Настройка управляемого удостоверения в виртуальном рабочем столе Azure (предварительная версия)

Важно!

Поддержка управляемых удостоверений для пулов узлов Azure Виртуального рабочего стола в настоящее время доступна в предварительной версии. Дополнительные условия использования для предварительных версий Microsoft Azure см. в разделе Юридические условия, применимые к Azure функциям, которые находятся в бета-версии, предварительной версии или еще не выпущены в общедоступную версию.

Azure Виртуальный рабочий стол поддерживает назначение разрешений управляемым удостоверениям для Azure ресурсов для функций, которым необходимо выполнять операции Azure Resource Manager (ARM) на виртуальных машинах, хранилище ключей и виртуальных сетях в Azure подписке. С помощью управляемого удостоверения можно использовать следующую функцию:

Обновление узла сеанса (предварительная версия)
виртуальный рабочий стол Azure для Azure Local

Некоторые Azure функции Виртуального рабочего стола не могут использовать управляемое удостоверение. Ниже перечислены функции, требующие назначения Azure ролей RBAC для Microsoft Entra ролей субъекту-службе с помощью подхода Azure виртуального рабочего стола:

Подключение приложения (при использовании Файлы Azure и присоединении узлов сеансов к Microsoft Entra ID).
Автомасштабирование.
Запустите виртуальную машину при подключении.

При использовании управляемого удостоверения у вас есть два варианта:

Управляемое удостоверение, назначаемое системой
Управляемое удостоверение, назначаемое пользователем

Узнайте больше о различиях между управляемыми удостоверениями, назначаемых системой и пользователем.

Предварительные условия

Чтобы создать и назначить управляемое удостоверение, назначаемое системой пулу узлов, необходимо:

Существующий пул узлов.
Учетная запись Azure назначена участнику пула узлов виртуализации рабочих столов на область пула узлов или выше.
Если вы хотите использовать Azure CLI или Azure PowerShell локально, см. статью Использование Azure CLI и Azure PowerShell с виртуальным рабочим столом Azure, чтобы убедиться, что у вас установлено расширение cli для desktopvirtualization Azure или модуль PowerShell Az.DesktopVirtualization. Кроме того, используйте Azure Cloud Shell.

Создание и назначение управляемого удостоверения, назначаемого системой

Выберите соответствующую вкладку для своего сценария.

Портал Azure
Azure PowerShell

Вот как создать управляемое удостоверение, назначаемое системой, с помощью портал Azure:

Войдите на портал Azure.
В строке поиска введите Azure Виртуальный рабочий стол и выберите соответствующую запись службы.
Выберите Пулы узлов, а затем выберите имя пула узлов, который требуется настроить.
Выберите Удостоверение (предварительная версия).
Выберите Назначить управляемое удостоверение , чтобы установить флажок, а затем выберите Управляемое удостоверение, назначаемое системой.
Нажмите кнопку Сохранить , чтобы создать и назначить управляемое удостоверение, назначаемое системой.

Вот как создать управляемое удостоверение, назначаемое системой, с Azure PowerShell. Обязательно измените <placeholder> значения для собственных.

Откройте Azure Cloud Shell в портал Azure с типом терминала PowerShell или запустите PowerShell на локальном устройстве.
- Если вы используете Cloud Shell, убедитесь, что для Azure контекста задана подписка, которую вы хотите использовать.
- Если вы используете PowerShell локально, сначала войдите с помощью Azure PowerShell, а затем убедитесь, что в контексте Azure задана подписка, которую вы хотите использовать.

Получение текущих значений пула узлов:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
}

$existingHostPool = Get-AzWvdHostPool @parameters

New-AzWvdHostPool Выполните команду с теми же сведениями, изменив IdentityType только значение "SystemAssigned". Так как этот пул узлов уже существует, эта команда изменяет IdentityType только свойство :

$parameters = @{
    Name = $existingHostPool.Name
    ResourceGroupName = $existingHostPool.ResourceGroupName
    Location = $existingHostPool.Location
    HostPoolType = $existingHostPool.HostPoolType
    LoadBalancerType = $existingHostPool.LoadBalancerType
    PreferredAppGroupType = $existingHostPool.PreferredAppGroupType
    IdentityType = 'SystemAssigned'
}

New-AzWvdHostPool @parameters

Чтобы проверка изменения, выполните следующую команду:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
}

Get-AzWvdHostPool @parameters | Format-Table Name, IdentityType

Выходные данные должны выглядеть примерно так:

Name        IdentityType
----------- ----------------
contosohp01 SystemAssigned

Предварительные условия

Чтобы назначить управляемое удостоверение, назначаемое пользователем, пулу узлов необходимо:

Существующий пул узлов.
Назначена учетная запись Azure:
1. Участник пула узлов виртуализации рабочих столов на область пула узлов или выше.
2. Оператор управляемого удостоверения на область управляемого удостоверения или выше.
Если вы хотите использовать Azure CLI или Azure PowerShell локально, см. статью Использование Azure CLI и Azure PowerShell с виртуальным рабочим столом Azure, чтобы убедиться, что у вас установлено расширение cli для desktopvirtualization Azure или модуль PowerShell Az.DesktopVirtualization. Кроме того, используйте Azure Cloud Shell.

Назначение управляемого удостоверения, назначаемого пользователем

Выберите соответствующую вкладку для своего сценария.

Портал Azure
Azure PowerShell

Вот как назначить управляемое удостоверение, назначаемое пользователем, с помощью портал Azure:

Войдите на портал Azure.
В строке поиска введите Azure Виртуальный рабочий стол и выберите соответствующую запись службы.
Выберите Пулы узлов, а затем выберите имя пула узлов, который требуется настроить.
Выберите Удостоверение (предварительная версия).
Выберите Назначить управляемое удостоверение , чтобы установить флажок, а затем выберите Управляемое удостоверение, назначаемое пользователем.
В поле Подписка выберите соответствующую подписку в раскрывающемся меню.
Для параметра Существующие управляемые удостоверения, назначаемые пользователем, выберите соответствующее управляемое удостоверение в раскрывающемся меню.
Нажмите кнопку Сохранить , чтобы применить новое управляемое удостоверение.

Вот как назначить управляемое удостоверение, назначаемое пользователем, с помощью Azure PowerShell. Обязательно измените <placeholder> значения для собственных.

Откройте Azure Cloud Shell в портал Azure с типом терминала PowerShell или запустите PowerShell на локальном устройстве.
- Если вы используете Cloud Shell, убедитесь, что для Azure контекста задана подписка, которую вы хотите использовать.
- Если вы используете PowerShell локально, сначала войдите с помощью Azure PowerShell, а затем убедитесь, что в контексте Azure задана подписка, которую вы хотите использовать.

Получение текущих значений пула узлов:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<HostPoolResourceGroupName>'
}

$existingHostPool = Get-AzWvdHostPool @parameters

Получите объект управляемого удостоверения, который вы хотите назначить пулу узлов:

$parameters = @{
    Name = '<ManagedIdentityName>'
    ResourceGroupName = '<ManagedIdentityResourceGroupName>'
}

$managedIdentity = Get-AzUserAssignedIdentity @parameters

$parameters = @{
    Name = $existingHostPool.Name
    ResourceGroupName = $existingHostPool.ResourceGroupName
    Location = $existingHostPool.Location
    HostPoolType = $existingHostPool.HostPoolType
    LoadBalancerType = $existingHostPool.LoadBalancerType
    PreferredAppGroupType = $existingHostPool.PreferredAppGroupType
    IdentityType = 'UserAssigned'
    IdentityUserAssignedIdentity = @{$managedIdentity.Id = @{}}
}

New-AzWvdHostPool @parameters

Чтобы проверка изменения, выполните следующую команду:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
}

Get-AzWvdHostPool @parameters | Format-Table Name, IdentityType, IdentityUserAssignedIdentity

Выходные данные должны выглядеть примерно так:

Name        IdentityType     IdentityUserAssignedIdentity
----------- ---------------- ----------------------------
contosohp01 UserAssigned   {...

Удаление управляемого удостоверения

Удаление управляемого удостоверения из пула узлов немного отличается в зависимости от типа управляемого удостоверения:

Назначаемое системой. После завершения удаления Azure автоматически удаляет управляемое удостоверение и все связанные метаданные.
Назначаемое пользователем. После удаления Azure удаляет связь между пулом узлов и управляемым удостоверением, но не вносит никаких других изменений. Например, он не изменяет разрешения, назначенные управляемому удостоверению.

Важно!

Пулам узлов, настроенным с конфигурацией узла сеансов , потребуется управляемое удостоверение с 1 ноября 2025 г. для добавления узлов сеансов в пул узлов. Это заменяет зависимость от субъекта-службы Azure Виртуального рабочего стола и обеспечивает более безопасную конфигурацию. Дополнительные сведения об использовании управляемых удостоверений с Azure пулами узлов Виртуального рабочего стола.

Выберите соответствующую вкладку для своего сценария.

Портал Azure
Azure PowerShell

Вот как удалить управляемое удостоверение с помощью портал Azure:

Войдите на портал Azure.
В строке поиска введите Azure Виртуальный рабочий стол и выберите соответствующую запись службы.
Выберите Пулы узлов, а затем выберите имя пула узлов, который требуется настроить.
Выберите Удостоверение (предварительная версия).
Установите флажок Назначить управляемое удостоверение , чтобы снять флажок.
Нажмите кнопку Сохранить , чтобы завершить удаление управляемого удостоверения.

Вот как удалить управляемое удостоверение с помощью Azure PowerShell. Обязательно измените <placeholder> значения для собственных.

Откройте Azure Cloud Shell в портал Azure с типом терминала PowerShell или запустите PowerShell на локальном устройстве.
- Если вы используете Cloud Shell, убедитесь, что для Azure контекста задана подписка, которую вы хотите использовать.
- Если вы используете PowerShell локально, сначала войдите с помощью Azure PowerShell, а затем убедитесь, что в контексте Azure задана подписка, которую вы хотите использовать.

Получение текущих значений пула узлов:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
}

$existingHostPool = Get-AzWvdHostPool @parameters

New-AzWvdHostPool Выполните команду с теми же сведениями, изменив только значение IdentityType "Нет". Так как этот пул узлов уже существует, эта команда изменяет IdentityType только свойство :

$parameters = @{
    Name = $existingHostPool.Name
    ResourceGroupName = $existingHostPool.ResourceGroupName
    Location = $existingHostPool.Location
    HostPoolType = $existingHostPool.HostPoolType
    LoadBalancerType = $existingHostPool.LoadBalancerType
    PreferredAppGroupType = $existingHostPool.PreferredAppGroupType
    IdentityType = 'None'
}

New-AzWvdHostPool @parameters

Чтобы проверка изменения, выполните следующую команду:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
}

Get-AzWvdHostPool @parameters | Format-Table Name, IdentityType

Выходные данные должны выглядеть примерно так:

Name        IdentityType
----------- ----------------
contosohp01 None

Назначение управляемого удостоверения локальным узлам сеансов

Azure Виртуального рабочего стола для Azure Local требуется, чтобы управляемому удостоверению был предоставлен доступ читателя к узлу сеанса. Эти инструкции предоставят читателю доступ к группе ресурсов, в котором размещаются эти ресурсы.

Портал Azure
Azure PowerShell

Вот как назначить доступ для чтения управляемому удостоверению с помощью портал Azure:

Войдите на портал Azure.
В строке поиска введите Группы ресурсов и выберите соответствующую запись.
Выберите группу ресурсов , содержащую узлы сеансов.
Выберите контроль доступа (IAM) в области навигации слева.
Выберите Добавить, а затем — Добавить назначение ролей.
В поле Поиска по имени роли, описанию, разрешению или идентификатору найдите читателя и нажмите кнопку Далее.
Для параметра Назначить доступ выберитеУправляемое удостоверение.
Для параметра Члены нажмите кнопку Выбрать участников.
Выберите правильную подписку
В раскрывающемся списке Управляемое удостоверение выберите Hostpool
Выберите правильное управляемое удостоверение для пула узлов.
Нажмите кнопку Выбрать, а затем — Далее.
Выберите Проверить и назначить.
Проверьте выбранные параметры и выберите Проверить и назначить.

Вот как назначить доступ для чтения управляемому удостоверению с помощью Azure PowerShell. Обязательно измените <placeholder> значения для собственных.

Откройте Azure Cloud Shell в портал Azure с типом терминала PowerShell или запустите PowerShell на локальном устройстве.
- Если вы используете Cloud Shell, убедитесь, что для Azure контекста задана подписка, которую вы хотите использовать.
- Если вы используете PowerShell локально, сначала войдите с помощью Azure PowerShell, а затем убедитесь, что в контексте Azure задана подписка, которую вы хотите использовать.

Получите объект управляемого удостоверения, назначенный пулу узлов.

$hostPool = Get-AzWvdHostPool -Name "<HOSTPOOL_NAME>" -ResourceGroupName "<RESOURCE_GROUP>"
$HP_PRINCIPAL_ID = $hostPool.IdentityPrincipalId

Назначение управляемому удостоверению доступа для чтения в группе ресурсов

New-AzRoleAssignment -ObjectId $HP_PRINCIPAL_ID -RoleDefinitionName "Reader" -ResourceGroupName "<RESOURCE_GROUP>"

Выполните следующие действия, чтобы назначить Azure ролей RBAC или Microsoft Entra роли субъекту-службе с помощью подхода к управляемому удостоверению.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-04-23

Настройка управляемого удостоверения в виртуальном рабочем столе Azure (предварительная версия)

Предварительные условия

Создание и назначение управляемого удостоверения, назначаемого системой

Предварительные условия

Назначение управляемого удостоверения, назначаемого пользователем

Удаление управляемого удостоверения

Назначение управляемого удостоверения локальным узлам сеансов

Обратная связь

Дополнительные ресурсы