Windows 365 & Azure Virtual Desktop

Lý thuyết: Windows 365 & Azure Virtual Desktop

Cloud PC, session-based VDI và FSLogix profile management

Windows 365 Cloud PC là gì?

Windows 365 là dịch vụ Cloud PC — mỗi user được cấp một Windows VM riêng biệt, truy cập qua trình duyệt hoặc Windows App. Không cần quản lý hạ tầng — Microsoft lo toàn bộ.

So sánh Windows 365 vs Azure Virtual Desktop

Tính năng	Windows 365	Azure Virtual Desktop (AVD)
Mô hình	Cloud PC — 1:1 (1 VM/1 user)	Session-based — nhiều user/1 VM
Quản lý hạ tầng	Microsoft quản lý toàn bộ	Admin quản lý host pool + VMs
Giá cả	Fixed per user/month	Pay-as-you-go (compute + storage)
Điều khiện mạng	Giới hạn — Microsoft Network hoặc Azure vNet	Tùy biến đầy đủ qua Azure vNet
Intune/Entra join	Entra join tự động	Entra join hoặc HAADJ
Dự phòng (failover)	Không — Microsoft SLA 99.9%	Có — Availability Zones
Phù hợp	SMB, công ty không có Azure infra	Lớn, nhiều concurrent user, tùy chỉnh cao
FSLogix	Tích hợp sẵn	Bắt buộc cấu hình thủ công

Windows 365 Business vs Enterprise

Tiêu chí	Business	Enterprise
Giới hạn	Tối đa 300 user	Không giới hạn
Mạng	Microsoft-hosted network	Azure vNet (tùy chỉnh)
Intune	Yêu cầu Intune license riêng	Bao gồm trong plan
Entra ID	Chỉ Entra join	Entra join + HAADJ
Gallery image	Windows 11 mặc định	Custom image + Azure gallery
Conditional Access	Hạn chế	Hỗ trợ đầy đủ
Frontline Worker	Không	Windows 365 Frontline (shared)

FSLogix Profile Container

FSLogix giải quyết vấn đề roaming profile trong môi trường non-persistent VDI. Profile được lưu trong VHD(X) trên file share (SMB) — gắn vào máy ảo khi user đăng nhập.

Thành phần	Mô tả
VHD(X) container	File chứa toàn bộ profile user (AppData, Documents, NTUSER.DAT)
Azure Files / SMB share	Nơi lưu VHD — cần quyền Storage File Data SMB Share Contributor
FSLogix App Rule Editor	Lọc ứng dụng hiển thị theo user/group (App Masking)
Cloud Cache	Replicate VHD sang nhiều location — HA cho Disaster Recovery
ODFC Container	Outlook cache tách riêng khỏi Profile Container

FSLogix được bao gồm trong Microsoft 365 E3/E5, Windows E3/E5 và RDS SAL — không cần mua thêm license.

Lab thực hành: Windows 365 & AVD Deployment

Provision Cloud PC, triển khai AVD host pool và cấu hình FSLogix

Lab A — Provision Windows 365 Cloud PC

Thực hành tại: Microsoft Intune Admin Center → Devices → Windows 365

Mở Microsoft Intune Admin Center (intune.microsoft.com) → Devices → Windows 365 → Provisioning policies.
Chọn + Create policy. Đặt tên: W365-Policy-VN.
Join type: chọn Entra ID Join. Network: chọn Microsoft hosted network và region Southeast Asia.
Image: chọn Windows 11 Enterprise + Microsoft 365 Apps. Click Next.
Assignments: add group CloudPC-Users. Click Create.
Đợi 15–25 phút — Cloud PC xuất hiện trong All Cloud PCs với status Provisioned.
User nhận email và truy cập qua windows365.microsoft.com hoặc Windows App.

Kết quả đầu ra mọng đợi

Đăng nhập portal — thấy tile "Your Cloud PC" với máy ảo Windows 11 được cấp.

Lab B — Tạo AVD Host Pool trên Azure Portal

Thực hành tại: Azure Portal → Azure Virtual Desktop → Host pools

Vào Azure Portal → tìm Azure Virtual Desktop → Host pools → + Create.
Basics: tên hp-prod-sea, Region Southeast Asia, Host pool type: Pooled, Load balancing: Breadth-first. Max sessions: 5.
Virtual Machines tab: chọn Add VMs. Image: Windows 11 multi-session + M365 Apps. Size: Standard_D2s_v3. Count: 2.
Networking: chọn vNet đã có hoặc tạo mới. Đảm bảo subnet không trùng ngưỡng địa chỉ.
Domain join: chọn Entra ID. Tick Enroll VM with Intune.
Workspace tab: tạo workspace mới ws-prod-sea. Click Review + create → Create.
Sau khi deploy: vào host pool → Application groups → Default Desktop → Assignments → add group AVD-Users.

Kết quả đầu ra mọng đợi

Session host xuất hiện trong Host pools với status Available. User truy cập qua client.wvd.microsoft.com.

Lab C — Cấu hình FSLogix trên Session Host

Thực hành tại: Session Host VM → PowerShell (Admin)

# Trên mỗi session host VM — chạy PowerShell với quyền Admin
# 1. Tạo registry keys FSLogix
New-Item "HKLM:\SOFTWARE\FSLogix\Profiles" -Force
Set-ItemProperty "HKLM:\SOFTWARE\FSLogix\Profiles" -Name "Enabled" -Value 1
Set-ItemProperty "HKLM:\SOFTWARE\FSLogix\Profiles" -Name "VHDLocations" -Value "\\\\storageacct.file.core.windows.net\\profiles"
Set-ItemProperty "HKLM:\SOFTWARE\FSLogix\Profiles" -Name "SizeInMBs" -Value 30000
Set-ItemProperty "HKLM:\SOFTWARE\FSLogix\Profiles" -Name "IsDynamic" -Value 1

# 2. Gán quyền lưu trữ trên Azure Files (Azure Portal)
# Storage Account > IAM > + Add role assignment
# Role: Storage File Data SMB Share Contributor
# Assign to: AVD-Users (Entra group)

Kết quả đầu ra mọng đợi

Đăng nhập session, kiểm tra:
C:\Users\  -> chỉ có symlinks (profile thực trên VHD)
\\storageacct...\profiles\_S-1-5-21-xxx.VHDX  -> tồn tại và đang mount

Tình huống thực tế: Vietnam Airlines và Frontline Crew

Windows 365 Frontline cho tiếp viên không trung tại sân bay

Vietnam Airlines — 1,200 tiếp viên cabin

Vietnam Airlines có 1,200 tiếp viên không trung làm việc theo ca, không có máy tính cố định. Họ cần truy cập hệ thống lịch bay, chính sách và trao đổi qua Microsoft Teams bằng tablet hoặc kiosk tại sân bay. IT team đã triển khai Windows 365 Frontline — 1 license phục vụ 3 user (theo ca), giảm chi phí 67% so với Cloud PC 1:1. Mỗi tiếp viên đăng nhập qua Entra ID — FSLogix đảm bảo profile cá nhân (Teams, Outlook cache) tải về ngay lập tức, sau ca lưu lại.

Giải pháp chi tiết

Yếu tố	Chi tiết
License model	Windows 365 Frontline — 3 concurrent sessions / 1 license
Provisioning	Intune Provisioning Policy → Entra group (Vietnam-Frontline)
Profile	FSLogix trên Azure Files Premium (SMB) — đảm bảo <5s login time
App Masking	FSLogix App Rule → hiển Crew App, Teams, Outlook — ẩn IT tools
Security	Conditional Access: require compliant device + MFA
Monitoring	Intune → Devices → All Cloud PCs → filter Frontline

Windows 365 Frontline yêu cầu Windows 365 Enterprise plan. License được tính dựa trên số user đăng ký, không phải số VM đang chạy.

M24 — Co-Management M26 — Tenant Setup