Configuración de la identidad administrada en Azure Virtual Desktop (versión preliminar)

Importante

La compatibilidad con identidades administradas para Azure grupos de hosts de Virtual Desktop está actualmente en VERSIÓN PRELIMINAR. Consulte los Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a Azure características que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.

Azure Virtual Desktop admite la asignación de permisos a identidades administradas para Azure recursos para las características que necesitan realizar operaciones de Azure Resource Manager (ARM) en máquinas virtuales, almacenes de claves y redes virtuales en la suscripción de Azure. La característica siguiente puede usar una identidad administrada:

• Actualización del host de sesión (versión preliminar)
• Azure Virtual Desktop para Azure Local

Algunas características Azure de Virtual Desktop no pueden usar una identidad administrada. Las características que requieren asignar Azure roles de RBAC para roles de Microsoft Entra a una entidad de servicio mediante el enfoque de la entidad de servicio de Azure Virtual Desktop son:

• Asociación de aplicaciones (al usar Azure Files y los hosts de sesión unidos a Microsoft Entra ID).
• Escalado automático.
• Inicie la máquina virtual en Conectar.

Al usar una identidad administrada, tiene dos opciones:

• Identidad administrada asignada por el sistema
• Identidad administrada asignada por el usuario

Obtenga más información sobre las diferencias entre las identidades administradas asignadas por el sistema y las asignadas por el usuario.

Requisitos previos

Para crear y asignar una identidad administrada asignada por el sistema a un grupo host, necesita:

• Un grupo de hosts existente.

• Una cuenta de Azure asignó al colaborador del grupo de hosts de virtualización de escritorio en el ámbito del grupo host, o superior.

• Si desea usar Azure CLI o Azure PowerShell localmente, consulte Uso de Azure CLI y Azure PowerShell con Azure Virtual Desktop para asegurarse de que tiene instalada la extensión de la CLI desktopvirtualization Azure o el módulo De PowerShell Az.DesktopVirtualization. Como alternativa, use el Azure Cloud Shell.

Creación y asignación de una identidad administrada asignada por el sistema

Seleccione la pestaña correspondiente para el escenario.

Portal de Azure

A continuación se muestra cómo crear una identidad administrada asignada por el sistema con el Azure Portal:

1. Inicie sesión en el portal de Azure.

2. En la barra de búsqueda, escriba Azure Virtual Desktop y seleccione la entrada de servicio coincidente.

3. Seleccione Grupos de hosts y, a continuación, seleccione el nombre del grupo de hosts que desea configurar.

4. Seleccione Identidad (versión preliminar).

5. Seleccione Asignar una identidad administrada para que la casilla esté activada y, a continuación, seleccione Identidad administrada asignada por el sistema.

6. Seleccione Guardar para crear y asignar una identidad administrada asignada por el sistema.

Azure PowerShell

Aquí se muestra cómo crear una identidad administrada asignada por el sistema con Azure PowerShell. Asegúrese de cambiar los <placeholder> valores de los suyos propios.

1. Abra Azure Cloud Shell en el Azure Portal con el tipo de terminal de PowerShell o ejecute PowerShell en el dispositivo local.

   • Si usa Cloud Shell, asegúrese de que el contexto de Azure está establecido en la suscripción que desea usar.

   • Si usa PowerShell localmente, inicie sesión primero con Azure PowerShell y, a continuación, asegúrese de que el contexto de Azure está establecido en la suscripción que desea usar.

1. Obtenga los valores actuales del grupo de hosts:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   $existingHostPool = Get-AzWvdHostPool @parameters
   

2. Ejecute el New-AzWvdHostPool comando con la misma información y solo cambie IdentityType a "SystemAssigned". Dado que este grupo host ya existe, este comando solo cambia la IdentityType propiedad :

   $parameters = @{
       Name = $existingHostPool.Name
       ResourceGroupName = $existingHostPool.ResourceGroupName
       Location = $existingHostPool.Location
       HostPoolType = $existingHostPool.HostPoolType
       LoadBalancerType = $existingHostPool.LoadBalancerType
       PreferredAppGroupType = $existingHostPool.PreferredAppGroupType
       IdentityType = 'SystemAssigned'
   }
   
   New-AzWvdHostPool @parameters 
   

3. Para comprobar los cambios, ejecute este comando:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   Get-AzWvdHostPool @parameters | Format-Table Name, IdentityType
   

   La salida debe ser similar al ejemplo siguiente:

   Name        IdentityType
   ----------- ----------------
   contosohp01 SystemAssigned
   

Requisitos previos

Para asignar una identidad administrada asignada por el usuario a un grupo de hosts, necesita:

• Un grupo de hosts existente.

• Una cuenta de Azure asignada:

  1. Colaborador del grupo de hosts de virtualización de escritorio en el ámbito del grupo de hosts o superior.
  2. Operador de identidad administrada en el ámbito de la identidad administrada o superior.

• Si desea usar Azure CLI o Azure PowerShell localmente, consulte Uso de Azure CLI y Azure PowerShell con Azure Virtual Desktop para asegurarse de que tiene instalada la extensión de la CLI desktopvirtualization Azure o el módulo De PowerShell Az.DesktopVirtualization. Como alternativa, use el Azure Cloud Shell.

Asignación de una identidad administrada asignada por el usuario

Seleccione la pestaña correspondiente para el escenario.

Portal de Azure

A continuación se muestra cómo asignar una identidad administrada asignada por el usuario con el Azure Portal:

1. Inicie sesión en el portal de Azure.

2. En la barra de búsqueda, escriba Azure Virtual Desktop y seleccione la entrada de servicio coincidente.

3. Seleccione Grupos de hosts y, a continuación, seleccione el nombre del grupo de hosts que desea configurar.

4. Seleccione Identidad (versión preliminar).

5. Seleccione Asignar una identidad administrada para que la casilla esté activada y, a continuación, seleccione Identidad administrada asignada por el usuario.

6. En Suscripción, seleccione la suscripción adecuada en el menú desplegable.

7. En Identidades administradas asignadas por el usuario existente, seleccione la identidad administrada adecuada en el menú desplegable.

8. Seleccione Guardar para aplicar la nueva identidad administrada.

Azure PowerShell

Aquí se muestra cómo asignar una identidad administrada asignada por el usuario con Azure PowerShell. Asegúrese de cambiar los <placeholder> valores de los suyos propios.

1. Abra Azure Cloud Shell en el Azure Portal con el tipo de terminal de PowerShell o ejecute PowerShell en el dispositivo local.

   • Si usa Cloud Shell, asegúrese de que el contexto de Azure está establecido en la suscripción que desea usar.

   • Si usa PowerShell localmente, inicie sesión primero con Azure PowerShell y, a continuación, asegúrese de que el contexto de Azure está establecido en la suscripción que desea usar.

1. Obtenga los valores actuales del grupo de hosts:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<HostPoolResourceGroupName>'
   }
   
   $existingHostPool = Get-AzWvdHostPool @parameters
   

2. Obtenga el objeto de identidad administrada que desea asignar al grupo host:

   $parameters = @{
       Name = '<ManagedIdentityName>'
       ResourceGroupName = '<ManagedIdentityResourceGroupName>'
   }
   
   $managedIdentity = Get-AzUserAssignedIdentity @parameters
   

3. Ejecute el New-AzWvdHostPool comando con la misma información y solo cambie IdentityType a "SystemAssigned". Dado que este grupo host ya existe, este comando solo cambia la IdentityType propiedad :

   $parameters = @{
       Name = $existingHostPool.Name
       ResourceGroupName = $existingHostPool.ResourceGroupName
       Location = $existingHostPool.Location
       HostPoolType = $existingHostPool.HostPoolType
       LoadBalancerType = $existingHostPool.LoadBalancerType
       PreferredAppGroupType = $existingHostPool.PreferredAppGroupType
       IdentityType = 'UserAssigned'
       IdentityUserAssignedIdentity = @{$managedIdentity.Id = @{}}
   }
   
   New-AzWvdHostPool @parameters 
   

4. Para comprobar los cambios, ejecute este comando:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   Get-AzWvdHostPool @parameters | Format-Table Name, IdentityType, IdentityUserAssignedIdentity
   

   La salida debe ser similar al ejemplo siguiente:

   Name        IdentityType     IdentityUserAssignedIdentity
   ----------- ---------------- ----------------------------
   contosohp01 UserAssigned   {...
   

Eliminación de una identidad administrada

La eliminación de una identidad administrada de un grupo de hosts tiene un comportamiento ligeramente diferente, en función del tipo de identidad de la identidad administrada:

• Asignado por el sistema: cuando se completa la eliminación, Azure elimina automáticamente la identidad administrada y todos los metadatos asociados.
• Asignado por el usuario: cuando se completa la eliminación, Azure quita la asociación entre el grupo host y la identidad administrada, pero no realiza ningún otro cambio. Por ejemplo, no cambia los permisos asignados a la identidad administrada.

Importante

Los grupos de hosts configurados con una configuración de host de sesión requerirán una identidad administrada a partir del 1 de noviembre de 2025 para agregar hosts de sesión al grupo de hosts. Esto reemplaza la dependencia de Azure entidad de servicio de Virtual Desktop y permite una configuración más segura. Obtenga más información sobre el uso de identidades administradas con Azure grupos de hosts de Virtual Desktop.

Seleccione la pestaña correspondiente para el escenario.

Portal de Azure

A continuación se muestra cómo quitar una identidad administrada con el Azure Portal:

1. Inicie sesión en el portal de Azure.

2. En la barra de búsqueda, escriba Azure Virtual Desktop y seleccione la entrada de servicio coincidente.

3. Seleccione Grupos de hosts y, a continuación, seleccione el nombre del grupo de hosts que desea configurar.

4. Seleccione Identidad (versión preliminar).

5. Seleccione asignar una identidad administrada para que la casilla esté desactivada.

6. Seleccione Guardar para completar la eliminación de la identidad administrada.

Azure PowerShell

A continuación se muestra cómo quitar una identidad administrada con Azure PowerShell. Asegúrese de cambiar los <placeholder> valores de los suyos propios.

1. Abra Azure Cloud Shell en el Azure Portal con el tipo de terminal de PowerShell o ejecute PowerShell en el dispositivo local.

   • Si usa Cloud Shell, asegúrese de que el contexto de Azure está establecido en la suscripción que desea usar.

   • Si usa PowerShell localmente, inicie sesión primero con Azure PowerShell y, a continuación, asegúrese de que el contexto de Azure está establecido en la suscripción que desea usar.

1. Obtenga los valores actuales del grupo de hosts:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   $existingHostPool = Get-AzWvdHostPool @parameters
   

2. Ejecute el New-AzWvdHostPool comando con la misma información, cambiando solo a IdentityType "None". Dado que este grupo host ya existe, este comando solo cambia la IdentityType propiedad :

   $parameters = @{
       Name = $existingHostPool.Name
       ResourceGroupName = $existingHostPool.ResourceGroupName
       Location = $existingHostPool.Location
       HostPoolType = $existingHostPool.HostPoolType
       LoadBalancerType = $existingHostPool.LoadBalancerType
       PreferredAppGroupType = $existingHostPool.PreferredAppGroupType
       IdentityType = 'None'
   }
   
   New-AzWvdHostPool @parameters 
   

3. Para comprobar los cambios, ejecute este comando:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   Get-AzWvdHostPool @parameters | Format-Table Name, IdentityType
   

   La salida debe ser similar al ejemplo siguiente:

   Name        IdentityType
   ----------- ----------------
   contosohp01 None
   

Asignación de identidad administrada a hosts de sesión local

Azure Virtual Desktop para Azure Local requieren que se conceda a la identidad administrada acceso de lector al host de sesión. Estas instrucciones concederán acceso de lector al grupo de recursos que hospeda esos recursos.

Portal de Azure

A continuación se muestra cómo asignar acceso de lector a una identidad administrada con el Azure Portal:

1. Inicie sesión en el portal de Azure.

2. En la barra de búsqueda, escriba Grupos de recursos y seleccione la entrada coincidente.

3. Seleccione el grupo de recursos que contiene los hosts de sesión.

4. Seleccione Access Control (IAM) en el panel de navegación izquierdo.

5. Seleccione Agregar y, a continuación , Agregar asignación de roles.

6. En el cuadro de búsqueda Buscar por nombre de rol, descripción, permiso o identificador, busque Lector y haga clic en Siguiente.

7. En Asignar acceso para seleccionar Identidad administrada

8. En Miembros, haga clic en Seleccionar miembros.

9. Seleccione la suscripción correcta.

10. En la lista desplegable Identidad administrada , seleccione Hostpool.

11. Seleccione la identidad administrada correcta para hostpool.

12. Haga clic en Seleccionar y, a continuación, en Siguiente.

13. Seleccione Revisar y asignar.

14. Revise las selecciones y, a continuación, seleccione Revisar y asignar.

Azure PowerShell

A continuación se muestra cómo asignar acceso de lector a una identidad administrada con Azure PowerShell. Asegúrese de cambiar los <placeholder> valores de los suyos propios.

1. Abra Azure Cloud Shell en el Azure Portal con el tipo de terminal de PowerShell o ejecute PowerShell en el dispositivo local.

   • Si usa Cloud Shell, asegúrese de que el contexto de Azure está establecido en la suscripción que desea usar.

   • Si usa PowerShell localmente, inicie sesión primero con Azure PowerShell y, a continuación, asegúrese de que el contexto de Azure está establecido en la suscripción que desea usar.

1. Obtenga el objeto de identidad administrada asignado al grupo host.

$hostPool = Get-AzWvdHostPool -Name "<HOSTPOOL_NAME>" -ResourceGroupName "<RESOURCE_GROUP>"
$HP_PRINCIPAL_ID = $hostPool.IdentityPrincipalId

1. Asignación del acceso de lector en el grupo de recursos a la identidad administrada

New-AzRoleAssignment -ObjectId $HP_PRINCIPAL_ID -RoleDefinitionName "Reader" -ResourceGroupName "<RESOURCE_GROUP>"

Contenido relacionado

• Realice los pasos siguientes para asignar Azure roles de RBAC o roles de Microsoft Entra a una entidad de servicio mediante el enfoque de identidad administrada.