Table of Contents
Aktualisierung des bestehenden Artikels auf die neuesten Anforderungen und Funktionen.
Microsoft Teams
User Based Microsoft Teams
Bei der Standard Installation die der Benutzer z.B. über das Microsoft365 Apps Portal durchführen kann, handelt es sich um eine User-Based Installation. Dies ist im Citrix Umfeld nur für Desktop Betriebssysteme (Pooled oder Personal Desktop) empfohlen.
Eine User-Based Installation kann im User Profile sehr schnell erkannt werden, da sich dann Daten unter AppData\Local\Microsoft\Teams befinden.
Diese Art von Installation in einem Worker mit Server Betriebssystem hat viele Nachteile:
- Keine Kontrolle über die installierte Version
- Mehrere unterschiedliche Version auf dem selben Worker möglich
- Komplette Daten (~1 GB) liegen im User Profile
Um dies zu korrigieren und das User Profile zu bereinigen kann das folgende Script genutzt werden.
Das Script muss im User Kontext ausgeführt werden. Entweder per GPO Anmeldeskript oder WEM External Task.
Um so eine Installation direkt zu unterbinden, kann per FSLogix AppMasking, oder einem anderen Tool, der Pfad AppData\Local\Microsoft\Teams einfach gesperrt werden.
Beispiel Dateien für das unterbinden per FSLogix AppMasking Rules:
Download FSLogix AppMasking Rules
Installation Machine Based
Damit Teams in Server Betriebssystemen (Multi User fähig) sauber funktioniert, muss der Machine Based Installer genutzt werden.
Hierbei werden der Teil der Daten, die beim User Based Installer im Pfad AppData\Local\Microsoft\Teams abgelegt werden, im Ordner C:\Program Files (x86)\Microsoft\Teams abgelegt.
Dies hat zu Folge, das Teams dann aber nicht mehr automatisch aktualisiert wird. Sobald eine neue Version vorhanden ist, muss dies manuell oder script-basiert installiert werden. Daher hat man unter Kontrolle, welche Version von Teams im Worker zur Verfügung gestellt wird.
Dieser Modus wird für nicht persistente Umgebungen empfohlen.
- Als erstes laden wir uns das aktuelle MSI-Paket für die Machine-Based Install herunter
Wichtig!
Falls noch eine Teams Installation auf dem System besteht, muss diese vorher deinstalliert werden.
- Startet eine Administrative CMD
- Die Installation wird mit dem folgenden Befehl durchgeführt
|
1 |
msiexec /i <Path_to_msi> /l*v <install_logfile> ALLUSER=1 ALLUSERS=1 |
Beispiel:
|
1 |
msiexec /i Teams_windows_x64.msi /l*v Install.Log ALLUSER=1 ALLUSERS=1 |
Mit dem Parameter ALLUSER=1 wird Teams (Machine-Based) in den Ordner „Programme (x86)“ auf einem 64-Bit-Betriebssystem und in den Ordner „Programme“ auf einem 32-Bit-Betriebssystem installiert.
Aber auch mit dem Parameter, verwendet die Teams MSI immer noch keinen Windows Installer für die Installation aller Dateien. Stattdessen wurden von Microsoft zusätzliche benutzerdefinierte Aktionen in der MSI erstellt, die alle Dateien von Teams.exe in den Programme (x86) Ordner entpacken.
Wenn der Parameter ALLUSERS=1 gesetzt wird, erscheint Teams Machine-Wide Installer unter Programme und Funktionen in der Systemsteuerung und unter Anwendungen und Funktionen in den Windows Einstellungen für alle Benutzer des Computers. Alle Benutzer können dann Teams deinstallieren, wenn sie über Admin Zugangsdaten verfügen.
Wir können die komplette Installation (mit den richtigen Parametern), natürlich auch Script gesteuert durchführen.
Mit meinem folgenden Evergreen Script, kann bei jedem öffnen des Golden Masters geprüft werden, ob es eine neue Version gibt und diese daraufhin installiert werden.
Installation mit AppLayering
Wenn Citrix App Layering genutzt wird oder der Citrix VDA Agent auf dem Worker noch nicht installiert ist, wird bei der manuellen Installation die folgende Fehlermeldung angezeigt.
Um dies zu lösen muss ein neuer Key mit dem Namen PortICA unter folgenden Pfad der Registry bereitgestellt werden, bevor Teams mit dem Machine Based Parameter ALLUSER = 1 installiert werden kann.
|
1 |
HKEY_LOCAL_MACHINE \ SOFTWARE \ Citrix \ PortICA |
Oder
|
1 |
HKEY_LOCAL_MACHINE \ SOFTWARE \ WOW6432Node \ Citrix \ PortICA |
Dies sollte auch beachtet werden, wenn man Teams Machine-Based paketieren muss!
Deinstallation Machine Based
Um auf die neueste Teams Version zu aktualisieren, muss erst die aktuelle Version deinstalliert werden.
Hierfür gibt es zwei Möglichkeiten:
- Über den Installer
- Rechte Maustaste auf den Installer und auf Deinstallieren drücken
- Command line
- Durch diesen Befehl wird Teams aus dem Ordner Programme (x86) oder aus dem Ordner Programme deinstalliert.
|
1 |
msiexec /passive /x <path_to_msi> /l*v <uninstall_logfile> |
Beispiel:
|
1 |
msiexec /passive /x Teams_windows_x64.msi /l*v Uninstall.Log |
So sollte es danach unter Apps und Features richtig aussehen.
Sollte es wie folgt angezeigt werden, hat man einen User-based Install von Microsoft Teams installiert. Dies sollte nie ersichtlich sein auf einer Maschine, wo man Microsoft Teams Machine-Wide installieren möchte !
Für die verschiedenen Installationsmethoden habe ich auch CleanUp Scripts erstellt.
Ausschlüsse für die Antivirenprogrammen
Die folgenden Prozesse sollten von der Zugriffsüberprüfung ausgeschlossen werden:
- %ProgramFiles (x86)%\Microsoft\Teams\current\teams.exe
- %ProgramFiles (x86)%\Microsoft\Teams\current\squirrel.exe
- %ProgramFiles (x86)%\Microsoft\Teams\update.exe
Profile Management Empfehlungen
Inclusions
Das Teams Verzeichnis muss in die bestehende Profile Lösung (UPM, Roaming Profile usw.) mit aufgenommen werden.
- Roaming\Microsoft\Teams
Exclusions
Folgende Verzeichnisse und Dateitypen sollten aber noch aus dem Profile exkludiert werden. Das Ausschließen dieser Elemente hilft, die Größe des Benutzer Profils zu reduzieren.
- Roaming\Microsoft\Teams\*.txt
- Roaming\Microsoft\Teams\media-stack
- Roaming\Microsoft\Teams\Service Worker\CacheStorage
- Roaming\Microsoft\Teams\Application Cache
- Roaming\Microsoft\Teams\Cache
- Roaming\Microsoft\Teams\GPUCache
- Roaming\Microsoft\Teams\Logs
- Roaming\Microsoft\Teams\meeting-addin\Cache
Bessere Profile Lösung für Microsoft Teams
Die bessere Profile Lösung in Kombination mit Microsoft Teams ist FSLogix. Damit können bestehende Profile Lösungen (UPM, Roaming Profile usw.) per FSLogix Office Container erweitert werden oder komplett abgelöst mit FSLogix Profile Container. Weitere Informationen zu der FSLogix Profile Lösung sind im folgenden Artikel zu finden.
Konfiguration
GPOs
Das Standardverhalten der Teams Installation ist so, dass Teams automatisch startet, wenn sich ein Benutzer anmeldet. Wenn dies nicht gewünscht ist, muss dies mithilfe der Gruppenrichtlinien definiert werden.
Wichtig!
Mit der aktuellen Version von Teams funktioniert dieser Eingriff per GPO nur beim ersten Start von Microsoft Teams pro Benutzer. Wenn der Benutzer Microsoft Teams einmal gestartet hat, wird Teams bei jedem Start der Session wieder automatisch mit gestartet.
- Ladet die ADMX Dateien für Microsoft 365 Apps herunter
- Kopiert die extrahierten Dateien in euren Policy Central Store und erstellt eine GPO zum editieren des Autostart Verhalten von Teams (Prevent Microsoft Teams from starting automatically after installation unter User Configuration\Policies\Administrative Templates\Microsoft Teams)
Wenn eine GPO hierfür nicht genutzt werden kann, muss der Schlüssel folgende Registry Key definiert werden.
|
1 2 3 4 5 |
HKEY_CURRENT_USER \ SOFTWARE \ Policies \ Microsoft \ Office \ 16.0 \ Teams Value Name: PreventFirstLaunchAfterInstall Value Type: DWORD Value Data: 1 |
Der Schlüssel Typ für PreventFirstLaunchAfterInstall ist REG_DWORD und der Wert sollte auf 1 gesetzt werden. Dies bedeutet, dass Teams nach der Installation nicht automatisch gestartet wird.
Wenn Teams bereits ausgerollt wurde und im Nachgang erst die oben genannte Richtlinie aktiviert wird, müssen noch zwei Skripte zum Zurücksetzen des Autostart Flag im Benutzer- und Maschinenkontext ausgeführt werden.
Skript für Maschinen Kontext – Dies muss in einer Administrativen PowerShell einmalig pro Maschine (oder Golden Master) ausgeführt werden.
Skript für Benutzer Kontext – Dies muss nur einmalig beim betreffenden Benutzer ausgeführt werden, nachdem das Maschinen Kontext Skript ausgeführt wurde
desktop-config.json
Mit dem folgenden Script können die Einstellungen aus der desktop-config.json Datei pro Benutzer definiert werden, wenn diese schon einmal Teams geöffnet haben.
Hiermit können folgende Einstellungen definiert werden:
- Auto-start application (openAtLogin)
- Open application in background (openAsHidden)
- On close, keep the application running (runningOnClose)
- Disable GPU hardware acceleration (disableGpu)
- Register Teams as the chat app for Office (registerAsIMProvider)
Wichtig!
Man kann dies erst mit dem Script editieren, wenn Teams initial einmal gestartet wurde. Erst dann ist die desktop-config.json Datei in ihrer endgültigen Fassung im Profile vorhanden.
Wenn die Einstellungen schon vor dem ersten Start hinterlegt werden sollen, muss eine vor konfigurierte Datei erzeugt werden und im Default Profile abgelegt werden (C:\users\default\AppData\Roaming\Microsoft\Teams) oder per GPP Rule bei Profile Erstellung erzeugt werden.
Hierfür sollte eine desktop-config.json Datei mit den benötigten Einstellungen erzeugt werden.
|
1 2 3 4 5 6 7 8 |
{ "appPreferenceSettings": { "runningOnClose": true, "disableGpu": true, "callingMWEnabledPreferenceKey": false, "registerAsIMProvider": false } } |
Ablage im Default Pfad auf dem Worker.
Oder Einrichtung per Group Policy Preferences.
Wichtig!
Folgende Einstellungen sollten für eine bessere Performance immer konfiguriert werden.
Disable GPU hardware acceleration sollte aktiviert werden, wenn auf dem Worker keine vGPU Lösung (nvidia usw.) eingesetzt wird, da Teams dann weniger Ressourcen benötigt.
Register teams as the chat app for Office sollte aus dem selben Grund deaktiviert werden.
Wenn man schnell genug ist, kann man im frischen neuen Profil, die neu erstellte Datei sehen.
Und wenn sich Teams zum ersten Mal startet, werden die gewünschten Einstellungen auch direkt gesetzt.
Registry
Autostart unterbinden
Für das dauerhafte Unterbinden des Autostart bei Microsoft Teams, sollte der folgende Registry Key gelöscht werden.
|
1 2 3 |
HKEY_LOCAL_MACHINE \ SOFTWARE \ WOW6432Node \ Microsoft \ Windows \ CurrentVersion \ Run Value Name: Teams |
Microsoft Teams Einladungslinks ohne Aufforderung
Damit Teams initial immer die Einladungslinks auch ohne Abfrage direkt startet, kann man die folgenden Registry Einträge per GPP oder WEM Registry Entry setzen.
|
1 2 3 4 5 |
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ ProtocolExecute \ msteams Value Name: WarnOnOpen Value Type: DWORD Value Data: 0 |
|
1 2 3 4 5 6 7 8 9 |
HKEY_CURRENT_USER \ Software \ Classes \ msteams Value Name: (Default) Value Type: REG_SZ Value Data: URL:msteams Value Name: URL Protocol Value Type: REG_SZ Value Data: |
|
1 2 3 4 5 |
HKEY_CURRENT_USER \ Software \ Classes \ msteams \ shell \ open \ command Value Name: (Default) Value Type: REG_SZ Value Data: "C:\Program Files (x86)\Microsoft\Teams\current\Teams.exe" "%1" |
|
1 2 3 4 5 |
HKEY_CURRENT_USER \ Software \ Classes \ TeamsURL \ shell \ open \ command Value Name: (Default) Value Type: REG_SZ Value Data: "C:\Program Files (x86)\Microsoft\Teams\current\Teams.exe" "%1" |
|
1 2 3 4 5 |
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ ApplicationAssociationToasts Value Name: msteams_msteams Value Type: DWORD Value Data: 0 |
|
1 2 3 4 5 6 7 8 9 |
HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Edge \ URLAllowlist Value Name: 1 Value Type: REG_SZ Value Data: "teams.microsoft.com" Value Name: 2 Value Type: REG_SZ Value Data: "login.microsoft.com" |
|
1 2 3 4 5 6 7 8 9 |
HKEY_CURRENT_USER \ Software \ Policies \ Google \ Chrome \ URLAllowlist Value Name: 1 Value Type: REG_SZ Value Data: "teams.microsoft.com" Value Name: 2 Value Type: REG_SZ Value Data: "login.microsoft.com" |
Enable optimization of Microsoft Teams
Software Anforderungen
- Microsoft Teams Version 1.2.00.31357 oder höher
- CVAD Delivery Controller & VDA Version 1906.2 oder höher
- Windows 10 64-bit Version 1607 oder höher / Windows Server 2019 / Windows Server 2016 / Windows Server 2012 R2
- Browser Content Redirection installiert (BCR_x64.msi)
- Citrix Workspace app für Windows 1909 oder neuer / Citrix Workspace app für MAC 2009 oder neuer / Citrix Workspace app für Linux 2010 oder neuer
- Citrix Policy Setting
- Microsoft Teams redirection Allowed
Netzwerk Anforderungen
Wichtige Eckpunkte des Netzes wären:
| Metric | Endpoint to Microsoft 365 |
|---|---|
| Latency (one way) | < 50 msec |
| Latency (RTT) | < 100 msec |
| Packet Loss | < 1% during any 15 s interval |
| Packet inter-arrival jitter | < 30 ms during any 15 s interval |
| Type | Bandwidth | Codec |
|---|---|---|
| Audio (each way) | ~ 90 kbps | G.722 |
| Audio (each way) | ~ 60 kbps | Opus |
| Video (each way) | ~ 700 kbps | H264 360p @ 30 fps 16:9 |
| Screen sharing | ~ 300 kbps | H264 1080p @ 15 fps |
G.722 und H264 sind die bevorzugten Codecs für einen VDI-Benutzer, der an einem Meeting teilnimmt.
| Destination Port | Description |
|---|---|
| UDP 49152 – 65535 (High Ports) | Optimized Traffic (P2P Connections) |
| UDP 3478 | Transport Relay MUX |
| UDP 3479 | Audio |
| UDP 3480 | Video |
| UDP 3481 | Screen Sharing |
| TCP / TLS 443 | Fallback |
| Destination IP |
|---|
| 13.107.64.0 / 18 |
| 52.112.0.0 / 14 |
| 52.120.0.0 / 14 |
Optimierung einschalten
Um die Optimierung für Microsoft Teams zu aktivieren, verwenden Sie die Studio Richtlinie Microsoft Teams redirection (Standardmäßig aktiviert). Zusätzlich zur Aktivierung dieser Richtlinie prüft HDX, ob die Version der Citrix Workspace-App gleich oder größer als die erforderliche Mindestversion ist. Wenn Sie die Richtlinie aktiviert haben und die Citrix Workspace-App-Version unterstützt wird, wird der Registrierungsschlüssel MSTeamsRedirSupport auf dem VDA automatisch auf 1 gesetzt. Die Microsoft Teams-Anwendung liest den Schlüssel, um im VDI-Modus zu laden.
Dies kann auch manuell über einen Registry Schlüssel auf dem Worker aktiviert werden. Dies kann notwendig sein, wenn neuere VDA Versionen in Verbindung mit älteren Controller Versionen (z.B. Version 7.15) verwendet werden.
|
1 2 3 4 5 |
HKEY_CURRENT_USER \ Software \ Citrix \ HDXMediaStream Value Name: MSTeamsRedirSupport Value Type: DWORD Value Data: (1 - on, 0 - off) |
Über Einstellungen > Info > Version kann geprüft werden, wie der Status der Optimierung im Moment ist.
Wenn nun Citrix HDX Optimized angezeigt wird, ist die Session Optimiert. Wenn dies nicht der Fall ist wird dort Citrix HDX Not Connected angezeigt.
Auf dem Client kann man dies über den Task-Manager prüfen. Es sollte der Prozess HdxRtcEngine.exe lokal laufen.
Auf dem Worker sollte der Prozess WebSocketAgent.exe laufen, wenn dies der Fall ist, ist die Microsoft Teams Session optimiert.
Traffic flow
Hier sieht man den grundlegenden Ablauf einer optimierten Microsoft Teams-Sitzung.
- Start von Microsoft Teams durch den Benutzer.
- Teams authentifiziert sich bei Microsoft Azure und die Tenant Richtlinien werden an den Client weitergegeben.
- Relevante TURN- und Signal Channel Informationen werden an die App weitergegeben.
- Teams erkennt, dass es in einem VDA ausgeführt wird, und führt API-Aufrufe an die Citrix JavaScript-API durch.
- Citrix JavaScript in Teams öffnet eine sichere WebSocket-Verbindung zu WebSocketService.exe, die auf dem VDA (127.0.0.1:9002) läuft und WebSocketAgent.exe innerhalb der Benutzersitzung startet.
- WebSocketAgent.exe instanziiert einen generischen virtuellen Kanal durch Aufruf des Citrix HDX Teams Redirection Service (CtxSvcHost.exe).
- Die wfica32.exe (HDX-Engine) der Citrix Workspace-App erzeugt einen neuen Prozess namens HdxTeams.exe, der die neue WebRTC-Engine für die Teams-Optimierung ist.
- HdxTeams.exe und Teams.exe verfügen über einen virtuellen 2-Wege-Kanal und können mit der Verarbeitung von Multimedia-Anfragen beginnen.
- Benutzer 1 klickt auf die Anruftaste. Teams.exe kommuniziert mit den Teams-Diensten in Microsoft Azure und baut einen End-to-End Signalisierungspfad mit Benutzer 2 auf.
- Teams auf dem VDA fragt HdxTeams (auf dem Client) nach einer Reihe von unterstützten Anrufparametern (Codecs, Auflösungen usw.), was als SDP (Session Description Protocol) Offer bezeichnet wird.
- Diese Anrufparameter werden dann über den Signalisierungspfad an die Teams-Dienste in Microsoft Azure und von dort an den anderen Benutzer weitergeleitet.
- Das SDP Offer / Answer (Single-Pass-Negotiation) erfolgt über den Signal Channel.
- Die ICE Konnektivitätsprüfungen (NAT- und Firewall-Traversal mit Session Traversal Utilities for NAT (STUN) Bind Anfragen) sind abgeschlossen.
- Dann fließen die SRTP-Medien (Secure Real-time Transport Protocol) direkt zwischen HdxTeams.exe und den anderen Benutzer oder Microsoft Azure-Konferenzservern, wenn es sich um ein Meeting handelt.
Installation von Microsoft 365 Apps ohne Teams (User-Based)
Um bei der Microsoft 365 Apps Installation, nicht auch Teams (User-Based Install) mit zu installieren, muss die vorhandene Configuration.xml um folgendes erweitert werden:
|
1 |
<ExcludeApp ID="Teams" /> |
Die Configuration.xml sollte dann so aussehen.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
<Configuration> <Add OfficeClientEdition="64" Channel="Monthly"> <Product ID="O365ProPlusRetail"> <Language ID="en-us" /> <ExcludeApp ID="Teams" /> </Product> <Product ID="VisioProRetail"> <Language ID="en-us" /> </Product> <Product ID="ProjectProRetail"> <Language ID="en-us" /> </Product> <Product ID="LanguagePack"> <Language ID="de-de" /> </Product> </Add> </Configuration> |
Bekannte Einschränkungen
Citrix Einschränkungen
Einränkungen der Citrix Workspace App:
- DTMF Töne werden nicht unterstützt
- HID buttons – Annehmen und Beenden von Anrufen werden nicht unterstützt
- Beim Screen Sharing, in Konfigurationen mit mehreren Monitoren, wird nur der Hauptmonitor freigegeben.
- Unterstützung von nur einem Videostream von einer eingehenden Kamera oder Bildschirmfreigabe. Wenn eine Bildschirmfreigabe eingeht, wird diese Bildschirmfreigabe anstelle des Videos des dominanten Sprechers angezeigt.
- Sekundärer Rufton (Teams > Settings > Devices) ist nicht supported
- QoS Einstellungen im Admin Center für Microsoft Teams gelten nicht für VDI-Benutzer
- App Protection Addon Feature für die Citrix Workspace App verhindert ausgehende Bildschirmfreigabe
- Die Funktion Zoom in und Zoom out in Teams wird nicht unterstützt
Einschränkung des VDA:
- Wenn die Citrix Workspace App Hohe DPI Einstellung auf Yes oder No, use the native resolution, konfiguriert ist, erscheint das umgeleitete Videofenster deplatziert, wenn der DPI Skalierungsfaktor des Monitors auf mehr als 100 % eingestellt ist.
Einschränkungen der Citrix Workspace App und des VDA:
- Ausgehende Bildschirmfreigabe: Application Sharing wird nicht unterstützt
- Die Lautstärke eines optimierten Anrufs kann nur über die Lautstärkeleiste auf dem Client-Rechner gesteuert werden, nicht auf dem VDA selber
Microsoft Einschränkungen
- Die Optionen zum Verwischen oder Anpassen des Hintergrunds werden nicht unterstützt
- Die 3×3-Galerieansicht wird nicht unterstützt
- Die Kompatibilität mit Skype for Business ist auf Audioanrufe beschränkt, keine Videomodalität
- Eingehende und ausgehende Videostreams mit einer maximalen Auflösung von 720p
- PSTN Rufton wird nicht unterstützt
- Medien Bypass für Direct Routing wird nicht unterstützt
Einschränkungen durch Citrix und Microsoft
- Bei der Screen Sharing ist die Option Systemaudio einschließen nicht verfügbar
- Pop Out Chat wird nicht unterstützt
- Breakout Rooms werden für VDI Teilnehmer unterstützt. Teams unterstützt keine Gruppenräume, wenn der Organisator ein VDI Benutzer ist.
- Kontrolle geben und Kontrolle nehmen: Wird während einer Screen Sharing Session nicht unterstützt. Wird nur während einer PowerPoint Sharing Session unterstützt.
- E911 und Location-Based Routing werden nicht unterstützt
OneDrive for Business
User Based OneDrive for Business
Bei der Standard Installation die der Benutzer über das Office365 Portal durchführen kann, handelt es sich um eine User-Based Installation von OneDrive. Dies ist im Citrix Umfeld nur für Desktop Betriebssysteme (Pooled oder Personal Desktop) empfohlen.
Eine User-Based Installation kann im User Profile sehr schnell erkannt werden, da sich dann Daten unter AppData\Local\Microsoft\OneDrive befinden.
Wenn die User-Based Install genutzt wird, belastet diese das Profile mit >500MB an Daten.
Diese Art von Installation in einem Worker mit Server Betriebssystem hat noch weitere Nachteile:
- Keine Kontrolle über die installierte Version
- Mehrere unterschiedliche Version auf dem selben Worker möglich
Installation Machine Based
Damit OneDrive in Server Betriebssystemen (Multi User fähig) funktioniert, muss der Machine Based Installer genutzt werden. Hierbei werden ein Teil der Daten im Ordner C:\Program Files\Microsoft OneDrive abgelegt. Dieser Modus wird für nicht persistente Umgebungen empfohlen.
- Als erstes ladet den Installer herunter
- Startet eine Administrative CMD
- Die Installation wird mit dem folgenden Befehl durchgeführt
|
1 |
<Pfad_zur_exe> /allusers |
Beispiel:
|
1 |
OneDriveSetup.exe /allusers |
Wir können die komplette Installation (mit den richtigen Parametern), natürlich auch Script gesteuert durchführen.
Mit meinem folgenden Evergreen Script, kann bei jedem öffnen des Golden Masters geprüft werden, ob es eine neue Version gibt und diese daraufhin installiert werden.
Ausschlüsse für die Antivirenprogrammen
Die folgenden Prozesse sollten von der Zugriffsüberprüfung ausgeschlossen werden:
- %ProgramFiles%\Microsoft OneDrive\OneDrive.exe
Profile Management Empfehlungen
Inclusion
Das OneDrive Installation Verzeichnis muss in die bestehende Profile Lösung mit aufgenommen werden.
- Local\Microsoft\OneDrive
Bessere Profile Lösung für Microsoft OneDrive for Business
Die bessere Profile Lösung in Kombination mit Microsoft OneDrive for Business ist FSLogix, da hier nicht nur die Installationsdateien, sondern auch die Nutzdaten, ohne verlängerte Anmelde Zeiten, persistent vorgehalten werden.
Hiermit können bestehende Profile Lösungen (UPM, Roaming Profile usw.) per FSLogix Office Container erweitert oder komplett abgelöst werden, mit FSLogix Profile Container. Weitere Informationen zu der FSLogix Profile Lösung sind im folgenden Artikel zu finden.
Konfiguration
Das Standardverhalten der OneDrive Installation ist es, dem Benutzer zu ermöglichen, das komplette OneDrive Konto in die lokale Maschine zu synchronisieren (bis zu 1 TB). Da dies nicht gewünscht sein kann, muss dies (Set the maximum size of a user’s OneDrive that can download automatically) und weitere Einstellungen mithilfe der Gruppenrichtlinien definiert werden.
Diese und weitere Einstellungen, sind erst unter Windows Server 2019 und Windows 10 (Version 1709 oder neuer) möglich, da erst dann Files On Demand zur Verfügung steht. Bei älteren Betriebssystemen, werden immer die kompletten OneDrive Daten heruntergeladen.
- Verbindet euch mit einem Worker, auf dem nun der OneDrive for Business Client installiert ist
- Geht im Verzeichnis %ProgramFiles%\Microsoft OneDrive\<BuildNumber>\adm, in das Unterverzeichnis der Sprache die benötigt wird. (Die BuildNumber findet ihr im About Tab des Clients)
- Kopiert die dort befindliche ADML Datei und die ADMX Datei aus dem Ordner adm in euren GPO Central Store
Computer GPO
Erstellt eine GPO zum editieren der OneDrive Konfiguration im Computer Pfad (Computer Configuration\Policies\Administrative Templates\OneDrive)
- Use OneDrive Files On-Demand
Eine der wichtigsten Einstellungen bei Systemen die Windows Server 2019 oder höher benutzen. Wenn diese Einstellung aktiviert ist, wird standardmässig Files On-Demand aktiviert und dies bedeutet, das nicht das komplette OneDrive Folder heruntergeladen wird, sondern diese nur als Link im Ordner vorhanden sind und daher keinen Speicherplatz lokal verbrauchen.
Ein blaues Cloud Icon neben einer OneDrive Datei oder einem Ordner zeigt an, dass die Datei nur online verfügbar ist. Nur online verfügbare Dateien nehmen keinen Speicherplatz auf dem Computer ein und die Datei wird erst auf das Gerät heruntergeladen, wenn sie geöffnet wird. Es können nur online verfügbare Dateien nicht geöffnet werden, wenn das Gerät nicht mit dem Internet verbunden ist.
Wenn eine nur online verfügbare Datei geöffnet wird, wird diese auf das Gerät heruntergeladen und zu einer lokal verfügbaren Datei. Eine lokal verfügbare Datei kann jederzeit geöffnet werden, auch ohne Internetzugang. Wenn mehr Speicherplatz benötigt wird, kann die Datei wieder in eine Online-Datei umgewandelt werden. Klickt einfach mit der rechten Maustaste auf die Datei und wählt „Speicherplatz freigeben“ aus.
Wenn Storage Sense aktiviert ist, werden diese Dateien nach der vordefinierten Zeitspanne automatisch zu Online-Dateien.
Nur Dateien, die als „Immer auf diesem Gerät speichern“ markiert sind, haben den grünen Kreis mit dem weißen Häkchen. Diese immer verfügbaren Dateien werden auf das Gerät heruntergeladen und nehmen Speicherplatz in Anspruch, aber sie stehen immer zur Verfügung, auch wenn das Gerät offline ist.
- Silently sign in users to the OneDrive sync app with their Windows credentials
Wenn diese Einstellung aktiviert ist, werden die Benutzer mit dem angemeldeten Windows Account, soweit dieser in Azure AD bekannt ist, angemeldet. Den Benutzern wird weiterhin OneDrive Setup angezeigt, so dass die zu synchronisierenden Ordner und der Speicherort des OneDrive Ordners ausgewählt werden können.
- Set the maximum size of a user’s OneDrive that can download automatically
Diese Einstellung definiert, wie mit OneDrive Accounts umgegangen wird, die größer, als der angegebene Schwellenwert (in MB) ist. Bei diesen wird der Benutzer aufgefordert, die zu synchronisierenden Ordner auszuwählen, bevor der Sync Client die Dateien herunterlädt. In der GPO Einstellung muss die Tenant ID und die Maximale Grösse in MB definiert werden.
- Allow syncing OneDrive accounts for only specific organizations
Die Einstellung „Allow syncing OneDrive accounts for only specific organizations“ unterbindet einen Wildwuchs an Verbindungen zu nicht Firmeninternen OneDrive Instanzen (Private oder von anderen Firmen), indem man eine Liste der erlaubten Tenant IDs angibt. Wenn die Benutzer nun versuchen, sich an eine nicht erlaubte Tenant ID anzumelden, erhalten diese eine Fehlermeldung. Wenn Benutzer schon an fremden Tenant IDs angemeldet sind, werden diese nicht weiter synchronisiert!
Diese Einstellung hat eine höhere Priorisierung als die Einstellung „Block syncing OneDrive accounts for specific organizations“, mit der spezifische Tenant IDs geblockt werden können.
- Block file downloads when users are low on disk space
Mit dieser Einstellung kann verhindert werden das die Benutzer durch den OneDrive Sync das System lahm legen. Es wird die minimale Speichergrösse definiert, ab die der OneDrive Client die Synchronisierung stoppt. Der Benutzer erhält daraufhin ein Fenster mit Optionen, um Speicher freizugeben.
- Limit the sync app upload rate to a percentage of throughput
Über „Limit the sync app upload rate to a percentage of throughput“ wird die Maximale Bandbreite der Synchronisierung (Upload) definiert. Hierfür wird ein Maximaler Prozentsatz, der Gesamtbandbreite des Computers, definiert. Desto niedriger der Prozentsatz, desto langsamer werden Dateien hochgeladen. Microsoft empfiehlt einen Wert von 50% oder höher. Trotz Limitierung der Bandbreite über diese Einstellung, wird die App, in periodischen Abständen, ohne Limitierung für 1 Minuten Dateien synchronisieren. Hiermit wird sicher gestellt das kleine Dateien, trotz Limitierung, schnell hochgeladen werden. Diese Einstellung sollte bei geringen Bandbreiten definiert werden.
Wenn diese Einstellung „Disable“ oder „Not Configure“ ist, kann der Benutzer die Limitierung direkt über den OneDrive Client steuern (in KB/Sekunde) oder auf „Adjust automatically“ konfigrurieren (definiert Upload auf 70% der Bandbreite)
- Exclude specific kinds of files from being uploaded
Über diese Einstellung kann definiert werden, das Dateien mit den hier angegebenen Dateinamen oder Dateiendungen nicht hochgeladen werden. Normalerweise empfehle ich die folgenden Einstellungen:
*.pst
*.iso
*.mkv
*.avi
Die Dateien bleiben lokal im OneDrive Ordner, werden aber einfach nicht in die Cloud hochgeladen!
- Prompt users to move Windows known folders to OneDrive
Über die Einstellung „Prompt users to move Windows known folders to OneDrive“ kann definiert werden, ob das folgende Fenster erscheint.
Hiermit wird definiert, das die Ordner Dokumente, Bilder und Desktop nach OneDrive synchronisiert werden. Diese Option ist erst ab Client Version 18.111.0603.0004 verfügbar.
- Always use the user’s Windows display language when provisioning known folders in OneDrive
Diese Einstellung ist für Multi-Language Umgebungen wichtig. Sollen die Known Folder in der vom Benutzer ausgewählten Sprache in die Cloud kopiert werden oder in der Primären Sprache des Betriebssystems.
- Require users to confirm large delete operations
Der Benutzer wird gefragt, wenn er viele Dateien gleichzeitig zum löschen markiert. Wenn der Benutzer diese Abfrage nicht innerhalb von 7 Tagen bestätigt, werden die Dateien nicht gelöscht.
User GPO
Erstellt eine weitere GPO, oder erweitert die vorhandene um die OneDrive Konfiguration im Benutzer Pfad (User Configuration\Policies\Administrative Templates\OneDrive)
- Prevent users from changing the locations of their OneDrive folder
Hier sollte definiert werden, das der Benutzer nicht selber auswählen darf, wo sein OneDrive Ordner gespeichert wird. Es reicht aber nicht nur die Einstellung zu aktivieren. Unter Change location setting muss die Tenant ID angegeben werden und im Value Field muss die Einstellung mit der Eingabe einer 1 aktiviert werden.
- Disable animation that appears during OneDrive Setup
Dies sollte aktiviert werden, damit die Animationen im OneDrive Setup nicht erscheinen.
- Disable the tutorial that appears at the end of OneDrive Setup
Dies sollte aktiviert werden, damit das Tutorial am Ende des OneDrive Setup nicht erscheint.
Installation von Microsoft 365 Apps ohne OneDrive (User-Based)
Um bei der Microsoft 365 Apps Installation, nicht auch OneDrive (User-Based Install) mit zu installieren, muss die vorhandene Configuration.xml um folgendes erweitert werden:
|
1 |
<ExcludeApp ID="OneDrive" /> |
Die Configuration.xml sollte dann so aussehen.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
<Configuration> <Add OfficeClientEdition="64" Channel="Monthly"> <Product ID="O365ProPlusRetail"> <Language ID="en-us" /> <ExcludeApp ID="OneDrive" /> </Product> <Product ID="VisioProRetail"> <Language ID="en-us" /> </Product> <Product ID="ProjectProRetail"> <Language ID="en-us" /> </Product> <Product ID="LanguagePack"> <Language ID="de-de" /> </Product> </Add> </Configuration> |
OneDrive for Business als Published App
Wenn OneDrive for Business bei einer Citrix Published App Sitzung mit geöffnet wird, sorgt diese dafür das es keine Abmeldung gibt. Hinzufügen des Binärnamens der OneDrive Exe-Datei zum LogoffCheckSysModules Registry Schlüssel bringt leider nichts.
Lösung
Führt die folgenden Schritte aus:
- Startet Regedit
- Geht zum Registry Verzeichnis und erstellt einen neuen Eintrag
|
1 2 3 4 5 |
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Citrix \ wfshell \ TWI Value Name: LogoffCheckSysModules Value Type: REG_SZ Value Data: cmd.exe |
Important Folder in OneDrive sichern
Wenn man das OneDrive for Business Feature „Important Folder Backup“ bei aktivierten Folder Redirection nutzen möchte, kann man dies nicht aktivieren, da er die Daten nicht synchronisieren kann.
Lösung
Führt die folgenden Schritte aus:
- Aktiviert das Feature manuell oder per GPO
- Startet das unten verlinkte Script und kopiert damit die Ordner Desktop und Documents in euer OneDrive
