Настройка управляемого удостоверения в Виртуальном рабочем столе Azure (предварительная версия)

Важно!

Поддержка управляемых удостоверений для пулов узлов Виртуального рабочего стола Azure в настоящее время доступна в предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не выпущены в общедоступной версии, см. в дополнительных условиях использования предварительных версий Microsoft Azure .

Виртуальный рабочий стол Azure поддерживает назначение разрешений управляемым удостоверениям для ресурсов Azure для функций, которым необходимо выполнять операции azure Resource Manager (ARM) на виртуальных машинах, хранилище ключей и виртуальных сетях в подписке Azure. С помощью управляемого удостоверения можно использовать следующую функцию:

• Обновление узла сеанса (предварительная версия)

Некоторые функции Виртуального рабочего стола Azure не могут использовать управляемое удостоверение. Ниже приведены функции, требующие назначения ролей Azure RBAC для Microsoft Entra ролей субъекту-службе с помощью подхода субъекта-службы Виртуального рабочего стола Azure:

• Присоединение приложения (при использовании Файлы Azure и присоединении узлов сеансов к идентификатору Microsoft Entra).
• Автомасштабирование.
• Запустите виртуальную машину при подключении.

При использовании управляемого удостоверения у вас есть два варианта:

• Управляемое удостоверение, назначаемое системой
• Управляемое удостоверение, назначаемое пользователем

Узнайте больше о различиях между управляемыми удостоверениями, назначаемых системой и пользователем.

Предварительные условия

Чтобы создать и назначить управляемое удостоверение, назначаемое системой пулу узлов, необходимо:

• Существующий пул узлов.

• Учетной записи Azure назначен участник пула узлов виртуализации рабочих столов на область пула узлов или выше.

• Если вы хотите использовать Azure CLI или Azure PowerShell локально, см. статью Использование Azure CLI и Azure PowerShell с Виртуальным рабочим столом Azure, чтобы убедиться, что у вас установлено расширение Azure CLI для desktopvirtualization или модуль Az.DesktopVirtualization PowerShell. Кроме того, используйте Cloud Shell Azure.

Создание и назначение управляемого удостоверения, назначаемого системой

Выберите соответствующую вкладку для своего сценария.

Портал Azure

Вот как создать управляемое удостоверение, назначаемое системой, с помощью портал Azure:

1. Войдите на портал Azure.

2. В строке поиска введите Виртуальный рабочий стол Azure и выберите соответствующую запись службы.

3. Выберите Пулы узлов, а затем выберите имя пула узлов, который требуется настроить.

4. Выберите Удостоверение (предварительная версия).

5. Выберите Назначить управляемое удостоверение , чтобы установить флажок, а затем выберите Управляемое удостоверение, назначаемое системой.

6. Нажмите кнопку Сохранить , чтобы создать и назначить управляемое удостоверение, назначаемое системой.

Azure PowerShell

Вот как создать управляемое удостоверение, назначаемое системой, с Azure PowerShell. Обязательно измените <placeholder> значения для собственных.

1. Откройте azure Cloud Shell в портал Azure с типом терминала PowerShell или запустите PowerShell на локальном устройстве.

   • Если вы используете Cloud Shell, убедитесь, что для контекста Azure задана подписка, которую вы хотите использовать.

   • Если вы используете PowerShell локально, сначала войдите с помощью Azure PowerShell, а затем убедитесь, что для контекста Azure задана подписка, которую вы хотите использовать.

1. Получение текущих значений пула узлов:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   $existingHostPool = Get-AzWvdHostPool @parameters
   

2. New-AzWvdHostPool Выполните команду с теми же сведениями, изменив IdentityType только значение "SystemAssigned". Так как этот пул узлов уже существует, эта команда изменяет IdentityType только свойство :

   $parameters = @{
       Name = $existingHostPool.Name
       ResourceGroupName = $existingHostPool.ResourceGroupName
       Location = $existingHostPool.Location
       HostPoolType = $existingHostPool.HostPoolType
       LoadBalancerType = $existingHostPool.LoadBalancerType
       PreferredAppGroupType = $existingHostPool.PreferredAppGroupType
       IdentityType = 'SystemAssigned'
   }
   
   New-AzWvdHostPool @parameters 
   

3. Чтобы проверка изменения, выполните следующую команду:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   Get-AzWvdHostPool @parameters | Format-Table Name, IdentityType
   

   Выходные данные должны выглядеть примерно так:

   Name        IdentityType
   ----------- ----------------
   contosohp01 SystemAssigned
   

Предварительные условия

Чтобы назначить управляемое удостоверение, назначаемое пользователем, пулу узлов необходимо:

• Существующий пул узлов.

• Назначенная учетная запись Azure:

  1. Участник пула узлов виртуализации рабочих столов на область пула узлов или выше.
  2. Оператор управляемого удостоверения на область управляемого удостоверения или выше.

• Если вы хотите использовать Azure CLI или Azure PowerShell локально, см. статью Использование Azure CLI и Azure PowerShell с Виртуальным рабочим столом Azure, чтобы убедиться, что у вас установлено расширение Azure CLI для desktopvirtualization или модуль Az.DesktopVirtualization PowerShell. Кроме того, используйте Cloud Shell Azure.

Назначение управляемого удостоверения, назначаемого пользователем

Выберите соответствующую вкладку для своего сценария.

Портал Azure

Вот как назначить управляемое удостоверение, назначаемое пользователем, с помощью портал Azure:

1. Войдите на портал Azure.

2. В строке поиска введите Виртуальный рабочий стол Azure и выберите соответствующую запись службы.

3. Выберите Пулы узлов, а затем выберите имя пула узлов, который требуется настроить.

4. Выберите Удостоверение (предварительная версия).

5. Выберите Назначить управляемое удостоверение , чтобы установить флажок, а затем выберите Управляемое удостоверение, назначаемое пользователем.

6. В поле Подписка выберите соответствующую подписку в раскрывающемся меню.

7. Для параметра Существующие управляемые удостоверения, назначаемые пользователем, выберите соответствующее управляемое удостоверение в раскрывающемся меню.

8. Нажмите кнопку Сохранить , чтобы применить новое управляемое удостоверение.

Azure PowerShell

Вот как назначить управляемое удостоверение, назначаемое пользователем, с помощью Azure PowerShell. Обязательно измените <placeholder> значения для собственных.

1. Откройте azure Cloud Shell в портал Azure с типом терминала PowerShell или запустите PowerShell на локальном устройстве.

   • Если вы используете Cloud Shell, убедитесь, что для контекста Azure задана подписка, которую вы хотите использовать.

   • Если вы используете PowerShell локально, сначала войдите с помощью Azure PowerShell, а затем убедитесь, что для контекста Azure задана подписка, которую вы хотите использовать.

1. Получение текущих значений пула узлов:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<HostPoolResourceGroupName>'
   }
   
   $existingHostPool = Get-AzWvdHostPool @parameters
   

2. Получите объект управляемого удостоверения, который вы хотите назначить пулу узлов:

   $parameters = @{
       Name = '<ManagedIdentityName>'
       ResourceGroupName = '<ManagedIdentityResourceGroupName>'
   }
   
   $managedIdentity = Get-AzUserAssignedIdentity @parameters
   

3. New-AzWvdHostPool Выполните команду с теми же сведениями, изменив IdentityType только значение "SystemAssigned". Так как этот пул узлов уже существует, эта команда изменяет IdentityType только свойство :

   $parameters = @{
       Name = $existingHostPool.Name
       ResourceGroupName = $existingHostPool.ResourceGroupName
       Location = $existingHostPool.Location
       HostPoolType = $existingHostPool.HostPoolType
       LoadBalancerType = $existingHostPool.LoadBalancerType
       PreferredAppGroupType = $existingHostPool.PreferredAppGroupType
       IdentityType = 'UserAssigned'
       IdentityUserAssignedIdentity = @{$managedIdentity.Id = @{}}
   }
   
   New-AzWvdHostPool @parameters 
   

4. Чтобы проверка изменения, выполните следующую команду:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   Get-AzWvdHostPool @parameters | Format-Table Name, IdentityType, IdentityUserAssignedIdentity
   

   Выходные данные должны выглядеть примерно так:

   Name        IdentityType     IdentityUserAssignedIdentity
   ----------- ---------------- ----------------------------
   contosohp01 UserAssigned   {...
   

Удаление управляемого удостоверения

Удаление управляемого удостоверения из пула узлов немного отличается в зависимости от типа управляемого удостоверения:

• Назначаемое системой. По завершении удаления Azure автоматически удаляет управляемое удостоверение и все связанные метаданные.
• Назначаемое пользователем. После удаления Azure удаляет связь между пулом узлов и управляемым удостоверением, но не вносит других изменений. Например, он не изменяет разрешения, назначенные управляемому удостоверению.

Важно!

Пулам узлов, настроенным с конфигурацией узла сеансов , потребуется управляемое удостоверение с 1 ноября 2025 г. для добавления узлов сеансов в пул узлов. Это заменяет зависимость от субъекта-службы Виртуального рабочего стола Azure и обеспечивает более безопасную конфигурацию. Дополнительные сведения об использовании управляемых удостоверений с пулами узлов Виртуального рабочего стола Azure.

Выберите соответствующую вкладку для своего сценария.

Портал Azure

Вот как удалить управляемое удостоверение с помощью портал Azure:

1. Войдите на портал Azure.

2. В строке поиска введите Виртуальный рабочий стол Azure и выберите соответствующую запись службы.

3. Выберите Пулы узлов, а затем выберите имя пула узлов, который требуется настроить.

4. Выберите Удостоверение (предварительная версия).

5. Установите флажок Назначить управляемое удостоверение , чтобы снять флажок.

6. Нажмите кнопку Сохранить , чтобы завершить удаление управляемого удостоверения.

Azure PowerShell

Вот как удалить управляемое удостоверение с помощью Azure PowerShell. Обязательно измените <placeholder> значения для собственных.

1. Откройте azure Cloud Shell в портал Azure с типом терминала PowerShell или запустите PowerShell на локальном устройстве.

   • Если вы используете Cloud Shell, убедитесь, что для контекста Azure задана подписка, которую вы хотите использовать.

   • Если вы используете PowerShell локально, сначала войдите с помощью Azure PowerShell, а затем убедитесь, что для контекста Azure задана подписка, которую вы хотите использовать.

1. Получение текущих значений пула узлов:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   $existingHostPool = Get-AzWvdHostPool @parameters
   

2. New-AzWvdHostPool Выполните команду с теми же сведениями, изменив только значение IdentityType "Нет". Так как этот пул узлов уже существует, эта команда изменяет IdentityType только свойство :

   $parameters = @{
       Name = $existingHostPool.Name
       ResourceGroupName = $existingHostPool.ResourceGroupName
       Location = $existingHostPool.Location
       HostPoolType = $existingHostPool.HostPoolType
       LoadBalancerType = $existingHostPool.LoadBalancerType
       PreferredAppGroupType = $existingHostPool.PreferredAppGroupType
       IdentityType = 'None'
   }
   
   New-AzWvdHostPool @parameters 
   

3. Чтобы проверка изменения, выполните следующую команду:

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
   }
   
   Get-AzWvdHostPool @parameters | Format-Table Name, IdentityType
   

   Выходные данные должны выглядеть примерно так:

   Name        IdentityType
   ----------- ----------------
   contosohp01 None
   

Связанные материалы

• Выполните следующие действия, чтобы назначить роли Azure RBAC или Microsoft Entra роли субъекту-службе с помощью подхода к управляемому удостоверению.