Configurer le comportement de verrouillage de session pour Azure Virtual Desktop

Vous pouvez choisir si la session est déconnectée ou si l’écran de verrouillage à distance s’affiche lorsqu’une session à distance est verrouillée, par l’utilisateur ou par stratégie. Lorsque le comportement de verrouillage de session est défini sur se déconnecter, une boîte de dialogue s’affiche pour indiquer aux utilisateurs qu’ils ont été déconnectés. Les utilisateurs peuvent choisir l’option Reconnecter dans la boîte de dialogue lorsqu’ils sont prêts à se reconnecter.

Lorsqu’il est utilisé avec l’authentification unique à l’aide de Microsoft Entra ID, la déconnexion de la session offre les avantages suivants :

• Une expérience de connexion cohérente via Microsoft Entra ID si nécessaire.

• Expérience d’authentification unique et reconnexion sans invite d’authentification, quand cela est autorisé par les stratégies d’accès conditionnel.

• Prise en charge de l’authentification sans mot de passe comme les clés d’accès et les appareils FIDO2, contrairement à l’écran de verrouillage à distance. La déconnexion de la session est nécessaire pour garantir la prise en charge complète de l’authentification sans mot de passe.

• Les stratégies d’accès conditionnel, notamment l’authentification multifacteur et la fréquence de connexion, sont réévaluées lorsque l’utilisateur se reconnecte à sa session.

• Vous pouvez exiger l’authentification multifacteur pour revenir à la session et empêcher les utilisateurs de se déverrouiller avec un nom d’utilisateur et un mot de passe simples.

Pour les scénarios qui s’appuient sur l’authentification héritée, notamment les protocoles d’authentification de base NTLM, CredSSP, RDSTLS, TLS et RDP, les utilisateurs sont invités à entrer à nouveau leurs informations d’identification lorsqu’ils se reconnectent ou démarrent une nouvelle connexion.

Le comportement de verrouillage de session par défaut est différent selon que vous utilisez l’authentification unique avec Microsoft Entra ID ou l’authentification héritée. Le tableau suivant présente la configuration par défaut pour chaque scénario :

Scénario	Configuration par défaut
Authentification unique à l’aide de Microsoft Entra ID	Déconnexion de la session
Protocoles d’authentification hérités	Afficher l’écran de verrouillage à distance

Cet article explique comment modifier le comportement du verrouillage de session à partir de sa configuration par défaut à l’aide de Microsoft Intune ou stratégie de groupe.

Configuration requise

Sélectionnez l’onglet approprié pour votre méthode de configuration.

Intune

Avant de pouvoir configurer le comportement de verrouillage de session, vous devez respecter les conditions préalables suivantes :

• Un pool d’hôtes existant avec des hôtes de session.

• Vos hôtes de session doivent exécuter l’un des systèmes d’exploitation suivants avec la mise à jour cumulative appropriée installée :

  • Windows 11 session unique ou multisession avec la Mises à jour cumulative 2024-05 pour Windows 11 (KB5037770) ou version ultérieure installée.
  • Windows 10 session unique ou multisession, versions 21H2 ou ultérieures avec la Mises à jour cumulative 2024-06 pour Windows 10 (KB5039211) ou ultérieure installée.
  • Windows Server 2022 avec la mise à jour cumulative 2024-05 pour le système d’exploitation serveur Microsoft (KB5037782) ou version ultérieure installée.

• Pour configurer Intune, vous avez besoin des éléments suivants :

  • Un compte Microsoft Entra ID auquel est attribué le rôle RBAC intégré Gestionnaire de stratégies et de profils.
  • Groupe contenant les appareils que vous souhaitez configurer.

Stratégie de groupe

Avant de pouvoir configurer le comportement de verrouillage de session, vous devez respecter les conditions préalables suivantes :

• Un pool d’hôtes existant avec des hôtes de session.

• Vos hôtes de session doivent exécuter l’un des systèmes d’exploitation suivants avec la mise à jour cumulative appropriée installée :

  • Windows 11 session unique ou multisession avec la Mises à jour cumulative 2024-05 pour Windows 11 (KB5037770) ou version ultérieure installée.
  • Windows 10 session unique ou multisession, versions 21H2 ou ultérieures avec la Mises à jour cumulative 2024-06 pour Windows 10 (KB5039211) ou ultérieure installée.
  • Windows Server 2022 avec la mise à jour cumulative 2024-05 pour le système d’exploitation serveur Microsoft (KB5037782) ou version ultérieure installée.

• Pour configurer stratégie de groupe, vous avez besoin des éléments suivants :

  • Un compte de domaine qui a l’autorisation de créer ou de modifier stratégie de groupe objets.
  • Un groupe de sécurité ou une unité d’organisation (UO) contenant les appareils que vous souhaitez configurer.

Configurer le comportement de verrouillage de session

Sélectionnez l’onglet approprié pour votre méthode de configuration.

Intune

Pour configurer l’expérience de verrouillage de session à l’aide de Intune :

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. Créez ou modifiez un profil de configuration pour les appareils Windows 10 et versions ultérieures, avec le type de profil catalogue Paramètres.

3. Dans le sélecteur de paramètres, accédez à Modèles> d’administrationComposants> WindowsServices> Bureau à distance Sécurité del’hôte> de session Bureau à distance.

   

4. Cochez la case pour l’un des paramètres suivants, en fonction de vos besoins :

   • Pour l’authentification unique à l’aide de Microsoft Entra ID :

     1. Cochez la case Déconnecter la session à distance sur le verrouillage pour Plateforme d'identités Microsoft l’authentification, puis fermez le sélecteur de paramètres.

     2. Développez la catégorie Modèles d’administration, puis basculez le commutateur Déconnecter la session à distance lors du verrouillage pour Plateforme d'identités Microsoft l’authentification sur Activé ou Désactivé :

        • Pour déconnecter la session à distance lorsque la session se verrouille, basculez le commutateur sur Activé.

        • Pour afficher l’écran de verrouillage à distance lorsque la session se verrouille, basculez le commutateur sur Désactivé.

   • Pour les protocoles d’authentification hérités :

     1. Cochez la case Déconnecter la session à distance lors du verrouillage pour l’authentification héritée, puis fermez le sélecteur de paramètres.

     2. Développez la catégorie Modèles d’administration , puis basculez le commutateur Déconnecter la session à distance sur verrouillage pour l’authentification héritée sur Activé ou Désactivé :

        • Pour déconnecter la session à distance lorsque la session se verrouille, basculez le commutateur sur Activé.

        • Pour afficher l’écran de verrouillage à distance lorsque la session se verrouille, basculez le commutateur sur Désactivé.

5. Sélectionnez Suivant.

6. Facultatif : sous l’onglet Balises d’étendue , sélectionnez une balise d’étendue pour filtrer le profil. Pour plus d’informations sur les balises d’étendue, voir Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée.

7. Sous l’onglet Affectations , sélectionnez le groupe contenant les ordinateurs fournissant une session à distance que vous souhaitez configurer, puis sélectionnez Suivant.

8. Sous l’onglet Vérifier + créer , passez en revue les paramètres, puis sélectionnez Créer.

9. Une fois que la stratégie s’applique aux hôtes de session, redémarrez-les pour que les paramètres prennent effet.

10. Pour tester la configuration, connectez-vous à une session à distance, puis verrouillez la session à distance. Vérifiez que la session se déconnecte ou que l’écran de verrouillage à distance s’affiche, en fonction de votre configuration.

Stratégie de groupe

Pour configurer l’expérience de verrouillage de session à l’aide de stratégie de groupe, procédez comme suit.

1. Les paramètres stratégie de groupe sont disponibles uniquement sur les systèmes d’exploitation répertoriés dans Prérequis. Pour les rendre disponibles sur d’autres versions de Windows Server, vous devez copier les fichiers C:\Windows\PolicyDefinitions\terminalserver.admx de modèle d’administration et C:\Windows\PolicyDefinitions\en-US\terminalserver.adml d’un hôte de session au même emplacement sur vos contrôleurs de domaine ou le magasin central stratégie de groupe, en fonction de votre environnement. Dans le chemin d’accès au fichier, terminalserver.adml remplacez par en-US le code de langue approprié si vous utilisez une autre langue.

2. Ouvrez la console de gestion stratégie de groupe sur l’appareil que vous utilisez pour gérer le domaine Active Directory.

3. Créez ou modifiez une stratégie qui cible les ordinateurs qui fournissent une session à distance que vous souhaitez configurer.

4. Accédez à Stratégies de configuration>> ordinateur Modèles >d’administrationComposants> WindowsServices> Bureauà distance Sécurité de l’hôte> de session Bureau à distance.

   

5. Double-cliquez sur l’un des paramètres de stratégie suivants, en fonction de vos besoins :

   • Pour l’authentification unique à l’aide de Microsoft Entra ID :

     1. Double-cliquez sur Déconnecter la session à distance au verrouillage pour Plateforme d'identités Microsoft l’authentification pour l’ouvrir.

        • Pour déconnecter la session à distance lorsque la session se verrouille, sélectionnez Activé ou Non configuré.

        • Pour afficher l’écran de verrouillage à distance lorsque la session se verrouille, sélectionnez Désactivé.

     2. Sélectionnez OK.

   • Pour les protocoles d’authentification hérités :

     1. Double-cliquez sur Déconnecter la session à distance au verrouillage pour l’authentification héritée pour l’ouvrir.

        • Pour déconnecter la session à distance lorsque la session se verrouille, sélectionnez Activé.

        • Pour afficher l’écran de verrouillage à distance lorsque la session se verrouille, sélectionnez Désactivé ou Non configuré.

     2. Sélectionnez OK.

6. Vérifiez que la stratégie est appliquée aux hôtes de session, puis redémarrez-les pour que les paramètres prennent effet.

7. Pour tester la configuration, connectez-vous à une session à distance, puis verrouillez la session à distance. Vérifiez que la session se déconnecte ou que l’écran de verrouillage à distance s’affiche, en fonction de votre configuration.

Contenu connexe

• Découvrez comment configurer l’authentification unique pour Azure Virtual Desktop à l’aide de Microsoft Entra ID.