Konfigurace spravované identity ve službě Azure Virtual Desktop (Preview)

Důležité

Podpora spravovaných identit pro fondy hostitelů Azure Virtual Desktopu je aktuálně ve verzi PREVIEW. Právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, ve verzi Preview nebo jinak ještě nejsou obecně dostupné, najdete v doplňkových podmínkách použití pro verze Microsoft Azure Preview .

Azure Virtual Desktop podporuje přiřazování oprávnění spravovaným identitám pro prostředky Azure pro funkce, které potřebují provádět operace Azure Resource Manager (ARM) na virtuálních počítačích, trezoru klíčů a virtuálních sítích v předplatném Azure. Spravovanou identitu může používat následující funkce:

• Aktualizace hostitele relace (Preview)

Některé funkce služby Azure Virtual Desktop nemůžou používat spravovanou identitu. Funkce, které vyžadují přiřazení rolí Azure RBAC pro role Microsoft Entra instančnímu objektu pomocí přístupu instančního objektu služby Azure Virtual Desktop, jsou:

• Připojení aplikace (při použití Azure Files a hostitelů relací připojených k ID Microsoft Entra)
• Automatické škálování.
• Spusťte virtuální počítač po připojení.

Při použití spravované identity máte dvě možnosti:

• Spravovaná identita přiřazená systémem
• Spravovaná identita přiřazená uživatelem

Přečtěte si další informace o rozdílech mezi spravovanými identitami přiřazenými systémem a uživateli.

Požadavky

K vytvoření a přiřazení spravované identity přiřazené systémem do fondu hostitelů potřebujete:

• Existující fond hostitelů.

• Účet Azure přiřazený Přispěvatel fondu hostitelů virtualizace plochy v rozsahu fondu hostitelů nebo vyšším.

• Pokud chcete použít Azure CLI nebo Azure PowerShell místně, projděte si téma Použití Azure CLI a Azure PowerShell se službou Azure Virtual Desktop a ujistěte se, že máte nainstalované rozšíření Azure CLI pro desktopovouvirtualizaci nebo modul PowerShellu Az.DesktopVirtualization. Případně můžete použít azure Cloud Shell.

Vytvoření a přiřazení spravované identity přiřazené systémem

Vyberte kartu relevantní pro váš scénář.

Azure Portal

Tady je postup, jak vytvořit spravovanou identitu přiřazenou systémem s Azure Portal:

1. Přihlaste se na portál Microsoft Azure.

2. Na panelu hledání zadejte Azure Virtual Desktop a vyberte odpovídající položku služby.

3. Vyberte Fondy hostitelů a pak vyberte název fondu hostitelů, který chcete nakonfigurovat.

4. Vyberte Identita (Preview).

5. Vyberte Přiřadit spravovanou identitu tak, aby bylo políčko zaškrtnuté, a pak vyberte Spravovaná identita přiřazená systémem.

6. Vyberte Uložit a vytvořte a přiřaďte spravovanou identitu přiřazenou systémem.

Azure PowerShell

Tady je postup vytvoření spravované identity přiřazené systémem s Azure PowerShell. Nezapomeňte změnit <placeholder> vlastní hodnoty.

1. Otevřete Azure Cloud Shell v Azure Portal s typem terminálu PowerShellu nebo spusťte PowerShell na místním zařízení.

   • Pokud používáte Cloud Shell, ujistěte se, že je kontext Azure nastavený na předplatné, které chcete použít.

   • Pokud používáte PowerShell místně, nejprve se přihlaste pomocí Azure PowerShell a pak se ujistěte, že je váš kontext Azure nastavený na předplatné, které chcete použít.

1. Získejte aktuální hodnoty fondu hostitelů:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   $existingHostPool = Get-AzWvdHostPool @parameters
   

2. Spusťte příkaz se New-AzWvdHostPool stejnými informacemi, ale změňte ho na IdentityType SystemAssigned. Vzhledem k tomu, že tento fond hostitelů již existuje, změní IdentityType tento příkaz pouze vlastnost:

   $parameters = @{
       Name = $existingHostPool.Name
       ResourceGroupName = $existingHostPool.ResourceGroupName
       Location = $existingHostPool.Location
       HostPoolType = $existingHostPool.HostPoolType
       LoadBalancerType = $existingHostPool.LoadBalancerType
       PreferredAppGroupType = $existingHostPool.PreferredAppGroupType
       IdentityType = 'SystemAssigned'
   }
   
   New-AzWvdHostPool @parameters 
   

3. Pokud chcete zkontrolovat změny, spusťte tento příkaz:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   Get-AzWvdHostPool @parameters | Format-Table Name, IdentityType
   

   Výstup by měl být podobný následujícímu příkladu:

   Name        IdentityType
   ----------- ----------------
   contosohp01 SystemAssigned
   

Požadavky

Pokud chcete přiřadit spravovanou identitu přiřazenou uživatelem k fondu hostitelů, potřebujete:

• Existující fond hostitelů.

• Přiřazený účet Azure:

  1. Přispěvatel fondu hostitelů virtualizace plochy v rozsahu fondu hostitelů nebo novějším.
  2. Operátor spravované identity v oboru spravované identity nebo vyšší.

• Pokud chcete použít Azure CLI nebo Azure PowerShell místně, projděte si téma Použití Azure CLI a Azure PowerShell se službou Azure Virtual Desktop a ujistěte se, že máte nainstalované rozšíření Azure CLI pro desktopovouvirtualizaci nebo modul PowerShellu Az.DesktopVirtualization. Případně můžete použít azure Cloud Shell.

Přiřazení spravované identity přiřazené uživatelem

Vyberte kartu relevantní pro váš scénář.

Azure Portal

Tady je postup, jak přiřadit spravovanou identitu přiřazenou uživatelem pomocí Azure Portal:

1. Přihlaste se na portál Microsoft Azure.

2. Na panelu hledání zadejte Azure Virtual Desktop a vyberte odpovídající položku služby.

3. Vyberte Fondy hostitelů a pak vyberte název fondu hostitelů, který chcete nakonfigurovat.

4. Vyberte Identita (Preview).

5. Vyberte Přiřadit spravovanou identitu , aby bylo políčko zaškrtnuté, a pak vyberte Spravovaná identita přiřazená uživatelem.

6. V části Předplatné vyberte v rozevírací nabídce příslušné předplatné.

7. V části Existující spravované identity přiřazené uživatelem vyberte v rozevírací nabídce příslušnou spravovanou identitu.

8. Vyberte Uložit a použijte novou spravovanou identitu.

Azure PowerShell

Tady je postup, jak přiřadit spravovanou identitu přiřazenou uživatelem pomocí Azure PowerShell. Nezapomeňte změnit <placeholder> vlastní hodnoty.

1. Otevřete Azure Cloud Shell v Azure Portal s typem terminálu PowerShellu nebo spusťte PowerShell na místním zařízení.

   • Pokud používáte Cloud Shell, ujistěte se, že je kontext Azure nastavený na předplatné, které chcete použít.

   • Pokud používáte PowerShell místně, nejprve se přihlaste pomocí Azure PowerShell a pak se ujistěte, že je váš kontext Azure nastavený na předplatné, které chcete použít.

1. Získejte aktuální hodnoty fondu hostitelů:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<HostPoolResourceGroupName>'
   }
   
   $existingHostPool = Get-AzWvdHostPool @parameters
   

2. Získejte objekt spravované identity, který chcete přiřadit fondu hostitelů:

   $parameters = @{
       Name = '<ManagedIdentityName>'
       ResourceGroupName = '<ManagedIdentityResourceGroupName>'
   }
   
   $managedIdentity = Get-AzUserAssignedIdentity @parameters
   

3. Spusťte příkaz se New-AzWvdHostPool stejnými informacemi, ale změňte ho na IdentityType SystemAssigned. Vzhledem k tomu, že tento fond hostitelů již existuje, změní IdentityType tento příkaz pouze vlastnost:

   $parameters = @{
       Name = $existingHostPool.Name
       ResourceGroupName = $existingHostPool.ResourceGroupName
       Location = $existingHostPool.Location
       HostPoolType = $existingHostPool.HostPoolType
       LoadBalancerType = $existingHostPool.LoadBalancerType
       PreferredAppGroupType = $existingHostPool.PreferredAppGroupType
       IdentityType = 'UserAssigned'
       IdentityUserAssignedIdentity = @{$managedIdentity.Id = @{}}
   }
   
   New-AzWvdHostPool @parameters 
   

4. Pokud chcete zkontrolovat změny, spusťte tento příkaz:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   Get-AzWvdHostPool @parameters | Format-Table Name, IdentityType, IdentityUserAssignedIdentity
   

   Výstup by měl být podobný následujícímu příkladu:

   Name        IdentityType     IdentityUserAssignedIdentity
   ----------- ---------------- ----------------------------
   contosohp01 UserAssigned   {...
   

Odebrání spravované identity

Odebrání spravované identity z fondu hostitelů má mírně odlišné chování v závislosti na typu identity spravované identity:

• Přiřazené systémem: Po dokončení odebrání Azure automaticky odstraní spravovanou identitu a všechna přidružená metadata.
• Přiřazené uživatelem: Po dokončení odebrání Azure odebere přidružení mezi fondem hostitelů a spravovanou identitou, ale neprovádí žádné další změny. Například se nezmění žádná oprávnění přiřazená ke spravované identitě.

Důležité

Fondy hostitelů nakonfigurované pomocí konfigurace hostitele relace budou vyžadovat spravovanou identitu od 1. listopadu 2025, aby bylo možné přidat hostitele relací do fondu hostitelů. To nahrazuje závislost na instančním objektu služby Azure Virtual Desktop a umožňuje bezpečnější konfiguraci. Přečtěte si další informace o používání spravovaných identit s fondy hostitelů služby Azure Virtual Desktop.

Vyberte kartu relevantní pro váš scénář.

Azure Portal

Tady je postup, jak odebrat spravovanou identitu pomocí Azure Portal:

1. Přihlaste se na portál Microsoft Azure.

2. Na panelu hledání zadejte Azure Virtual Desktop a vyberte odpovídající položku služby.

3. Vyberte Fondy hostitelů a pak vyberte název fondu hostitelů, který chcete nakonfigurovat.

4. Vyberte Identita (Preview).

5. Zaškrtněte políčko Přiřadit spravovanou identitu , aby bylo políčko nezaškrtnuté.

6. Výběrem možnosti Uložit dokončete odebrání spravované identity.

Azure PowerShell

Tady je postup, jak odebrat spravovanou identitu pomocí Azure PowerShell. Nezapomeňte změnit <placeholder> vlastní hodnoty.

1. Otevřete Azure Cloud Shell v Azure Portal s typem terminálu PowerShellu nebo spusťte PowerShell na místním zařízení.

   • Pokud používáte Cloud Shell, ujistěte se, že je kontext Azure nastavený na předplatné, které chcete použít.

   • Pokud používáte PowerShell místně, nejprve se přihlaste pomocí Azure PowerShell a pak se ujistěte, že je váš kontext Azure nastavený na předplatné, které chcete použít.

1. Získejte aktuální hodnoty fondu hostitelů:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   $existingHostPool = Get-AzWvdHostPool @parameters
   

2. Spusťte příkaz se New-AzWvdHostPool stejnými informacemi, ale změňte ho na IdentityType None (Žádný). Vzhledem k tomu, že tento fond hostitelů již existuje, změní IdentityType tento příkaz pouze vlastnost:

   $parameters = @{
       Name = $existingHostPool.Name
       ResourceGroupName = $existingHostPool.ResourceGroupName
       Location = $existingHostPool.Location
       HostPoolType = $existingHostPool.HostPoolType
       LoadBalancerType = $existingHostPool.LoadBalancerType
       PreferredAppGroupType = $existingHostPool.PreferredAppGroupType
       IdentityType = 'None'
   }
   
   New-AzWvdHostPool @parameters 
   

3. Pokud chcete zkontrolovat změny, spusťte tento příkaz:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   Get-AzWvdHostPool @parameters | Format-Table Name, IdentityType
   

   Výstup by měl být podobný následujícímu příkladu:

   Name        IdentityType
   ----------- ----------------
   contosohp01 None
   

Související obsah

• Proveďte další kroky k přiřazení rolí Azure RBAC nebo Microsoft Entra rolí k instančnímu objektu pomocí přístupu spravované identity.