21:03 ]


Acties:
  • +1 Henk 'm!

  • Tweak_ers
  • Registratie: Oktober 2021
  • Laatst online: 15:13
Question Mark schreef op vrijdag 7 februari 2025 @ 11:36:
[...]

Mijn allereerste vraag (en dat vraag ik met een sterke Citrix achtergrond), waarom zou je (nog) virtueel willen gaan?

Gebruikers hebben sowieso een endpoint nodig om uberhaubt verbinding te kunnen maken, en een deftige thin client die voldoende performance heeft om bv. Teams te kunnen ofloaden kost bijna net zoveel als een laptop. Naast het feit dat je dit endpoint nog steeds moet beheren...

Waarom kies je niet voor laptops, die via bv. Intune volledig beheerd worden? Wat is je specifieke usecase?
Ik wil het topic niet kapen, maar ik trigger op je Citrix achtergrond.

Citrix past haar licentiestructuur aan van concurrent licenties naar named licenties. Dit houdt voor onze organisatie een vertienvoudiging van de kosten in.

Wij gebruiken Citrix vooral als portal om ongeacht de locatie, apps aan te bieden.
Bij voorbeeld ook RDP publicaties voor leveranciers die verder geen hardware van het bedrijf hebben.

Weet jij (met jouw kennis van Citrix) een alternatief wat zich richt op publicaties?

Als dit in een eigen topic moet, ga ik dat doen!
Pagina: 1