Considérations sur la gestion des identités et des accès pour Azure Virtual Desktop

Azure Virtual Desktop est un service géré qui fournit un plan de contrôle Microsoft pour votre infrastructure de bureau virtuel. La gestion des identités et des accès pour Azure Virtual Desktop utilise le contrôle d’accès en fonction du rôle (RBAC) Azure, avec certaines conditions qui sont décrites dans cet article.

Conception du RBAC

Le RBAC prend en charge la séparation des tâches des diverses équipes et individus qui gèrent le déploiement d’Azure Virtual Desktop. Dans le cadre de la conception de zone d’atterrissage, vous devez choisir les personnes chargées des différents rôles. Vous créez ensuite un groupe de sécurité pour chaque rôle afin de simplifier l’ajout et la suppression d’utilisateurs dans les rôles.

Azure Virtual Desktop fournit des rôles Azure personnalisés conçus pour chaque zone fonctionnelle. Pour plus d’informations sur la configuration de ces rôles, consultez Rôles intégrés pour Azure Virtual Desktop.

Vous pouvez créer des rôles intégrés Azure et les définir dans le cadre du Cloud Adoption Framework pour un déploiement Azure. Il se peut que les rôles RBAC spécifiques d’Azure Virtual Desktop doivent être combinés avec d’autres rôles RBAC Azure pour fournir l’ensemble complet des autorisations dont les utilisateurs ont besoin pour Azure Virtual Desktop ainsi que pour d’autres services Azure tels que les machines virtuelles et la mise en réseau.

Considérations relatives à la conception d’Azure Virtual Desktop

• Pour accéder aux bureaux et aux applications à partir de vos hôtes de session, vos utilisateurs doivent pouvoir s’authentifier. Microsoft Entra ID est le service d’identité cloud centralisé de Microsoft qui permet de le faire. Les utilisateurs sont toujours authentifiés avec Microsoft Entra ID pour pouvoir utiliser Azure Virtual Desktop. Les hôtes de la session peuvent rejoindre le même locataire Microsoft Entra ou un domaine Active Directory en utilisant Active Directory Domain Services (AD DS) ou Microsoft Entra Domain Services, ce qui vous offre un choix d'options de configuration flexibles.

  Remarque

  Azure Virtual Desktop ne prend pas en charge les comptes B2B ou Microsoft.

• Le compte utilisé pour la jonction de domaine ne peut pas avoir d’authentification multifacteur ou d’autres invites interactives, et d’autres exigences s’appliquent. Pour plus d’informations, consultez Détails de machine virtuelle.
• Azure Virtual Desktop requiert une stratégie d’hébergement pour les services de domaine. Choisissez AD DS ou Microsoft Entra Domain Services.
• Microsoft Entra Domain Services est une option prise en charge, mais il existe des limitations :
  • Vous devez activer la synchronisation de hachage du mot de passe.
  • Vous ne pouvez pas vous servir d’une jointure hybride pour les machines virtuelles Azure Virtual Desktop dans le but d’activer une authentification unique transparente Microsoft Entra pour les services Microsoft 365.
    Pour plus d’informations, consultez Foire aux questions (FAQ) sur Microsoft Entra Domain Services.
• Lors de la jointure à un domaine Microsoft Entra Domain Services, le compte doit faire partie du groupe d’administrateurs Microsoft Entra DC et le mot de passe du compte doit fonctionner dans Microsoft Entra Domain Services. Pour plus d’informations, consultez Détails de machine virtuelle.
• Lorsque vous spécifiez une unité d’organisation, utilisez le nom unique sans guillemets.
• Suivez le principe du privilège minimum en affectant les autorisations minimales requises pour les tâches autorisées.
• Le nom d’utilisateur principal utilisé pour s’abonner à Azure Virtual Desktop doit exister dans le domaine Active Directory dans lequel la machine virtuelle hôte de la session est jointe. Pour plus d’informations sur la configuration requise de l’utilisateur, consultez Configuration requise pour Azure Virtual Desktop.
• Lorsque vous utilisez des cartes à puce, une connexion directe (ligne de vue) avec un contrôleur de domaine Active Directory pour l’authentification Kerberos est requise. Pour plus d’informations, consultez Configurer un proxy de centre de distribution de clés Kerberos.
• L’utilisation de Windows Hello Entreprise requiert que le modèle d’approbation de certificat hybride soit compatible avec Azure Virtual Desktop. Pour plus d’informations, consultez Déploiement d’approbation de certificat joint à Microsoft Entra hybride.
• Lorsque vous utilisez Windows Hello Entreprise ou une authentification par carte à puce, le client doit être en mesure de communiquer avec le contrôleur de domaine, car ces méthodes d’authentification utilisent Kerberos pour se connecter. Pour plus d’informations, consultez Méthodes d’authentification prises en charge.
• L’authentification unique peut améliorer l’expérience utilisateur, mais elle nécessite une configuration supplémentaire et est prise en charge uniquement avec les services de fédération Active Directory (AD FS). Pour plus d’informations, consultez Configurer l’authentification unique AD FS pour Azure Virtual Desktop.

Scénarios d’identité pris en charge

Le tableau suivant récapitule les scénarios d’identité actuellement pris en charge par Azure Virtual Desktop :

Scénario d’identité	Hôtes de session	Comptes d'utilisateurs
Microsoft Entra ID + AD DS	Joints à AD DS	Dans Microsoft Entra ID et AD DS, synchronisé
Microsoft Entra ID + AD DS	Joint à Microsoft Entra ID	Dans Microsoft Entra ID et AD DS, synchronisé
Microsoft Entra ID + Microsoft Entra Domain Services	Joint à Microsoft Entra Domain Services	Dans Microsoft Entra ID et Microsoft Entra Domain Services, synchronisé
Microsoft Entra ID + Microsoft Entra Domain Services + AD DS	Joint à Microsoft Entra Domain Services	Dans Microsoft Entra ID et AD DS, synchronisé
Microsoft Entra ID + Microsoft Entra Domain Services	Joint à Microsoft Entra ID	Dans Microsoft Entra ID et Microsoft Entra Domain Services, synchronisé
Microsoft Entra uniquement	Joint à Microsoft Entra ID	Dans Microsoft Entra ID

Recommandations de conception

• Utilisez Microsoft Entra Connect pour synchroniser toutes les identités avec un seul locataire Microsoft Entra. Pour plus d’informations, consultez Qu’est-ce que Microsoft Entra Connect ?.
• Vérifiez que les hôtes de session Azure Virtual Desktop peuvent communiquer avec Microsoft Entra Domain Services ou AD DS.
• Utilisez la solution de proxy du centre de distribution de clés Kerberos pour proxyser le trafic d’authentification par carte à puce et pour activer la connexion à distance. Pour plus d’informations, consultez Configurer un proxy de centre de distribution de clés Kerberos.
• Séparez les machines virtuelles hôtes de session en unités d’organisation Active Directory pour chaque pool d’hôtes afin de gérer plus facilement les stratégies et les objets orphelins. Pour plus d’informations, consultez Détails de machine virtuelle.
• Utilisez une solution de type solution de mot de passe d’administrateur local (LAPS) pour permuter souvent les mots de passe d’administrateur local sur les hôtes de session Azure Virtual Desktop. Pour plus d’informations, consultez Évaluation de la sécurité : Utilisation de Microsoft LAPS.
• Pour les utilisateurs, attribuez le rôle intégré Utilisateur de virtualisation de bureau à des groupes de sécurité afin d’accorder l’accès aux groupes d’applications Azure Virtual Desktop. Pour plus d’informations, consultez Accès délégué dans Azure Virtual Desktop.
• Créez des stratégies d’accès conditionnel pour Azure Virtual Desktop. Ces stratégies peuvent appliquer une authentification multifacteur en fonction de conditions comme des connexions risquées pour augmenter la posture de sécurité de votre organisation. Pour plus d’informations, consultez Activer l’authentification multifacteur Microsoft Entra pour Azure Virtual Desktop.
• Configurez AD FS pour activer l’authentification unique pour les utilisateurs du réseau d’entreprise.

Étapes suivantes

Découvrez la topologie de réseau et la connectivité dans un scénario Azure Virtual Desktop à l’échelle de l’entreprise.

Topologie et connectivité du réseau