使用 Azure 虛擬桌面設定 Private Link

發行項
04/19/2024

本文說明如何使用 Azure 虛擬桌面設定 Private Link，以私下連線到您的遠端資源。如需搭配 Azure 虛擬桌面使用 Private Link 的詳細資訊，包括限制，請參閱搭配 Azure 虛擬桌面使用 Azure Private Link。

必要條件

若要搭配 Azure 虛擬桌面使用 Private Link，您需要下列事項：

具有工作階段主機、應用程式群組和工作區的現有主機集區。
您想要用於私人端點的現有虛擬網路和子網。
建立私人端點所需的 Azure 角色型訪問控制許可權。
如果您使用適用於 Windows 的遠端桌面用戶端，您必須使用 1.2.4066 版或更新版本，才能使用私人端點進行連線。
如果您想要在本機使用 Azure CLI 或 Azure PowerShell，請參閱使用 Azure CLI 和 Azure PowerShell 搭配 Azure 虛擬桌面，以確定您已安裝桌面虛擬化 Azure CLI 延伸模組或 Az.DesktopVirtualization PowerShell 模組。或者，請使用 Azure Cloud Shell。
支援 Private Link 的 Azure 虛擬桌面的 Azure PowerShell Cmdlet 目前為預覽狀態。您必須下載並安裝 Az.DesktopVirtualization 模組的預覽版本，才能使用已在 5.0.0 版中新增的這些 Cmdlet。

在訂用帳戶上啟用私人連結與 Azure 虛擬桌面

若要搭配 Azure 虛擬桌面使用 Private Link，您必須在您想要搭配 Azure 虛擬桌面使用 Private Link 的每個訂用帳戶上重新註冊 Microsoft.DesktopVirtualization 資源提供者。

重要

針對由 21Vianet 運作的適用於美國政府和 Azure 的 Azure，您也需要註冊每個訂用帳戶的功能。

向 Azure 虛擬桌面註冊 Private Link （僅限 21Vianet 運作的美國政府和 Azure 版 Azure）

若要註冊 Azure 虛擬桌面 Private Link 功能：

登入 Azure 入口網站。
在搜尋列中，輸入 [訂用帳戶 ]，然後選取相符的服務專案。
選取訂用帳戶的名稱，然後在 [設定] 區段中，選取 [預覽功能]。
選取篩選 類型的 下拉式清單，並將其設定為 Microsoft.DesktopVirtualization。
選取 [Azure 虛擬桌面私人連結]，然後選取 [ 註冊]。

重新註冊資源提供者

若要重新註冊 Microsoft.DesktopVirtualization 資源提供者：

登入 Azure 入口網站。
在搜尋列中，輸入 [訂用帳戶 ]，然後選取相符的服務專案。
選取訂用帳戶的名稱，然後在 [設定] 區段中，選取 [資源提供者]。
搜尋並選取 [Microsoft.DesktopVirtualization]，然後選取 [重新註冊]。
確認 Microsoft.DesktopVirtualization 的狀態為 [已註冊]。

建立私人端點

在設定程式期間，您會根據您的案例，建立下列資源的私人端點。

用戶端和會話主機 VM 都使用私人路由。您需要下列私人端點：

目的	資源類型	目標子資源	端點數量	IP 位址數量
主機集區的連線	Microsoft.DesktopVirtualization/hostpools	connection	每個主機集區一個	每個端點四個
摘要下載	Microsoft.DesktopVirtualization/workspaces	摘要	每個工作區一個	每個端點兩個
初始摘要探索	Microsoft.DesktopVirtualization/workspaces	全域	所有 Azure 虛擬桌面部署都只有一個	每個端點一個

用戶端會在會話主機 VM 使用私人路由時使用公用路由。您需要下列私人端點。不需要工作區的端點。

目的資源類型目標子資源端點數量 IP 位址數量

主機集區的連線 Microsoft.DesktopVirtualization/hostpools connection 每個主機集區一個每個端點四個

重要

隨著IP位址的需求增加，IP 位址配置可能會變更。在容量擴充期間，私人端點需要額外的位址。請務必考慮潛在的空間耗盡，並確保有足夠的空間進行成長。如需在中樞或輪輻拓撲中判斷私人端點適當網路組態的詳細資訊，請參閱 Private Link 部署的判定樹。

主機集區的連線

若要為 連線到主機集區的連線 子資源建立私人端點，請為您的案例選取相關的索引卷標，並遵循步驟。

以下說明如何使用 Azure 入口網站，為聯機子資源建立私人端點，以聯機到主機集區。

登入 Azure 入口網站。
在搜尋列中，輸入 Azure 虛擬桌面 ，然後選取相符的服務專案以移至 Azure 虛擬桌面概觀。
選取 [ 主機集區]，然後選取您要為其建立連線子資源之主機集區的名稱。
從主機集區概觀中，選取 [網络]，然後選取 [私人端點連線]，最後選取 [新增私人端點]。

在 [基本] 索引標籤上，輸入下列資訊：

參數	值/描述
訂用帳戶	從下拉式清單中選取您要在其中建立私人端點的訂用帳戶。
資源群組	這會自動預設為與私人端點工作區相同的資源群組，但您也可以從下拉式清單中選取替代的現有資源群組，或建立新的資源群組。
名稱	輸入新私人端點的名稱。
網路介面名稱	網路介面名稱會根據您提供私人端點的名稱自動填入，但您也可以指定不同的名稱。
區域	這會自動預設為與工作區相同的 Azure 區域，而且是部署私人端點的位置。這必須與虛擬網路和會話主機相同。

完成此索引標籤之後，請選取 [下一步：資源]。

在 [資源] 索引卷標上，驗證 [訂用帳戶]、[資源類型] 和 [資源] 的值，然後針對 [目標子資源] 選取 [連線]。完成此索引標籤之後，請選取 [下一步：虛擬網絡]。

在 [虛擬網絡] 索引標籤上，完成下列資訊：

參數	值/描述
虛擬網路	從下拉式清單中選取您要在中建立私人端點的虛擬網路。
子網路	從下拉式清單中選取您想要在中建立私人端點的虛擬網路子網。
私人端點的網路原則	如果您想要選擇子網網路原則，請選取 [編輯 ]。如需詳細資訊，請參閱管理私人端點的網路原則。
私人 IP 設定	選取 [動態配置 IP 位址] 或 [靜態配置 IP 位址]。地址空間來自您選取的子網。如果您選擇以靜態方式配置IP位址，則必須為每個列出的成員填入 [名稱 ] 和 [私人IP ]。
應用程式安全性群組	選擇性：從下拉式清單中選取私人端點的現有應用程式安全組，或建立新的安全組。您也可以稍後新增一個。

完成此索引標籤之後，請選取 [ 下一步：DNS]。

在 [DNS] 索引標籤上，選取 [是] 或 [否] 以選擇您想要使用 Azure 私用 DNS 區域，以便與私人 DNS 區域整合。如果您選取 [ 是]，請選取要在其中建立私人 DNS 區域的 privatelink.wvd.microsoft.com訂用帳戶和資源群組。如需詳細資訊，請參閱 Azure 私人端點 DNS 設定。

完成此索引標籤之後，請選取 [下一步：卷標]。
選擇性：在 [ 捲標 ] 索引標籤上，您可以輸入所需的任何名稱/值組，然後選取 [ 下一步：檢閱 + 建立]。
在 [ 檢閱 + 建立] 索引標籤上，確定驗證通過，並檢閱部署期間使用的資訊。
選取 [建立 ] 以建立連線子資源的私人端點。

以下說明如何使用 Az.Network 和 Az.DesktopVirtualization PowerShell 模組，建立聯機子資源的私人端點，以用於連線到主機集區。

重要

在下列範例中，您必須自己變更 <placeholder> 的值。

使用 PowerShell 終端機類型，在 Azure 入口網站中啟動 Azure Cloud Shell，或在本機裝置上執行 PowerShell。
1. 如果您使用 Cloud Shell，請確定您的 Azure 內容已設定為您要使用的訂用帳戶。
2. 如果您在本機使用 PowerShell，請先使用 Azure PowerShell 登入，然後確定您的 Azure 內容已設定為您要使用的訂用帳戶。

執行下列命令，以取得您想要用於私人端點的虛擬網路和子網詳細數據，並將其儲存在變數中：

# Get the subnet details for the virtual network
$subnet = (Get-AzVirtualNetwork -Name <VNetName> -ResourceGroupName <ResourceGroupName>).Subnets | ? Name -eq <SubnetName>

執行下列命令，為具有連線子資源的主機集區建立 Private Link 服務連線。

# Get the resource ID of the host pool
$hostPoolId = (Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $hostPoolId
    GroupId = 'connection'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

最後，執行下列其中一個範例中的命令來建立私人端點。

若要建立具有動態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

若要建立具有靜態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
$location = '<Location>'

# Create a hash table for each private endpoint IP configuration
$ip1 = @{
    Name = 'ipconfig1'
    GroupId = 'connection'
    MemberName = 'broker'
    PrivateIPAddress = '<IPAddress>'
}

$ip2 = @{
    Name = 'ipconfig2'
    GroupId = 'connection'
    MemberName = 'diagnostics'
    PrivateIPAddress = '<IPAddress>'
}

$ip3 = @{
    Name = 'ipconfig3'
    GroupId = 'connection'
    MemberName = 'gateway-ring-map'
    PrivateIPAddress = '<IPAddress>'
}

$ip4 = @{
    Name = 'ipconfig4'
    GroupId = 'connection'
    MemberName = 'web'
    PrivateIPAddress = '<IPAddress>'
}

# Create the private endpoint IP configurations
$ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
$ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2
$ipConfig3 = New-AzPrivateEndpointIpConfiguration @ip3
$ipConfig4 = New-AzPrivateEndpointIpConfiguration @ip4

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipConfig1, $ipConfig2, $ipConfig3, $ipConfig4
}

New-AzPrivateEndpoint @parameters

您的輸出應該類似下列輸出。檢查 ProvisioningState 的值是否為 Succeeded。

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-hp01   uksouth  Succeeded

您必須為私人端點設定 DNS，才能解析虛擬網路中私人端點的 DNS 名稱。私人 DNS 區域名稱稱為 privatelink.wvd.microsoft.com。如需使用 Azure PowerShell 建立和設定私人 DNS 區域的步驟，請參閱設定私人 DNS 區域。

以下說明如何使用 Azure CLI 的網路和桌面虛擬化延伸模組，建立連線子資源的私人端點，以用於連線到主機集區。

重要

在下列範例中，您必須自己變更 <placeholder> 的值。

使用Bash終端機類型在 Azure 入口網站中啟動 Azure Cloud Shell，或在本機裝置上執行 Azure CLI。
1. 如果您使用 Cloud Shell，請確定您的 Azure 內容已設定為您要使用的訂用帳戶。
2. 如果您在本機使用 Azure CLI，請先使用 Azure CLI 登入，然後確定您的 Azure 內容已設定為您想要使用的訂用帳戶。

在下列其中一個範例中執行命令，以建立具有連線子資源之主機集區的 Private Link 服務連線和私人端點。

若要建立具有動態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
location=<Location>

# Get the resource ID of the host pool
hostPoolId=$(az desktopvirtualization hostpool show \
    --name <HostPoolName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $hostPoolId \
    --group-id connection \
    --output table

若要建立具有靜態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
location=<Location>

# Get the resource ID of the host pool
hostPoolId=$(az desktopvirtualization hostpool show \
    --name <HostPoolName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip1={name:ipconfig1,group-id:connection,member-name:broker,private-ip-address:<IPAddress>}
ip2={name:ipconfig2,group-id:connection,member-name:diagnostics,private-ip-address:<IPAddress>}
ip3={name:ipconfig3,group-id:connection,member-name:gateway-ring-map,private-ip-address:<IPAddress>}
ip4={name:ipconfig4,group-id:connection,member-name:web,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $hostPoolId \
    --group-id connection \
    --ip-configs [$ip1,$ip2,$ip3,$ip4] \
    --output table

您的輸出應該類似下列輸出。檢查 ProvisioningState 的值是否為 Succeeded。

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-hp01         Succeeded            privatelink

您必須為私人端點設定 DNS，才能解析虛擬網路中私人端點的 DNS 名稱。私人 DNS 區域名稱稱為 privatelink.wvd.microsoft.com。如需使用 Azure CLI 建立及設定私人 DNS 區域的步驟，請參閱設定私人 DNS 區域。

重要

您必須為您想要搭配 Private Link 使用的每個主機集區，建立連線子資源的私人端點。

摘要下載

若要為工作區的摘要子資源建立私人端點，請為您的案例選取相關的索引卷標，並遵循步驟。

從 Azure 虛擬桌面概觀中，選取 [工作區]，然後選取您要為其建立摘要子資源的工作區名稱。
從工作區概觀中，選取 [網络]，然後選取 [私人端點連線]，最後選取 [新增私人端點]。

在 [基本] 索引標籤上，輸入下列資訊：

參數	值/描述
訂用帳戶	從下拉式清單中選取您要在其中建立私人端點的訂用帳戶。
資源群組	這會自動預設為與私人端點工作區相同的資源群組，但您也可以從下拉式清單中選取替代的現有資源群組，或建立新的資源群組。
名稱	輸入新私人端點的名稱。
網路介面名稱	網路介面名稱會根據您提供私人端點的名稱自動填入，但您也可以指定不同的名稱。
區域	這會自動預設為與工作區相同的 Azure 區域，而且是部署私人端點的位置。它必須與您的虛擬網路位於相同的區域中。

完成此索引標籤之後，請選取 [下一步：資源]。

在 [資源] 索引卷標上，驗證 [訂用帳戶]、[資源類型] 和 [資源] 的值，然後針對 [目標子資源] 選取 [摘要]。完成此索引標籤之後，請選取 [下一步：虛擬網絡]。

在 [虛擬網絡] 索引標籤上，完成下列資訊：

參數	值/描述
虛擬網路	從下拉式清單中選取您要在中建立私人端點的虛擬網路。
子網路	從下拉式清單中選取您想要在中建立私人端點的虛擬網路子網。
私人端點的網路原則	如果您想要選擇子網網路原則，請選取 [編輯 ]。如需詳細資訊，請參閱管理私人端點的網路原則。
私人 IP 設定	選取 [動態配置 IP 位址] 或 [靜態配置 IP 位址]。地址空間來自您選取的子網。如果您選擇以靜態方式配置IP位址，則必須為每個列出的成員填入 [名稱 ] 和 [私人IP ]。
應用程式安全性群組	選擇性：從下拉式清單中選取私人端點的現有應用程式安全組，或建立新的安全組。您也可以稍後新增一個。

完成此索引標籤之後，請選取 [ 下一步：DNS]。

在 [DNS] 索引標籤上，選取 [是] 或 [否] 以選擇您想要使用 Azure 私用 DNS 區域，以便與私人 DNS 區域整合。如果您選取 [ 是]，請選取要在其中建立私人 DNS 區域的 privatelink.wvd.microsoft.com訂用帳戶和資源群組。如需詳細資訊，請參閱 Azure 私人端點 DNS 設定。

完成此索引標籤之後，請選取 [下一步：卷標]。
選擇性：在 [ 捲標 ] 索引標籤上，您可以輸入所需的任何名稱/值組，然後選取 [ 下一步：檢閱 + 建立]。
在 [ 檢閱 + 建立] 索引標籤上，確定驗證通過，並檢閱部署期間使用的資訊。
選取 [建立 ] 以建立摘要子資源的私人端點。

在相同的 PowerShell 工作階段中，執行下列命令，為具有摘要子資源的工作區建立 Private Link 服務連線。在這些範例中，會使用相同的虛擬網路和子網。

# Get the resource ID of the workspace
$workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $workspaceId
    GroupId = 'feed'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

最後，執行下列其中一個範例中的命令來建立私人端點。

若要建立具有動態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

若要建立具有靜態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create a hash table for each private endpoint IP configuration
$ip1 = @{
    Name = 'ipconfig1'
    GroupId = 'feed'
    MemberName = 'web-r1'
    PrivateIPAddress = '<IPAddress>'
}

$ip2 = @{
    Name = 'ipconfig2'
    GroupId = 'feed'
    MemberName = 'web-r0'
    PrivateIPAddress = '<IPAddress>'
}

# Create the private endpoint IP configurations
$ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
$ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipConfig1, $ipConfig2
}

New-AzPrivateEndpoint @parameters

您的輸出應該如下所示。檢查 ProvisioningState 的值是否為 Succeeded。

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-ws01   uksouth  Succeeded

您必須為私人端點設定 DNS，才能解析虛擬網路中私人端點的 DNS 名稱。私人 DNS 區域名稱稱為 privatelink.wvd.microsoft.com。如需使用 Azure PowerShell 建立和設定私人 DNS 區域的步驟，請參閱設定私人 DNS 區域。

在相同的 CLI 工作階段中，執行下列命令，為具有摘要子資源的工作區建立 Private Link 服務連線和私人端點。

若要建立具有動態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id feed \
    --output table

若要建立具有靜態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip1={name:ipconfig1,group-id:feed,member-name:web-r1,private-ip-address:<IPAddress>}
ip2={name:ipconfig2,group-id:feed,member-name:web-r0,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id feed \
    --ip-configs [$ip1,$ip2] \
    --output table

您的輸出應該如下所示。檢查 ProvisioningState 的值是否為 Succeeded。

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-ws01         Succeeded            privatelink

您必須為私人端點設定 DNS，才能解析虛擬網路中私人端點的 DNS 名稱。私人 DNS 區域名稱稱為 privatelink.wvd.microsoft.com。如需使用 Azure CLI 建立及設定私人 DNS 區域的步驟，請參閱設定私人 DNS 區域。

重要

您需要針對您想要搭配 Private Link 使用的每個工作區，建立摘要子資源的私人端點。

初始摘要探索

若要為用於初始摘要探索的全域子資源建立私人端點，請為您的案例選取相關的索引卷標，並遵循步驟。

重要

針對所有 Azure 虛擬桌面部署， 只針對全域 子資源建立一個私人端點。
任何工作區之全域子資源的私人端點會控制初始摘要探索的共用完整功能變數名稱（FQDN）。這接著會啟用所有工作區的摘要探索。由於連線到私人端點的工作區如此重要，因此刪除會導致所有摘要探索程式停止運作。建議您為全域子資源建立未使用的佔位元元工作區。

從 Azure 虛擬桌面概觀中，選取 [工作區]，然後選取您要用於全域子資源的工作區名稱。
1. 選擇性：請依照建立工作區的指示，改為建立佔位元元工作區，以終止全域端點。
從工作區概觀中，選取 [網络]，然後選取 [私人端點連線]，最後選取 [新增私人端點]。

在 [基本] 索引標籤上，輸入下列資訊：

參數	值/描述
訂用帳戶	從下拉式清單中選取您要在其中建立私人端點的訂用帳戶。
資源群組	這會自動預設為與私人端點工作區相同的資源群組，但您也可以從下拉式清單中選取替代的現有資源群組，或建立新的資源群組。
名稱	輸入新私人端點的名稱。
網路介面名稱	網路介面名稱會根據您提供私人端點的名稱自動填入，但您也可以指定不同的名稱。
區域	這會自動預設為與工作區相同的 Azure 區域，而且是將部署私人端點的位置。它必須與您的虛擬網路位於相同的區域中。

完成此索引標籤之後，請選取 [下一步：資源]。

在 [資源] 索引卷標上，驗證 [訂用帳戶]、[資源類型] 和 [資源] 的值，然後針對 [目標子資源] 選取 [全域]。完成此索引標籤之後，請選取 [下一步：虛擬網絡]。

在 [虛擬網絡] 索引標籤上，完成下列資訊：

參數	值/描述
虛擬網路	從下拉式清單中選取您要在中建立私人端點的虛擬網路。
子網路	從下拉式清單中選取您想要在中建立私人端點的虛擬網路子網。
私人端點的網路原則	如果您想要選擇子網網路原則，請選取 [編輯 ]。如需詳細資訊，請參閱管理私人端點的網路原則。
私人 IP 設定	選取 [動態配置 IP 位址] 或 [靜態配置 IP 位址]。地址空間來自您選取的子網。如果您選擇以靜態方式配置IP位址，則必須為每個列出的成員填入 [名稱 ] 和 [私人IP ]。
應用程式安全性群組	選擇性：從下拉式清單中選取私人端點的現有應用程式安全組，或建立新的安全組。您也可以稍後新增一個。

完成此索引標籤之後，請選取 [ 下一步：DNS]。

在 [DNS] 索引標籤上，選取 [是] 或 [否] 以選擇您想要使用 Azure 私用 DNS 區域，以便與私人 DNS 區域整合。如果您選取 [ 是]，請選取要在其中建立私人 DNS 區域的 privatelink-global.wvd.microsoft.com訂用帳戶和資源群組。如需詳細資訊，請參閱 Azure 私人端點 DNS 設定。

完成此索引標籤之後，請選取 [下一步：卷標]。
選擇性：在 [ 捲標 ] 索引標籤上，您可以輸入所需的任何名稱/值組，然後選取 [ 下一步：檢閱 + 建立]。
在 [ 檢閱 + 建立] 索引標籤上，確定驗證通過，並檢閱部署期間使用的資訊。
選取 [建立 ] 以建立全域子資源的私人端點。

選擇性：遵循建立工作區的指示，建立佔位元工作區以終止全域端點。

在相同的 PowerShell 工作階段中，執行下列命令，為具有全域子資源的工作區建立 Private Link 服務連線。在這些範例中，會使用相同的虛擬網路和子網。

# Get the resource ID of the workspace
$workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $workspaceId
    GroupId = 'global'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

最後，執行下列其中一個範例中的命令來建立私人端點。

若要建立具有動態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

若要建立具有靜態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

$ip = @{
    Name = '<IPConfigName>'
    GroupId = 'global'
    MemberName = 'web'
    PrivateIPAddress = '<IPAddress>'
}

$ipConfig = New-AzPrivateEndpointIpConfiguration @ip

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipconfig
}

New-AzPrivateEndpoint @parameters

您的輸出應該如下所示。檢查 ProvisioningState 的值是否為 Succeeded。

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-global uksouth  Succeeded

您必須為私人端點設定 DNS，才能解析虛擬網路中私人端點的 DNS 名稱。私人 DNS 區域名稱稱為 privatelink-global.wvd.microsoft.com。如需使用 Azure PowerShell 建立和設定私人 DNS 區域的步驟，請參閱設定私人 DNS 區域。

選擇性：遵循建立工作區的指示，建立佔位元工作區以終止全域端點。

在相同的 CLI 工作階段中，執行下列命令，建立具有全域子資源之工作區的 Private Link 服務連線和私人端點：

若要建立具有動態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id global \
    --output table

若要建立具有靜態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip={name:ipconfig,group-id:global,member-name:web,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id global \
    --ip-config $ip \
    --output table

您的輸出應該如下所示。檢查 ProvisioningState 的值是否為 Succeeded。

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-global       Succeeded            privatelink

您必須為私人端點設定 DNS，才能解析虛擬網路中私人端點的 DNS 名稱。私人 DNS 區域名稱稱為 privatelink-global.wvd.microsoft.com。如需使用 Azure CLI 建立及設定私人 DNS 區域的步驟，請參閱設定私人 DNS 區域。

關閉公用路由

建立私人端點之後，您也可以控制是否允許流量來自公用路由。您可以使用 Azure 虛擬桌面，或更廣泛地使用網路安全組（NSG）或 Azure 防火牆來控制此狀況。

使用 Azure 虛擬桌面控制路由

透過 Azure 虛擬桌面，您可以獨立控制工作區和主機集區的公用流量。請針對您的案例選取相關的索引標籤，然後遵循步驟。您無法在 Azure CLI 中設定此設定。您必須針對搭配 Private Link 使用的每個工作區和主機集區重複這些步驟。

入口網站
Azure PowerShell

工作區

從 Azure 虛擬桌面概觀中，選取 [工作區]，然後選取工作區的名稱來控制公用流量。
從主機集區概觀中，選取 [ 網络]，然後選取 [ 公用存取] 索引卷標。

選取下列其中一個選項：

設定	描述
啟用來自所有網路的公用存取	終端使用者可以透過公用因特網或私人端點存取摘要。
停用公用存取並使用私人存取	終端使用者只能透過私人端點存取摘要。

選取 [儲存]。

主機集區

從 Azure 虛擬桌面概觀中，選取 [主機集區]，然後選取主機集區的名稱來控制公用流量。
從主機集區概觀中，選取 [ 網络]，然後選取 [ 公用存取] 索引卷標。

選取下列其中一個選項：

設定	描述
啟用來自所有網路的公用存取	終端使用者可以透過公用因特網或私人端點安全地存取摘要和會話主機。
為終端使用者啟用公用存取，針對會話主機使用私人存取	終端使用者可以透過公用因特網安全地存取摘要，但必須使用私人端點來存取會話主機。
停用公用存取並使用私人存取	終端使用者只能透過私人端點存取摘要和會話主機。

選取 [儲存]。

重要

支援 Private Link 的 Azure 虛擬桌面的 Azure PowerShell Cmdlet 目前為預覽狀態。您必須下載並安裝 Az.DesktopVirtualization 模組的預覽版本，才能使用已在 5.0.0 版中新增的這些 Cmdlet。

工作區

在相同的 PowerShell 工作階段中，您可以執行下列命令來停用公用存取並使用私人存取：

$parameters = @{
    Name = '<WorkspaceName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Disabled'
}

Update-AzWvdWorkspace @parameters

若要從所有網路啟用公用存取，請執行下列命令：

$parameters = @{
    Name = '<WorkspaceName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Enabled'
}

Update-AzWvdWorkspace @parameters

主機集區

在相同的 PowerShell 工作階段中，您可以執行下列命令來停用公用存取並使用私人存取：

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Disabled'
}

Update-AzWvdHostPool @parameters

若要從所有網路啟用公用存取，請執行下列命令：

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Enabled'
}

Update-AzWvdHostPool @parameters

若要對終端使用者使用公用存取，但對會話主機使用私人存取，請執行下列命令：

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'EnabledForSessionHostsOnly'
}

Update-AzWvdHostPool @parameters

若要對終端使用者使用私人存取，但對會話主機使用公用存取，請執行下列命令：

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'EnabledForClientsOnly'
}

Update-AzWvdHostPool @parameters

重要

變更會話主機的存取權不會影響現有的會話。將私人端點變更為主機集區之後，您必須重新啟動 主機集區中每個會話主機上的遠端桌面代理程式載入器 （RDAgentBootLoader）服務。每當變更主機集區的網路設定時，您也需要重新啟動此服務。您可以重新啟動每個會話主機，而不是重新啟動服務。

封鎖具有網路安全組或 Azure 防火牆的公用路由

如果您使用網路安全組或 Azure 防火牆來控制從使用者用戶端裝置或會話主機到私人端點的連線，您可以使用 WindowsVirtualDesktop 服務卷標來封鎖來自公用因特網的流量。如果您使用此服務標籤封鎖公用因特網流量，則所有服務流量只會使用私人路由。

警告

請確定您不會封鎖私人端點與所需URL清單中位址之間的流量。
請勿使用連線子資源，將特定埠從使用者用戶端裝置或會話主機封鎖到主機集區資源的私人端點。需要整個 TCP 動態埠範圍 1 - 65535 到私人端點，因為埠對應是透過對應 至連線 子資源的單一私人端點 IP 位址，用於所有全域閘道。如果您將埠限制為私人端點，您的使用者可能無法成功連線到 Azure 虛擬桌面。

使用 Azure 虛擬桌面驗證 Private Link

關閉公用路由之後，您應該驗證與 Azure 虛擬桌面的私人連結是否正常運作。您可以檢查每個私人端點的連線狀態、工作階段主機的狀態，以及測試您的使用者可以重新整理並連線到其遠端資源，以執行此動作。

檢查每個私人端點的連線狀態

若要檢查每個私人端點的連線狀態，請為您的案例選取相關的索引標籤，並遵循步驟。您應該針對搭配 Private Link 使用的每個工作區和主機集區重複這些步驟。

工作區

從 Azure 虛擬桌面概觀中，選取 [ 工作區]，然後選取您要檢查連線狀態的工作區名稱。
從工作區概觀中，選取 [網络]，然後選取 [私人端點連線]。
針對列出的私人端點，檢查 連線狀態為 [已核准]。

主機集區

從 Azure 虛擬桌面概觀中，選取 [主機集區]，然後選取您要檢查連線狀態的主機集區名稱。
從主機集區概觀中，選取 [網络]，然後選取 [私人端點連線]。
針對列出的私人端點，檢查已核准 連線狀態。

重要

您必須使用 Az.DesktopVirtualization 模組的預覽版本來執行下列命令。如需詳細資訊及下載並安裝預覽模組，請參閱 PowerShell 資源庫。

工作區

在相同的 PowerShell 工作階段中，執行下列命令來檢查工作區的連線狀態：

(Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired

您的輸出應該如下所示。檢查 PrivateLinkService 連線 ionStateStatus 的值是否已核准。

Name                                             : endpoint-ws01
PrivateLinkServiceConnectionStateStatus          : Approved
PrivateLinkServiceConnectionStateDescription     : Auto-approved
PrivateLinkServiceConnectionStateActionsRequired : None

主機集區

在相同的 PowerShell 工作階段中，執行下列命令來檢查主機集區的連線狀態：

(Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired

您的輸出應該如下所示。檢查 PrivateLinkService 連線 ionStateStatus 的值是否已核准。

Name                                             : endpoint-hp01
PrivateLinkServiceConnectionStateStatus          : Approved
PrivateLinkServiceConnectionStateDescription     : Auto-approved
PrivateLinkServiceConnectionStateActionsRequired : None

在相同的 CLI 工作階段中，執行下列命令來檢查工作區或主機集區的連線狀態：

az network private-endpoint show \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --query "{name:name, privateLinkServiceConnectionStates:privateLinkServiceConnections[].privateLinkServiceConnectionState}"

您的輸出應該如下所示。檢查狀態的值是否已核准。

{
  "name": "endpoint-ws01",
  "privateLinkServiceConnectionStates": [
    {
      "actionsRequired": "None",
      "description": "Auto-approved",
      "status": "Approved"
    }
  ]
}

檢查會話主機的狀態

檢查 Azure 虛擬桌面中的工作階段主機狀態。
1. 從 Azure 虛擬桌面概觀中，選取 [ 主機集區]，然後選取主機集區的名稱。
2. 在 [管理] 區段中，選取 [會話主機]。
3. 檢閱會話主機的清單，並檢查其狀態為 [可用]。

檢查您的使用者可以連線

若要測試您的使用者可以連線到其遠端資源：

使用遠端桌面用戶端，並確定您可以訂閱和重新整理工作區。
最後，請確定您的使用者可以連線到遠端會話。

下一步

若要深入瞭解 Azure 虛擬桌面的私人連結，請參閱搭配 Azure 虛擬桌面使用 Private Link。
瞭解如何在 Private Link DNS 整合中設定 Azure 私人端點 DNS。
如需 Private Link 的一般疑難解答指南，請參閱針對 Azure 私人端點連線問題進行疑難解答。
瞭解 Azure 虛擬桌面服務的連線如何在 Azure 虛擬桌面網路連線中運作。
如需您需要解除封鎖的 URL 清單，請參閱必要 URL 清單，以確保 Azure 虛擬桌面服務的網路存取。

Share via

使用 Azure 虛擬桌面設定 Private Link

必要條件

在訂用帳戶上啟用私人連結與 Azure 虛擬桌面

向 Azure 虛擬桌面註冊 Private Link （僅限 21Vianet 運作的美國政府和 Azure 版 Azure）

重新註冊資源提供者

建立私人端點

主機集區的連線

摘要下載

初始摘要探索

關閉公用路由

使用 Azure 虛擬桌面控制路由

工作區

主機集區

工作區

主機集區

封鎖具有網路安全組或 Azure 防火牆的公用路由

使用 Azure 虛擬桌面驗證 Private Link

檢查每個私人端點的連線狀態

工作區

主機集區

工作區

主機集區

檢查會話主機的狀態

檢查您的使用者可以連線

下一步

其他資源

Share via

使用 Azure 虛擬桌面設定 Private Link

必要條件

在訂用帳戶上啟用私人連結與 Azure 虛擬桌面

向 Azure 虛擬桌面註冊 Private Link （僅限 21Vianet 運作的美國政府和 Azure 版 Azure）

重新註冊資源提供者

建立私人端點

主機集區的 連線

摘要下載

初始摘要探索

關閉公用路由

使用 Azure 虛擬桌面控制路由

工作區

主機集區

封鎖具有網路安全組或 Azure 防火牆的公用路由

使用 Azure 虛擬桌面驗證 Private Link

檢查每個私人端點的連線狀態

工作區

主機集區

檢查會話主機的狀態

檢查您的使用者可以連線

下一步

其他資源

主機集區的連線