Private Link instellen met Azure Virtual Desktop

In dit artikel wordt beschreven hoe u Private Link instelt met Azure Virtual Desktop om privé verbinding te maken met uw externe resources. Zie Azure Private Link met Azure Virtual Desktop voor meer informatie over het gebruik van Private Link met Azure Virtual Desktop, inclusief beperkingen.

Vereisten

Als u Private Link wilt gebruiken met Azure Virtual Desktop, hebt u het volgende nodig:

• Een bestaande hostgroep met sessiehosts, een toepassingsgroep en werkruimte.

• Een bestaand virtueel netwerk en subnet dat u wilt gebruiken voor privé-eindpunten.

• De vereiste machtigingen voor op rollen gebaseerd toegangsbeheer van Azure om privé-eindpunten te maken.

• Een ondersteunde app op een lokaal apparaat voor toegang tot een externe sessie:

  • Extern bureaublad-app op elk platform. Als u de Extern bureaublad-client voor Windows gebruikt, moet u versie 1.2.4066 of hoger gebruiken om verbinding te maken via een privé-eindpunt.
  • Windows App op macOS of iOS/iPadOS.

• Als u Azure CLI of Azure PowerShell lokaal wilt gebruiken, raadpleegt u Azure CLI en Azure PowerShell gebruiken met Azure Virtual Desktop om ervoor te zorgen dat u de Azure CLI-extensie voor desktopvirtualization of de PowerShell-module Az.DesktopVirtualization hebt geïnstalleerd. U kunt ook de Azure Cloud Shell gebruiken.

• Azure PowerShell cmdlets voor Azure Virtual Desktop die ondersteuning bieden voor Private Link zijn in preview. U moet de preview-versie van de module Az.DesktopVirtualization downloaden en installeren om deze cmdlets te kunnen gebruiken, die zijn toegevoegd in versie 5.0.0.

Private Link inschakelen met Azure Virtual Desktop voor een abonnement

Als u Private Link wilt gebruiken met Azure Virtual Desktop, moet u de resourceprovider Microsoft.DesktopVirtualization opnieuw registreren voor elk abonnement dat u Private Link wilt gebruiken met Azure Virtual Desktop.

Selecteer het relevante tabblad voor uw scenario.

Azure

De Azure Virtual Desktop-resourceprovider opnieuw registreren

Voordat u Private Link met Azure Virtual Desktop kunt gebruiken, moet u de resourceprovider Microsoft.DesktopVirtualization opnieuw registreren. U moet dit doen voor elk abonnement dat u wilt gebruiken voor Private Link met Azure Virtual Desktop:

1. Meld u aan bij Azure Portal.

2. Voer in de zoekbalk Abonnementen in en selecteer de overeenkomende servicevermelding.

3. Selecteer de naam van uw abonnement en selecteer vervolgens resourceproviders in de sectie Instellingen.

4. Zoek en selecteer Microsoft.DesktopVirtualization en selecteer vervolgens Opnieuw registreren.

5. Controleer of de status van Microsoft.DesktopVirtualizationGeregistreerd is.

Azure US Gov en 21Vianet

Registreer Private Link bij Azure Virtual Desktop (alleen Azure voor de Amerikaanse overheid en Azure beheerd door 21Vianet)

Voor Azure for US Government en Azure beheerd door 21Vianet moet u eerst uw Azure-abonnement registreren voor Private Link bij Azure Virtual Desktop:

1. Meld u aan bij Azure Portal.

2. Voer in de zoekbalk Abonnementen in en selecteer de overeenkomende servicevermelding.

3. Selecteer de naam van uw abonnement en selecteer vervolgens in de sectie Instellingende optie Preview-functies.

4. Selecteer de vervolgkeuzelijst voor het filterType en stel deze in op Microsoft.DesktopVirtualization.

5. Selecteer Azure Virtual Desktop Private Link en selecteer vervolgens Registreren.

De Azure Virtual Desktop-resourceprovider opnieuw registreren

Nadat u uw abonnement hebt geregistreerd, moet u de resourceprovider Microsoft.DesktopVirtualization opnieuw registreren. U moet dit doen voor elk abonnement dat u wilt gebruiken voor Private Link met Azure Virtual Desktop:

1. Meld u aan bij Azure Portal.

2. Voer in de zoekbalk Abonnementen in en selecteer de overeenkomende servicevermelding.

3. Selecteer de naam van uw abonnement en selecteer vervolgens resourceproviders in de sectie Instellingen.

4. Zoek en selecteer Microsoft.DesktopVirtualization en selecteer vervolgens Opnieuw registreren.

5. Controleer of de status van Microsoft.DesktopVirtualizationGeregistreerd is.

Privé-eindpunten maken

Tijdens het installatieproces moet u privé-eindpunten maken voor de volgende resources, afhankelijk van uw scenario.

1. Alle onderdelen van de verbinding - initiële feeddetectie, feeddownload en externe sessieverbindingen voor clients en sessiehosts - gebruiken privéroutes. U hebt de volgende privé-eindpunten nodig:

   Doel	Resourcetype	Doelsubresource	Eindpunthoeveelheid
   Connections hostgroepen	Microsoft.DesktopVirtualization/hostpools	verbinding	Eén per hostgroep
   Feed downloaden	Microsoft.DesktopVirtualization/workspaces	voeden	Eén per werkruimte
   Initiële feeddetectie	Microsoft.DesktopVirtualization/workspaces	globaal	Slechts één voor al uw Azure Virtual Desktop-implementaties

2. Feeddownload- en externe sessieverbindingen voor clients en sessiehosts gebruiken privéroutes, maar de eerste feeddetectie maakt gebruik van openbare routes. U hebt de volgende privé-eindpunten nodig. Het eindpunt voor de eerste feeddetectie is niet vereist.

   Doel	Resourcetype	Doelsubresource	Eindpunthoeveelheid
   Connections hostgroepen	Microsoft.DesktopVirtualization/hostpools	verbinding	Eén per hostgroep
   Feed downloaden	Microsoft.DesktopVirtualization/workspaces	voeden	Eén per werkruimte

3. Alleen externe sessieverbindingen voor clients en sessiehosts gebruiken privéroutes, maar initiële feeddetectie en feeddownload gebruiken openbare routes. U hebt de volgende privé-eindpunten nodig. Eindpunten voor werkruimten zijn niet vereist.

   Doel	Resourcetype	Doelsubresource	Eindpunthoeveelheid
   Connections hostgroepen	Microsoft.DesktopVirtualization/hostpools	verbinding	Eén per hostgroep

4. Zowel clients als sessiehost-VM's gebruiken openbare routes. Private Link wordt niet gebruikt in dit scenario.

Belangrijk

• Als u een privé-eindpunt maakt voor de eerste feeddetectie, wordt de gedeelde FQDN (Fully Qualified Domain Name) beheerd door de werkruimte die wordt gebruikt voor de globale subresource, waardoor de eerste detectie van feeds in alle werkruimten wordt vergemakkelijkt. U moet een afzonderlijke werkruimte maken die alleen voor dit doel wordt gebruikt en waarvoor geen toepassingsgroepen zijn geregistreerd. Als u deze werkruimte verwijdert, werken alle feeddetectieprocessen niet meer.

• U kunt de toegang tot de werkruimte die wordt gebruikt voor de eerste feeddetectie (globale subresource) niet beheren. Als u deze werkruimte configureert om alleen privétoegang toe te staan, wordt de instelling genegeerd. Deze werkruimte is altijd toegankelijk via openbare routes.

• IP-adrestoewijzingen kunnen worden gewijzigd naarmate de vraag naar IP-adressen toeneemt. Tijdens capaciteitsuitbreidingen zijn extra adressen nodig voor privé-eindpunten. Het is belangrijk dat u rekening houdt met mogelijke uitputting van de adresruimte en ervoor zorgt dat er voldoende ruimte is voor groei. Zie Beslissingsstructuur voor Private Link implementatie voor meer informatie over het bepalen van de juiste netwerkconfiguratie voor privé-eindpunten in een hub- of spoke-topologie.

Connections hostgroepen

Als u een privé-eindpunt wilt maken voor de subresource van de verbinding voor verbindingen met een hostgroep, selecteert u het relevante tabblad voor uw scenario en volgt u de stappen.

Portal

U maakt als volgt een privé-eindpunt voor de verbindingssubresource voor verbindingen met een hostgroep met behulp van de Azure Portal.

1. Meld u aan bij Azure Portal.

2. Typ Azure Virtual Desktop in de zoekbalk en selecteer de overeenkomende servicevermelding om naar het overzicht van Azure Virtual Desktop te gaan.

3. Selecteer Hostpools en selecteer vervolgens de naam van de hostgroep waarvoor u een verbindingssubbron wilt maken.

4. Selecteer in het overzicht van de hostgroep de optie Netwerken, vervolgens Privé-eindpuntverbindingen en ten slotte Nieuw privé-eindpunt.

5. Vul op het tabblad Basisinformatie de volgende informatie in:

   Parameter	Waarde/beschrijving
   Abonnement	Selecteer het abonnement waarin u het privé-eindpunt wilt maken in de vervolgkeuzelijst.
   Resourcegroep	De standaardinstelling wordt automatisch ingesteld op dezelfde resourcegroep als uw werkruimte voor het privé-eindpunt, maar u kunt ook een alternatieve bestaande groep selecteren in de vervolgkeuzelijst of een nieuwe maken.
   Naam	Voer een naam in voor het nieuwe privé-eindpunt.
   Naam van netwerkinterface	De naam van de netwerkinterface wordt automatisch ingevuld op basis van de naam die u aan het privé-eindpunt hebt gegeven, maar u kunt ook een andere naam opgeven.
   Regio	Dit wordt automatisch standaard ingesteld op dezelfde Azure-regio als de werkruimte en is waar het privé-eindpunt wordt geïmplementeerd. Dit moet dezelfde regio zijn als uw virtuele netwerk en sessiehosts.

   Nadat u dit tabblad hebt voltooid, selecteert u Volgende: Resource.

6. Valideer op het tabblad Resource de waarden voor Abonnement, Resourcetype en Resourceen selecteer verbinding voor Subresource doel. Nadat u dit tabblad hebt voltooid, selecteert u Volgende: Virtual Network.

7. Vul op het tabblad Virtual Network de volgende gegevens in:

   Parameter	Waarde/beschrijving
   Virtueel netwerk	Selecteer het virtuele netwerk waarin u het privé-eindpunt wilt maken in de vervolgkeuzelijst.
   Subnet	Selecteer het subnet van het virtuele netwerk waarin u het privé-eindpunt wilt maken in de vervolgkeuzelijst.
   Netwerkbeleid voor privé-eindpunten	Selecteer Bewerken als u een subnetnetwerkbeleid wilt kiezen. Zie Netwerkbeleid voor privé-eindpunten beheren voor meer informatie.
   Privé-IP-configuratie	Selecteer Ip-adres dynamisch toewijzen of IP-adres statisch toewijzen. De adresruimte is afkomstig van het subnet dat u hebt geselecteerd. Als u ervoor kiest om IP-adressen statisch toe te wijzen, moet u de naam en het privé-IP-adres voor elk vermeld lid invullen.
   Toepassingsbeveiligingsgroep	Optioneel: selecteer een bestaande toepassingsbeveiligingsgroep voor het privé-eindpunt in de vervolgkeuzelijst of maak een nieuwe. U kunt er later ook een toevoegen.

   Nadat u dit tabblad hebt voltooid, selecteert u Volgende: DNS.

8. Kies op het tabblad DNS of u Azure Privé-DNS Zone wilt gebruiken door Ja of Nee te selecteren voor Integreren met privé-DNS-zone. Als u Ja selecteert, selecteert u het abonnement en de resourcegroep waarin u de privé-DNS-zone privatelink.wvd.microsoft.comwilt maken. Zie DNS-configuratie van Azure-privé-eindpunt voor meer informatie.

   Nadat u dit tabblad hebt voltooid, selecteert u Volgende: Tags.

9. Optioneel: op het tabblad Tags kunt u eventuele naam-waardeparen invoeren die u nodig hebt en vervolgens Volgende: Controleren en maken selecteren.

10. Controleer op het tabblad Controleren en maken of de validatie is geslaagd en controleer de informatie die wordt gebruikt tijdens de implementatie.

11. Selecteer Maken om het privé-eindpunt voor de subresource van de verbinding te maken.

Azure PowerShell

U maakt als volgt een privé-eindpunt voor de verbindingssubresource die wordt gebruikt voor verbindingen met een hostgroep met behulp van de PowerShell-modules Az.Network en Az.DesktopVirtualization . Zorg ervoor dat u de <placeholder> waarden zelf wijzigt.

1. Open Azure Cloud Shell in de Azure Portal met het PowerShell-terminaltype of voer PowerShell uit op uw lokale apparaat.

   • Als u Cloud Shell gebruikt, controleert u of uw Azure-context is ingesteld op het abonnement dat u wilt gebruiken.

   • Als u PowerShell lokaal gebruikt, meldt u zich eerst aan met Azure PowerShell en controleert u of uw Azure-context is ingesteld op het abonnement dat u wilt gebruiken.

2. Haal de details op van het virtuele netwerk en subnet dat u wilt gebruiken voor het privé-eindpunt en sla deze op in een variabele door de volgende opdrachten uit te voeren:

   # Get the subnet details for the virtual network
   $subnet = (Get-AzVirtualNetwork -Name <VNetName> -ResourceGroupName <ResourceGroupName>).Subnets | ? Name -eq <SubnetName>
   

3. Maak een Private Link-serviceverbinding voor een hostgroep met de subresource van de verbinding door de volgende opdrachten uit te voeren.

   # Get the resource ID of the host pool
   $hostPoolId = (Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName>).Id
   
   # Create the service connection
   $parameters = @{
       Name = '<ServiceConnectionName>'
       PrivateLinkServiceId = $hostPoolId
       GroupId = 'connection'
   }
   
   $serviceConnection = New-AzPrivateLinkServiceConnection @parameters
   

4. Maak ten slotte het privé-eindpunt door de opdrachten in een van de volgende voorbeelden uit te voeren.

   1. Een privé-eindpunt maken met een dynamisch toegewezen IP-adres:

      # Specify the Azure region. This must be the same region as your virtual network and session hosts.
      $location = '<Location>'
      
      # Create the private endpoint
      $parameters = @{
          Name = '<PrivateEndpointName>'
          ResourceGroupName = '<ResourceGroupName>'
          Location = $location
          Subnet = $subnet
          PrivateLinkServiceConnection = $serviceConnection
      }
      
      New-AzPrivateEndpoint @parameters
      

   2. Een privé-eindpunt maken met statisch toegewezen IP-adressen:

      # Specify the Azure region. This must be the same region as your virtual network and session hosts.
      $location = '<Location>'
      
      # Create a hash table for each private endpoint IP configuration
      $ip1 = @{
          Name = 'ipconfig1'
          GroupId = 'connection'
          MemberName = 'broker'
          PrivateIPAddress = '<IPAddress>'
      }
      
      $ip2 = @{
          Name = 'ipconfig2'
          GroupId = 'connection'
          MemberName = 'diagnostics'
          PrivateIPAddress = '<IPAddress>'
      }
      
      $ip3 = @{
          Name = 'ipconfig3'
          GroupId = 'connection'
          MemberName = 'gateway-ring-map'
          PrivateIPAddress = '<IPAddress>'
      }
      
      $ip4 = @{
          Name = 'ipconfig4'
          GroupId = 'connection'
          MemberName = 'web'
          PrivateIPAddress = '<IPAddress>'
      }
      
      # Create the private endpoint IP configurations
      $ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
      $ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2
      $ipConfig3 = New-AzPrivateEndpointIpConfiguration @ip3
      $ipConfig4 = New-AzPrivateEndpointIpConfiguration @ip4
      
      # Create the private endpoint
      $parameters = @{
          Name = '<PrivateEndpointName>'
          ResourceGroupName = '<ResourceGroupName>'
          Location = $location
          Subnet = $subnet
          PrivateLinkServiceConnection = $serviceConnection
          IpConfiguration = $ipConfig1, $ipConfig2, $ipConfig3, $ipConfig4
      }
      
      New-AzPrivateEndpoint @parameters
      

   De uitvoer moet vergelijkbaar zijn met de volgende uitvoer. Controleer of de waarde voor ProvisioningStategeslaagd is.

   ResourceGroupName Name            Location ProvisioningState Subnet
   ----------------- ----            -------- ----------------- ------
   privatelink       endpoint-hp01   uksouth  Succeeded
   

5. U moet DNS configureren voor uw privé-eindpunt om de DNS-naam van het privé-eindpunt in het virtuele netwerk om te lossen. De naam van de privé-DNS-zone is privatelink.wvd.microsoft.com. Zie De privé-DNS-zone configureren voor de stappen voor het maken en configureren van de privé-DNS-zone met Azure PowerShell.

Azure CLI

U maakt als volgt een privé-eindpunt voor de verbindingssubresource die wordt gebruikt voor verbindingen met een hostgroep met behulp van de netwerk - en bureaubladvirtualisatie-extensies voor Azure CLI.

Belangrijk

In de volgende voorbeelden moet u de <placeholder> waarden zelf wijzigen.

1. Open Azure Cloud Shell in de Azure Portal met het Bash-terminaltype of voer de Azure CLI uit op uw lokale apparaat.

   • Als u Cloud Shell gebruikt, controleert u of uw Azure-context is ingesteld op het abonnement dat u wilt gebruiken.

   • Als u de Azure CLI lokaal gebruikt, meldt u zich eerst aan met de Azure CLI en controleert u of uw Azure-context is ingesteld op het abonnement dat u wilt gebruiken.

2. Maak een Private Link serviceverbinding en het privé-eindpunt voor een hostgroep met de subresource van de verbinding door de opdrachten in een van de volgende voorbeelden uit te voeren.

   1. Een privé-eindpunt maken met een dynamisch toegewezen IP-adres:

      # Specify the Azure region. This must be the same region as your virtual network and session hosts.
      location=<Location>
      
      # Get the resource ID of the host pool
      hostPoolId=$(az desktopvirtualization hostpool show \
          --name <HostPoolName> \
          --resource-group <ResourceGroupName> \
          --query [id] \
          --output tsv)
      
      # Create a service connection and the private endpoint
      az network private-endpoint create \
          --name <PrivateEndpointName> \
          --resource-group <ResourceGroupName> \
          --location $location \
          --vnet-name <VNetName> \
          --subnet <SubnetName> \
          --connection-name <ConnectionName> \
          --private-connection-resource-id $hostPoolId \
          --group-id connection \
          --output table
      

   2. Een privé-eindpunt maken met statisch toegewezen IP-adressen:

      # Specify the Azure region. This must be the same region as your virtual network and session hosts.
      location=<Location>
      
      # Get the resource ID of the host pool
      hostPoolId=$(az desktopvirtualization hostpool show \
          --name <HostPoolName> \
          --resource-group <ResourceGroupName> \
          --query [id] \
          --output tsv)
      
      # Store each private endpoint IP configuration in a variable
      ip1={name:ipconfig1,group-id:connection,member-name:broker,private-ip-address:<IPAddress>}
      ip2={name:ipconfig2,group-id:connection,member-name:diagnostics,private-ip-address:<IPAddress>}
      ip3={name:ipconfig3,group-id:connection,member-name:gateway-ring-map,private-ip-address:<IPAddress>}
      ip4={name:ipconfig4,group-id:connection,member-name:web,private-ip-address:<IPAddress>}
      
      # Create a service connection and the private endpoint
      az network private-endpoint create \
          --name <PrivateEndpointName> \
          --resource-group <ResourceGroupName> \
          --location $location \
          --vnet-name <VNetName> \
          --subnet <SubnetName> \
          --connection-name <ConnectionName> \
          --private-connection-resource-id $hostPoolId \
          --group-id connection \
          --ip-configs [$ip1,$ip2,$ip3,$ip4] \
          --output table
      

   De uitvoer moet vergelijkbaar zijn met de volgende uitvoer. Controleer of de waarde voor ProvisioningStategeslaagd is.

   CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
   ----------------------------  ----------  --------------------  -------------------  ---------------
                                 uksouth     endpoint-hp01         Succeeded            privatelink
   

3. U moet DNS configureren voor uw privé-eindpunt om de DNS-naam van het privé-eindpunt in het virtuele netwerk om te lossen. De naam van de privé-DNS-zone is privatelink.wvd.microsoft.com. Zie De privé-DNS-zone configureren voor de stappen voor het maken en configureren van de privé-DNS-zone met Azure CLI.

Belangrijk

U moet een privé-eindpunt maken voor de subresource van de verbinding voor elke hostgroep die u wilt gebruiken met Private Link.

---

Feed downloaden

Als u een privé-eindpunt wilt maken voor de feedsubresource voor een werkruimte, selecteert u het relevante tabblad voor uw scenario en volgt u de stappen.

Portal

1. Selecteer werkruimten in het overzicht van Azure Virtual Desktop en selecteer vervolgens de naam van de werkruimte waarvoor u een feedsubresource wilt maken.

2. Selecteer in het werkruimteoverzicht de optie Netwerken, vervolgens Privé-eindpuntverbindingen en ten slotte Nieuw privé-eindpunt.

3. Vul op het tabblad Basisinformatie de volgende informatie in:

   Parameter	Waarde/beschrijving
   Abonnement	Selecteer het abonnement waarin u het privé-eindpunt wilt maken in de vervolgkeuzelijst.
   Resourcegroep	De standaardinstelling wordt automatisch ingesteld op dezelfde resourcegroep als uw werkruimte voor het privé-eindpunt, maar u kunt ook een alternatieve bestaande groep selecteren in de vervolgkeuzelijst of een nieuwe maken.
   Naam	Voer een naam in voor het nieuwe privé-eindpunt.
   Naam van netwerkinterface	De naam van de netwerkinterface wordt automatisch ingevuld op basis van de naam die u aan het privé-eindpunt hebt gegeven, maar u kunt ook een andere naam opgeven.
   Regio	Dit wordt automatisch standaard ingesteld op dezelfde Azure-regio als de werkruimte en is waar het privé-eindpunt wordt geïmplementeerd. Dit moet dezelfde regio zijn als uw virtuele netwerk.

   Nadat u dit tabblad hebt voltooid, selecteert u Volgende: Resource.

4. Valideer op het tabblad Resource de waarden voor Abonnement, Resourcetype en Resource en selecteer vervolgens feed voor Subresource doel. Nadat u dit tabblad hebt voltooid, selecteert u Volgende: Virtual Network.

5. Vul op het tabblad Virtual Network de volgende gegevens in:

   Parameter	Waarde/beschrijving
   Virtueel netwerk	Selecteer het virtuele netwerk waarin u het privé-eindpunt wilt maken in de vervolgkeuzelijst.
   Subnet	Selecteer het subnet van het virtuele netwerk waarin u het privé-eindpunt wilt maken in de vervolgkeuzelijst.
   Netwerkbeleid voor privé-eindpunten	Selecteer Bewerken als u een subnetnetwerkbeleid wilt kiezen. Zie Netwerkbeleid voor privé-eindpunten beheren voor meer informatie.
   Privé-IP-configuratie	Selecteer Ip-adres dynamisch toewijzen of IP-adres statisch toewijzen. De adresruimte is afkomstig van het subnet dat u hebt geselecteerd. Als u ervoor kiest om IP-adressen statisch toe te wijzen, moet u de naam en het privé-IP-adres voor elk vermeld lid invullen.
   Toepassingsbeveiligingsgroep	Optioneel: selecteer een bestaande toepassingsbeveiligingsgroep voor het privé-eindpunt in de vervolgkeuzelijst of maak een nieuwe. U kunt er later ook een toevoegen.

   Nadat u dit tabblad hebt voltooid, selecteert u Volgende: DNS.

6. Kies op het tabblad DNS of u Azure Privé-DNS Zone wilt gebruiken door Ja of Nee te selecteren voor Integreren met privé-DNS-zone. Als u Ja selecteert, selecteert u het abonnement en de resourcegroep waarin u de privé-DNS-zone privatelink.wvd.microsoft.comwilt maken. Zie DNS-configuratie van Azure-privé-eindpunt voor meer informatie.

   Nadat u dit tabblad hebt voltooid, selecteert u Volgende: Tags.

7. Optioneel: op het tabblad Tags kunt u eventuele naam-waardeparen invoeren die u nodig hebt en vervolgens Volgende: Controleren en maken selecteren.

8. Controleer op het tabblad Controleren en maken of de validatie is geslaagd en controleer de informatie die wordt gebruikt tijdens de implementatie.

9. Selecteer Maken om het privé-eindpunt voor de subresource van de feed te maken.

Azure PowerShell

1. Maak in dezelfde PowerShell-sessie een Private Link-serviceverbinding voor een werkruimte met de subresource van de feed door de volgende opdrachten uit te voeren. In deze voorbeelden worden hetzelfde virtuele netwerk en subnet gebruikt.

   # Get the resource ID of the workspace
   $workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id
   
   # Create the service connection
   $parameters = @{
       Name = '<ServiceConnectionName>'
       PrivateLinkServiceId = $workspaceId
       GroupId = 'feed'
   }
   
   $serviceConnection = New-AzPrivateLinkServiceConnection @parameters
   

2. Maak ten slotte het privé-eindpunt door de opdrachten in een van de volgende voorbeelden uit te voeren.

   1. Een privé-eindpunt maken met een dynamisch toegewezen IP-adres:

      # Specify the Azure region. This must be the same region as your virtual network.
      $location = '<Location>'
      
      # Create the private endpoint
      $parameters = @{
          Name = '<PrivateEndpointName>'
          ResourceGroupName = '<ResourceGroupName>'
          Location = $location
          Subnet = $subnet
          PrivateLinkServiceConnection = $serviceConnection
      }
      
      New-AzPrivateEndpoint @parameters
      

   2. Een privé-eindpunt maken met een statisch toegewezen IP-adres:

      # Specify the Azure region. This must be the same region as your virtual network.
      $location = '<Location>'
      
      # Create a hash table for each private endpoint IP configuration
      $ip1 = @{
          Name = 'ipconfig1'
          GroupId = 'feed'
          MemberName = 'web-r1'
          PrivateIPAddress = '<IPAddress>'
      }
      
      $ip2 = @{
          Name = 'ipconfig2'
          GroupId = 'feed'
          MemberName = 'web-r0'
          PrivateIPAddress = '<IPAddress>'
      }
      
      # Create the private endpoint IP configurations
      $ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
      $ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2
      
      # Create the private endpoint
      $parameters = @{
          Name = '<PrivateEndpointName>'
          ResourceGroupName = '<ResourceGroupName>'
          Location = $location
          Subnet = $subnet
          PrivateLinkServiceConnection = $serviceConnection
          IpConfiguration = $ipConfig1, $ipConfig2
      }
      
      New-AzPrivateEndpoint @parameters
      

   De uitvoer moet er ongeveer als volgt uitzien. Controleer of de waarde voor ProvisioningStategeslaagd is.

   ResourceGroupName Name            Location ProvisioningState Subnet
   ----------------- ----            -------- ----------------- ------
   privatelink       endpoint-ws01   uksouth  Succeeded
   

3. U moet DNS configureren voor uw privé-eindpunt om de DNS-naam van het privé-eindpunt in het virtuele netwerk om te lossen. De naam van de privé-DNS-zone is privatelink.wvd.microsoft.com. Zie De privé-DNS-zone configureren voor de stappen voor het maken en configureren van de privé-DNS-zone met Azure PowerShell.

Azure CLI

1. Maak in dezelfde CLI-sessie een Private Link-serviceverbinding en het privé-eindpunt voor een werkruimte met de subresource van de feed door de volgende opdrachten uit te voeren.

   1. Een privé-eindpunt maken met een dynamisch toegewezen IP-adres:

      # Specify the Azure region. This must be the same region as your virtual network.
      location=<Location>
      
      # Get the resource ID of the workspace
      workspaceId=$(az desktopvirtualization workspace show \
          --name <WorkspaceName> \
          --resource-group <ResourceGroupName> \
          --query [id] \
          --output tsv)
      
      # Create a service connection and the private endpoint
      az network private-endpoint create \
          --name <PrivateEndpointName> \
          --resource-group <ResourceGroupName> \
          --location $location \
          --vnet-name <VNetName> \
          --subnet <SubnetName> \
          --connection-name <ConnectionName> \
          --private-connection-resource-id $workspaceId \
          --group-id feed \
          --output table
      

   2. Een privé-eindpunt maken met statisch toegewezen IP-adressen:

      # Specify the Azure region. This must be the same region as your virtual network.
      location=<Location>
      
      # Get the resource ID of the workspace
      workspaceId=$(az desktopvirtualization workspace show \
          --name <WorkspaceName> \
          --resource-group <ResourceGroupName> \
          --query [id] \
          --output tsv)
      
      # Store each private endpoint IP configuration in a variable
      ip1={name:ipconfig1,group-id:feed,member-name:web-r1,private-ip-address:<IPAddress>}
      ip2={name:ipconfig2,group-id:feed,member-name:web-r0,private-ip-address:<IPAddress>}
      
      # Create a service connection and the private endpoint
      az network private-endpoint create \
          --name <PrivateEndpointName> \
          --resource-group <ResourceGroupName> \
          --location $location \
          --vnet-name <VNetName> \
          --subnet <SubnetName> \
          --connection-name <ConnectionName> \
          --private-connection-resource-id $workspaceId \
          --group-id feed \
          --ip-configs [$ip1,$ip2] \
          --output table
      

   De uitvoer moet er ongeveer als volgt uitzien. Controleer of de waarde voor ProvisioningStategeslaagd is.

   CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
   ----------------------------  ----------  --------------------  -------------------  ---------------
                                 uksouth     endpoint-ws01         Succeeded            privatelink
   

2. U moet DNS configureren voor uw privé-eindpunt om de DNS-naam van het privé-eindpunt in het virtuele netwerk om te lossen. De naam van de privé-DNS-zone is privatelink.wvd.microsoft.com. Zie De privé-DNS-zone configureren voor de stappen voor het maken en configureren van de privé-DNS-zone met Azure CLI.

Belangrijk

U moet een privé-eindpunt maken voor de feedsubresource voor elke werkruimte die u wilt gebruiken met Private Link.

Initiële feeddetectie

Als u een privé-eindpunt wilt maken voor de globale subresource die wordt gebruikt voor de eerste feeddetectie, selecteert u het relevante tabblad voor uw scenario en volgt u de stappen.

Belangrijk

• Maak slechts één privé-eindpunt voor de globale subresource voor al uw Azure Virtual Desktop-implementaties.

• Een privé-eindpunt voor de globale subresource van een werkruimte bepaalt de FQDN (Fully Qualified Domain Name) voor de eerste feeddetectie. Hierdoor wordt feeddetectie voor alle werkruimten ingeschakeld. Omdat de werkruimte die is verbonden met het privé-eindpunt zo belangrijk is, zal het verwijderen ervan ertoe leiden dat alle feeddetectieprocessen niet meer werken. U wordt aangeraden een ongebruikte tijdelijke werkruimte te maken voor de globale subresource.

Portal

1. Selecteer werkruimten in het overzicht van Azure Virtual Desktop en selecteer vervolgens de naam van een werkruimte die u wilt gebruiken voor de globale subresource.

   1. Optioneel: maak in plaats daarvan een tijdelijke werkruimte om het globale eindpunt te beëindigen door de instructies voor Het maken van een werkruimte te volgen.

2. Selecteer in het werkruimteoverzicht de optie Netwerken, vervolgens Privé-eindpuntverbindingen en ten slotte Nieuw privé-eindpunt.

3. Vul op het tabblad Basisinformatie de volgende informatie in:

   Parameter	Waarde/beschrijving
   Abonnement	Selecteer het abonnement waarin u het privé-eindpunt wilt maken in de vervolgkeuzelijst.
   Resourcegroep	De standaardinstelling wordt automatisch ingesteld op dezelfde resourcegroep als uw werkruimte voor het privé-eindpunt, maar u kunt ook een alternatieve bestaande groep selecteren in de vervolgkeuzelijst of een nieuwe maken.
   Naam	Voer een naam in voor het nieuwe privé-eindpunt.
   Naam van netwerkinterface	De naam van de netwerkinterface wordt automatisch ingevuld op basis van de naam die u aan het privé-eindpunt hebt gegeven, maar u kunt ook een andere naam opgeven.
   Regio	Dit wordt automatisch standaard ingesteld op dezelfde Azure-regio als de werkruimte en is waar het privé-eindpunt wordt geïmplementeerd. Dit moet dezelfde regio zijn als uw virtuele netwerk.

   Nadat u dit tabblad hebt voltooid, selecteert u Volgende: Resource.

4. Valideer op het tabblad Resource de waarden voor Abonnement, Resourcetype en Resource en selecteer vervolgens globaal voor Subresource doel. Nadat u dit tabblad hebt voltooid, selecteert u Volgende: Virtual Network.

5. Vul op het tabblad Virtual Network de volgende gegevens in:

   Parameter	Waarde/beschrijving
   Virtueel netwerk	Selecteer het virtuele netwerk waarin u het privé-eindpunt wilt maken in de vervolgkeuzelijst.
   Subnet	Selecteer het subnet van het virtuele netwerk waarin u het privé-eindpunt wilt maken in de vervolgkeuzelijst.
   Netwerkbeleid voor privé-eindpunten	Selecteer Bewerken als u een subnetnetwerkbeleid wilt kiezen. Zie Netwerkbeleid voor privé-eindpunten beheren voor meer informatie.
   Privé-IP-configuratie	Selecteer Ip-adres dynamisch toewijzen of IP-adres statisch toewijzen. De adresruimte is afkomstig van het subnet dat u hebt geselecteerd. Als u ervoor kiest om IP-adressen statisch toe te wijzen, moet u de naam en het privé-IP-adres voor elk vermeld lid invullen.
   Toepassingsbeveiligingsgroep	Optioneel: selecteer een bestaande toepassingsbeveiligingsgroep voor het privé-eindpunt in de vervolgkeuzelijst of maak een nieuwe. U kunt er later ook een toevoegen.

   Nadat u dit tabblad hebt voltooid, selecteert u Volgende: DNS.

6. Kies op het tabblad DNS of u Azure Privé-DNS Zone wilt gebruiken door Ja of Nee te selecteren voor Integreren met privé-DNS-zone. Als u Ja selecteert, selecteert u het abonnement en de resourcegroep waarin u de privé-DNS-zone privatelink-global.wvd.microsoft.comwilt maken. Zie DNS-configuratie van Azure-privé-eindpunt voor meer informatie.

   Nadat u dit tabblad hebt voltooid, selecteert u Volgende: Tags.

7. Optioneel: op het tabblad Tags kunt u eventuele naam-waardeparen invoeren die u nodig hebt en vervolgens Volgende: Controleren en maken selecteren.

8. Controleer op het tabblad Controleren en maken of de validatie is geslaagd en controleer de informatie die wordt gebruikt tijdens de implementatie.

9. Selecteer Maken om het privé-eindpunt voor de globale subresource te maken.

Azure PowerShell

1. Optioneel: maak een tijdelijke werkruimte om het globale eindpunt te beëindigen door de instructies voor Het maken van een werkruimte te volgen.

2. Maak in dezelfde PowerShell-sessie een Private Link-serviceverbinding voor de werkruimte met de globale subresource door de volgende opdrachten uit te voeren. In deze voorbeelden worden hetzelfde virtuele netwerk en subnet gebruikt.

   # Get the resource ID of the workspace
   $workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id
   
   # Create the service connection
   $parameters = @{
       Name = '<ServiceConnectionName>'
       PrivateLinkServiceId = $workspaceId
       GroupId = 'global'
   }
   
   $serviceConnection = New-AzPrivateLinkServiceConnection @parameters
   

3. Maak ten slotte het privé-eindpunt door de opdrachten in een van de volgende voorbeelden uit te voeren.

   1. Een privé-eindpunt maken met een dynamisch toegewezen IP-adres:

      # Specify the Azure region. This must be the same region as your virtual network.
      $location = '<Location>'
      
      # Create the private endpoint
      $parameters = @{
          Name = '<PrivateEndpointName>'
          ResourceGroupName = '<ResourceGroupName>'
          Location = $location
          Subnet = $subnet
          PrivateLinkServiceConnection = $serviceConnection
      }
      
      New-AzPrivateEndpoint @parameters
      

   2. Een privé-eindpunt maken met een statisch toegewezen IP-adres:

      # Specify the Azure region. This must be the same region as your virtual network.
      $location = '<Location>'
      
      $ip = @{
          Name = '<IPConfigName>'
          GroupId = 'global'
          MemberName = 'web'
          PrivateIPAddress = '<IPAddress>'
      }
      
      $ipConfig = New-AzPrivateEndpointIpConfiguration @ip
      
      # Create the private endpoint
      $parameters = @{
          Name = '<PrivateEndpointName>'
          ResourceGroupName = '<ResourceGroupName>'
          Location = $location
          Subnet = $subnet
          PrivateLinkServiceConnection = $serviceConnection
          IpConfiguration = $ipconfig
      }
      
      New-AzPrivateEndpoint @parameters
      

   De uitvoer moet er ongeveer als volgt uitzien. Controleer of de waarde voor ProvisioningStategeslaagd is.

   ResourceGroupName Name            Location ProvisioningState Subnet
   ----------------- ----            -------- ----------------- ------
   privatelink       endpoint-global uksouth  Succeeded
   

4. U moet DNS configureren voor uw privé-eindpunt om de DNS-naam van het privé-eindpunt in het virtuele netwerk om te lossen. De naam van de privé-DNS-zone is privatelink-global.wvd.microsoft.com. Zie De privé-DNS-zone configureren voor de stappen voor het maken en configureren van de privé-DNS-zone met Azure PowerShell.

Azure CLI

1. Optioneel: maak een tijdelijke werkruimte om het globale eindpunt te beëindigen door de instructies voor Het maken van een werkruimte te volgen.

2. Maak in dezelfde CLI-sessie een Private Link-serviceverbinding en het privé-eindpunt voor de werkruimte met de globale subresource door de volgende opdrachten uit te voeren:

   1. Een privé-eindpunt maken met een dynamisch toegewezen IP-adres:

      # Specify the Azure region. This must be the same region as your virtual network.
      location=<Location>
      
      # Get the resource ID of the workspace
      workspaceId=$(az desktopvirtualization workspace show \
          --name <WorkspaceName> \
          --resource-group <ResourceGroupName> \
          --query [id] \
          --output tsv)
      
      # Create a service connection and the private endpoint
      az network private-endpoint create \
          --name <PrivateEndpointName> \
          --resource-group <ResourceGroupName> \
          --location $location \
          --vnet-name <VNetName> \
          --subnet <SubnetName> \
          --connection-name <ConnectionName> \
          --private-connection-resource-id $workspaceId \
          --group-id global \
          --output table
      

   2. Een privé-eindpunt maken met statisch toegewezen IP-adressen:

      # Specify the Azure region. This must be the same region as your virtual network.
      location=<Location>
      
      # Get the resource ID of the workspace
      workspaceId=$(az desktopvirtualization workspace show \
          --name <WorkspaceName> \
          --resource-group <ResourceGroupName> \
          --query [id] \
          --output tsv)
      
      # Store each private endpoint IP configuration in a variable
      ip={name:ipconfig,group-id:global,member-name:web,private-ip-address:<IPAddress>}
      
      # Create a service connection and the private endpoint
      az network private-endpoint create \
          --name <PrivateEndpointName> \
          --resource-group <ResourceGroupName> \
          --location $location \
          --vnet-name <VNetName> \
          --subnet <SubnetName> \
          --connection-name <ConnectionName> \
          --private-connection-resource-id $workspaceId \
          --group-id global \
          --ip-config $ip \
          --output table
      

   De uitvoer moet er ongeveer als volgt uitzien. Controleer of de waarde voor ProvisioningStategeslaagd is.

   CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
   ----------------------------  ----------  --------------------  -------------------  ---------------
                                 uksouth     endpoint-global       Succeeded            privatelink
   

3. U moet DNS configureren voor uw privé-eindpunt om de DNS-naam van het privé-eindpunt in het virtuele netwerk om te lossen. De naam van de privé-DNS-zone is privatelink-global.wvd.microsoft.com. Zie De privé-DNS-zone configureren voor de stappen voor het maken en configureren van de privé-DNS-zone met Azure CLI.

Openbare routes sluiten

Nadat u privé-eindpunten hebt gemaakt, kunt u ook bepalen of verkeer afkomstig is van openbare routes. U kunt dit op gedetailleerd niveau beheren met behulp van Azure Virtual Desktop, of meer in het algemeen met behulp van een netwerkbeveiligingsgroep (NSG) of Azure Firewall.

Routes beheren met Azure Virtual Desktop

Met Azure Virtual Desktop kunt u openbaar verkeer voor werkruimten en hostgroepen onafhankelijk beheren. Selecteer het relevante tabblad voor uw scenario en volg de stappen. U kunt dit niet configureren in Azure CLI. U moet deze stappen herhalen voor elke werkruimte en hostgroep die u gebruikt met Private Link.

Portal

Werkruimten

1. Selecteer werkruimten in het overzicht van Azure Virtual Desktop en selecteer vervolgens de naam van de werkruimte om openbaar verkeer te beheren.

2. Selecteer netwerken in het overzicht van de hostgroep en selecteer vervolgens het tabblad Openbare toegang .

3. Selecteer een van de volgende opties:

   Instelling	Beschrijving
   Openbare toegang vanuit alle netwerken inschakelen	Eindgebruikers hebben toegang tot de feed via het openbare internet of de privé-eindpunten.
   Openbare toegang uitschakelen en privétoegang gebruiken	Eindgebruikers hebben alleen toegang tot de feed via de privé-eindpunten.

4. Klik op Opslaan.

Hostpools

1. Selecteer in het overzicht van Azure Virtual Desktop de optie Hostpools en selecteer vervolgens de naam van de hostgroep om openbaar verkeer te beheren.

2. Selecteer netwerken in het overzicht van de hostgroep en selecteer vervolgens het tabblad Openbare toegang .

3. Selecteer een van de volgende opties:

   Instelling	Beschrijving
   Openbare toegang vanuit alle netwerken inschakelen	Eindgebruikers hebben veilig toegang tot de feed- en sessiehosts via het openbare internet of de privé-eindpunten.
   Openbare toegang inschakelen voor eindgebruikers, privétoegang gebruiken voor sessiehosts	Eindgebruikers hebben veilig toegang tot de feed via het openbare internet, maar moeten privé-eindpunten gebruiken om toegang te krijgen tot sessiehosts.
   Openbare toegang uitschakelen en privétoegang gebruiken	Eindgebruikers hebben alleen toegang tot de feed- en sessiehosts via de privé-eindpunten.

4. Klik op Opslaan.

Azure PowerShell

Belangrijk

Azure PowerShell cmdlets voor Azure Virtual Desktop die ondersteuning bieden voor Private Link zijn in preview. U moet de preview-versie van de module Az.DesktopVirtualization downloaden en installeren om deze cmdlets te kunnen gebruiken, die zijn toegevoegd in versie 5.0.0.

Werkruimten

1. In dezelfde PowerShell-sessie kunt u openbare toegang uitschakelen en persoonlijke toegang gebruiken door de volgende opdracht uit te voeren:

   $parameters = @{
       Name = '<WorkspaceName>'
       ResourceGroupName = '<ResourceGroupName>'
       PublicNetworkAccess = 'Disabled'
   }
   
   Update-AzWvdWorkspace @parameters
   

2. Voer de volgende opdracht uit om openbare toegang vanuit alle netwerken in te schakelen:

   $parameters = @{
       Name = '<WorkspaceName>'
       ResourceGroupName = '<ResourceGroupName>'
       PublicNetworkAccess = 'Enabled'
   }
   
   Update-AzWvdWorkspace @parameters
   

Hostpools

1. In dezelfde PowerShell-sessie kunt u openbare toegang uitschakelen en persoonlijke toegang gebruiken door de volgende opdracht uit te voeren:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
       PublicNetworkAccess = 'Disabled'
   }
   
   Update-AzWvdHostPool @parameters 
   

2. Voer de volgende opdracht uit om openbare toegang vanuit alle netwerken in te schakelen:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
       PublicNetworkAccess = 'Enabled'
   }
   
   Update-AzWvdHostPool @parameters
   

3. Als u openbare toegang wilt gebruiken voor eindgebruikers, maar privétoegang wilt gebruiken voor sessiehosts, voert u de volgende opdracht uit:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
       PublicNetworkAccess = 'EnabledForSessionHostsOnly'
   }
   
   Update-AzWvdHostPool @parameters
   

4. Als u privétoegang wilt gebruiken voor eindgebruikers, maar openbare toegang wilt gebruiken voor sessiehosts, voert u de volgende opdracht uit:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
       PublicNetworkAccess = 'EnabledForClientsOnly'
   }
   
   Update-AzWvdHostPool @parameters
   

Belangrijk

Het wijzigen van de toegang voor sessiehosts heeft geen invloed op bestaande sessies. Nadat u een privé-eindpunt hebt gewijzigd in een hostgroep, moet u de extern bureaublad-agentlader (RDAgentBootLoader) opnieuw starten op elke sessiehost in de hostgroep. U moet deze service ook opnieuw starten wanneer u de netwerkconfiguratie van een hostgroep wijzigt. In plaats van de service opnieuw te starten, kunt u elke sessiehost opnieuw starten.

Openbare routes blokkeren met netwerkbeveiligingsgroepen of Azure Firewall

Als u netwerkbeveiligingsgroepen of Azure Firewall gebruikt om verbindingen van clientapparaten van gebruikers of sessiehosts naar de privé-eindpunten te beheren, kunt u de servicetag WindowsVirtualDesktop gebruiken om verkeer van het openbare internet te blokkeren. Als u openbaar internetverkeer blokkeert met behulp van deze servicetag, gebruikt al het serviceverkeer alleen privéroutes.

Voorzichtigheid

• Zorg ervoor dat u geen verkeer blokkeert tussen uw privé-eindpunten en de adressen in de lijst met vereiste URL's.

• Blokkeer niet bepaalde poorten van de clientapparaten van de gebruiker of uw sessiehosts naar het privé-eindpunt voor een hostgroepresource met behulp van de subresource van de verbinding . Het volledige dynamische TCP-poortbereik van 1 - 65535 naar het privé-eindpunt is vereist omdat poorttoewijzing wordt gebruikt aan alle globale gateways via het IP-adres van één privé-eindpunt dat overeenkomt met de subresource van de verbinding. Als u poorten beperkt tot het privé-eindpunt, kunnen uw gebruikers mogelijk geen verbinding maken met Azure Virtual Desktop.

Private Link valideren met Azure Virtual Desktop

Zodra u openbare routes hebt gesloten, moet u controleren of Private Link met Azure Virtual Desktop werkt. U kunt dit doen door de verbindingsstatus van elk privé-eindpunt, de status van uw sessiehosts te controleren en te testen of uw gebruikers kunnen vernieuwen en verbinding kunnen maken met hun externe resources.

De verbindingsstatus van elk privé-eindpunt controleren

Als u de verbindingsstatus van elk privé-eindpunt wilt controleren, selecteert u het relevante tabblad voor uw scenario en volgt u de stappen. Herhaal deze stappen voor elke werkruimte en hostgroep die u gebruikt met Private Link.

Portal

Werkruimten

1. Selecteer in het overzicht van Azure Virtual Desktop de optie Werkruimten en selecteer vervolgens de naam van de werkruimte waarvoor u de verbindingsstatus wilt controleren.

2. Selecteer in het werkruimteoverzicht de optie Netwerken en vervolgens Privé-eindpuntverbindingen.

3. Voor het vermelde privé-eindpunt controleert u de verbindingsstatusGoedgekeurd.

Hostpools

1. Selecteer in het overzicht van Azure Virtual Desktop de optie Hostpools en selecteer vervolgens de naam van de hostgroep waarvoor u de verbindingsstatus wilt controleren.

2. Selecteer in het overzicht van de hostgroep de optie Netwerken en vervolgens Privé-eindpuntverbindingen.

3. Voor het vermelde privé-eindpunt controleert u de verbindingsstatusGoedgekeurd.

Azure PowerShell

Belangrijk

U moet de preview-versie van de module Az.DesktopVirtualization gebruiken om de volgende opdrachten uit te voeren. Zie PowerShell Gallery voor meer informatie en voor het downloaden en installeren van de preview-module.

Werkruimten

1. Voer in dezelfde PowerShell-sessie de volgende opdrachten uit om de verbindingsstatus van een werkruimte te controleren:

   (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired
   

   De uitvoer moet er ongeveer als volgt uitzien. Controleer of de waarde voor PrivateLinkServiceConnectionStateStatusGoedgekeurd is.

   Name                                             : endpoint-ws01
   PrivateLinkServiceConnectionStateStatus          : Approved
   PrivateLinkServiceConnectionStateDescription     : Auto-approved
   PrivateLinkServiceConnectionStateActionsRequired : None
   

Hostpools

1. Voer in dezelfde PowerShell-sessie de volgende opdrachten uit om de verbindingsstatus van een hostgroep te controleren:

   (Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired
   

   De uitvoer moet er ongeveer als volgt uitzien. Controleer of de waarde voor PrivateLinkServiceConnectionStateStatusGoedgekeurd is.

   Name                                             : endpoint-hp01
   PrivateLinkServiceConnectionStateStatus          : Approved
   PrivateLinkServiceConnectionStateDescription     : Auto-approved
   PrivateLinkServiceConnectionStateActionsRequired : None
   
   

Azure CLI

1. Voer in dezelfde CLI-sessie de volgende opdrachten uit om de verbindingsstatus van een werkruimte of hostgroep te controleren:

   az network private-endpoint show \
       --name <PrivateEndpointName> \
       --resource-group <ResourceGroupName> \
       --query "{name:name, privateLinkServiceConnectionStates:privateLinkServiceConnections[].privateLinkServiceConnectionState}"
   

   De uitvoer moet er ongeveer als volgt uitzien. Controleer of de waarde voor statusGoedgekeurd is.

   {
     "name": "endpoint-ws01",
     "privateLinkServiceConnectionStates": [
       {
         "actionsRequired": "None",
         "description": "Auto-approved",
         "status": "Approved"
       }
     ]
   }
   

De status van uw sessiehosts controleren

1. Controleer de status van uw sessiehosts in Azure Virtual Desktop.

   1. Selecteer in het overzicht van Azure Virtual Desktop de optie Hostpools en selecteer vervolgens de naam van de hostgroep.

   2. Selecteer sessiehosts in de sectie Beheren.

   3. Bekijk de lijst met sessiehosts en controleer of hun status Beschikbaar is.

Controleer of uw gebruikers verbinding kunnen maken

Ga als volgende te werk om te testen of uw gebruikers verbinding kunnen maken met hun externe resources:

1. Gebruik de Extern bureaublad-client en zorg ervoor dat u zich kunt abonneren op werkruimten en deze kunt vernieuwen.

2. Zorg er ten slotte voor dat uw gebruikers verbinding kunnen maken met een externe sessie.

Volgende stappen

• Meer informatie over hoe Private Link voor Azure Virtual Desktop vindt u in Private Link gebruiken met Azure Virtual Desktop.

• Meer informatie over het configureren van AZURE Private Endpoint DNS op Private Link DNS-integratie.

• Zie Verbindingsproblemen met azure-privé-eindpunten oplossen voor algemene probleemoplossingsgidsen voor Private Link.

• Meer informatie over hoe connectiviteit voor de Azure Virtual Desktop-service werkt bij Azure Virtual Desktop-netwerkconnectiviteit.

• Zie de lijst Vereiste URL voor de lijst met URL's die u moet deblokkeren om netwerktoegang tot de Azure Virtual Desktop-service te garanderen.