Beheerde identiteit configureren in Azure Virtual Desktop (preview)

Belangrijk

Ondersteuning voor beheerde identiteiten voor Azure Virtual Desktop-hostgroepen is momenteel beschikbaar in PREVIEW. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.

Azure Virtual Desktop ondersteunt het toewijzen van machtigingen aan beheerde identiteiten voor Azure-resources voor functies die Arm-bewerkingen (Azure Resource Manager) moeten uitvoeren op virtuele machines, sleutelkluis en virtuele netwerken in het Azure-abonnement. De volgende functie kan een beheerde identiteit gebruiken:

• Sessiehostupdate (preview)

Sommige Azure Virtual Desktop-functies kunnen geen beheerde identiteit gebruiken. De functies waarvoor u Azure RBAC-rollen moet toewijzen voor Microsoft Entra rollen aan een service-principal met behulp van de Azure Virtual Desktop-service-principal-benadering zijn:

• App-koppeling (bij gebruik van Azure Files en uw sessiehosts die zijn gekoppeld aan Microsoft Entra-id).
• Automatisch schalen.
• Vm starten op Verbinding maken.

Wanneer u een beheerde identiteit gebruikt, hebt u twee opties:

• Door het systeem toegewezen beheerde identiteit
• Door de gebruiker toegewezen beheerde identiteit

Meer informatie over de verschillen tussen door het systeem toegewezen en door de gebruiker toegewezen beheerde identiteiten.

Vereisten

Als u een door het systeem toegewezen beheerde identiteit wilt maken en toewijzen aan een hostgroep, hebt u het volgende nodig:

• Een bestaande hostgroep.

• Aan een Azure-account is de inzender van de hostgroep voor desktopvirtualisatie toegewezen binnen het bereik van de hostgroep of hoger.

• Als u Azure CLI of Azure PowerShell lokaal wilt gebruiken, raadpleegt u Azure CLI en Azure PowerShell gebruiken met Azure Virtual Desktop om ervoor te zorgen dat u de Azure CLI-extensie voor desktopvirtualization of de PowerShell-module Az.DesktopVirtualization hebt geïnstalleerd. U kunt ook de Azure Cloud Shell gebruiken.

Een door het systeem toegewezen beheerde identiteit maken en toewijzen

Selecteer het relevante tabblad voor uw scenario.

Azure Portal

U maakt als volgt een door het systeem toegewezen beheerde identiteit met de Azure Portal:

1. Meld u aan bij Azure Portal.

2. Voer in de zoekbalk Azure Virtual Desktop in en selecteer het overeenkomende service-item

3. Selecteer Hostpools en selecteer vervolgens de naam van de hostgroep die u wilt configureren.

4. Selecteer Identiteit (preview).

5. Selecteer Een beheerde identiteit toewijzen zodat het selectievakje is ingeschakeld en selecteer vervolgens Door het systeem toegewezen beheerde identiteit.

6. Selecteer Opslaan om een door het systeem toegewezen beheerde identiteit te maken en toe te wijzen.

Azure PowerShell

U maakt als volgt een door het systeem toegewezen beheerde identiteit met Azure PowerShell. Zorg ervoor dat u de <placeholder> waarden zelf wijzigt.

1. Open Azure Cloud Shell in de Azure Portal met het PowerShell-terminaltype of voer PowerShell uit op uw lokale apparaat.

   • Als u Cloud Shell gebruikt, controleert u of uw Azure-context is ingesteld op het abonnement dat u wilt gebruiken.

   • Als u PowerShell lokaal gebruikt, meldt u zich eerst aan met Azure PowerShell en controleert u of uw Azure-context is ingesteld op het abonnement dat u wilt gebruiken.

1. Haal de huidige waarden van de hostgroep op:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   $existingHostPool = Get-AzWvdHostPool @parameters
   

2. Voer de New-AzWvdHostPool opdracht uit met dezelfde informatie, waarbij u alleen de IdentityType wijzigt in 'SystemAssigned'. Omdat deze hostgroep al bestaat, wordt met deze opdracht alleen de IdentityType eigenschap gewijzigd:

   $parameters = @{
       Name = $existingHostPool.Name
       ResourceGroupName = $existingHostPool.ResourceGroupName
       Location = $existingHostPool.Location
       HostPoolType = $existingHostPool.HostPoolType
       LoadBalancerType = $existingHostPool.LoadBalancerType
       PreferredAppGroupType = $existingHostPool.PreferredAppGroupType
       IdentityType = 'SystemAssigned'
   }
   
   New-AzWvdHostPool @parameters 
   

3. Voer de volgende opdracht uit om de wijzigingen te controleren:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   Get-AzWvdHostPool @parameters | Format-Table Name, IdentityType
   

   De uitvoer moet vergelijkbaar zijn met het volgende voorbeeld:

   Name        IdentityType
   ----------- ----------------
   contosohp01 SystemAssigned
   

Vereisten

Als u een door de gebruiker toegewezen beheerde identiteit wilt toewijzen aan een hostgroep, hebt u het volgende nodig:

• Een bestaande hostgroep.

• Een Toegewezen Azure-account:

  1. Inzender van bureaubladvirtualisatiehostgroep binnen het bereik van de hostgroep of hoger.
  2. Managed Identity Operator binnen het bereik van de beheerde identiteit of hoger.

• Als u Azure CLI of Azure PowerShell lokaal wilt gebruiken, raadpleegt u Azure CLI en Azure PowerShell gebruiken met Azure Virtual Desktop om ervoor te zorgen dat u de Azure CLI-extensie voor desktopvirtualization of de PowerShell-module Az.DesktopVirtualization hebt geïnstalleerd. U kunt ook de Azure Cloud Shell gebruiken.

Een door de gebruiker toegewezen beheerde identiteit toewijzen

Selecteer het relevante tabblad voor uw scenario.

Azure Portal

U kunt als volgt een door de gebruiker toegewezen beheerde identiteit toewijzen met de Azure Portal:

1. Meld u aan bij Azure Portal.

2. Voer in de zoekbalk Azure Virtual Desktop in en selecteer het overeenkomende service-item

3. Selecteer Hostpools en selecteer vervolgens de naam van de hostgroep die u wilt configureren.

4. Selecteer Identiteit (preview).

5. Selecteer Een beheerde identiteit toewijzen zodat het selectievakje is ingeschakeld en selecteer vervolgens Door de gebruiker toegewezen beheerde identiteit.

6. Selecteer bij Abonnement het juiste abonnement in de vervolgkeuzelijst.

7. Voor Bestaande door de gebruiker toegewezen beheerde identiteiten selecteert u de juiste beheerde identiteit in de vervolgkeuzelijst.

8. Selecteer Opslaan om de nieuwe beheerde identiteit toe te passen.

Azure PowerShell

U kunt als volgt een door de gebruiker toegewezen beheerde identiteit toewijzen met Azure PowerShell. Zorg ervoor dat u de <placeholder> waarden zelf wijzigt.

1. Open Azure Cloud Shell in de Azure Portal met het PowerShell-terminaltype of voer PowerShell uit op uw lokale apparaat.

   • Als u Cloud Shell gebruikt, controleert u of uw Azure-context is ingesteld op het abonnement dat u wilt gebruiken.

   • Als u PowerShell lokaal gebruikt, meldt u zich eerst aan met Azure PowerShell en controleert u of uw Azure-context is ingesteld op het abonnement dat u wilt gebruiken.

1. Haal de huidige waarden van de hostgroep op:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<HostPoolResourceGroupName>'
   }
   
   $existingHostPool = Get-AzWvdHostPool @parameters
   

2. Haal het beheerde identiteitsobject op dat u wilt toewijzen aan de hostgroep:

   $parameters = @{
       Name = '<ManagedIdentityName>'
       ResourceGroupName = '<ManagedIdentityResourceGroupName>'
   }
   
   $managedIdentity = Get-AzUserAssignedIdentity @parameters
   

3. Voer de New-AzWvdHostPool opdracht uit met dezelfde informatie, waarbij u alleen de IdentityType wijzigt in 'SystemAssigned'. Omdat deze hostgroep al bestaat, wordt met deze opdracht alleen de IdentityType eigenschap gewijzigd:

   $parameters = @{
       Name = $existingHostPool.Name
       ResourceGroupName = $existingHostPool.ResourceGroupName
       Location = $existingHostPool.Location
       HostPoolType = $existingHostPool.HostPoolType
       LoadBalancerType = $existingHostPool.LoadBalancerType
       PreferredAppGroupType = $existingHostPool.PreferredAppGroupType
       IdentityType = 'UserAssigned'
       IdentityUserAssignedIdentity = @{$managedIdentity.Id = @{}}
   }
   
   New-AzWvdHostPool @parameters 
   

4. Voer de volgende opdracht uit om de wijzigingen te controleren:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   Get-AzWvdHostPool @parameters | Format-Table Name, IdentityType, IdentityUserAssignedIdentity
   

   De uitvoer moet vergelijkbaar zijn met het volgende voorbeeld:

   Name        IdentityType     IdentityUserAssignedIdentity
   ----------- ---------------- ----------------------------
   contosohp01 UserAssigned   {...
   

Een beheerde identiteit verwijderen

Het verwijderen van een beheerde identiteit uit een hostgroep heeft iets ander gedrag, afhankelijk van het identiteitstype van de beheerde identiteit:

• Door het systeem toegewezen: wanneer u de verwijdering hebt voltooid, worden de beheerde identiteit en alle bijbehorende metagegevens automatisch verwijderd.
• Door de gebruiker toegewezen: wanneer u de verwijdering voltooit, verwijdert Azure de koppeling tussen de hostgroep en de beheerde identiteit, maar worden er geen andere wijzigingen aangebracht. Er worden bijvoorbeeld geen machtigingen gewijzigd die zijn toegewezen aan de beheerde identiteit.

Belangrijk

Hostgroepen die zijn geconfigureerd met een sessiehostconfiguratie , hebben vanaf 1 november 2025 een beheerde identiteit nodig om sessiehosts toe te voegen aan de hostgroep. Dit vervangt de afhankelijkheid van de Azure Virtual Desktop-service-principal en maakt een veiligere configuratie mogelijk. Meer informatie over het gebruik van beheerde identiteiten met Azure Virtual Desktop-hostgroepen.

Selecteer het relevante tabblad voor uw scenario.

Azure Portal

U kunt als volgt een beheerde identiteit verwijderen met de Azure Portal:

1. Meld u aan bij Azure Portal.

2. Voer in de zoekbalk Azure Virtual Desktop in en selecteer het overeenkomende service-item

3. Selecteer Hostpools en selecteer vervolgens de naam van de hostgroep die u wilt configureren.

4. Selecteer Identiteit (preview).

5. Selecteer het selectievakje Een beheerde identiteit toewijzen zodat het selectievakje is uitgeschakeld.

6. Selecteer Opslaan om het verwijderen van de beheerde identiteit te voltooien.

Azure PowerShell

U kunt als volgt een beheerde identiteit verwijderen met Azure PowerShell. Zorg ervoor dat u de <placeholder> waarden zelf wijzigt.

1. Open Azure Cloud Shell in de Azure Portal met het PowerShell-terminaltype of voer PowerShell uit op uw lokale apparaat.

   • Als u Cloud Shell gebruikt, controleert u of uw Azure-context is ingesteld op het abonnement dat u wilt gebruiken.

   • Als u PowerShell lokaal gebruikt, meldt u zich eerst aan met Azure PowerShell en controleert u of uw Azure-context is ingesteld op het abonnement dat u wilt gebruiken.

1. Haal de huidige waarden van de hostgroep op:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   $existingHostPool = Get-AzWvdHostPool @parameters
   

2. Voer de New-AzWvdHostPool opdracht uit met dezelfde informatie, waarbij u alleen de IdentityType wijzigt in 'Geen'. Omdat deze hostgroep al bestaat, wordt met deze opdracht alleen de IdentityType eigenschap gewijzigd:

   $parameters = @{
       Name = $existingHostPool.Name
       ResourceGroupName = $existingHostPool.ResourceGroupName
       Location = $existingHostPool.Location
       HostPoolType = $existingHostPool.HostPoolType
       LoadBalancerType = $existingHostPool.LoadBalancerType
       PreferredAppGroupType = $existingHostPool.PreferredAppGroupType
       IdentityType = 'None'
   }
   
   New-AzWvdHostPool @parameters 
   

3. Voer de volgende opdracht uit om de wijzigingen te controleren:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   Get-AzWvdHostPool @parameters | Format-Table Name, IdentityType
   

   De uitvoer moet vergelijkbaar zijn met het volgende voorbeeld:

   Name        IdentityType
   ----------- ----------------
   contosohp01 None
   

Verwante onderwerpen

• Voer de volgende stappen uit om Azure RBAC-rollen toe te wijzen of Microsoft Entra rollen toe te wijzen aan een service-principal met behulp van de benadering voor beheerde identiteiten.