你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

设置 Azure 虚拟桌面的 Azure 专用链接

本文介绍如何设置 Azure 虚拟桌面的专用链接，以私密方式连接到远程资源。 有关使用 Azure 虚拟桌面的专用链接的详细信息（包括限制），请参阅使用 Azure 虚拟桌面的 Azure 专用链接。

先决条件

若要使用 Azure 虚拟桌面的专用链接，需要具备以下内容：

• 具有会话主机、应用程序组和工作区的现有主机池。

• 要用于专用终结点的现有虚拟网络和子网。

• 创建专用终结点所需的 Azure 基于角色的访问控制权限。

• 如果使用适用于 Windows 的远程桌面客户端，则必须使用版本 1.2.4066 或更高版本才能使用专用终结点进行连接。

• 如果要在本地使用 Azure CLI 或 Azure PowerShell，请参阅将 Azure CLI 和 Azure PowerShell 与 Azure 虚拟桌面配合使用，确保已安装 desktopvirtualization Azure CLI 扩展或 Az.DesktopVirtualization PowerShell 模块。 或者，也可以使用 Azure Cloud Shell。

• 支持专用链接的适用于 Azure 虚拟桌面的 Azure PowerShell cmdlet 处于预览状态。 需要下载并安装 Az.DesktopVirtualization 模块的预览版才能使用这些 cmdlet，这些 cmdlet 已添加到版本 5.0.0 中。

启用功能

若要将专用链接与 Azure 虚拟桌面配合使用，需要在要对 Azure 虚拟桌面使用专用链接的每个订阅上重新注册 Microsoft.DesktopVirtualization 资源提供程序。

重要

对于由世纪互联运营的 Azure US Gov 和 Azure，还需要为每个订阅注册该功能。

注册此功能（仅限世纪互联运营的 Azure US Gov 和 Azure）

若要注册 Azure 虚拟桌面专用链接功能：

1. 登录 Azure 门户。

2. 在搜索框中，输入“订阅”并选择匹配的服务条目。

3. 选择订阅的名称，然后在“设置”部分选择“预览功能”。

4. 选择“类型”筛选器的下拉列表，并将其设为 Microsoft.DesktopVirtualization。

5. 选择“Azure 虚拟桌面专用链接”，然后选择“注册”。

重新注册资源提供程序

若要重新注册 Microsoft.DesktopVirtualization 资源提供程序：

1. 登录 Azure 门户。

2. 在搜索框中，输入“订阅”并选择匹配的服务条目。

3. 选择订阅的名称，然后在“设置”部分选择“资源提供程序”。

4. 搜索并选择“Microsoft.DesktopVirtualization”，然后选择“重新注册”。

5. 验证 Microsoft.DesktopVirtualization 的状态是否为 Registered。

创建专用终结点

在设置过程中，你需要为以下资源创建专用终结点：

目的	资源类型	目标子资源	数量	专用 DNS 区域名称
与主机池的连接	Microsoft.DesktopVirtualization/hostpools	连接	每个主机池一个终结点	privatelink.wvd.microsoft.com
源下载	Microsoft.DesktopVirtualization/workspaces	feed	每个工作区一个终结点	privatelink.wvd.microsoft.com
初始源发现	Microsoft.DesktopVirtualization/workspaces	全局	仅需一个，可用于你的所有 Azure 虚拟桌面部署	privatelink-global.wvd.microsoft.com

与主机池的连接

若要为用于连接到主机池的连接子资源创建专用终结点，请选择你的方案的相关选项卡，并按照步骤操作。

Portal

下面介绍如何使用 Azure 门户为用于连接到主机池的连接子资源创建专用终结点。

1. 登录 Azure 门户。

2. 在搜索栏中，键入“Azure 虚拟桌面”，然后选择匹配的服务条目以转到 Azure 虚拟桌面概述。

3. 选择“主机池”，然后选择要为其创建连接子资源的主机池的名称。

4. 在主机池概述中，依次选择“网络”、“专用终结点连接”和“新建专用终结点”。

5. 在“基本信息”选项卡上，完成以下信息：

   参数	值/说明
   订阅	从下拉列表中选择要在其中创建专用终结点的订阅。
   资源组	这会自动默认为专用终结点的工作区所在的同一资源组，但你也可以从下拉列表中选择另一个现有资源组，或创建新资源组。
   名称	输入新专用终结点的名称。
   网络接口名称	网络接口名称会根据你为专用终结点提供的名称自动填充，但你也可以指定其他名称。
   区域	这会自动默认为与工作区相同的 Azure 区域，并且是专用终结点的部署位置。 此区域必须与你的虚拟网络和会话主机相同。

   完成此选项卡后，选择“下一步: 资源”。

6. 在“资源”选项卡上，验证“订阅”、“资源类型”和“资源”的值，然后为“目标子资源”选择“连接”。 完成此选项卡后，选择“下一步: 虚拟网络”。

7. 在“虚拟网络”选项卡上填写以下信息：

   参数	值/说明
   虚拟网络	从下拉列表中选择要在其中创建专用终结点的虚拟网络。
   子网	从下拉列表中选择要在其中创建专用终结点的虚拟网络的子网。
   专用终结点的网络策略	如果要选择子网网络策略，请选择“编辑”。 有关详细信息，请参阅管理专用终结点的网络策略。
   专用 IP 配置	选择“动态分配 IP 地址”或“静态分配 IP 地址”。 地址空间来自所选子网。 如果选择静态分配 IP 地址，则需要为每个列出的成员填写“名称”和“专用 IP”。
   应用程序安全组	可选：从下拉列表中选择专用终结点的现有应用程序安全组，或新建安全组。 也可以之后再添加。

   完成此选项卡后，请选择“下一步: DNS”。

8. 在“DNS”选项卡上，选择是否要使用 Azure 专用 DNS 区域：为“与专用 DNS 区域集成”选择“是”或“否”。 如果选择“是”，请选择在其中创建专用 DNS 区域 privatelink.wvd.microsoft.com 的订阅和资源组。 有关详细信息，请参阅 Azure 专用终结点 DNS 配置。

   完成此选项卡后，选择“下一步: 标记”。

9. 可选：在“标记”选项卡上，可以输入所需的任何名称/值对，然后选择“下一步: 查看 + 创建”。

10. 在“查看 + 创建”选项卡上，确保验证通过并查看部署期间使用的信息。

11. 选择“创建”，为连接子资源创建专用终结点。

Azure PowerShell

下面介绍如何使用 Az.Network 和 Az.DesktopVirtualization PowerShell 模块为用于连接到主机池的连接子资源创建专用终结点。

重要

在以下示例中，需要将 <placeholder> 值更改为自己的值。

1. 在 Azure 门户中启动 PowerShell 终端类型的 Azure Cloud Shell，或在本地设备上运行 PowerShell。

   1. 如果使用 Cloud Shell，请确保将 Azure 上下文设置为要使用的订阅。

   2. 如果在本地使用 PowerShell，请先使用 PowerShell 登录，然后确保 Azure 上下文设置为要使用的订阅。

2. 通过运行以下命令获取要用于专用终结点的虚拟网络和子网的详细信息，并将其存储在变量中：

   # Get the subnet details for the virtual network
   $subnet = (Get-AzVirtualNetwork -Name <VNetName> -ResourceGroupName <ResourceGroupName>).Subnets | ? Name -eq <SubnetName>
   

3. 通过运行以下命令，使用连接子资源为主机池创建专用链接服务连接。

   # Get the resource ID of the host pool
   $hostPoolId = (Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName>).Id
   
   # Create the service connection
   $parameters = @{
       Name = '<ServiceConnectionName>'
       PrivateLinkServiceId = $hostPoolId
       GroupId = 'connection'
   }
   
   $serviceConnection = New-AzPrivateLinkServiceConnection @parameters
   

4. 最后，通过运行以下某个示例中的命令来创建专用终结点。

   1. 若要创建具有动态分配的 IP 地址的专用终结点：

      # Specify the Azure region. This must be the same region as your virtual network and session hosts.
      $location = '<Location>'
      
      # Create the private endpoint
      $parameters = @{
          Name = '<PrivateEndpointName>'
          ResourceGroupName = '<ResourceGroupName>'
          Location = $location
          Subnet = $subnet
          PrivateLinkServiceConnection = $serviceConnection
      }
      
      New-AzPrivateEndpoint @parameters
      

   2. 若要创建具有静态分配的 IP 地址的专用终结点：

      # Specify the Azure region. This must be the same region as your virtual network and session hosts.
      $location = '<Location>'
      
      # Create a hash table for each private endpoint IP configuration
      $ip1 = @{
          Name = 'ipconfig1'
          GroupId = 'connection'
          MemberName = 'broker'
          PrivateIPAddress = '<IPAddress>'
      }
      
      $ip2 = @{
          Name = 'ipconfig2'
          GroupId = 'connection'
          MemberName = 'diagnostics'
          PrivateIPAddress = '<IPAddress>'
      }
      
      $ip3 = @{
          Name = 'ipconfig3'
          GroupId = 'connection'
          MemberName = 'gateway-ring-map'
          PrivateIPAddress = '<IPAddress>'
      }
      
      $ip4 = @{
          Name = 'ipconfig4'
          GroupId = 'connection'
          MemberName = 'web'
          PrivateIPAddress = '<IPAddress>'
      }
      
      # Create the private endpoint IP configurations
      $ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
      $ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2
      $ipConfig3 = New-AzPrivateEndpointIpConfiguration @ip3
      $ipConfig4 = New-AzPrivateEndpointIpConfiguration @ip4
      
      # Create the private endpoint
      $parameters = @{
          Name = '<PrivateEndpointName>'
          ResourceGroupName = '<ResourceGroupName>'
          Location = $location
          Subnet = $subnet
          PrivateLinkServiceConnection = $serviceConnection
          IpConfiguration = $ipConfig1, $ipConfig2, $ipConfig3, $ipConfig4
      }
      
      New-AzPrivateEndpoint @parameters
      

   输出结果应类似于以下所示： 检查 ProvisioningState 的值是否为 Succeeded。

   ResourceGroupName Name            Location ProvisioningState Subnet
   ----------------- ----            -------- ----------------- ------
   privatelink       endpoint-hp01   uksouth  Succeeded
   

5. 需要为专用终结点配置 DNS，以解析虚拟网络中专用终结点的 DNS 名称。 专用 DNS 区域名称为 privatelink.wvd.microsoft.com。 有关使用 Azure PowerShell 创建和配置专用 DNS 区域的步骤，请参阅配置专用 DNS 区域。

Azure CLI

下面介绍如何使用 Azure CLI 的网络和桌面虚拟化扩展为用于连接到主机池的连接子资源创建专用终结点。

重要

在以下示例中，需要将 <placeholder> 值更改为自己的值。

1. 在 Azure 门户中启动 Bash 终端类型的 Azure Cloud Shell，或在本地设备上运行 Azure CLI。

   1. 如果使用 Cloud Shell，请确保将 Azure 上下文设置为要使用的订阅。

   2. 如果在本地使用 Azure CLI，请先使用 Azure CLI 登录，然后确保 Azure 上下文设置为要使用的订阅。

2. 通过运行以下某个示例中的命令，为具有连接子资源的主机池创建专用链接服务连接和专用终结点。

   1. 若要创建具有动态分配的 IP 地址的专用终结点：

      # Specify the Azure region. This must be the same region as your virtual network and session hosts.
      location=<Location>
      
      # Get the resource ID of the host pool
      hostPoolId=$(az desktopvirtualization hostpool show \
          --name <HostPoolName> \
          --resource-group <ResourceGroupName> \
          --query [id] \
          --output tsv)
      
      # Create a service connection and the private endpoint
      az network private-endpoint create \
          --name <PrivateEndpointName> \
          --resource-group <ResourceGroupName> \
          --location $location \
          --vnet-name <VNetName> \
          --subnet <SubnetName> \
          --connection-name <ConnectionName> \
          --private-connection-resource-id $hostPoolId \
          --group-id connection \
          --output table
      

   2. 若要创建具有静态分配的 IP 地址的专用终结点：

      # Specify the Azure region. This must be the same region as your virtual network and session hosts.
      location=<Location>
      
      # Get the resource ID of the host pool
      hostPoolId=$(az desktopvirtualization hostpool show \
          --name <HostPoolName> \
          --resource-group <ResourceGroupName> \
          --query [id] \
          --output tsv)
      
      # Store each private endpoint IP configuration in a variable
      ip1={name:ipconfig1,group-id:connection,member-name:broker,private-ip-address:<IPAddress>}
      ip2={name:ipconfig2,group-id:connection,member-name:diagnostics,private-ip-address:<IPAddress>}
      ip3={name:ipconfig3,group-id:connection,member-name:gateway-ring-map,private-ip-address:<IPAddress>}
      ip4={name:ipconfig4,group-id:connection,member-name:web,private-ip-address:<IPAddress>}
      
      # Create a service connection and the private endpoint
      az network private-endpoint create \
          --name <PrivateEndpointName> \
          --resource-group <ResourceGroupName> \
          --location $location \
          --vnet-name <VNetName> \
          --subnet <SubnetName> \
          --connection-name <ConnectionName> \
          --private-connection-resource-id $hostPoolId \
          --group-id connection \
          --ip-configs [$ip1,$ip2,$ip3,$ip4] \
          --output table
      

   输出结果应类似于以下所示： 检查 ProvisioningState 的值是否为 Succeeded。

   CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
   ----------------------------  ----------  --------------------  -------------------  ---------------
                                 uksouth     endpoint-hp01         Succeeded            privatelink
   

3. 需要为专用终结点配置 DNS，以解析虚拟网络中专用终结点的 DNS 名称。 专用 DNS 区域名称为 privatelink.wvd.microsoft.com。 有关使用 Azure CLI 创建和配置专用 DNS 区域的步骤，请参阅配置专用 DNS 区域。

重要

需要为每个要用于专用链接的主机池的连接子资源创建专用终结点。

---

源下载

若要为工作区的源子资源创建专用终结点，请选择方案的相关选项卡并按照步骤操作。

Portal

1. 在 Azure 虚拟桌面概述中，选择“工作区”，然后选择要为其创建源子资源的工作区的名称。

2. 在工作区概述中，依次选择“网络”、“专用终结点连接”和“新建专用终结点”。

3. 在“基本信息”选项卡上，完成以下信息：

   参数	值/说明
   订阅	从下拉列表中选择要在其中创建专用终结点的订阅。
   资源组	这会自动默认为专用终结点的工作区所在的同一资源组，但你也可以从下拉列表中选择另一个现有资源组，或创建新资源组。
   名称	输入新专用终结点的名称。
   网络接口名称	网络接口名称会根据你为专用终结点提供的名称自动填充，但你也可以指定其他名称。
   区域	这会自动默认为与工作区相同的 Azure 区域，并且是专用终结点的部署位置。 它必须与你的虚拟网络位于同一区域。

   完成此选项卡后，选择“下一步: 资源”。

4. 在“资源”选项卡上，验证“订阅”、“资源类型”和“资源”的值，然后为“目标子资源”选择“源”。 完成此选项卡后，选择“下一步: 虚拟网络”。

5. 在“虚拟网络”选项卡上填写以下信息：

   参数	值/说明
   虚拟网络	从下拉列表中选择要在其中创建专用终结点的虚拟网络。
   子网	从下拉列表中选择要在其中创建专用终结点的虚拟网络的子网。
   专用终结点的网络策略	如果要选择子网网络策略，请选择“编辑”。 有关详细信息，请参阅管理专用终结点的网络策略。
   专用 IP 配置	选择“动态分配 IP 地址”或“静态分配 IP 地址”。 地址空间来自所选子网。 如果选择静态分配 IP 地址，则需要为每个列出的成员填写“名称”和“专用 IP”。
   应用程序安全组	可选：从下拉列表中选择专用终结点的现有应用程序安全组，或新建安全组。 也可以之后再添加。

   完成此选项卡后，请选择“下一步: DNS”。

6. 在“DNS”选项卡上，选择是否要使用 Azure 专用 DNS 区域：为“与专用 DNS 区域集成”选择“是”或“否”。 如果选择“是”，请选择在其中创建专用 DNS 区域 privatelink.wvd.microsoft.com 的订阅和资源组。 有关详细信息，请参阅 Azure 专用终结点 DNS 配置。

   完成此选项卡后，选择“下一步: 标记”。

7. 可选：在“标记”选项卡上，可以输入所需的任何名称/值对，然后选择“下一步: 查看 + 创建”。

8. 在“查看 + 创建”选项卡上，确保验证通过并查看部署期间使用的信息。

9. 选择“创建”，为源子资源创建专用终结点。

Azure PowerShell

1. 在同一 PowerShell 会话中，通过运行以下命令，为具有源子资源的工作区创建专用链接服务连接。 这些示例使用了相同的虚拟网络和子网。

   # Get the resource ID of the workspace
   $workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id
   
   # Create the service connection
   $parameters = @{
       Name = '<ServiceConnectionName>'
       PrivateLinkServiceId = $workspaceId
       GroupId = 'feed'
   }
   
   $serviceConnection = New-AzPrivateLinkServiceConnection @parameters
   

2. 最后，通过运行以下某个示例中的命令来创建专用终结点。

   1. 若要创建具有动态分配的 IP 地址的专用终结点：

      # Specify the Azure region. This must be the same region as your virtual network.
      $location = '<Location>'
      
      # Create the private endpoint
      $parameters = @{
          Name = '<PrivateEndpointName>'
          ResourceGroupName = '<ResourceGroupName>'
          Location = $location
          Subnet = $subnet
          PrivateLinkServiceConnection = $serviceConnection
      }
      
      New-AzPrivateEndpoint @parameters
      

   2. 若要创建具有静态分配的 IP 地址的专用终结点：

      # Specify the Azure region. This must be the same region as your virtual network.
      $location = '<Location>'
      
      # Create a hash table for each private endpoint IP configuration
      $ip1 = @{
          Name = 'ipconfig1'
          GroupId = 'feed'
          MemberName = 'web-r1'
          PrivateIPAddress = '<IPAddress>'
      }
      
      $ip2 = @{
          Name = 'ipconfig2'
          GroupId = 'feed'
          MemberName = 'web-r0'
          PrivateIPAddress = '<IPAddress>'
      }
      
      # Create the private endpoint IP configurations
      $ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
      $ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2
      
      # Create the private endpoint
      $parameters = @{
          Name = '<PrivateEndpointName>'
          ResourceGroupName = '<ResourceGroupName>'
          Location = $location
          Subnet = $subnet
          PrivateLinkServiceConnection = $serviceConnection
          IpConfiguration = $ipConfig1, $ipConfig2
      }
      
      New-AzPrivateEndpoint @parameters
      

   输出结果应类似于以下所示： 检查 ProvisioningState 的值是否为 Succeeded。

   ResourceGroupName Name            Location ProvisioningState Subnet
   ----------------- ----            -------- ----------------- ------
   privatelink       endpoint-ws01   uksouth  Succeeded
   

3. 需要为专用终结点配置 DNS，以解析虚拟网络中专用终结点的 DNS 名称。 专用 DNS 区域名称为 privatelink.wvd.microsoft.com。 有关使用 Azure PowerShell 创建和配置专用 DNS 区域的步骤，请参阅配置专用 DNS 区域。

Azure CLI

1. 在同一 CLI 会话中，通过运行以下命令为具有源子资源的工作区创建专用链接服务连接和专用终结点。

   1. 若要创建具有动态分配的 IP 地址的专用终结点：

      # Specify the Azure region. This must be the same region as your virtual network.
      location=<Location>
      
      # Get the resource ID of the workspace
      workspaceId=$(az desktopvirtualization workspace show \
          --name <WorkspaceName> \
          --resource-group <ResourceGroupName> \
          --query [id] \
          --output tsv)
      
      # Create a service connection and the private endpoint
      az network private-endpoint create \
          --name <PrivateEndpointName> \
          --resource-group <ResourceGroupName> \
          --location $location \
          --vnet-name <VNetName> \
          --subnet <SubnetName> \
          --connection-name <ConnectionName> \
          --private-connection-resource-id $workspaceId \
          --group-id feed \
          --output table
      

   2. 若要创建具有静态分配的 IP 地址的专用终结点：

      # Specify the Azure region. This must be the same region as your virtual network.
      location=<Location>
      
      # Get the resource ID of the workspace
      workspaceId=$(az desktopvirtualization workspace show \
          --name <WorkspaceName> \
          --resource-group <ResourceGroupName> \
          --query [id] \
          --output tsv)
      
      # Store each private endpoint IP configuration in a variable
      ip1={name:ipconfig1,group-id:feed,member-name:web-r1,private-ip-address:<IPAddress>}
      ip2={name:ipconfig2,group-id:feed,member-name:web-r0,private-ip-address:<IPAddress>}
      
      # Create a service connection and the private endpoint
      az network private-endpoint create \
          --name <PrivateEndpointName> \
          --resource-group <ResourceGroupName> \
          --location $location \
          --vnet-name <VNetName> \
          --subnet <SubnetName> \
          --connection-name <ConnectionName> \
          --private-connection-resource-id $workspaceId \
          --group-id feed \
          --ip-configs [$ip1,$ip2] \
          --output table
      

   输出结果应类似于以下所示： 检查 ProvisioningState 的值是否为 Succeeded。

   CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
   ----------------------------  ----------  --------------------  -------------------  ---------------
                                 uksouth     endpoint-ws01         Succeeded            privatelink
   

2. 需要为专用终结点配置 DNS，以解析虚拟网络中专用终结点的 DNS 名称。 专用 DNS 区域名称为 privatelink.wvd.microsoft.com。 有关使用 Azure CLI 创建和配置专用 DNS 区域的步骤，请参阅配置专用 DNS 区域。

重要

需要为要用于专用链接的每个工作区的源子资源创建专用终结点。

初始源发现

若要为用于初始源发现的全局子资源创建专用终结点，请选择方案的相关选项卡并按照步骤操作。

重要

• 仅为所有 Azure 虚拟桌面部署的全局子资源创建一个专用终结点。

• 任何工作区的全局子资源的专用终结点可控制共享的完全限定的域名 (FQDN) 以执行初始源发现。 这反过来将为所有工作区启用源发现。 由于连接到专用终结点的工作区非常重要，因此删除它将导致所有源发现进程停止工作。 建议为全局子资源创建未使用的占位符工作区。

Portal

1. 在 Azure 虚拟桌面概述中，选择“工作区”，然后选择要用于全局子资源的工作区的名称。

   1. 可选：改为按照创建工作区的说明创建占位符工作区以终止全局终结点。

2. 在工作区概述中，依次选择“网络”、“专用终结点连接”和“新建专用终结点”。

3. 在“基本信息”选项卡上，完成以下信息：

   参数	值/说明
   订阅	从下拉列表中选择要在其中创建专用终结点的订阅。
   资源组	这会自动默认为专用终结点的工作区所在的同一资源组，但你也可以从下拉列表中选择另一个现有资源组，或创建新资源组。
   名称	输入新专用终结点的名称。
   网络接口名称	网络接口名称会根据你为专用终结点提供的名称自动填充，但你也可以指定其他名称。
   区域	这会自动默认为与工作区相同的 Azure 区域，并且是专用终结点将要部署的位置。 它必须与你的虚拟网络位于同一区域。

   完成此选项卡后，选择“下一步: 资源”。

4. 在“资源”选项卡上，验证“订阅”、“资源类型”和“资源”的值，然后为“目标子资源”选择“全局”。 完成此选项卡后，选择“下一步: 虚拟网络”。

5. 在“虚拟网络”选项卡上填写以下信息：

   参数	值/说明
   虚拟网络	从下拉列表中选择要在其中创建专用终结点的虚拟网络。
   子网	从下拉列表中选择要在其中创建专用终结点的虚拟网络的子网。
   专用终结点的网络策略	如果要选择子网网络策略，请选择“编辑”。 有关详细信息，请参阅管理专用终结点的网络策略。
   专用 IP 配置	选择“动态分配 IP 地址”或“静态分配 IP 地址”。 地址空间来自所选子网。 如果选择静态分配 IP 地址，则需要为每个列出的成员填写“名称”和“专用 IP”。
   应用程序安全组	可选：从下拉列表中选择专用终结点的现有应用程序安全组，或新建安全组。 也可以之后再添加。

   完成此选项卡后，请选择“下一步: DNS”。

6. 在“DNS”选项卡上，选择是否要使用 Azure 专用 DNS 区域：为“与专用 DNS 区域集成”选择“是”或“否”。 如果选择“是”，请选择在其中创建专用 DNS 区域 privatelink-global.wvd.microsoft.com 的订阅和资源组。 有关详细信息，请参阅 Azure 专用终结点 DNS 配置。

   完成此选项卡后，选择“下一步: 标记”。

7. 可选：在“标记”选项卡上，可以输入所需的任何名称/值对，然后选择“下一步: 查看 + 创建”。

8. 在“查看 + 创建”选项卡上，确保验证通过并查看部署期间使用的信息。

9. 选择“创建”，为全局子资源创建专用终结点。

Azure PowerShell

1. 可选：按照创建工作区的说明创建占位符工作区以终止全局终结点。

2. 在同一 PowerShell 会话中，通过运行以下命令，为具有全局子资源的工作区创建专用链接服务连接。 这些示例使用了相同的虚拟网络和子网。

   # Get the resource ID of the workspace
   $workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id
   
   # Create the service connection
   $parameters = @{
       Name = '<ServiceConnectionName>'
       PrivateLinkServiceId = $workspaceId
       GroupId = 'global'
   }
   
   $serviceConnection = New-AzPrivateLinkServiceConnection @parameters
   

3. 最后，通过运行以下某个示例中的命令来创建专用终结点。

   1. 若要创建具有动态分配的 IP 地址的专用终结点：

      # Specify the Azure region. This must be the same region as your virtual network.
      $location = '<Location>'
      
      # Create the private endpoint
      $parameters = @{
          Name = '<PrivateEndpointName>'
          ResourceGroupName = '<ResourceGroupName>'
          Location = $location
          Subnet = $subnet
          PrivateLinkServiceConnection = $serviceConnection
      }
      
      New-AzPrivateEndpoint @parameters
      

   2. 若要创建具有静态分配的 IP 地址的专用终结点：

      # Specify the Azure region. This must be the same region as your virtual network.
      $location = '<Location>'
      
      $ip = @{
          Name = '<IPConfigName>'
          GroupId = 'global'
          MemberName = 'web'
          PrivateIPAddress = '<IPAddress>'
      }
      
      $ipConfig = New-AzPrivateEndpointIpConfiguration @ip
      
      # Create the private endpoint
      $parameters = @{
          Name = '<PrivateEndpointName>'
          ResourceGroupName = '<ResourceGroupName>'
          Location = $location
          Subnet = $subnet
          PrivateLinkServiceConnection = $serviceConnection
          IpConfiguration = $ipconfig
      }
      
      New-AzPrivateEndpoint @parameters
      

   输出结果应类似于以下所示： 检查 ProvisioningState 的值是否为 Succeeded。

   ResourceGroupName Name            Location ProvisioningState Subnet
   ----------------- ----            -------- ----------------- ------
   privatelink       endpoint-global uksouth  Succeeded
   

4. 需要为专用终结点配置 DNS，以解析虚拟网络中专用终结点的 DNS 名称。 专用 DNS 区域名称为 privatelink-global.wvd.microsoft.com。 有关使用 Azure PowerShell 创建和配置专用 DNS 区域的步骤，请参阅配置专用 DNS 区域。

Azure CLI

1. 可选：按照创建工作区的说明创建占位符工作区以终止全局终结点。

2. 在同一 CLI 会话中，通过运行以下命令为具有全局子资源的工作区创建专用链接服务连接和专用终结点：

   1. 若要创建具有动态分配的 IP 地址的专用终结点：

      # Specify the Azure region. This must be the same region as your virtual network.
      location=<Location>
      
      # Get the resource ID of the workspace
      workspaceId=$(az desktopvirtualization workspace show \
          --name <WorkspaceName> \
          --resource-group <ResourceGroupName> \
          --query [id] \
          --output tsv)
      
      # Create a service connection and the private endpoint
      az network private-endpoint create \
          --name <PrivateEndpointName> \
          --resource-group <ResourceGroupName> \
          --location $location \
          --vnet-name <VNetName> \
          --subnet <SubnetName> \
          --connection-name <ConnectionName> \
          --private-connection-resource-id $workspaceId \
          --group-id global \
          --output table
      

   2. 若要创建具有静态分配的 IP 地址的专用终结点：

      # Specify the Azure region. This must be the same region as your virtual network.
      location=<Location>
      
      # Get the resource ID of the workspace
      workspaceId=$(az desktopvirtualization workspace show \
          --name <WorkspaceName> \
          --resource-group <ResourceGroupName> \
          --query [id] \
          --output tsv)
      
      # Store each private endpoint IP configuration in a variable
      ip={name:ipconfig,group-id:global,member-name:web,private-ip-address:<IPAddress>}
      
      # Create a service connection and the private endpoint
      az network private-endpoint create \
          --name <PrivateEndpointName> \
          --resource-group <ResourceGroupName> \
          --location $location \
          --vnet-name <VNetName> \
          --subnet <SubnetName> \
          --connection-name <ConnectionName> \
          --private-connection-resource-id $workspaceId \
          --group-id global \
          --ip-config $ip \
          --output table
      

   输出结果应类似于以下所示： 检查 ProvisioningState 的值是否为 Succeeded。

   CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
   ----------------------------  ----------  --------------------  -------------------  ---------------
                                 uksouth     endpoint-global       Succeeded            privatelink
   

3. 需要为专用终结点配置 DNS，以解析虚拟网络中专用终结点的 DNS 名称。 专用 DNS 区域名称为 privatelink-global.wvd.microsoft.com。 有关使用 Azure CLI 创建和配置专用 DNS 区域的步骤，请参阅配置专用 DNS 区域。

关闭公共路由

创建专用终结点后，还可以控制是否允许流量来自公共路由。 可以使用 Azure 虚拟桌面在粒度级别控制此功能，也可以更广泛地使用网络安全组 (NSG) 或 Azure 防火墙。

使用 Azure 虚拟桌面控制路由

借助 Azure 虚拟桌面，可以独立控制工作区和主机池的公共流量。 选择你的方案对应的相关选项卡并按照步骤操作。 无法在 Azure CLI 中配置此项。 需要对用于专用链接的每个工作区和主机池重复这些步骤。

Portal

工作区

1. 在 Azure 虚拟桌面概述中，选择“工作区”，然后选择工作区的名称以控制公共流量。

2. 在主机池概述中，选择“网络”，然后选择“公共访问”选项卡。

3. 选择以下选项之一：

   设置	说明
   启用来自所有网络的公共访问	最终用户可以通过公共 Internet 或专用终结点访问源。
   禁用公共访问并使用专用访问	最终用户只能通过专用终结点访问源。

4. 选择“保存”。

主机池

1. 在 Azure 虚拟桌面概述中，选择“主机池”，然后选择主机池的名称以控制公共流量。

2. 在主机池概述中，选择“网络”，然后选择“公共访问”选项卡。

3. 选择以下选项之一：

   设置	说明
   启用来自所有网络的公共访问	最终用户可以通过公共 Internet 或专用终结点安全地访问源和会话主机。
   为最终用户启用公共访问，对会话主机使用专用访问	最终用户可以通过公共 Internet 安全地访问源，但必须使用专用终结点来访问会话主机。
   禁用公共访问并使用专用访问	最终用户只能通过专用终结点访问源和会话主机。

4. 选择“保存”。

Azure PowerShell

重要

支持专用链接的适用于 Azure 虚拟桌面的 Azure PowerShell cmdlet 处于预览状态。 需要下载并安装 Az.DesktopVirtualization 模块的预览版才能使用这些 cmdlet，这些 cmdlet 已添加到版本 5.0.0 中。

工作区

1. 在同一 PowerShell 会话中，可以通过运行以下命令来禁用公共访问并使用专用访问：

   $parameters = @{
       Name = '<WorkspaceName>'
       ResourceGroupName = '<ResourceGroupName>'
       PublicNetworkAccess = 'Disabled'
   }
   
   Update-AzWvdWorkspace @parameters
   

2. 若要启用从所有网络的公共访问，请运行以下命令：

   $parameters = @{
       Name = '<WorkspaceName>'
       ResourceGroupName = '<ResourceGroupName>'
       PublicNetworkAccess = 'Enabled'
   }
   
   Update-AzWvdWorkspace @parameters
   

主机池

1. 在同一 PowerShell 会话中，可以通过运行以下命令来禁用公共访问并使用专用访问：

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
       PublicNetworkAccess = 'Disabled'
   }
   
   Update-AzWvdHostPool @parameters 
   

2. 若要启用从所有网络的公共访问，请运行以下命令：

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
       PublicNetworkAccess = 'Enabled'
   }
   
   Update-AzWvdHostPool @parameters
   

3. 若要对最终用户使用公共访问，但对会话主机使用专用访问，请运行以下命令：

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
       PublicNetworkAccess = 'EnabledForSessionHostsOnly'
   }
   
   Update-AzWvdHostPool @parameters
   

4. 若要对最终用户使用专用访问，但对会话主机使用公共访问，请运行以下命令：

   $parameters = @{
       Name = '<HostPoolName>'
       ResourceGroupName = '<ResourceGroupName>'
       PublicNetworkAccess = 'EnabledForClientsOnly'
   }
   
   Update-AzWvdHostPool @parameters
   

重要

更改会话主机的访问权限不会影响现有会话。 将专用终结点更改为主机池后，必须在主机池中的每个会话主机上重启远程桌面代理加载程序 (RDAgentBootLoader) 服务。 每次更改主机池的网络配置时，都需要重启此服务。 可以重启每个会话主机，而不是重启服务。

使用网络安全组或 Azure 防火墙阻止公共路由

如果使用网络安全组或 Azure 防火墙来控制从用户客户端设备或会话主机到专用终结点的连接，则可以使用 WindowsVirtualDesktop 服务标记来阻止来自公共 Internet 的流量。 如果使用此服务标记阻止公共 Internet 流量，则所有服务流量仅会使用专用路由。

注意

• 请勿阻止专用终结点与所需 URL 列表中的地址之间的流量。

• 请勿阻止某些端口从用户客户端设备或会话主机连接到使用连接子资源的主机池资源的专用终结点。 需要将整个 TCP 动态端口范围 1 - 65535 映射到专用终结点，因为端口映射通过与“连接”子资源对应的单个专用终结点 IP 地址用于所有全局网关。 如果将端口限定为专用终结点，你的用户可能无法成功连接到 Azure 虚拟桌面。

使用 Azure 虚拟桌面验证专用链接

关闭公共路由后，应验证 Azure 虚拟桌面的专用链接是否正常工作。 为此，可以检查每个专用终结点的连接状态、会话主机的状态，并测试用户是否可以刷新并连接到其远程资源。

检查每个专用终结点的连接状态

若要检查每个专用终结点的连接状态，请选择方案的相关选项卡并按照步骤操作。 应对用于专用链接的每个工作区和主机池重复这些步骤。

Portal

工作区

1. 在 Azure 虚拟桌面概述中，选择“工作区”，然后选择要为其检查连接状态的工作区的名称。

2. 在工作区概述中，依次选择“网络”、“专用终结点连接”。

3. 对于列出的专用终结点，检查“连接状态”是否为“已批准”。

主机池

1. 在 Azure 虚拟桌面概述中，选择“主机池”，然后选择要为其检查连接状态的主机池的名称。

2. 在主机池概述中，依次选择“网络”、“专用终结点连接”。

3. 对于列出的专用终结点，检查“连接状态”是否为“已批准”。

Azure PowerShell

重要

需要使用 Az.DesktopVirtualization 模块的预览版来运行以下命令。 如需详细信息以及下载并安装预览模块，请参阅 PowerShell 库。

工作区

1. 在同一 PowerShell 会话中，运行以下命令以检查工作区的连接状态：

   (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired
   

   输出结果应类似于以下所示： 检查 PrivateLinkServiceConnectionStateStatus 的值是否为“已批准”。

   Name                                             : endpoint-ws01
   PrivateLinkServiceConnectionStateStatus          : Approved
   PrivateLinkServiceConnectionStateDescription     : Auto-approved
   PrivateLinkServiceConnectionStateActionsRequired : None
   

主机池

1. 在同一 PowerShell 会话中，运行以下命令以检查主机池的连接状态：

   (Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired
   

   输出结果应类似于以下所示： 检查 PrivateLinkServiceConnectionStateStatus 的值是否为“已批准”。

   Name                                             : endpoint-hp01
   PrivateLinkServiceConnectionStateStatus          : Approved
   PrivateLinkServiceConnectionStateDescription     : Auto-approved
   PrivateLinkServiceConnectionStateActionsRequired : None
   
   

Azure CLI

1. 在同一 CLI 会话中，运行以下命令以检查工作区或主机池的连接状态：

   az network private-endpoint show \
       --name <PrivateEndpointName> \
       --resource-group <ResourceGroupName> \
       --query "{name:name, privateLinkServiceConnectionStates:privateLinkServiceConnections[].privateLinkServiceConnectionState}"
   

   输出结果应类似于以下所示： 检查“状态”的值是否为“已批准”。

   {
     "name": "endpoint-ws01",
     "privateLinkServiceConnectionStates": [
       {
         "actionsRequired": "None",
         "description": "Auto-approved",
         "status": "Approved"
       }
     ]
   }
   

检查会话主机的状态

1. 在 Azure 虚拟桌面中检查会话主机的状态。

   1. 在 Azure 虚拟桌面概述中，选择“主机池”，然后选择主机池的名称。

   2. 在“管理”部分中，选择“会话主机”。

   3. 查看会话主机列表，并检查它们的状态是否为“可用”。

检查用户是否可以连接

要测试用户是否可以连接到其远程资源：

1. 使用远程桌面客户端，并确保可以订阅和刷新工作区。

2. 最后，确保用户可以连接到远程会话。

后续步骤

• 请参阅将专用链接与 Azure 虚拟桌面配合使用以详细了解如何使用适用于 Azure 虚拟桌面的专用链接。

• 请参阅专用链接 DNS 集成了解如何配置 Azure 专用终结点 DNS。

• 有关专用链接的常规故障排除指南，请参阅排查 Azure 专用终结点连接问题。

• 请参阅 Azure 虚拟桌面网络连接了解 Azure 虚拟桌面服务连接的工作原理。

• 请查看所需 URL 列表以获取需要取消阻止的 URL 列表，从而确保对 Azure 虚拟桌面服务的网络访问。