Configurar a identidade gerida no Azure Virtual Desktop (pré-visualização)

Importante

O suporte de identidade gerida para conjuntos de anfitriões do Azure Virtual Desktop está atualmente em PRÉ-VISUALIZAÇÃO. Veja os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

O Azure Virtual Desktop suporta a atribuição de permissões a Identidades geridas para recursos do Azure para funcionalidades que precisam de realizar operações do Azure Resource Manager (ARM) em máquinas virtuais, cofre de chaves e redes virtuais na subscrição do Azure. A seguinte funcionalidade pode utilizar uma identidade gerida:

Atualização do anfitrião da sessão (pré-visualização)

Algumas funcionalidades do Azure Virtual Desktop não podem utilizar uma identidade gerida. As funcionalidades que requerem a atribuição de funções RBAC do Azure para funções Microsoft Entra a um principal de serviço com a abordagem do principal de serviço do Azure Virtual Desktop são:

Anexar Aplicação (ao utilizar Arquivos do Azure e os anfitriões de sessão associados ao Microsoft Entra ID).
Dimensionamento automático.
Inicie a VM em Ligar.

Ao utilizar uma identidade gerida, tem duas opções:

Identidade gerida atribuída pelo sistema
Identidade gerida atribuída pelo utilizador

Saiba mais sobre as Diferenças entre identidades geridas atribuídas pelo sistema e atribuídas pelo utilizador.

Pré-requisitos

Para criar e atribuir uma identidade gerida atribuída pelo sistema a um conjunto de anfitriões, precisa de:

Um conjunto de anfitriões existente.
Uma conta do Azure atribuiu o Contribuidor do Conjunto de Anfitriões de Virtualização de Ambiente de Trabalho no âmbito do conjunto de anfitriões ou superior.
Se quiser utilizar a CLI do Azure ou Azure PowerShell localmente, veja Utilizar a CLI do Azure e Azure PowerShell com o Azure Virtual Desktop para se certificar de que tem a extensão da CLI do Azure de ambiente de trabalho ou o módulo Az.DesktopVirtualization do PowerShell instalado. Em alternativa, utilize a Cloud Shell do Azure.

Criar e atribuir uma identidade gerida atribuída pelo sistema

Selecione o separador relevante para o seu cenário.

Portal do Azure
Azure PowerShell

Eis como criar uma identidade gerida atribuída pelo sistema com o portal do Azure:

Entre no portal do Azure.
Na barra de pesquisa, introduza Azure Virtual Desktop e selecione a entrada de serviço correspondente
Selecione Conjuntos de anfitriões e, em seguida, selecione o nome do conjunto de anfitriões que pretende configurar.
Selecione Identidade (Pré-visualização).
Selecione Atribuir uma Identidade Gerida para que a caixa seja selecionada e, em seguida, selecione Identidade gerida atribuída pelo sistema.
Selecione Guardar para criar e atribuir uma identidade gerida atribuída pelo sistema.

Eis como criar uma identidade gerida atribuída pelo sistema com Azure PowerShell. Certifique-se de que altera os <placeholder> valores dos seus próprios valores.

Abra o Azure Cloud Shell no portal do Azure com o tipo de terminal do PowerShell ou execute o PowerShell no seu dispositivo local.
- Se estiver a utilizar Cloud Shell, certifique-se de que o contexto do Azure está definido para a subscrição que pretende utilizar.
- Se estiver a utilizar o PowerShell localmente, primeiro inicie sessão com Azure PowerShell e, em seguida, certifique-se de que o contexto do Azure está definido para a subscrição que pretende utilizar.

Obtenha os valores atuais do conjunto de anfitriões:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
}

$existingHostPool = Get-AzWvdHostPool @parameters

Execute o New-AzWvdHostPool comando com as mesmas informações, alterando apenas para IdentityType "SystemAssigned". Uma vez que este conjunto de anfitriões já existe, este comando só altera a IdentityType propriedade:

$parameters = @{
    Name = $existingHostPool.Name
    ResourceGroupName = $existingHostPool.ResourceGroupName
    Location = $existingHostPool.Location
    HostPoolType = $existingHostPool.HostPoolType
    LoadBalancerType = $existingHostPool.LoadBalancerType
    PreferredAppGroupType = $existingHostPool.PreferredAppGroupType
    IdentityType = 'SystemAssigned'
}

New-AzWvdHostPool @parameters

Para marcar as alterações, execute este comando:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
}

Get-AzWvdHostPool @parameters | Format-Table Name, IdentityType

O resultado deve ser semelhante ao seguinte exemplo:

Name        IdentityType
----------- ----------------
contosohp01 SystemAssigned

Pré-requisitos

Para atribuir uma identidade gerida atribuída pelo utilizador a um conjunto de anfitriões, precisa de:

Um conjunto de anfitriões existente.
Uma conta do Azure atribuída:
1. Contribuidor do Conjunto de Anfitriões de Virtualização de Ambiente de Trabalho no âmbito do conjunto de anfitriões ou superior.
2. Operador de Identidade Gerida no âmbito da identidade gerida ou superior.
Se quiser utilizar a CLI do Azure ou Azure PowerShell localmente, veja Utilizar a CLI do Azure e Azure PowerShell com o Azure Virtual Desktop para se certificar de que tem a extensão da CLI do Azure de ambiente de trabalho ou o módulo Az.DesktopVirtualization do PowerShell instalado. Em alternativa, utilize a Cloud Shell do Azure.

Atribuir uma identidade gerida atribuída pelo utilizador

Selecione o separador relevante para o seu cenário.

Portal do Azure
Azure PowerShell

Eis como atribuir uma identidade gerida atribuída pelo utilizador com o portal do Azure:

Entre no portal do Azure.
Na barra de pesquisa, introduza Azure Virtual Desktop e selecione a entrada de serviço correspondente
Selecione Conjuntos de anfitriões e, em seguida, selecione o nome do conjunto de anfitriões que pretende configurar.
Selecione Identidade (Pré-visualização).
Selecione Atribuir uma Identidade Gerida para que a caixa seja selecionada e, em seguida, selecione Identidade gerida atribuída pelo utilizador.
Em Subscrição, selecione a subscrição adequada no menu pendente.
Para Identidades geridas atribuídas pelo utilizador existente, selecione a identidade gerida adequada no menu pendente.
Selecione Guardar para aplicar a nova identidade gerida.

Eis como atribuir uma identidade gerida atribuída pelo utilizador com Azure PowerShell. Certifique-se de que altera os <placeholder> valores dos seus próprios valores.

Abra o Azure Cloud Shell no portal do Azure com o tipo de terminal do PowerShell ou execute o PowerShell no seu dispositivo local.
- Se estiver a utilizar Cloud Shell, certifique-se de que o contexto do Azure está definido para a subscrição que pretende utilizar.
- Se estiver a utilizar o PowerShell localmente, primeiro inicie sessão com Azure PowerShell e, em seguida, certifique-se de que o contexto do Azure está definido para a subscrição que pretende utilizar.

Obtenha os valores atuais do conjunto de anfitriões:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<HostPoolResourceGroupName>'
}

$existingHostPool = Get-AzWvdHostPool @parameters

Obtenha o objeto de identidade gerida que pretende atribuir ao conjunto de anfitriões:

$parameters = @{
    Name = '<ManagedIdentityName>'
    ResourceGroupName = '<ManagedIdentityResourceGroupName>'
}

$managedIdentity = Get-AzUserAssignedIdentity @parameters

$parameters = @{
    Name = $existingHostPool.Name
    ResourceGroupName = $existingHostPool.ResourceGroupName
    Location = $existingHostPool.Location
    HostPoolType = $existingHostPool.HostPoolType
    LoadBalancerType = $existingHostPool.LoadBalancerType
    PreferredAppGroupType = $existingHostPool.PreferredAppGroupType
    IdentityType = 'UserAssigned'
    IdentityUserAssignedIdentity = @{$managedIdentity.Id = @{}}
}

New-AzWvdHostPool @parameters

Para marcar as alterações, execute este comando:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
}

Get-AzWvdHostPool @parameters | Format-Table Name, IdentityType, IdentityUserAssignedIdentity

O resultado deve ser semelhante ao seguinte exemplo:

Name        IdentityType     IdentityUserAssignedIdentity
----------- ---------------- ----------------------------
contosohp01 UserAssigned   {...

Remover uma identidade gerida

Remover uma identidade gerida de um conjunto de anfitriões tem um comportamento ligeiramente diferente, consoante o tipo de identidade da identidade gerida:

Atribuído pelo sistema: quando concluir a remoção, o Azure elimina automaticamente a identidade gerida e todos os metadados associados.
Atribuído pelo utilizador: quando conclui a remoção, o Azure remove a associação entre o conjunto de anfitriões e a identidade gerida, mas não efetua outras alterações. Por exemplo, não altera as permissões atribuídas à identidade gerida.

Importante

Os conjuntos de anfitriões configurados com uma configuração de anfitrião de sessão exigirão uma identidade gerida a partir de 1 de novembro de 2025 para adicionar anfitriões de sessão ao conjunto de anfitriões. Isto substitui a dependência do principal de serviço do Azure Virtual Desktop e permite uma configuração mais segura. Saiba mais sobre como utilizar identidades geridas com conjuntos de anfitriões do Azure Virtual Desktop.

Selecione o separador relevante para o seu cenário.

Portal do Azure
Azure PowerShell

Eis como remover uma identidade gerida com o portal do Azure:

Entre no portal do Azure.
Na barra de pesquisa, introduza Azure Virtual Desktop e selecione a entrada de serviço correspondente
Selecione Conjuntos de anfitriões e, em seguida, selecione o nome do conjunto de anfitriões que pretende configurar.
Selecione Identidade (Pré-visualização).
Selecione Atribuir uma Identidade Gerida para que a caixa esteja desmarcada.
Selecione Guardar para concluir a remoção da identidade gerida.

Eis como remover uma identidade gerida com Azure PowerShell. Certifique-se de que altera os <placeholder> valores dos seus próprios valores.

Abra o Azure Cloud Shell no portal do Azure com o tipo de terminal do PowerShell ou execute o PowerShell no seu dispositivo local.
- Se estiver a utilizar Cloud Shell, certifique-se de que o contexto do Azure está definido para a subscrição que pretende utilizar.
- Se estiver a utilizar o PowerShell localmente, primeiro inicie sessão com Azure PowerShell e, em seguida, certifique-se de que o contexto do Azure está definido para a subscrição que pretende utilizar.

Obtenha os valores atuais do conjunto de anfitriões:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
}

$existingHostPool = Get-AzWvdHostPool @parameters

Execute o New-AzWvdHostPool comando com as mesmas informações, alterando apenas para IdentityType "Nenhum". Uma vez que este conjunto de anfitriões já existe, este comando só altera a IdentityType propriedade:

$parameters = @{
    Name = $existingHostPool.Name
    ResourceGroupName = $existingHostPool.ResourceGroupName
    Location = $existingHostPool.Location
    HostPoolType = $existingHostPool.HostPoolType
    LoadBalancerType = $existingHostPool.LoadBalancerType
    PreferredAppGroupType = $existingHostPool.PreferredAppGroupType
    IdentityType = 'None'
}

New-AzWvdHostPool @parameters

Para marcar as alterações, execute este comando:

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
}

Get-AzWvdHostPool @parameters | Format-Table Name, IdentityType

O resultado deve ser semelhante ao seguinte exemplo:

Name        IdentityType
----------- ----------------
contosohp01 None

Siga os passos seguintes para Atribuir funções RBAC do Azure ou Microsoft Entra funções a um principal de serviço com a abordagem de identidade gerida.

Feedback

Esta página foi útil?

Last updated on 2025-09-18

Partilhar via

Configurar a identidade gerida no Azure Virtual Desktop (pré-visualização)

Pré-requisitos

Criar e atribuir uma identidade gerida atribuída pelo sistema

Pré-requisitos

Atribuir uma identidade gerida atribuída pelo utilizador

Remover uma identidade gerida

Conteúdo relacionado

Feedback

Recursos adicionais