Configurare collegamento privato con Desktop virtuale Azure

2025-06-20

Questo articolo illustra come configurare collegamento privato con Desktop virtuale Azure per connettersi privatamente alle risorse remote. Per altre informazioni sull'uso di collegamento privato con Desktop virtuale Azure, incluse le limitazioni, vedere collegamento privato di Azure con Desktop virtuale Azure.

Prerequisiti

Per usare collegamento privato con Desktop virtuale Azure, sono necessari gli elementi seguenti:

Pool di host esistente con host di sessione, un gruppo di applicazioni e un'area di lavoro.
Una rete virtuale e una subnet esistenti da usare per gli endpoint privati.
Autorizzazioni necessarie per il controllo degli accessi in base al ruolo di Azure per creare endpoint privati.
Un'app supportata in un dispositivo locale per accedere a una sessione remota:
- App Desktop remoto in qualsiasi piattaforma. Se si usa il client Desktop remoto per Windows, è necessario usare la versione 1.2.4066 o successiva per connettersi usando un endpoint privato.
- Windows App in macOS o iOS/iPadOS.
Se si vuole usare l'interfaccia della riga di comando di Azure o Azure PowerShell in locale, vedere Usare l'interfaccia della riga di comando di Azure e Azure PowerShell con Desktop virtuale Azure per assicurarsi che sia installata l'estensione desktopvirtualizzazione dell'interfaccia della riga di comando di Azure o il modulo Az.DesktopVirtualization PowerShell. In alternativa, usare il Cloud Shell di Azure.
Azure PowerShell cmdlet per Desktop virtuale Azure che supportano collegamento privato sono in anteprima. Sarà necessario scaricare e installare la versione di anteprima del modulo Az.DesktopVirtualization per usare questi cmdlet, che sono stati aggiunti nella versione 5.0.0.

Abilitare collegamento privato con Desktop virtuale Azure in una sottoscrizione

Per usare collegamento privato con Desktop virtuale Azure, è necessario registrare nuovamente il provider di risorse Microsoft.DesktopVirtualization in ogni sottoscrizione che si vuole usare collegamento privato con Desktop virtuale Azure.

Selezionare la scheda pertinente per lo scenario.

Azure
Azure US Gov e 21Vianet

Registrare nuovamente il provider di risorse di Desktop virtuale Azure

Prima di poter usare collegamento privato con Desktop virtuale Azure, è necessario registrare nuovamente il provider di risorse Microsoft.DesktopVirtualization. È necessario eseguire questa operazione per ogni sottoscrizione che si vuole usare per collegamento privato con Desktop virtuale Azure:

Accedere al portale di Azure.
Nella barra di ricerca immettere Sottoscrizioni e selezionare la voce del servizio corrispondente.
Selezionare il nome della sottoscrizione, quindi nella sezione Impostazioni selezionare Provider di risorse.
Cercare e selezionare Microsoft.DesktopVirtualization, quindi selezionare Registra di nuovo.
Verificare che lo stato di Microsoft.DesktopVirtualization sia Registrato.

Creare endpoint privati

Durante il processo di installazione, è necessario creare endpoint privati per le risorse seguenti, a seconda dello scenario.

Tutte le parti della connessione, ovvero l'individuazione iniziale del feed, il download dei feed e le connessioni di sessione remota per client e host di sessione, usano route private. Sono necessari gli endpoint privati seguenti:

Finalità	Tipo di risorsa	Sottoso risorsa di destinazione	Quantità endpoint
Connections ai pool host	Microsoft.DesktopVirtualization/hostpools	connessione	Uno per pool di host
Download del feed	Microsoft.DesktopVirtualization/workspaces	Nutrire	Uno per area di lavoro
Individuazione iniziale del feed	Microsoft.DesktopVirtualization/workspaces	globale	Solo una per tutte le distribuzioni di Desktop virtuale Azure

Le connessioni di sessione remota e download dei feed per client e host di sessione usano route private, ma l'individuazione iniziale dei feed usa route pubbliche. Sono necessari gli endpoint privati seguenti. L'endpoint per l'individuazione iniziale del feed non è obbligatorio.

Finalità	Tipo di risorsa	Sottoso risorsa di destinazione	Quantità endpoint
Connections ai pool host	Microsoft.DesktopVirtualization/hostpools	connessione	Uno per pool di host
Download del feed	Microsoft.DesktopVirtualization/workspaces	Nutrire	Uno per area di lavoro

Solo le connessioni di sessione remote per i client e gli host di sessione usano route private, ma l'individuazione iniziale dei feed e il download dei feed usano route pubbliche. Sono necessari gli endpoint privati seguenti. Gli endpoint per le aree di lavoro non sono obbligatori.

Finalità Tipo di risorsa Sottoso risorsa di destinazione Quantità endpoint

Connections ai pool host Microsoft.DesktopVirtualization/hostpools connessione Uno per pool di host
Sia i client che le macchine virtuali host sessione usano route pubbliche. collegamento privato non viene usato in questo scenario.

Importante

Se si crea un endpoint privato per l'individuazione iniziale dei feed, l'area di lavoro usata per la sotto-risorsa globale regola il nome di dominio completo (FQDN) condiviso, facilitando l'individuazione iniziale dei feed in tutte le aree di lavoro. È consigliabile creare un'area di lavoro separata che viene usata solo a questo scopo e a cui non sono registrati gruppi di applicazioni. Se si elimina questa area di lavoro, tutti i processi di individuazione dei feed smetteranno di funzionare.
Non è possibile controllare l'accesso all'area di lavoro usata per l'individuazione iniziale del feed (sotto-risorsa globale). Se si configura questa area di lavoro per consentire solo l'accesso privato, l'impostazione viene ignorata. Questa area di lavoro è sempre accessibile dalle route pubbliche.
Le allocazioni di indirizzi IP sono soggette a modifiche man mano che aumenta la domanda di indirizzi IP. Durante l'espansione della capacità, sono necessari indirizzi aggiuntivi per gli endpoint privati. È importante considerare il potenziale esaurimento dello spazio degli indirizzi e garantire spazio sufficiente per la crescita. Per altre informazioni sulla determinazione della configurazione di rete appropriata per gli endpoint privati in una topologia hub o spoke, vedere Albero delle decisioni per la distribuzione collegamento privato.

Connections ai pool host

Per creare un endpoint privato per la risorsa secondaria di connessione per le connessioni a un pool di host, selezionare la scheda pertinente per lo scenario e seguire la procedura.

Ecco come creare un endpoint privato per la sotto-risorsa di connessione per le connessioni a un pool di host usando il portale di Azure.

Accedere al portale di Azure.
Nella barra di ricerca digitare Desktop virtuale Azure e selezionare la voce del servizio corrispondente per passare alla panoramica di Desktop virtuale Azure.
Selezionare Pool di host, quindi selezionare il nome del pool di host per cui si vuole creare una sottoso risorsa di connessione .
Nella panoramica del pool di host selezionare Rete, quindi Connessioni endpoint privato e infine Nuovo endpoint privato.

Nella scheda Informazioni di base completare le informazioni seguenti:

Parametro	Valore/Descrizione
Abbonamento	Selezionare la sottoscrizione in cui si vuole creare l'endpoint privato nell'elenco a discesa.
Gruppo di risorse	Per impostazione predefinita viene usato lo stesso gruppo di risorse dell'area di lavoro per l'endpoint privato, ma è anche possibile selezionarne uno esistente alternativo nell'elenco a discesa o crearne uno nuovo.
Nome	Immettere un nome per il nuovo endpoint privato.
Nome dell’interfaccia di rete	Il nome dell'interfaccia di rete viene compilato automaticamente in base al nome assegnato all'endpoint privato, ma è anche possibile specificare un nome diverso.
Area geografica	L'impostazione predefinita è la stessa area di Azure dell'area di lavoro ed è la posizione in cui viene distribuito l'endpoint privato. Deve essere la stessa area della rete virtuale e degli host di sessione.

Dopo aver completato questa scheda, selezionare Avanti: Risorsa.

Nella scheda Risorsa convalidare i valori per Sottoscrizione, Tipo di risorsa e Risorsa, quindi per Risorsa secondaria di destinazione selezionare connessione. Dopo aver completato questa scheda, selezionare Avanti: Rete virtuale.

Nella scheda Rete virtuale completare le informazioni seguenti:

Parametro	Valore/Descrizione
Rete virtuale	Selezionare la rete virtuale in cui si vuole creare l'endpoint privato nell'elenco a discesa.
Subnet	Selezionare la subnet della rete virtuale in cui si vuole creare l'endpoint privato nell'elenco a discesa.
Criteri di rete per gli endpoint privati	Selezionare Modifica se si desidera scegliere un criterio di rete subnet. Per altre informazioni, vedere Gestire i criteri di rete per gli endpoint privati.
Configurazione ip privato	Selezionare Alloca in modo dinamico l'indirizzo IP o Alloca l'indirizzo IP in modo statico. Lo spazio indirizzi proviene dalla subnet selezionata. Se si sceglie di allocare gli indirizzi IP in modo statico, è necessario compilare il nome e l'INDIRIZZO IP privato per ogni membro elencato.
Gruppo di sicurezza delle applicazioni	Facoltativo: selezionare un gruppo di sicurezza dell'applicazione esistente per l'endpoint privato dall'elenco a discesa oppure crearne uno nuovo. È anche possibile aggiungerne uno in un secondo momento.

Dopo aver completato questa scheda, selezionare Avanti: DNS.

Nella scheda DNS scegliere se usare La zona di DNS privato di Azure selezionando Sì o No per Integra con la zona DNS privata. Se si seleziona Sì, selezionare la sottoscrizione e il gruppo di risorse in cui creare la zona privatelink.wvd.microsoft.comDNS privata. Per altre informazioni, vedere Configurazione DNS dell'endpoint privato di Azure.

Dopo aver completato questa scheda, selezionare Avanti: Tag.
Facoltativo: nella scheda Tag è possibile immettere tutte le coppie nome/valore necessarie, quindi selezionare Avanti: Rivedi e crea.
Nella scheda Rivedi e crea verificare che la convalida superi ed esaminare le informazioni usate durante la distribuzione.
Selezionare Crea per creare l'endpoint privato per la sottoso risorsa di connessione.

Ecco come creare un endpoint privato per la sotto-risorsa di connessione usata per le connessioni a un pool di host usando i moduli Az.Network e Az.DesktopVirtualization PowerShell. Assicurarsi di modificare i <placeholder> valori per i propri.

Aprire Azure Cloud Shell nel portale di Azure con il tipo di terminale PowerShell oppure eseguire PowerShell nel dispositivo locale.
- Se si usa Cloud Shell, assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione che si vuole usare.
- Se si usa PowerShell in locale, accedere prima con Azure PowerShell e quindi assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione che si vuole usare.

Ottenere i dettagli della rete virtuale e della subnet da usare per l'endpoint privato e archiviarli in una variabile eseguendo i comandi seguenti:

# Get the subnet details for the virtual network
$subnet = (Get-AzVirtualNetwork -Name <VNetName> -ResourceGroupName <ResourceGroupName>).Subnets | ? Name -eq <SubnetName>

Creare una connessione al servizio collegamento privato per un pool di host con la sottoso risorsa di connessione eseguendo i comandi seguenti.

# Get the resource ID of the host pool
$hostPoolId = (Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $hostPoolId
    GroupId = 'connection'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

Creare infine l'endpoint privato eseguendo i comandi in uno degli esempi seguenti.

Per creare un endpoint privato con un indirizzo IP allocato dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

Per creare un endpoint privato con indirizzi IP allocati in modo statico:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
$location = '<Location>'

# Create a hash table for each private endpoint IP configuration
$ip1 = @{
    Name = 'ipconfig1'
    GroupId = 'connection'
    MemberName = 'broker'
    PrivateIPAddress = '<IPAddress>'
}

$ip2 = @{
    Name = 'ipconfig2'
    GroupId = 'connection'
    MemberName = 'diagnostics'
    PrivateIPAddress = '<IPAddress>'
}

$ip3 = @{
    Name = 'ipconfig3'
    GroupId = 'connection'
    MemberName = 'gateway-ring-map'
    PrivateIPAddress = '<IPAddress>'
}

$ip4 = @{
    Name = 'ipconfig4'
    GroupId = 'connection'
    MemberName = 'web'
    PrivateIPAddress = '<IPAddress>'
}

# Create the private endpoint IP configurations
$ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
$ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2
$ipConfig3 = New-AzPrivateEndpointIpConfiguration @ip3
$ipConfig4 = New-AzPrivateEndpointIpConfiguration @ip4

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipConfig1, $ipConfig2, $ipConfig3, $ipConfig4
}

New-AzPrivateEndpoint @parameters

L'output deve essere simile all'output seguente. Verificare che il valore di ProvisioningState sia Succeeded.

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-hp01   uksouth  Succeeded

È necessario configurare DNS per l'endpoint privato per risolvere il nome DNS dell'endpoint privato nella rete virtuale. Il nome della zona DNS privato è privatelink.wvd.microsoft.com. Per la procedura per creare e configurare la zona DNS privata con Azure PowerShell, vedere Configurare la zona DNS privata.

Ecco come creare un endpoint privato per la sotto-risorsa di connessione usata per le connessioni a un pool host usando le estensioni di virtualizzazione di rete e desktop per l'interfaccia della riga di comando di Azure.

Importante

Negli esempi seguenti è necessario modificare i <placeholder> valori per i propri.

Aprire Azure Cloud Shell nel portale di Azure con il tipo di terminale Bash oppure eseguire l'interfaccia della riga di comando di Azure nel dispositivo locale.
- Se si usa Cloud Shell, assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione che si vuole usare.
- Se si usa l'interfaccia della riga di comando di Azure in locale, accedere prima con l'interfaccia della riga di comando di Azure e quindi assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione che si vuole usare.

Creare una connessione al servizio collegamento privato e l'endpoint privato per un pool di host con la sottoso risorsa di connessione eseguendo i comandi in uno degli esempi seguenti.

Per creare un endpoint privato con un indirizzo IP allocato dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
location=<Location>

# Get the resource ID of the host pool
hostPoolId=$(az desktopvirtualization hostpool show \
    --name <HostPoolName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $hostPoolId \
    --group-id connection \
    --output table

Per creare un endpoint privato con indirizzi IP allocati in modo statico:

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
location=<Location>

# Get the resource ID of the host pool
hostPoolId=$(az desktopvirtualization hostpool show \
    --name <HostPoolName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip1={name:ipconfig1,group-id:connection,member-name:broker,private-ip-address:<IPAddress>}
ip2={name:ipconfig2,group-id:connection,member-name:diagnostics,private-ip-address:<IPAddress>}
ip3={name:ipconfig3,group-id:connection,member-name:gateway-ring-map,private-ip-address:<IPAddress>}
ip4={name:ipconfig4,group-id:connection,member-name:web,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $hostPoolId \
    --group-id connection \
    --ip-configs [$ip1,$ip2,$ip3,$ip4] \
    --output table

L'output deve essere simile all'output seguente. Verificare che il valore di ProvisioningState sia Succeeded.

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-hp01         Succeeded            privatelink

È necessario configurare DNS per l'endpoint privato per risolvere il nome DNS dell'endpoint privato nella rete virtuale. Il nome della zona DNS privato è privatelink.wvd.microsoft.com. Per la procedura per creare e configurare la zona DNS privata con l'interfaccia della riga di comando di Azure, vedere Configurare la zona DNS privata.

Importante

È necessario creare un endpoint privato per la risorsa secondaria di connessione per ogni pool host che si vuole usare con collegamento privato.

Download del feed

Per creare un endpoint privato per la sottoso risorsa feed per un'area di lavoro, selezionare la scheda pertinente per lo scenario e seguire la procedura.

Nella panoramica di Desktop virtuale Azure selezionare Aree di lavoro e quindi selezionare il nome dell'area di lavoro per cui si vuole creare una sottoso risorsa feed .
Nella panoramica dell'area di lavoro selezionare Rete, quindi Connessioni endpoint privato e infine Nuovo endpoint privato.

Nella scheda Informazioni di base completare le informazioni seguenti:

Parametro	Valore/Descrizione
Abbonamento	Selezionare la sottoscrizione in cui si vuole creare l'endpoint privato nell'elenco a discesa.
Gruppo di risorse	Per impostazione predefinita viene usato lo stesso gruppo di risorse dell'area di lavoro per l'endpoint privato, ma è anche possibile selezionarne uno esistente alternativo nell'elenco a discesa o crearne uno nuovo.
Nome	Immettere un nome per il nuovo endpoint privato.
Nome dell’interfaccia di rete	Il nome dell'interfaccia di rete viene compilato automaticamente in base al nome assegnato all'endpoint privato, ma è anche possibile specificare un nome diverso.
Area geografica	L'impostazione predefinita è la stessa area di Azure dell'area di lavoro ed è la posizione in cui viene distribuito l'endpoint privato. Deve essere la stessa area della rete virtuale.

Dopo aver completato questa scheda, selezionare Avanti: Risorsa.

Nella scheda Risorsa convalidare i valori per Sottoscrizione, Tipo di risorsa e Risorsa, quindi per Risorsa secondaria di destinazione selezionare feed. Dopo aver completato questa scheda, selezionare Avanti: Rete virtuale.

Nella scheda Rete virtuale completare le informazioni seguenti:

Parametro	Valore/Descrizione
Rete virtuale	Selezionare la rete virtuale in cui si vuole creare l'endpoint privato nell'elenco a discesa.
Subnet	Selezionare la subnet della rete virtuale in cui si vuole creare l'endpoint privato nell'elenco a discesa.
Criteri di rete per gli endpoint privati	Selezionare Modifica se si desidera scegliere un criterio di rete subnet. Per altre informazioni, vedere Gestire i criteri di rete per gli endpoint privati.
Configurazione ip privato	Selezionare Alloca in modo dinamico l'indirizzo IP o Alloca l'indirizzo IP in modo statico. Lo spazio indirizzi proviene dalla subnet selezionata. Se si sceglie di allocare gli indirizzi IP in modo statico, è necessario compilare il nome e l'INDIRIZZO IP privato per ogni membro elencato.
Gruppo di sicurezza delle applicazioni	Facoltativo: selezionare un gruppo di sicurezza dell'applicazione esistente per l'endpoint privato dall'elenco a discesa oppure crearne uno nuovo. È anche possibile aggiungerne uno in un secondo momento.

Dopo aver completato questa scheda, selezionare Avanti: DNS.

Nella scheda DNS scegliere se usare La zona di DNS privato di Azure selezionando Sì o No per Integra con la zona DNS privata. Se si seleziona Sì, selezionare la sottoscrizione e il gruppo di risorse in cui creare la zona privatelink.wvd.microsoft.comDNS privata. Per altre informazioni, vedere Configurazione DNS dell'endpoint privato di Azure.

Dopo aver completato questa scheda, selezionare Avanti: Tag.
Facoltativo: nella scheda Tag è possibile immettere tutte le coppie nome/valore necessarie, quindi selezionare Avanti: Rivedi e crea.
Nella scheda Rivedi e crea verificare che la convalida superi ed esaminare le informazioni usate durante la distribuzione.
Selezionare Crea per creare l'endpoint privato per la sottoso risorsa feed.

Nella stessa sessione di PowerShell creare una connessione al servizio collegamento privato per un'area di lavoro con la sottosocca del feed eseguendo i comandi seguenti. In questi esempi vengono usati la stessa rete virtuale e la stessa subnet.

# Get the resource ID of the workspace
$workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $workspaceId
    GroupId = 'feed'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

Creare infine l'endpoint privato eseguendo i comandi in uno degli esempi seguenti.

Per creare un endpoint privato con un indirizzo IP allocato dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

Per creare un endpoint privato con un indirizzo IP allocato in modo statico:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create a hash table for each private endpoint IP configuration
$ip1 = @{
    Name = 'ipconfig1'
    GroupId = 'feed'
    MemberName = 'web-r1'
    PrivateIPAddress = '<IPAddress>'
}

$ip2 = @{
    Name = 'ipconfig2'
    GroupId = 'feed'
    MemberName = 'web-r0'
    PrivateIPAddress = '<IPAddress>'
}

# Create the private endpoint IP configurations
$ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
$ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipConfig1, $ipConfig2
}

New-AzPrivateEndpoint @parameters

L'output deve essere simile al seguente. Verificare che il valore di ProvisioningState sia Succeeded.

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-ws01   uksouth  Succeeded

È necessario configurare DNS per l'endpoint privato per risolvere il nome DNS dell'endpoint privato nella rete virtuale. Il nome della zona DNS privato è privatelink.wvd.microsoft.com. Per la procedura per creare e configurare la zona DNS privata con Azure PowerShell, vedere Configurare la zona DNS privata.

Nella stessa sessione dell'interfaccia della riga di comando creare una connessione al servizio collegamento privato e l'endpoint privato per un'area di lavoro con la sottoso risorsa feed eseguendo i comandi seguenti.

Per creare un endpoint privato con un indirizzo IP allocato dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id feed \
    --output table

Per creare un endpoint privato con indirizzi IP allocati in modo statico:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip1={name:ipconfig1,group-id:feed,member-name:web-r1,private-ip-address:<IPAddress>}
ip2={name:ipconfig2,group-id:feed,member-name:web-r0,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id feed \
    --ip-configs [$ip1,$ip2] \
    --output table

L'output deve essere simile al seguente. Verificare che il valore di ProvisioningState sia Succeeded.

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-ws01         Succeeded            privatelink

È necessario configurare DNS per l'endpoint privato per risolvere il nome DNS dell'endpoint privato nella rete virtuale. Il nome della zona DNS privato è privatelink.wvd.microsoft.com. Per la procedura per creare e configurare la zona DNS privata con l'interfaccia della riga di comando di Azure, vedere Configurare la zona DNS privata.

Importante

È necessario creare un endpoint privato per la sottoso risorsa feed per ogni area di lavoro che si vuole usare con collegamento privato.

Individuazione iniziale del feed

Per creare un endpoint privato per la risorsa secondaria globale usata per l'individuazione iniziale del feed, selezionare la scheda pertinente per lo scenario e seguire la procedura.

Importante

Creare un solo endpoint privato per la risorsa secondaria globale per tutte le distribuzioni di Desktop virtuale Azure.
Un endpoint privato per la risorsa secondaria globale di qualsiasi area di lavoro controlla il nome di dominio completo condiviso (FQDN) per l'individuazione iniziale dei feed. Questo a sua volta abilita l'individuazione dei feed per tutte le aree di lavoro. Poiché l'area di lavoro connessa all'endpoint privato è così importante, l'eliminazione causerà l'arresto di tutti i processi di individuazione dei feed. È consigliabile creare un'area di lavoro segnaposto inutilizzata per la risorsa secondaria globale.

Nella panoramica di Desktop virtuale Azure selezionare Aree di lavoro e quindi selezionare il nome di un'area di lavoro da usare per la sottoso risorsa globale.
1. Facoltativo: creare invece un'area di lavoro segnaposto per terminare l'endpoint globale seguendo le istruzioni per creare un'area di lavoro.
Nella panoramica dell'area di lavoro selezionare Rete, quindi Connessioni endpoint privato e infine Nuovo endpoint privato.

Nella scheda Informazioni di base completare le informazioni seguenti:

Parametro	Valore/Descrizione
Abbonamento	Selezionare la sottoscrizione in cui si vuole creare l'endpoint privato nell'elenco a discesa.
Gruppo di risorse	Per impostazione predefinita viene usato lo stesso gruppo di risorse dell'area di lavoro per l'endpoint privato, ma è anche possibile selezionarne uno esistente alternativo nell'elenco a discesa o crearne uno nuovo.
Nome	Immettere un nome per il nuovo endpoint privato.
Nome dell’interfaccia di rete	Il nome dell'interfaccia di rete viene compilato automaticamente in base al nome assegnato all'endpoint privato, ma è anche possibile specificare un nome diverso.
Area geografica	L'impostazione predefinita è la stessa area di Azure dell'area di lavoro ed è la posizione in cui verrà distribuito l'endpoint privato. Deve essere la stessa area della rete virtuale.

Dopo aver completato questa scheda, selezionare Avanti: Risorsa.

Nella scheda Risorsa convalidare i valori per Sottoscrizione, Tipo di risorsa e Risorsa, quindi per Risorsa secondaria di destinazione selezionare globale. Dopo aver completato questa scheda, selezionare Avanti: Rete virtuale.

Nella scheda Rete virtuale completare le informazioni seguenti:

Parametro	Valore/Descrizione
Rete virtuale	Selezionare la rete virtuale in cui si vuole creare l'endpoint privato nell'elenco a discesa.
Subnet	Selezionare la subnet della rete virtuale in cui si vuole creare l'endpoint privato nell'elenco a discesa.
Criteri di rete per gli endpoint privati	Selezionare Modifica se si desidera scegliere un criterio di rete subnet. Per altre informazioni, vedere Gestire i criteri di rete per gli endpoint privati.
Configurazione ip privato	Selezionare Alloca in modo dinamico l'indirizzo IP o Alloca l'indirizzo IP in modo statico. Lo spazio indirizzi proviene dalla subnet selezionata. Se si sceglie di allocare gli indirizzi IP in modo statico, è necessario compilare il nome e l'INDIRIZZO IP privato per ogni membro elencato.
Gruppo di sicurezza delle applicazioni	Facoltativo: selezionare un gruppo di sicurezza dell'applicazione esistente per l'endpoint privato dall'elenco a discesa oppure crearne uno nuovo. È anche possibile aggiungerne uno in un secondo momento.

Dopo aver completato questa scheda, selezionare Avanti: DNS.

Nella scheda DNS scegliere se usare La zona di DNS privato di Azure selezionando Sì o No per Integra con la zona DNS privata. Se si seleziona Sì, selezionare la sottoscrizione e il gruppo di risorse in cui creare la zona privatelink-global.wvd.microsoft.comDNS privata. Per altre informazioni, vedere Configurazione DNS dell'endpoint privato di Azure.

Dopo aver completato questa scheda, selezionare Avanti: Tag.
Facoltativo: nella scheda Tag è possibile immettere tutte le coppie nome/valore necessarie, quindi selezionare Avanti: Rivedi e crea.
Nella scheda Rivedi e crea verificare che la convalida superi ed esaminare le informazioni usate durante la distribuzione.
Selezionare Crea per creare l'endpoint privato per la sottoso risorsa globale.

Facoltativo: creare un'area di lavoro segnaposto per terminare l'endpoint globale seguendo le istruzioni per creare un'area di lavoro.

Nella stessa sessione di PowerShell creare una connessione al servizio collegamento privato per l'area di lavoro con la sottoso risorsa globale eseguendo i comandi seguenti. In questi esempi vengono usati la stessa rete virtuale e la stessa subnet.

# Get the resource ID of the workspace
$workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $workspaceId
    GroupId = 'global'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

Creare infine l'endpoint privato eseguendo i comandi in uno degli esempi seguenti.

Per creare un endpoint privato con un indirizzo IP allocato dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

Per creare un endpoint privato con un indirizzo IP allocato in modo statico:

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

$ip = @{
    Name = '<IPConfigName>'
    GroupId = 'global'
    MemberName = 'web'
    PrivateIPAddress = '<IPAddress>'
}

$ipConfig = New-AzPrivateEndpointIpConfiguration @ip

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipconfig
}

New-AzPrivateEndpoint @parameters

L'output deve essere simile al seguente. Verificare che il valore di ProvisioningState sia Succeeded.

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-global uksouth  Succeeded

È necessario configurare DNS per l'endpoint privato per risolvere il nome DNS dell'endpoint privato nella rete virtuale. Il nome della zona DNS privato è privatelink-global.wvd.microsoft.com. Per la procedura per creare e configurare la zona DNS privata con Azure PowerShell, vedere Configurare la zona DNS privata.

Facoltativo: creare un'area di lavoro segnaposto per terminare l'endpoint globale seguendo le istruzioni per creare un'area di lavoro.

Nella stessa sessione dell'interfaccia della riga di comando creare una connessione al servizio collegamento privato e l'endpoint privato per l'area di lavoro con la sotto-risorsa globale eseguendo i comandi seguenti:

Per creare un endpoint privato con un indirizzo IP allocato dinamicamente:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id global \
    --output table

Per creare un endpoint privato con indirizzi IP allocati in modo statico:

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip={name:ipconfig,group-id:global,member-name:web,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id global \
    --ip-config $ip \
    --output table

L'output deve essere simile al seguente. Verificare che il valore di ProvisioningState sia Succeeded.

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-global       Succeeded            privatelink

È necessario configurare DNS per l'endpoint privato per risolvere il nome DNS dell'endpoint privato nella rete virtuale. Il nome della zona DNS privato è privatelink-global.wvd.microsoft.com. Per la procedura per creare e configurare la zona DNS privata con l'interfaccia della riga di comando di Azure, vedere Configurare la zona DNS privata.

Chiusura delle route pubbliche

Dopo aver creato gli endpoint privati, è anche possibile controllare se il traffico può provenire da route pubbliche. È possibile controllarlo a livello granulare usando Desktop virtuale Azure o in modo più ampio usando un gruppo di sicurezza di rete o Firewall di Azure.

Controllare le route con Desktop virtuale Azure

Con Desktop virtuale Azure è possibile controllare in modo indipendente il traffico pubblico per aree di lavoro e pool di host. Selezionare la scheda pertinente per lo scenario e seguire la procedura. Non è possibile configurare questa configurazione nell'interfaccia della riga di comando di Azure. È necessario ripetere questi passaggi per ogni area di lavoro e pool di host usati con collegamento privato.

Portale
Azure PowerShell

Aree di lavoro

Nella panoramica di Desktop virtuale Azure selezionare Aree di lavoro e quindi selezionare il nome dell'area di lavoro per controllare il traffico pubblico.
Nella panoramica del pool di host selezionare Rete, quindi selezionare la scheda Accesso pubblico .

Selezionare una delle opzioni seguenti:

Impostazione	Descrizione
Abilitare l'accesso pubblico da tutte le reti	Gli utenti finali possono accedere al feed tramite Internet pubblico o gli endpoint privati.
Disabilitare l'accesso pubblico e usare l'accesso privato	Gli utenti finali possono accedere al feed solo tramite gli endpoint privati.

Seleziona Salva.

Pool di host

Nella panoramica di Desktop virtuale Azure selezionare Pool di host e quindi selezionare il nome del pool di host per controllare il traffico pubblico.
Nella panoramica del pool di host selezionare Rete, quindi selezionare la scheda Accesso pubblico .

Selezionare una delle opzioni seguenti:

Impostazione	Descrizione
Abilitare l'accesso pubblico da tutte le reti	Gli utenti finali possono accedere al feed e agli host di sessione in modo sicuro tramite Internet pubblico o gli endpoint privati.
Abilitare l'accesso pubblico per gli utenti finali, usare l'accesso privato per gli host di sessione	Gli utenti finali possono accedere al feed in modo sicuro tramite Internet pubblico, ma devono usare endpoint privati per accedere agli host di sessione.
Disabilitare l'accesso pubblico e usare l'accesso privato	Gli utenti finali possono accedere solo al feed e agli host di sessione tramite gli endpoint privati.

Seleziona Salva.

Importante

Azure PowerShell cmdlet per Desktop virtuale Azure che supportano collegamento privato sono in anteprima. Sarà necessario scaricare e installare la versione di anteprima del modulo Az.DesktopVirtualization per usare questi cmdlet, che sono stati aggiunti nella versione 5.0.0.

Aree di lavoro

Nella stessa sessione di PowerShell è possibile disabilitare l'accesso pubblico e usare l'accesso privato eseguendo il comando seguente:

$parameters = @{
    Name = '<WorkspaceName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Disabled'
}

Update-AzWvdWorkspace @parameters

Per abilitare l'accesso pubblico da tutte le reti, eseguire il comando seguente:

$parameters = @{
    Name = '<WorkspaceName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Enabled'
}

Update-AzWvdWorkspace @parameters

Pool di host

Nella stessa sessione di PowerShell è possibile disabilitare l'accesso pubblico e usare l'accesso privato eseguendo il comando seguente:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Disabled'
}

Update-AzWvdHostPool @parameters

Per abilitare l'accesso pubblico da tutte le reti, eseguire il comando seguente:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Enabled'
}

Update-AzWvdHostPool @parameters

Per usare l'accesso pubblico per gli utenti finali, ma usare l'accesso privato per gli host di sessione, eseguire il comando seguente:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'EnabledForSessionHostsOnly'
}

Update-AzWvdHostPool @parameters

Per usare l'accesso privato per gli utenti finali, ma usare l'accesso pubblico per gli host di sessione, eseguire il comando seguente:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'EnabledForClientsOnly'
}

Update-AzWvdHostPool @parameters

Importante

La modifica dell'accesso per gli host di sessione non influirà sulle sessioni esistenti. Dopo aver modificato un endpoint privato in un pool di host, è necessario riavviare il servizio RdAgentBootLoader (Remote Desktop Agent Loader) in ogni host di sessione nel pool di host. È anche necessario riavviare questo servizio ogni volta che si modifica la configurazione di rete di un pool di host. Anziché riavviare il servizio, è possibile riavviare ogni host di sessione.

Bloccare le route pubbliche con gruppi di sicurezza di rete o Firewall di Azure

Se si usano gruppi di sicurezza di rete o Firewall di Azure per controllare le connessioni dai dispositivi client utente o dagli host di sessione agli endpoint privati, è possibile usare il tag del servizio WindowsVirtualDesktop per bloccare il traffico da Internet pubblico. Se si blocca il traffico Internet pubblico usando questo tag di servizio, tutto il traffico del servizio usa solo route private.

Attenzione

Assicurarsi di non bloccare il traffico tra gli endpoint privati e gli indirizzi nell'elenco degli URL necessari.
Non bloccare determinate porte dai dispositivi client utente o dagli host sessione all'endpoint privato per una risorsa del pool di host usando la sottoso risorsa di connessione . L'intero intervallo di porte dinamiche TCP compreso tra 1 e 65535 per l'endpoint privato è necessario perché il mapping delle porte viene usato per tutti i gateway globali tramite il singolo indirizzo IP dell'endpoint privato corrispondente alla sottoso risorsa di connessione . Se si limitano le porte all'endpoint privato, gli utenti potrebbero non essere in grado di connettersi correttamente a Desktop virtuale Azure.

Convalidare collegamento privato con Desktop virtuale Azure

Dopo aver chiuso le route pubbliche, è necessario verificare che collegamento privato con Desktop virtuale Azure funzioni. A tale scopo, controllare lo stato di connessione di ogni endpoint privato, lo stato degli host sessione e testare che gli utenti possano aggiornare e connettersi alle risorse remote.

Controllare lo stato di connessione di ogni endpoint privato

Per controllare lo stato di connessione di ogni endpoint privato, selezionare la scheda pertinente per lo scenario e seguire la procedura. È consigliabile ripetere questi passaggi per ogni area di lavoro e pool di host usati con collegamento privato.

Aree di lavoro

Nella panoramica di Desktop virtuale Azure selezionare Aree di lavoro e quindi selezionare il nome dell'area di lavoro per cui si vuole controllare lo stato della connessione.
Nella panoramica dell'area di lavoro selezionare Rete, quindi Connessioni endpoint privato.
Per l'endpoint privato elencato, controllare che lo stato della connessione sia Approvato.

Pool di host

Nella panoramica di Desktop virtuale Azure selezionare Pool di host e quindi selezionare il nome del pool di host per cui si vuole controllare lo stato della connessione.
Nella panoramica del pool di host selezionare Rete, quindi Connessioni endpoint private.
Per l'endpoint privato elencato, controllare che lo stato della connessione sia Approvato.

Importante

È necessario usare la versione di anteprima del modulo Az.DesktopVirtualization per eseguire i comandi seguenti. Per altre informazioni e per scaricare e installare il modulo di anteprima, vedere PowerShell Gallery.

Aree di lavoro

Nella stessa sessione di PowerShell eseguire i comandi seguenti per controllare lo stato di connessione di un'area di lavoro:

(Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired

L'output deve essere simile al seguente. Verificare che il valore di PrivateLinkServiceConnectionStateStatus sia Approvato.

Name                                             : endpoint-ws01
PrivateLinkServiceConnectionStateStatus          : Approved
PrivateLinkServiceConnectionStateDescription     : Auto-approved
PrivateLinkServiceConnectionStateActionsRequired : None

Pool di host

Nella stessa sessione di PowerShell eseguire i comandi seguenti per controllare lo stato di connessione di un pool di host:

(Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired

L'output deve essere simile al seguente. Verificare che il valore di PrivateLinkServiceConnectionStateStatus sia Approvato.

Name                                             : endpoint-hp01
PrivateLinkServiceConnectionStateStatus          : Approved
PrivateLinkServiceConnectionStateDescription     : Auto-approved
PrivateLinkServiceConnectionStateActionsRequired : None

Nella stessa sessione dell'interfaccia della riga di comando eseguire i comandi seguenti per controllare lo stato di connessione di un'area di lavoro o di un pool di host:

az network private-endpoint show \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --query "{name:name, privateLinkServiceConnectionStates:privateLinkServiceConnections[].privateLinkServiceConnectionState}"

L'output deve essere simile al seguente. Verificare che il valore per lo stato sia Approvato.

{
  "name": "endpoint-ws01",
  "privateLinkServiceConnectionStates": [
    {
      "actionsRequired": "None",
      "description": "Auto-approved",
      "status": "Approved"
    }
  ]
}

Controllare lo stato degli host di sessione

Controllare lo stato degli host di sessione in Desktop virtuale Azure.
1. Nella panoramica di Desktop virtuale Azure selezionare Pool di host e quindi selezionare il nome del pool di host.
2. Nella sezione Gestisci selezionare Host sessione.
3. Esaminare l'elenco degli host di sessione e verificare che lo stato sia Disponibile.

Verificare che gli utenti possano connettersi

Per verificare che gli utenti possano connettersi alle risorse remote:

Usare il client Desktop remoto e assicurarsi di poter sottoscrivere e aggiornare le aree di lavoro.
Assicurarsi infine che gli utenti possano connettersi a una sessione remota.

Passaggi successivi

Per altre informazioni su come collegamento privato per Desktop virtuale Azure, vedere Usare collegamento privato con Desktop virtuale Azure.
Informazioni su come configurare DNS dell'endpoint privato di Azure in collegamento privato integrazione DNS.
Per le guide alla risoluzione dei problemi generali per collegamento privato, vedere Risolvere i problemi di connettività degli endpoint privati di Azure.
Informazioni sul funzionamento della connettività per il servizio Desktop virtuale Azure nella connettività di rete di Desktop virtuale Azure.
Vedere l'elenco URL obbligatorio per l'elenco di URL che è necessario sbloccare per garantire l'accesso alla rete al servizio Desktop virtuale Azure.

Condividi tramite

Registrare nuovamente il provider di risorse di Desktop virtuale Azure

Registrare collegamento privato con Desktop virtuale Azure (solo Azure per il governo degli Stati Uniti e Azure gestito da 21Vianet)

Registrare nuovamente il provider di risorse di Desktop virtuale Azure

Aree di lavoro

Pool di host

Aree di lavoro

Pool di host

Aree di lavoro

Pool di host

Aree di lavoro

Pool di host

Condividi tramite

Configurare collegamento privato con Desktop virtuale Azure

Prerequisiti

Abilitare collegamento privato con Desktop virtuale Azure in una sottoscrizione

Registrare nuovamente il provider di risorse di Desktop virtuale Azure

Creare endpoint privati

Connections ai pool host

Download del feed

Individuazione iniziale del feed

Chiusura delle route pubbliche

Controllare le route con Desktop virtuale Azure

Aree di lavoro

Pool di host

Bloccare le route pubbliche con gruppi di sicurezza di rete o Firewall di Azure

Convalidare collegamento privato con Desktop virtuale Azure

Controllare lo stato di connessione di ogni endpoint privato

Aree di lavoro

Pool di host

Controllare lo stato degli host di sessione

Verificare che gli utenti possano connettersi

Passaggi successivi

Commenti e suggerimenti

Risorse aggiuntive