設定 Private Link 與 Azure 虛擬桌面

發行項
06/14/2024

本文說明如何設定 Private Link 與 Azure 虛擬桌面，以對遠端資源進行私人連線。如需使用 Private Link 與 Azure 虛擬桌面的詳細資訊 (包括限制)，請參閱 Azure Private Link 與 Azure 虛擬桌面 (部分機器翻譯)。

必要條件

若要使用 Private Link 與 Azure 虛擬桌面，您需要下列項目：

具有工作階段主機 (部分機器翻譯)、應用程式群組和工作區 (部分機器翻譯) 的現有主機集區 (部分機器翻譯)。
您想要用於私人端點的現有虛擬網路 (部分機器翻譯) 和子網路。
要建立私人端點所需的 Azure 角色型存取控制權限。
本機裝置上支援的應用程式，可用於存取遠端工作階段：
- 任何平台上的遠端桌面應用程式。如果您使用適用於 Windows 的遠端桌面用戶端，則必須使用 1.2.4066 版或更新版本，才能使用私人端點進行連線。
- macOS 或 iOS/iPadOS 上的 Windows 應用程式。
如果您想要在本機使用 Azure CLI 或 Azure PowerShell，請參閱搭配使用 Azure CLI 和 Azure PowerShell 與 Azure 虛擬桌面 (部分機器翻譯)，以確認您已安裝 desktopvirtualization (部分機器翻譯) Azure CLI 延伸模組或 Az.DesktopVirtualization (部分機器翻譯) PowerShell 模組。或者，也可以使用 Azure Cloud Shell (部分機器翻譯)。
支援 Private Link 的適用於 Azure 虛擬桌面的 Azure PowerShell Cmdlet 目前為預覽版。您必須下載並安裝 Az.DesktopVirtualization 模組的預覽版本 (英文)，才能使用 5.0.0 版中就已新增的這些 Cmdlet。

在訂用帳戶上啟用 Private Link 與 Azure 虛擬桌面

若要使用 Private Link 與 Azure 虛擬桌面，您必須在您想要使用 Private Link 與 Azure 虛擬桌面的每個訂用帳戶上，重新註冊「Microsoft.DesktopVirtualization」資源提供者。

選取案例相關的索引標籤。

Azure
Azure US Gov 和 21Vianet

重新註冊 Azure 虛擬桌面資源提供者

您必須先重新註冊 Microsoft.DesktopVirtualization 資源提供者，才能搭配使用 Private Link 與 Azure 虛擬桌面。您必須為每個要用於 Private Link 與 Azure 虛擬桌面的訂用帳戶執行此動作：

登入 Azure 入口網站。
在搜尋列中，輸入「訂用帳戶」，然後選取相符的服務項目。
選取訂用帳戶的名稱，然後在 [設定] 區段中，選取 [資源提供者]。
搜尋並選取 [Microsoft.DesktopVirtualization]，然後選取 [重新註冊]。
確認「Microsoft.DesktopVirtualization」的狀態為 [已註冊]。

建立私人端點

在設定的過程中，您必須根據案例建立下列資源的私人端點。

連線的所有部分 (用戶端和工作階段主機的初始摘要探索、摘要下載和遠端工作階段連線) 都使用私人路由。您需要下列私人端點：

目的	資源類型	目標子資源	端點數量
主機集區的連線	Microsoft.DesktopVirtualization/hostpools	connection	每個主機集區一個
摘要下載	Microsoft.DesktopVirtualization/workspaces	摘要	每個工作區一個
初始摘要探索	Microsoft.DesktopVirtualization/workspaces	全域	所有 Azure 虛擬桌面部署只需要一個

用戶端和工作階段主機的摘要下載與遠端工作階段連線會使用私人路由，但初始摘要探索會使用公用路由。您需要下列私人端點。不需要初始摘要探索的端點。

目的	資源類型	目標子資源	端點數量
主機集區的連線	Microsoft.DesktopVirtualization/hostpools	connection	每個主機集區一個
摘要下載	Microsoft.DesktopVirtualization/workspaces	摘要	每個工作區一個

只有用戶端和工作階段主機的遠端工作階段連線會使用私人路由，初始摘要探索和摘要下載會使用公用路由。您需要下列私人端點。不需要工作區的端點。

目的資源類型目標子資源端點數量

主機集區的連線 Microsoft.DesktopVirtualization/hostpools connection 每個主機集區一個
用戶端和工作階段主機 VM 都會使用私人路由。此案例中不會使用 Private Link。

重要

如果您建立了初始摘要探索的私人端點，用於全域子資源的工作區將會控管共用完整網域名稱 (FQDN)，以利跨所有工作區的初始摘要探索。您應建立僅限此用途，且不會註冊任何應用程式群組的個別工作區。刪除此工作區，會導致所有摘要探索程序停止運作。
您無法控制初始摘要探索 (全域子資源) 所使用工作區的存取權。如果您將此工作區設定為僅允許私人存取，則系統會忽略此設定。此工作區一律可從公用路由存取。
IP 位址配置會隨著 IP 位址的需求增加而變更。在容量擴充期間，私人端點需要額外的位址。請務必考量位址空間耗盡的可能性，並確保有足夠的空間可因應成長。若要深入了解如何判斷中樞或輪輻拓撲中的私人端點適用的網路設定，請參閱 Private Link 部署的決策樹。

主機集區的連線

若要為主機集區連線的「連線」子資源建立私人端點，請選取適用於您案例的相關索引標籤，並遵循其中的步驟。

以下說明如何使用 Azure 入口網站，為主機集區連線的「連線」子資源建立私人端點。

登入 Azure 入口網站。
在搜尋列中，輸入「Azure 虛擬桌面」，然後選取相符的服務項目以前往 Azure 虛擬桌面概觀。
選取 [主機集區]，然後選取您要為其建立「連線」子資源之主機集區的名稱。
從主機集區概觀中，依序選取 [網路]、[私人端點連線] 和 [新增私人端點]。

在 [基本] 索引標籤上，輸入下列資訊：

參數	值/描述
訂用帳戶	從下拉式清單中選取您要在其中建立私人端點的訂用帳戶。
資源群組	這會自動預設為與私人端點工作區相同的資源群組，但您也可以從下拉式清單中選取替代的現有資源群組，或建立新的資源群組。
名稱	輸入新私人端點的名稱。
網路介面名稱	系統會根據您為私人端點提供的名稱來自動填入網路介面名稱，但您也可以指定不同的名稱。
區域	這會自動預設為與工作區相同的 Azure 區域，而且私人端點會部署在這裡。這必須是與虛擬網路和工作階段主機相同的區域。

完成此索引標籤之後，請選取 [下一步：資源]。

在 [資源] 索引標籤上，驗證 [訂用帳戶]、[資源類型] 和 [資源] 的值，然後針對 [目標子資源] 選取 [連線]。完成此索引標籤之後，請選取 [下一步：虛擬網路]。

在 [虛擬網路] 索引標籤上，完成下列資訊：

參數	值/描述
虛擬網路	從下拉式清單中選取您要在其中建立私人端點的虛擬網路。
子網路	從下拉式清單中選取您要在其中建立私人端點的虛擬網路子網路。
私人端點的網路原則	如果您想要選擇子網路網路原則，請選取 [編輯]。如需詳細資訊，請參閱管理私人端點的網路原則。
私人 IP 設定	選取 [動態配置 IP 位址] 或 [靜態配置 IP 位址]。位址空間來自您選取的子網路。如果您選擇靜態配置 IP 位址，則必須為每個列出的成員填入 [名稱] 和 [私人 IP]。
應用程式安全性群組	選擇性：從下拉式清單中為私人端點選取現有的應用程式安全性群組，或建立新的安全性群組。您也可以稍後才新增一個。

完成此索引標籤之後，請選取 [下一步：DNS]。

在 [DNS] 索引標籤上，針對 [與私人 DNS 區域整合] 選取 [是] 或 [否]，以選擇是否要使用 Azure 私人 DNS 區域。如果您選取 [是]，請選取要在其中建立私人 DNS 區域 privatelink.wvd.microsoft.com 的訂用帳戶和資源群組。如需詳細資訊，請參閱 Azure 私人端點 DNS 設定。

完成此索引標籤之後，請選取 [下一步：標籤]。
選擇性：在 [標籤] 索引標籤上，您可以輸入所需的任何名稱/值組，然後選取 [下一步：檢閱 + 建立]。
在 [檢閱 + 建立] 索引標籤上，確保驗證通過，並檢閱部署期間會使用的資訊。
選取 [建立] 以建立連線子資源的私人端點。

以下說明如何使用 Az.Network (部分機器翻譯) 和 Az.DesktopVirtualization (部分機器翻譯) PowerShell 模組，為用於主機集區連線的「連線」子資源建立私人端點。請務必將 <placeholder> 值變更為自己的值。

在 Azure 入口網站中使用 PowerShell 終端機類型開啟 Azure Cloud Shell，或在本機裝置上執行 PowerShell。
- 如果您使用 Cloud Shell，請確定您的 Azure 內容已設定為您想要使用的訂用帳戶。
- 如果您在本機使用 PowerShell，請先使用 Azure PowerShell 登入，然後確認您的 Azure 內容已設定為您想要使用的訂用帳戶。

執行下列命令，以取得您想要用於私人端點的虛擬網路和子網路詳細資料，並將其儲存在變數中：

# Get the subnet details for the virtual network
$subnet = (Get-AzVirtualNetwork -Name <VNetName> -ResourceGroupName <ResourceGroupName>).Subnets | ? Name -eq <SubnetName>

執行下列命令，為具有連線子資源的主機集區建立 Private Link 服務連線。

# Get the resource ID of the host pool
$hostPoolId = (Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $hostPoolId
    GroupId = 'connection'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

最後，執行下列其中一個範例中的命令來建立私人端點。

若要建立具有動態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

若要建立具有靜態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
$location = '<Location>'

# Create a hash table for each private endpoint IP configuration
$ip1 = @{
    Name = 'ipconfig1'
    GroupId = 'connection'
    MemberName = 'broker'
    PrivateIPAddress = '<IPAddress>'
}

$ip2 = @{
    Name = 'ipconfig2'
    GroupId = 'connection'
    MemberName = 'diagnostics'
    PrivateIPAddress = '<IPAddress>'
}

$ip3 = @{
    Name = 'ipconfig3'
    GroupId = 'connection'
    MemberName = 'gateway-ring-map'
    PrivateIPAddress = '<IPAddress>'
}

$ip4 = @{
    Name = 'ipconfig4'
    GroupId = 'connection'
    MemberName = 'web'
    PrivateIPAddress = '<IPAddress>'
}

# Create the private endpoint IP configurations
$ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
$ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2
$ipConfig3 = New-AzPrivateEndpointIpConfiguration @ip3
$ipConfig4 = New-AzPrivateEndpointIpConfiguration @ip4

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipConfig1, $ipConfig2, $ipConfig3, $ipConfig4
}

New-AzPrivateEndpoint @parameters

您的輸出應該會類似下列輸出。檢查「ProvisioningState」的值是否為「Succeeded」。

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-hp01   uksouth  Succeeded

您必須為私人端點設定 DNS (部分機器翻譯)，才能解析虛擬網路中私人端點的 DNS 名稱。私人 DNS 區域的名稱是 privatelink.wvd.microsoft.com。如需使用 Azure PowerShell 建立和設定私人 DNS 區域的步驟，請參閱設定私人 DNS 區域 (部分機器翻譯)。

以下說明如何使用適用於 Azure CLI 的 network (部分機器翻譯) 和 desktopvirtualization (部分機器翻譯) 延伸模組，為用於主機集區連線的「連線」子資源建立私人端點。

重要

在下列範例中，您必須自己變更 <placeholder> 的值。

在 Azure 入口網站中使用 Bash 終端機類型開啟 Azure Cloud Shell，或在本機裝置上執行 Azure CLI。
- 如果您使用 Cloud Shell，請確定您的 Azure 內容已設定為您想要使用的訂用帳戶。
- 如果您在本機使用 Azure CLI，請先使用 Azure CLI 登入 (部分機器翻譯)，然後確保您的 Azure 內容已設定為您想要使用的訂用帳戶 (部分機器翻譯)。

執行下列其中一個範例中的命令，為具有連線子資源的主機集區建立 Private Link 服務連線和私人端點。

若要建立具有動態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
location=<Location>

# Get the resource ID of the host pool
hostPoolId=$(az desktopvirtualization hostpool show \
    --name <HostPoolName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $hostPoolId \
    --group-id connection \
    --output table

若要建立具有靜態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network and session hosts.
location=<Location>

# Get the resource ID of the host pool
hostPoolId=$(az desktopvirtualization hostpool show \
    --name <HostPoolName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip1={name:ipconfig1,group-id:connection,member-name:broker,private-ip-address:<IPAddress>}
ip2={name:ipconfig2,group-id:connection,member-name:diagnostics,private-ip-address:<IPAddress>}
ip3={name:ipconfig3,group-id:connection,member-name:gateway-ring-map,private-ip-address:<IPAddress>}
ip4={name:ipconfig4,group-id:connection,member-name:web,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $hostPoolId \
    --group-id connection \
    --ip-configs [$ip1,$ip2,$ip3,$ip4] \
    --output table

您的輸出應該會類似下列輸出。檢查「ProvisioningState」的值是否為「Succeeded」。

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-hp01         Succeeded            privatelink

您必須為私人端點設定 DNS (部分機器翻譯)，才能解析虛擬網路中私人端點的 DNS 名稱。私人 DNS 區域的名稱是 privatelink.wvd.microsoft.com。如需使用 Azure CLI 建立和設定私人 DNS 區域的步驟，請參閱設定私人 DNS 區域 (部分機器翻譯)。

重要

您必須為您想要搭配 Private Link 使用的每個主機集區，建立其連線子資源的私人端點。

摘要下載

若要為工作區的「摘要」子資源建立私人端點，請選取適用於您案例的相關索引標籤，並遵循其中的步驟。

從 Azure 虛擬桌面概觀中，選取 [工作區]，然後選取您要為其建立「摘要」子資源的工作區名稱。
從工作區概觀中，依序選取 [網路]、[私人端點連線] 和 [新增私人端點]。

在 [基本] 索引標籤上，輸入下列資訊：

參數	值/描述
訂用帳戶	從下拉式清單中選取您要在其中建立私人端點的訂用帳戶。
資源群組	這會自動預設為與私人端點工作區相同的資源群組，但您也可以從下拉式清單中選取替代的現有資源群組，或建立新的資源群組。
名稱	輸入新私人端點的名稱。
網路介面名稱	系統會根據您為私人端點提供的名稱來自動填入網路介面名稱，但您也可以指定不同的名稱。
區域	這會自動預設為與工作區相同的 Azure 區域，而且私人端點會部署在這裡。它必須與您的虛擬網路位於相同的區域中。

完成此索引標籤之後，請選取 [下一步：資源]。

在 [資源] 索引標籤上，驗證 [訂用帳戶]、[資源類型] 和 [資源] 的值，然後針對 [目標子資源] 選取 [摘要]。完成此索引標籤之後，請選取 [下一步：虛擬網路]。

在 [虛擬網路] 索引標籤上，完成下列資訊：

參數	值/描述
虛擬網路	從下拉式清單中選取您要在其中建立私人端點的虛擬網路。
子網路	從下拉式清單中選取您要在其中建立私人端點的虛擬網路子網路。
私人端點的網路原則	如果您想要選擇子網路網路原則，請選取 [編輯]。如需詳細資訊，請參閱管理私人端點的網路原則。
私人 IP 設定	選取 [動態配置 IP 位址] 或 [靜態配置 IP 位址]。位址空間來自您選取的子網路。如果您選擇靜態配置 IP 位址，則必須為每個列出的成員填入 [名稱] 和 [私人 IP]。
應用程式安全性群組	選擇性：從下拉式清單中為私人端點選取現有的應用程式安全性群組，或建立新的安全性群組。您也可以稍後才新增一個。

完成此索引標籤之後，請選取 [下一步：DNS]。

在 [DNS] 索引標籤上，針對 [與私人 DNS 區域整合] 選取 [是] 或 [否]，以選擇是否要使用 Azure 私人 DNS 區域。如果您選取 [是]，請選取要在其中建立私人 DNS 區域 privatelink.wvd.microsoft.com 的訂用帳戶和資源群組。如需詳細資訊，請參閱 Azure 私人端點 DNS 設定。

完成此索引標籤之後，請選取 [下一步：標籤]。
選擇性：在 [標籤] 索引標籤上，您可以輸入所需的任何名稱/值組，然後選取 [下一步：檢閱 + 建立]。
在 [檢閱 + 建立] 索引標籤上，確保驗證通過，並檢閱部署期間會使用的資訊。
選取 [建立] 以建立摘要子資源的私人端點。

在相同的 PowerShell 工作階段中執行下列命令，為具有摘要子資源的工作區建立 Private Link 服務連線。這些範例會使用相同的虛擬網路和子網路。

# Get the resource ID of the workspace
$workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $workspaceId
    GroupId = 'feed'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

最後，執行下列其中一個範例中的命令來建立私人端點。

若要建立具有動態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

若要建立具有靜態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create a hash table for each private endpoint IP configuration
$ip1 = @{
    Name = 'ipconfig1'
    GroupId = 'feed'
    MemberName = 'web-r1'
    PrivateIPAddress = '<IPAddress>'
}

$ip2 = @{
    Name = 'ipconfig2'
    GroupId = 'feed'
    MemberName = 'web-r0'
    PrivateIPAddress = '<IPAddress>'
}

# Create the private endpoint IP configurations
$ipConfig1 = New-AzPrivateEndpointIpConfiguration @ip1
$ipConfig2 = New-AzPrivateEndpointIpConfiguration @ip2

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipConfig1, $ipConfig2
}

New-AzPrivateEndpoint @parameters

您的輸出應會類似下列範例。檢查「ProvisioningState」的值是否為「Succeeded」。

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-ws01   uksouth  Succeeded

您必須為私人端點設定 DNS (部分機器翻譯)，才能解析虛擬網路中私人端點的 DNS 名稱。私人 DNS 區域的名稱是 privatelink.wvd.microsoft.com。如需使用 Azure PowerShell 建立和設定私人 DNS 區域的步驟，請參閱設定私人 DNS 區域 (部分機器翻譯)。

在相同的 CLI 工作階段中執行下列命令，為具有摘要子資源的工作區建立 Private Link 服務連線和私人端點。

若要建立具有動態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id feed \
    --output table

若要建立具有靜態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip1={name:ipconfig1,group-id:feed,member-name:web-r1,private-ip-address:<IPAddress>}
ip2={name:ipconfig2,group-id:feed,member-name:web-r0,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id feed \
    --ip-configs [$ip1,$ip2] \
    --output table

您的輸出應會類似下列範例。檢查「ProvisioningState」的值是否為「Succeeded」。

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-ws01         Succeeded            privatelink

您必須為私人端點設定 DNS (部分機器翻譯)，才能解析虛擬網路中私人端點的 DNS 名稱。私人 DNS 區域的名稱是 privatelink.wvd.microsoft.com。如需使用 Azure CLI 建立和設定私人 DNS 區域的步驟，請參閱設定私人 DNS 區域 (部分機器翻譯)。

重要

您必須為您想要搭配 Private Link 使用的每個工作區，建立其摘要子資源的私人端點。

初始摘要探索

若要為用於初始摘要探索的「全域」子資源建立私人端點，請選取適用於您案例的相關索引標籤，並遵循其中的步驟。

重要

針對所有 Azure 虛擬桌面部署的「全域」子資源，只需要建立一個私人端點。
任何工作區全域子資源的私人端點會控制共用的完整網域名稱 (FQDN) 以進行初始摘要探索。這接著會針對所有工作區啟用摘要探索。由於連線到私人端點的工作區非常重要，因此將其刪除會導致所有摘要探索流程停止運作。建議您為全域子資源建立未使用的預留位置工作區。

從 Azure 虛擬桌面概觀中，選取 [工作區]，然後選取您要用於全域子資源的工作區名稱。
1. 選擇性：改為依照建立工作區 (部分機器翻譯) 的指示，建立預留位置工作區以終止全域端點。
從工作區概觀中，依序選取 [網路]、[私人端點連線] 和 [新增私人端點]。

在 [基本] 索引標籤上，輸入下列資訊：

參數	值/描述
訂用帳戶	從下拉式清單中選取您要在其中建立私人端點的訂用帳戶。
資源群組	這會自動預設為與私人端點工作區相同的資源群組，但您也可以從下拉式清單中選取替代的現有資源群組，或建立新的資源群組。
名稱	輸入新私人端點的名稱。
網路介面名稱	系統會根據您為私人端點提供的名稱來自動填入網路介面名稱，但您也可以指定不同的名稱。
區域	這會自動預設為與工作區相同的 Azure 區域，而且私人端點會部署在這裡。它必須與您的虛擬網路位於相同的區域中。

完成此索引標籤之後，請選取 [下一步：資源]。

在 [資源] 索引標籤上，驗證 [訂用帳戶]、[資源類型] 和 [資源] 的值，然後針對 [目標子資源] 選取 [全域]。完成此索引標籤之後，請選取 [下一步：虛擬網路]。

在 [虛擬網路] 索引標籤上，完成下列資訊：

參數	值/描述
虛擬網路	從下拉式清單中選取您要在其中建立私人端點的虛擬網路。
子網路	從下拉式清單中選取您要在其中建立私人端點的虛擬網路子網路。
私人端點的網路原則	如果您想要選擇子網路網路原則，請選取 [編輯]。如需詳細資訊，請參閱管理私人端點的網路原則。
私人 IP 設定	選取 [動態配置 IP 位址] 或 [靜態配置 IP 位址]。位址空間來自您選取的子網路。如果您選擇靜態配置 IP 位址，則必須為每個列出的成員填入 [名稱] 和 [私人 IP]。
應用程式安全性群組	選擇性：從下拉式清單中為私人端點選取現有的應用程式安全性群組，或建立新的安全性群組。您也可以稍後才新增一個。

完成此索引標籤之後，請選取 [下一步：DNS]。

在 [DNS] 索引標籤上，針對 [與私人 DNS 區域整合] 選取 [是] 或 [否]，以選擇是否要使用 Azure 私人 DNS 區域。如果您選取 [是]，請選取要在其中建立私人 DNS 區域 privatelink-global.wvd.microsoft.com 的訂用帳戶和資源群組。如需詳細資訊，請參閱 Azure 私人端點 DNS 設定。

完成此索引標籤之後，請選取 [下一步：標籤]。
選擇性：在 [標籤] 索引標籤上，您可以輸入所需的任何名稱/值組，然後選取 [下一步：檢閱 + 建立]。
在 [檢閱 + 建立] 索引標籤上，確保驗證通過，並檢閱部署期間會使用的資訊。
選取 [建立] 以建立全域子資源的私人端點。

選擇性：依照建立工作區 (部分機器翻譯) 的指示，建立預留位置工作區以終止全域端點。

在相同的 PowerShell 工作階段中執行下列命令，為具有全域子資源的工作區建立 Private Link 服務連線。這些範例會使用相同的虛擬網路和子網路。

# Get the resource ID of the workspace
$workspaceId = (Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName>).Id

# Create the service connection
$parameters = @{
    Name = '<ServiceConnectionName>'
    PrivateLinkServiceId = $workspaceId
    GroupId = 'global'
}

$serviceConnection = New-AzPrivateLinkServiceConnection @parameters

最後，執行下列其中一個範例中的命令來建立私人端點。

若要建立具有動態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
}

New-AzPrivateEndpoint @parameters

若要建立具有靜態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network.
$location = '<Location>'

$ip = @{
    Name = '<IPConfigName>'
    GroupId = 'global'
    MemberName = 'web'
    PrivateIPAddress = '<IPAddress>'
}

$ipConfig = New-AzPrivateEndpointIpConfiguration @ip

# Create the private endpoint
$parameters = @{
    Name = '<PrivateEndpointName>'
    ResourceGroupName = '<ResourceGroupName>'
    Location = $location
    Subnet = $subnet
    PrivateLinkServiceConnection = $serviceConnection
    IpConfiguration = $ipconfig
}

New-AzPrivateEndpoint @parameters

您的輸出應會類似下列範例。檢查「ProvisioningState」的值是否為「Succeeded」。

ResourceGroupName Name            Location ProvisioningState Subnet
----------------- ----            -------- ----------------- ------
privatelink       endpoint-global uksouth  Succeeded

您必須為私人端點設定 DNS (部分機器翻譯)，才能解析虛擬網路中私人端點的 DNS 名稱。私人 DNS 區域的名稱是 privatelink-global.wvd.microsoft.com。如需使用 Azure PowerShell 建立和設定私人 DNS 區域的步驟，請參閱設定私人 DNS 區域 (部分機器翻譯)。

選擇性：依照建立工作區 (部分機器翻譯) 的指示，建立預留位置工作區以終止全域端點。

在相同的 CLI 工作階段中執行下列命令，為具有全域子資源的工作區建立 Private Link 服務連線和私人端點：

若要建立具有動態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id global \
    --output table

若要建立具有靜態配置 IP 位址的私人端點：

# Specify the Azure region. This must be the same region as your virtual network.
location=<Location>

# Get the resource ID of the workspace
workspaceId=$(az desktopvirtualization workspace show \
    --name <WorkspaceName> \
    --resource-group <ResourceGroupName> \
    --query [id] \
    --output tsv)

# Store each private endpoint IP configuration in a variable
ip={name:ipconfig,group-id:global,member-name:web,private-ip-address:<IPAddress>}

# Create a service connection and the private endpoint
az network private-endpoint create \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --location $location \
    --vnet-name <VNetName> \
    --subnet <SubnetName> \
    --connection-name <ConnectionName> \
    --private-connection-resource-id $workspaceId \
    --group-id global \
    --ip-config $ip \
    --output table

您的輸出應會類似下列範例。檢查「ProvisioningState」的值是否為「Succeeded」。

CustomNetworkInterfaceName    Location    Name                  ProvisioningState    ResourceGroup
----------------------------  ----------  --------------------  -------------------  ---------------
                              uksouth     endpoint-global       Succeeded            privatelink

您必須為私人端點設定 DNS (部分機器翻譯)，才能解析虛擬網路中私人端點的 DNS 名稱。私人 DNS 區域的名稱是 privatelink-global.wvd.microsoft.com。如需使用 Azure CLI 建立和設定私人 DNS 區域的步驟，請參閱設定私人 DNS 區域 (部分機器翻譯)。

關閉公用路由

建立私人端點之後，還可以控制是否允許來自公用路由的流量。您可以使用 Azure 虛擬桌面在細微層級控制這一點，或使用網路安全性群組 (NSG) 或 Azure 防火牆 (部分機器翻譯) 在更廣泛的層面控制這一點。

使用 Azure 虛擬桌面來控制路由

透過 Azure 虛擬桌面，您可以獨立控制工作區和主機集區的公用流量。請選取適用於您案例的相關索引標籤，並遵循其中的步驟。您無法在 Azure CLI 中設定這一點。您必須針對搭配 Private Link 使用的每個工作區和主機集區重複這些步驟。

入口網站
Azure PowerShell

工作區

從 Azure 虛擬桌面概觀中，選取 [工作區]，然後選取要控制公用流量的工作區名稱。
從主機集區概觀中，選取 [網路]，然後選取 [公用存取] 索引標籤。

選取下列其中一個選項：

設定	描述
啟用來自所有網路的公用存取	終端使用者可以透過公用網際網路或私人端點來存取摘要。
停用公用存取並使用私人存取	終端使用者只能透過私人端點來存取摘要。

選取 [儲存]。

主機集區

從 Azure 虛擬桌面概觀中，選取 [主機集區]，然後選取要控制公用流量的主機集區名稱。
從主機集區概觀中，選取 [網路]，然後選取 [公用存取] 索引標籤。

選取下列其中一個選項：

設定	描述
啟用來自所有網路的公用存取	終端使用者可以透過公用網際網路或私人端點安全地存取摘要和工作階段主機。
為終端使用者啟用公用存取，工作階段主機則使用私人存取	終端使用者可以透過公用網際網路安全地存取摘要，但必須使用私人端點來存取工作階段主機。
停用公用存取並使用私人存取	終端使用者只能透過私人端點存取摘要和工作階段主機。

選取 [儲存]。

重要

支援 Private Link 的適用於 Azure 虛擬桌面的 Azure PowerShell Cmdlet 目前為預覽版。您必須下載並安裝 Az.DesktopVirtualization 模組的預覽版本 (英文)，才能使用 5.0.0 版中就已新增的這些 Cmdlet。

工作區

在相同的 PowerShell 工作階段中，您可以執行下列命令來停用公用存取並使用私人存取：

$parameters = @{
    Name = '<WorkspaceName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Disabled'
}

Update-AzWvdWorkspace @parameters

若要啟用來自所有網路的公用存取，請執行下列命令：

$parameters = @{
    Name = '<WorkspaceName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Enabled'
}

Update-AzWvdWorkspace @parameters

主機集區

在相同的 PowerShell 工作階段中，您可以執行下列命令來停用公用存取並使用私人存取：

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Disabled'
}

Update-AzWvdHostPool @parameters

若要啟用來自所有網路的公用存取，請執行下列命令：

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'Enabled'
}

Update-AzWvdHostPool @parameters

若要讓終端使用者使用公用存取，但讓工作階段主機使用私人存取，請執行下列命令：

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'EnabledForSessionHostsOnly'
}

Update-AzWvdHostPool @parameters

若要讓終端使用者使用私人存取，但讓工作階段主機使用公用存取，請執行下列命令：

$parameters = @{
    Name = '<HostPoolName>'
    ResourceGroupName = '<ResourceGroupName>'
    PublicNetworkAccess = 'EnabledForClientsOnly'
}

Update-AzWvdHostPool @parameters

重要

變更工作階段主機的存取不會影響現有工作階段。將私人端點變更為主機集區之後，必須在主機集區中的每個工作階段主機上重新啟動「遠端桌面代理程式載入器」(RDAgentBootLoader) 服務。每當您變更主機集區的網路設定時，也需要重新啟動此服務。您可以重新啟動每個工作階段主機，而不是重新啟動服務。

使用網路安全性群組或 Azure 防火牆來封鎖公用路由

如果您使用網路安全性群組或 Azure 防火牆來控制從使用者用戶端裝置或您的工作階段主機到私人端點的連線，則可以使用「WindowsVirtualDesktop」服務標籤來封鎖來自公用網際網路的流量。如果您使用此服務標籤來封鎖公用網際網路流量，則所有服務流量只會使用私人路由。

警告

請務必不要封鎖私人端點與必要的 URL 清單 (部分機器翻譯) 中的位址之間的流量。
請勿封鎖從使用者用戶端裝置或您的工作階段主機到使用「連線」子資源之主機集區資源私人端點的特定連接埠。需要通向私人端點的整個 TCP 動態連接埠範圍「1 - 65535」，因為會透過對應至「連線」子資源的單一私人端點 IP 位址，對所有全域閘道使用連接埠對應。如果您將連接埠限制為私人端點，您的使用者可能無法成功連線到 Azure 虛擬桌面。

驗證 Private Link 與 Azure 虛擬桌面

關閉公用路由之後，請驗證 Private Link 與 Azure 虛擬桌面是否正常運作。若要進行驗證，您可以檢查每個私人端點的連線狀態、工作階段主機的狀態，以及測試使用者是否可以重新整理並連線到其遠端資源。

檢查每個私人端點的連線狀態

若要檢查每個私人端點的連線狀態，請選取適用於您案例的相關索引標籤，並遵循其中的步驟。您應該針對搭配 Private Link 使用的每個工作區和主機集區重複這些步驟。

工作區

從 Azure 虛擬桌面概觀中，選取 [工作區]，然後選取您要為其檢查連線狀態的工作區名稱。
從工作區概觀中，依序選取 [網路] 和 [私人端點連線]。
針對所列出的私人端點，檢查 [連線狀態] 是否為 [已核准]。

主機集區

從 Azure 虛擬桌面概觀中，選取 [主機集區]，然後選取您要為其檢查連線狀態的主機集區名稱。
從主機集區概觀中，依序選取 [網路] 和 [私人端點連線]。
針對所列出的私人端點，檢查 [連線狀態] 是否為 [已核准]。

重要

您必須使用 Az.DesktopVirtualization 模組的預覽版本才能執行下列命令。如需詳細資訊，且要下載並安裝預覽模組，請參閱 PowerShell 資源庫 (英文)。

工作區

在相同的 PowerShell 工作階段中，執行下列命令以檢查工作區的連線狀態：

(Get-AzWvdWorkspace -Name <WorkspaceName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired

您的輸出應會類似下列範例。檢查 [PrivateLinkServiceConnectionStateStatus] 的值是否為 [已核准]。

Name                                             : endpoint-ws01
PrivateLinkServiceConnectionStateStatus          : Approved
PrivateLinkServiceConnectionStateDescription     : Auto-approved
PrivateLinkServiceConnectionStateActionsRequired : None

主機集區

在相同的 PowerShell 工作階段中，執行下列命令以檢查主機集區的連線狀態：

(Get-AzWvdHostPool -Name <HostPoolName> -ResourceGroupName <ResourceGroupName).PrivateEndpointConnection | FL Name, PrivateLinkServiceConnectionStateStatus, PrivateLinkServiceConnectionStateDescription, PrivateLinkServiceConnectionStateActionsRequired

您的輸出應會類似下列範例。檢查 [PrivateLinkServiceConnectionStateStatus] 的值是否為 [已核准]。

Name                                             : endpoint-hp01
PrivateLinkServiceConnectionStateStatus          : Approved
PrivateLinkServiceConnectionStateDescription     : Auto-approved
PrivateLinkServiceConnectionStateActionsRequired : None

在相同的 CLI 工作階段中，執行下列命令以檢查工作區或主機集區的連線狀態：

az network private-endpoint show \
    --name <PrivateEndpointName> \
    --resource-group <ResourceGroupName> \
    --query "{name:name, privateLinkServiceConnectionStates:privateLinkServiceConnections[].privateLinkServiceConnectionState}"

您的輸出應會類似下列範例。檢查 [狀態] 的值是否為 [已核准]。

{
  "name": "endpoint-ws01",
  "privateLinkServiceConnectionStates": [
    {
      "actionsRequired": "None",
      "description": "Auto-approved",
      "status": "Approved"
    }
  ]
}

檢查工作階段主機的狀態

檢查 Azure 虛擬桌面中的工作階段主機狀態。
1. 從 Azure 虛擬桌面概觀中，選取 [主機集區]，然後選取主機集區的名稱。
2. 在 [管理] 區段中，選取 [工作階段主機]。
3. 檢閱工作階段主機的清單，並檢查其狀態是否為 [可用]。

檢查使用者是否可以連線

若要測試使用者是否可以連線到其遠端資源：

使用遠端桌面用戶端，並確定您可以訂閱和重新整理工作區。
最後，確定使用者可以連線到遠端工作階段。

下一步

若要深入瞭解適用於 Azure 虛擬桌面的 Private Link，請參閱搭配 Azure 虛擬桌面使用 Private Link。
若要了解如何設定 Azure 私人端點 DNS，請參閱 Private Link DNS 整合。
如需 Private Link 的一般疑難排解指南，請參閱針對 Azure 私人端點連線問題進行疑難排解。
若要了解 Azure 虛擬桌面服務的連線如何運作，請參閱 Azure 虛擬桌面網路連線。
如需您必須解除封鎖才能確保對 Azure 虛擬桌面服務之網路存取的 URL 清單，請參閱必要的 URL 清單。

共用方式為

設定 Private Link 與 Azure 虛擬桌面

必要條件

在訂用帳戶上啟用 Private Link 與 Azure 虛擬桌面

重新註冊 Azure 虛擬桌面資源提供者

註冊 Private Link 與 Azure 虛擬桌面 (僅限適用於美國政府的 Azure 以及由 21Vianet 營運的 Azure)

重新註冊 Azure 虛擬桌面資源提供者

建立私人端點

主機集區的連線

摘要下載

初始摘要探索

關閉公用路由

使用 Azure 虛擬桌面來控制路由

工作區

主機集區

工作區

主機集區

使用網路安全性群組或 Azure 防火牆來封鎖公用路由

驗證 Private Link 與 Azure 虛擬桌面

檢查每個私人端點的連線狀態

工作區

主機集區

工作區

主機集區

檢查工作階段主機的狀態

檢查使用者是否可以連線

下一步

意見反應

其他資源