Configurare l'identità gestita in Desktop virtuale Azure (anteprima)

Importante

Il supporto delle identità gestite per Azure pool di host di Desktop virtuale è attualmente disponibile in ANTEPRIMA. Per le condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate in disponibilità generale, vedere le Condizioni aggiuntive per l'utilizzo per Microsoft Azure Previews.

Azure Desktop virtuale supporta l'assegnazione di autorizzazioni alle identità gestite per le risorse Azure per le funzionalità che devono eseguire operazioni Azure Resource Manager (ARM) su macchine virtuali, insieme di credenziali delle chiavi e reti virtuali nella sottoscrizione Azure. La funzionalità seguente può usare un'identità gestita:

• Aggiornamento dell'host sessione (anteprima)
• Desktop virtuale Azure per Azure Locale

Alcune Azure funzionalità di Desktop virtuale non possono usare un'identità gestita. Le funzionalità che richiedono l'assegnazione di ruoli controllo degli accessi in base al ruolo Azure per i ruoli Microsoft Entra a un'entità servizio usando l'approccio dell'entità servizio di Desktop virtuale Azure sono:

• Collegamento app (quando si usano File di Azure e gli host di sessione aggiunti a Microsoft Entra ID).
• Scalabilità automatica.
• Avviare la macchina virtuale in Connect.

Quando si usa un'identità gestita, sono disponibili due opzioni:

• Identità gestita assegnata dal sistema
• Identità gestita assegnata dall'utente

Altre informazioni sulle differenze tra identità gestite assegnate dal sistema e assegnate dall'utente.

Prerequisiti

Per creare e assegnare un'identità gestita assegnata dal sistema a un pool di host, è necessario:

• Pool di host esistente.

• A un account Azure assegnato il collaboratore del pool di host di virtualizzazione desktop nell'ambito del pool di host o superiore.

• Se si vuole usare Azure'interfaccia della riga di comando o Azure PowerShell in locale, vedere Usare l'interfaccia della riga di comando di Azure e Azure PowerShell con desktop virtuale Azure per assicurarsi che sia installata l'estensione desktopvirtualization Azure dell'interfaccia della riga di comando o il modulo Az.DesktopVirtualization PowerShell. In alternativa, usare il Azure Cloud Shell.

Creare e assegnare un'identità gestita assegnata dal sistema

Selezionare la scheda pertinente per lo scenario.

Portale di Azure

Ecco come creare un'identità gestita assegnata dal sistema con il portale di Azure:

1. Accedere al portale di Azure.

2. Nella barra di ricerca immettere Azure Desktop virtuale e selezionare la voce del servizio corrispondente

3. Selezionare Pool di host, quindi selezionare il nome del pool di host da configurare.

4. Selezionare Identità (anteprima).

5. Selezionare Assegna un'identità gestita in modo che la casella sia selezionata e quindi selezionare Identità gestita assegnata dal sistema.

6. Selezionare Salva per creare e assegnare un'identità gestita assegnata dal sistema.

Azure PowerShell

Ecco come creare un'identità gestita assegnata dal sistema con Azure PowerShell. Assicurarsi di modificare i <placeholder> valori per i propri.

1. Aprire Azure Cloud Shell nel portale di Azure con il tipo di terminale PowerShell oppure eseguire PowerShell nel dispositivo locale.

   • Se si usa Cloud Shell, verificare che il contesto di Azure sia impostato sulla sottoscrizione che si vuole usare.

   • Se si usa PowerShell in locale, accedere prima con Azure PowerShell e quindi assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione che si vuole usare.

1. Ottenere i valori correnti del pool di host:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   $existingHostPool = Get-AzWvdHostPool @parameters
   

2. Eseguire il New-AzWvdHostPool comando con le stesse informazioni, modificando solo in IdentityType 'SystemAssigned'. Poiché questo pool di host esiste già, questo comando modifica solo la IdentityType proprietà :

   $parameters = @{
       Name = $existingHostPool.Name
       ResourceGroupName = $existingHostPool.ResourceGroupName
       Location = $existingHostPool.Location
       HostPoolType = $existingHostPool.HostPoolType
       LoadBalancerType = $existingHostPool.LoadBalancerType
       PreferredAppGroupType = $existingHostPool.PreferredAppGroupType
       IdentityType = 'SystemAssigned'
   }
   
   New-AzWvdHostPool @parameters 
   

3. Per controllare le modifiche, eseguire questo comando:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   Get-AzWvdHostPool @parameters | Format-Table Name, IdentityType
   

   L'output deve essere simile all'esempio seguente:

   Name        IdentityType
   ----------- ----------------
   contosohp01 SystemAssigned
   

Prerequisiti

Per assegnare un'identità gestita assegnata dall'utente a un pool di host, è necessario:

• Pool di host esistente.

• Un account Azure assegnato:

  1. Collaboratore del pool di host di virtualizzazione desktop nell'ambito del pool di host o superiore.
  2. Operatore di identità gestita nell'ambito dell'identità gestita o superiore.

• Se si vuole usare Azure'interfaccia della riga di comando o Azure PowerShell in locale, vedere Usare l'interfaccia della riga di comando di Azure e Azure PowerShell con desktop virtuale Azure per assicurarsi che sia installata l'estensione desktopvirtualization Azure dell'interfaccia della riga di comando o il modulo Az.DesktopVirtualization PowerShell. In alternativa, usare il Azure Cloud Shell.

Assegnare un'identità gestita assegnata dall'utente

Selezionare la scheda pertinente per lo scenario.

Portale di Azure

Ecco come assegnare un'identità gestita assegnata dall'utente con il portale di Azure:

1. Accedere al portale di Azure.

2. Nella barra di ricerca immettere Azure Desktop virtuale e selezionare la voce del servizio corrispondente

3. Selezionare Pool di host, quindi selezionare il nome del pool di host da configurare.

4. Selezionare Identità (anteprima).

5. Selezionare Assegna un'identità gestita in modo che la casella sia selezionata e quindi selezionare Identità gestita assegnata dall'utente.

6. Per Sottoscrizione selezionare la sottoscrizione appropriata dal menu a discesa.

7. Per Identità gestite assegnate dall'utente esistente selezionare l'identità gestita appropriata dal menu a discesa.

8. Selezionare Salva per applicare la nuova identità gestita.

Azure PowerShell

Ecco come assegnare un'identità gestita assegnata dall'utente con Azure PowerShell. Assicurarsi di modificare i <placeholder> valori per i propri.

1. Aprire Azure Cloud Shell nel portale di Azure con il tipo di terminale PowerShell oppure eseguire PowerShell nel dispositivo locale.

   • Se si usa Cloud Shell, verificare che il contesto di Azure sia impostato sulla sottoscrizione che si vuole usare.

   • Se si usa PowerShell in locale, accedere prima con Azure PowerShell e quindi assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione che si vuole usare.

1. Ottenere i valori correnti del pool di host:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<HostPoolResourceGroupName>'
   }
   
   $existingHostPool = Get-AzWvdHostPool @parameters
   

2. Ottenere l'oggetto identity gestito che si vuole assegnare al pool di host:

   $parameters = @{
       Name = '<ManagedIdentityName>'
       ResourceGroupName = '<ManagedIdentityResourceGroupName>'
   }
   
   $managedIdentity = Get-AzUserAssignedIdentity @parameters
   

3. Eseguire il New-AzWvdHostPool comando con le stesse informazioni, modificando solo in IdentityType 'SystemAssigned'. Poiché questo pool di host esiste già, questo comando modifica solo la IdentityType proprietà :

   $parameters = @{
       Name = $existingHostPool.Name
       ResourceGroupName = $existingHostPool.ResourceGroupName
       Location = $existingHostPool.Location
       HostPoolType = $existingHostPool.HostPoolType
       LoadBalancerType = $existingHostPool.LoadBalancerType
       PreferredAppGroupType = $existingHostPool.PreferredAppGroupType
       IdentityType = 'UserAssigned'
       IdentityUserAssignedIdentity = @{$managedIdentity.Id = @{}}
   }
   
   New-AzWvdHostPool @parameters 
   

4. Per controllare le modifiche, eseguire questo comando:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   Get-AzWvdHostPool @parameters | Format-Table Name, IdentityType, IdentityUserAssignedIdentity
   

   L'output deve essere simile all'esempio seguente:

   Name        IdentityType     IdentityUserAssignedIdentity
   ----------- ---------------- ----------------------------
   contosohp01 UserAssigned   {...
   

Rimuovere un'identità gestita

La rimozione di un'identità gestita da un pool di host presenta un comportamento leggermente diverso, a seconda del tipo di identità dell'identità gestita:

• Assegnata dal sistema: al termine della rimozione, Azure elimina automaticamente l'identità gestita e tutti i metadati associati.
• Assegnata dall'utente: al termine della rimozione, Azure rimuove l'associazione tra il pool di host e l'identità gestita, ma non apporta altre modifiche. Ad esempio, non modifica le autorizzazioni assegnate all'identità gestita.

Importante

I pool di host configurati con una configurazione host sessione richiederanno un'identità gestita a partire dal 1° novembre 2025 per aggiungere host di sessione al pool di host. Ciò sostituisce la dipendenza dall'entità servizio desktop virtuale Azure e consente una configurazione più sicura. Altre informazioni sull'uso delle identità gestite con Azure pool di host di Desktop virtuale.

Selezionare la scheda pertinente per lo scenario.

Portale di Azure

Ecco come rimuovere un'identità gestita con il portale di Azure:

1. Accedere al portale di Azure.

2. Nella barra di ricerca immettere Azure Desktop virtuale e selezionare la voce del servizio corrispondente

3. Selezionare Pool di host, quindi selezionare il nome del pool di host da configurare.

4. Selezionare Identità (anteprima).

5. Selezionare l'opzione Assegna un'identità gestita in modo che la casella sia deselezionata.

6. Selezionare Salva per completare la rimozione dell'identità gestita.

Azure PowerShell

Ecco come rimuovere un'identità gestita con Azure PowerShell. Assicurarsi di modificare i <placeholder> valori per i propri.

1. Aprire Azure Cloud Shell nel portale di Azure con il tipo di terminale PowerShell oppure eseguire PowerShell nel dispositivo locale.

   • Se si usa Cloud Shell, verificare che il contesto di Azure sia impostato sulla sottoscrizione che si vuole usare.

   • Se si usa PowerShell in locale, accedere prima con Azure PowerShell e quindi assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione che si vuole usare.

1. Ottenere i valori correnti del pool di host:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   $existingHostPool = Get-AzWvdHostPool @parameters
   

2. Eseguire il New-AzWvdHostPool comando con le stesse informazioni, modificando solo l'oggetto IdentityType su "None". Poiché questo pool di host esiste già, questo comando modifica solo la IdentityType proprietà :

   $parameters = @{
       Name = $existingHostPool.Name
       ResourceGroupName = $existingHostPool.ResourceGroupName
       Location = $existingHostPool.Location
       HostPoolType = $existingHostPool.HostPoolType
       LoadBalancerType = $existingHostPool.LoadBalancerType
       PreferredAppGroupType = $existingHostPool.PreferredAppGroupType
       IdentityType = 'None'
   }
   
   New-AzWvdHostPool @parameters 
   

3. Per controllare le modifiche, eseguire questo comando:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   Get-AzWvdHostPool @parameters | Format-Table Name, IdentityType
   

   L'output deve essere simile all'esempio seguente:

   Name        IdentityType
   ----------- ----------------
   contosohp01 None
   

Assegnare un'identità gestita agli host sessione locale

Azure Desktop virtuale per Azure Locale richiedono che all'identità gestita venga concesso l'accesso lettore all'host della sessione. Queste istruzioni concedono al lettore l'accesso al gruppo di risorse che ospita tali risorse.

Portale di Azure

Ecco come assegnare l'accesso del lettore a un'identità gestita con il portale di Azure:

1. Accedere al portale di Azure.

2. Nella barra di ricerca immettere Gruppi di risorse e selezionare la voce corrispondente

3. Selezionare il gruppo di risorse contenente gli host di sessione

4. Selezionare Controllo di accesso (IAM) nel riquadro di spostamento a sinistra.

5. Selezionare Aggiungi e quindi Aggiungi assegnazione di ruolo

6. Nella casella di ricerca Cerca in base al nome del ruolo, alla descrizione, all'autorizzazione o all'ID cercare Lettore e fare clic su Avanti

7. Per Assegnare l'accesso per selezionare Identità gestita

8. Per Membri fare clic su Seleziona membri

9. Selezionare la sottoscrizione corretta

10. Nell'elenco a discesa Identità gestita selezionare Hostpool

11. Selezionare l'identità gestita corretta per hostpool

12. Fare clic su Seleziona e quindi su Avanti

13. Selezionare Rivedi e assegna

14. Esaminare le selezioni e quindi selezionare Rivedi e assegna

Azure PowerShell

Ecco come assegnare l'accesso del lettore a un'identità gestita con Azure PowerShell. Assicurarsi di modificare i <placeholder> valori per i propri.

1. Aprire Azure Cloud Shell nel portale di Azure con il tipo di terminale PowerShell oppure eseguire PowerShell nel dispositivo locale.

   • Se si usa Cloud Shell, verificare che il contesto di Azure sia impostato sulla sottoscrizione che si vuole usare.

   • Se si usa PowerShell in locale, accedere prima con Azure PowerShell e quindi assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione che si vuole usare.

1. Ottenere l'oggetto identity gestito assegnato al pool di host.

$hostPool = Get-AzWvdHostPool -Name "<HOSTPOOL_NAME>" -ResourceGroupName "<RESOURCE_GROUP>"
$HP_PRINCIPAL_ID = $hostPool.IdentityPrincipalId

1. Assegnare l'accesso lettore nel gruppo di risorse all'identità gestita

New-AzRoleAssignment -ObjectId $HP_PRINCIPAL_ID -RoleDefinitionName "Reader" -ResourceGroupName "<RESOURCE_GROUP>"

Contenuto correlato

• Eseguire i passaggi successivi per assegnare ruoli Azure controllo degli accessi in base al ruolo o ruoli Microsoft Entra a un'entità servizio usando l'approccio basato sull'identità gestita.