Identités et méthodes d’authentification prises en charge
Dans cet article, nous vous fournirons un aperçu des types d’identités et de méthodes d'authentification que vous pouvez utiliser dans Azure Virtual Desktop.
Identities
Azure Virtual Desktop prend en charge différents types d’identités, selon la configuration que vous choisissez. Cette section décrit les identités que vous pouvez utiliser pour chaque configuration.
Important
Azure Virtual Desktop ne prend pas en charge la connexion à Microsoft Entra ID en utilisant un compte d’utilisateur, puis la connexion à Windows avec un compte d’utilisateur distinct. La connexion avec deux comptes différents en même temps peut entraîner une reconnexion des utilisateurs à l’hôte de session incorrect, des informations incorrectes ou manquantes dans le Portail Azure et des messages d’erreur qui s’affichent lors de l’utilisation de l’attachement d’application MSIX.
Identité locale
Étant donné que les utilisateurs doivent pouvoir être découverts via Microsoft Entra ID pour accéder à Azure Virtual Desktop, les identités utilisateurs qui existent uniquement dans Active Directory Domain Services (AD DS) ne sont pas prises en charge. Cela comprend les déploiements Active Directory autonomes avec les services de fédération Active Directory (AD FS).
Identité hybride
Azure Virtual Desktop prend en charge les identités hybrides par le biais de Microsoft Entra ID, notamment celles fédérées à l’aide des services d’AD FS. Vous pouvez gérer ces identités utilisateurs dans AD DS et les synchroniser avec Microsoft Entra ID à l’aide de Microsoft Entra Connect. Vous pouvez également utiliser Microsoft Entra ID pour gérer ces identités et les synchroniser avec Microsoft Entra Domain Services.
Lors de l’accès à Azure Virtual Desktop à l’aide d’identités hybrides, parfois, le nom d’utilisateur principal (UPN) ou l’identificateur de sécurité (SID) de l’utilisateur dans Active Directory (AD) et Microsoft Entra ID ne correspondent pas. Par exemple, le compte AD user@contoso.local peut correspondre à user@contoso.com dans Microsoft Entra ID. Azure Virtual Desktop ne prend en charge ce type de configuration que si l’UPN ou le SID de vos comptes AD et Microsoft Entra ID correspondent. SID fait référence à la propriété d’objet utilisateur « ObjectSID » dans AD et « OnPremisesSecurityIdentifier » dans Microsoft Entra ID.
Identité cloud uniquement
Azure Virtual Desktop prend en charge les identités cloud uniquement lors de l’utilisation de machines virtuelles jointes à Microsoft Entra. Ces utilisateurs sont créés et gérés directement dans Microsoft Entra ID.
Remarque
Vous pouvez aussi attribuer des identités hybrides à des groupes d’applications Azure Virtual Desktop qui hébergent des hôtes de session joints à Microsoft Entra.
Fournisseurs d'identité tiers
Si vous utilisez un fournisseur d’identité (IdP) autre que Microsoft Entra ID pour gérer vos comptes d’utilisateur, vous devez vous assurer que :
- Votre Idp estfédéré avec Microsoft Entra ID.
- Vos hôtes de la session doivent être joints à Microsoft Entra ou joints à Microsoft Entra de manière hybride.
- Vous activez l’authentification Microsoft Entra sur l’hôte de la session.
Identité externe
Actuellement, Azure Virtual Desktop ne prend pas en charge les identités externes.
Méthodes d’authentification
Pour les utilisateurs se connectant à une session à distance, il existe trois points d’authentification distincts :
Authentification du service auprès d’Azure Virtual Desktop : récupération d’une liste de ressources auxquelles l’utilisateur a accès lors de l’accès au client. L’expérience dépend de la configuration du compte Microsoft Entra. Par exemple, si l’authentification multifacteur est activée pour l’utilisateur, celui-ci est invité à entrer son compte d’utilisateur et une deuxième forme d’authentification, de la même façon que lors de l’accès à d’autres services.
Hôte de session : lors du démarrage d’une session à distance. Un nom d’utilisateur et un mot de passe sont requis pour un hôte de session, mais ceci est transparent pour l’utilisateur si l’authentification unique est activée.
Authentification basée sur la session : connexion à d’autres ressources au sein d’une session à distance.
Les sections suivantes expliquent chacun de ces points d’authentification plus en détail.
Authentification du service
Pour accéder à des ressources Azure Virtual Desktop, vous devez d’abord vous authentifier auprès du service en vous connectant à un compte Microsoft Entra. L’authentification se produit chaque fois que vous vous abonnez à un espace de travail pour récupérer vos ressources et que vous vous connectez à des applications ou à des ordinateurs de bureau. Vous pouvez utiliser des fournisseurs d’identité tiers à condition qu’ils soient fédérés à Microsoft Entra ID.
Authentification multifacteur
Suivez les instructions dans Appliquer l’authentification multifacteur Microsoft Entra pour Azure Virtual Desktop en utilisant l’accès conditionnel afin d’appliquer l’authentification multifacteur Microsoft Entra pour votre déploiement. Cet article vous indique également comment configurer la fréquence à laquelle vos utilisateurs sont invités à entrer leurs informations d’identification. Lors du déploiement de machines virtuelles jointes à Microsoft Entra, notez les étapes supplémentaires pour les machines virtuelles hôtes de la session jointes à Microsoft Entra.
Authentification sans mot de passe
Vous pouvez utiliser n’importe quel type d’authentification pris en charge par Microsoft Entra ID, comme Windows Hello Entreprise et d’autres options d’authentification sans mot de passe (par exemple, des clés FIDO), pour vous authentifier auprès du service.
Authentification par carte à puce
Pour utiliser une carte à puce à des fins d’authentification auprès de Microsoft Entra ID, vous devez d’abord configurer AD FS pour l’authentification par certificat utilisateur ou configurer l’authentification basée sur les certificats Microsoft Entra.
Authentification de l’hôte de session
Si vous n’avez pas encore activé l’authentification unique ou enregistré vos informations d’identification localement, vous devez également vous authentifier auprès de l’hôte de session lors du lancement d’une connexion. La liste suivante décrit les types d’authentification actuellement pris en charge par chaque client Azure Virtual Desktop. Certains clients peuvent nécessiter l’utilisation d’une version spécifique, que vous trouverez dans le lien pour chaque type d’authentification.
| Client | Types d’authentification pris en charge |
|---|---|
| Client Windows Desktop | Nom d’utilisateur et mot de passe Carte à puce Approbation de certificat Windows Hello Entreprise Approbation de clé avec certificats Windows Hello Entreprise Authentification Microsoft Entra |
| Application Azure Virtual Desktop du Store | Nom d’utilisateur et mot de passe Carte à puce Approbation de certificat Windows Hello Entreprise Approbation de clé avec certificats Windows Hello Entreprise Authentification Microsoft Entra |
| Application Bureau à distance | Nom d’utilisateur et mot de passe |
| Client web | Nom d’utilisateur et mot de passe Authentification Microsoft Entra |
| Client Android | Nom d’utilisateur et mot de passe Authentification Microsoft Entra |
| Client iOS | Nom d’utilisateur et mot de passe Authentification Microsoft Entra |
| Client macOS | Nom d’utilisateur et mot de passe Carte à puce : prise en charge des connexions basées sur carte à puce par le biais de la redirection de carte à puce à l’invite Winlogon lorsque l’authentification au niveau du réseau n’est pas négociée. Authentification Microsoft Entra |
Important
Pour que l’authentification fonctionne correctement, votre machine locale doit également pouvoir accéder aux URL requises pour les clients Bureau à distance.
Authentification unique (SSO)
L’authentification unique permet à la connexion d’ignorer l’invite de demande d’informations d’identification de l’hôte de session et de connecter automatiquement l’utilisateur à Windows. Pour les hôtes de la session joints à Microsoft Entra ou joints à Microsoft Entra de manière hybride, il est recommandé d’activer l’authentification unique à l’aide de l’authentification Microsoft Entra. L’authentification Microsoft Entra offre d’autres avantages, notamment l’authentification sans mot de passe et la prise en charge des fournisseurs d’identité tiers.
Azure Virtual Desktop prend également en charge l’authentification unique à l’aide des services de fédération Active Directory (AD FS) pour les clients Windows Desktop et web.
Sans authentification unique, le client invite les utilisateurs à entrer leurs informations d’identification d’hôte de session pour chaque connexion. La seule façon de ne pas recevoir une invite consiste à enregistrer les informations d’identification dans le client. Nous vous recommandons d’enregistrer les informations d’identification uniquement sur des appareils sécurisés pour empêcher d’autres utilisateurs d’accéder à vos ressources.
Carte à puce et Windows Hello Entreprise
Azure Virtual Desktop prend en charge NTLM (NT LAN Manager) et Kerberos pour l’authentification de l’hôte de session. Toutefois, la carte à puce et les Windows Hello Entreprise peuvent uniquement utiliser Kerberos pour se connecter. Pour utiliser Kerberos, le client doit obtenir des tickets de sécurité Kerberos auprès d’un service de centre de distribution de clés (KDC, Key Distribution Center) fonctionnant sur un contrôleur de domaine. Pour obtenir des tickets, le client a besoin d’une ligne de vue réseau directe sur le contrôleur de domaine. Vous pouvez obtenir une ligne de vue en vous connectant directement sur votre réseau d’entreprise, à l’aide d’une connexion VPN ou en configurant un serveur proxy KDC.
Authentification dans la session
Une fois que vous êtes connecté à votre RemoteApp ou à votre bureau, vous pouvez être invité à vous authentifier dans la session. Cette section explique comment utiliser des informations d’identification autres que le nom d’utilisateur et le mot de passe dans ce scénario.
Authentification sans mot de passe dans la session
Azure Virtual Desktop prend en charge l’authentification sans mot de passe dans la session en utilisant Windows Hello Entreprise ou des appareils de sécurité comme des clés FIDO lors de l’utilisation du client Windows Desktop. L’authentification sans mot de passe est activée automatiquement quand l’hôte de session et le PC local utilisent les systèmes d’exploitation suivants :
- Windows 11 monosession ou multisession avec la Mise à jour cumulative 2022-10 pour Windows 11 (KB5018418) (ou versions ultérieures) installée.
- Windows 10 monosession ou multisession avec la Mise à jour cumulative 2022-10 pour Windows 10 (KB5018410) version 20H2 (ou versions ultérieures) installée.
- Windows Server 2022 avec la Mise à jour cumulative 2022-10 pour système d’exploitation serveur Microsoft (KB5018421) (ou version ultérieure) installée.
Pour désactiver l’authentification sans mot de passe sur votre pool d’hôtes, vous devez personnaliser une propriété RDP. Vous pouvez trouver la propriété Redirection WebAuthn sous l’onglet Redirection d’appareil dans le portail Azure ou définir la propriété redirectwebauthn sur 0 en utilisant PowerShell.
Lorsque cette option est activée, toutes les requêtes WebAuthn de la session sont redirigées vers le PC local. Vous pouvez utiliser Windows Hello Entreprise ou des appareils de sécurité attachés localement pour mener à bien le processus d’authentification.
Pour accéder aux ressources Microsoft Entra avec Windows Hello Entreprise ou des appareils de sécurité, vous devez activer la clé de sécurité FIDO2 comme méthode d’authentification pour vos utilisateurs. Pour activer cette méthode, suivez les étapes fournies dans Activer la méthode de clé de sécurité FIDO2.
Authentification par carte à puce dans la session
Pour utiliser une carte à puce dans votre session, vérifiez que vous avez installé les pilotes de la carte à puce sur l’hôte de session et activé la redirection de carte à puce. Examinez le graphique de comparaison client pour vous assurer que votre client prend en charge la redirection de carte à puce.
Étapes suivantes
- Vous êtes curieux de connaître d’autres moyens de sécuriser votre déploiement ? Consultez les meilleures pratiques relatives à la sécurité.
- Vous rencontrez des problèmes pour vous connecter à des machines virtuelles jointes à Microsoft Entra ? Consultez Résoudre les problèmes de connexion aux machines virtuelles jointes à Microsoft Entra.
- Vous rencontrez des problèmes avec l’authentification sans mot de passe dans la session ? Consultez Résoudre les problèmes de redirection WebAuthn.
- Vous souhaitez utiliser des cartes à puce en dehors de votre réseau d’entreprise ? Consultez comment configurer un serveur proxy KDC.