Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article vous guide tout au long du processus de déploiement et d’accès à Microsoft Entra machines virtuelles jointes dans Azure Virtual Desktop. Microsoft Entra machines virtuelles jointes suppriment la nécessité d’avoir une ligne de vue de la machine virtuelle vers un contrôleur de domaine Active Directory (DC) local ou virtualisé, ou de déployer Microsoft Entra Domain Services. Dans certains cas, cela peut supprimer entièrement le besoin d’un contrôleur de domaine, ce qui simplifie le déploiement et la gestion de l’environnement. Ces machines virtuelles peuvent également être inscrites automatiquement dans Intune pour faciliter la gestion.
Limitations connues
Les limitations connues suivantes peuvent affecter l’accès à vos ressources locales ou jointes à un domaine Active Directory, et vous devez les prendre en compte lorsque vous décidez si Microsoft Entra machines virtuelles jointes sont appropriées pour votre environnement.
- Microsoft Entra machines virtuelles jointes ne prennent actuellement pas en charge les identités externes, telles que Microsoft Entra B2B (Business-to-Business) et Microsoft Entra Business-to-Consumer (B2C).
- Microsoft Entra machines virtuelles jointes peuvent uniquement accéder aux partages Azure Files pour les utilisateurs hybrides à l’aide de Microsoft Entra Kerberos pour les profils utilisateur FSLogix.
- L’application Du Store Bureau à distance pour Windows ne prend pas en charge Microsoft Entra machines virtuelles jointes.
Déployer des machines virtuelles jointes Microsoft Entra
Vous pouvez déployer Microsoft Entra machines virtuelles jointes directement à partir du Portail Azure lorsque vous créez un pool d’hôtes ou développez un pool d’hôtes existant. Pour déployer une machine virtuelle jointe Microsoft Entra, ouvrez l’onglet Machines Virtuelles, puis indiquez si vous souhaitez joindre la machine virtuelle à Active Directory ou à Microsoft Entra ID. La sélection de Microsoft Entra ID vous permet d’inscrire automatiquement des machines virtuelles avec Intune, ce qui vous permet de gérer facilement vos hôtes de session. N’oubliez pas que l’option Microsoft Entra ID joint uniquement les machines virtuelles au même locataire Microsoft Entra que l’abonnement dans lequel vous vous trouvez.
Remarque
- Les pools d’hôtes doivent contenir uniquement des machines virtuelles du même type de jointure de domaine. Par exemple, Microsoft Entra machines virtuelles jointes ne doivent être qu’avec d’autres machines virtuelles Microsoft Entra jointes, et inversement.
- Les machines virtuelles du pool d’hôtes doivent être Windows 11 ou Windows 10 session unique ou multisession, version 2004 ou ultérieure, ou Windows Server 2022 ou Windows Server 2019.
Attribuer l’accès utilisateur aux pools d’hôtes
Une fois que vous avez créé votre pool d’hôtes, vous devez attribuer aux utilisateurs l’accès à leurs ressources. Pour accorder l’accès aux ressources, ajoutez chaque utilisateur au groupe d’applications. Suivez les instructions fournies dans Gérer les groupes d’applications pour attribuer l’accès utilisateur aux applications et aux bureaux. Nous vous recommandons d’utiliser des groupes d’utilisateurs plutôt que des utilisateurs individuels dans la mesure du possible.
Pour Microsoft Entra machines virtuelles jointes dans des pools d’hôtes sans configuration d’hôte de session, vous devez effectuer les tâches supplémentaires suivantes en plus des exigences pour les déploiements Basés sur Active Directory ou Microsoft Entra Domain Services. Pour les pools d’hôtes utilisant une configuration d’hôte de session, cette attribution de rôle supplémentaire n’est pas obligatoire.
- Attribuez à vos utilisateurs le rôle Connexion utilisateur à la machine virtuelle afin qu’ils puissent se connecter aux machines virtuelles.
- Attribuez aux administrateurs qui ont besoin de privilèges d’administration locaux le rôle Connexion d’administrateur de machine virtuelle .
Pour accorder aux utilisateurs l’accès à Microsoft Entra machines virtuelles jointes, vous devez configurer des attributions de rôles pour la machine virtuelle. Vous pouvez attribuer le rôle Connexion utilisateur à la machine virtuelle ou Connexion d’administrateur de machine virtuelle sur les machines virtuelles, le groupe de ressources contenant les machines virtuelles ou l’abonnement. Nous vous recommandons d’attribuer le rôle Connexion utilisateur à la machine virtuelle au même groupe d’utilisateurs que celui que vous avez utilisé pour le groupe d’applications au niveau du groupe de ressources afin qu’il s’applique à toutes les machines virtuelles du pool d’hôtes.
Accéder Microsoft Entra machines virtuelles jointes
Cette section explique comment accéder à Microsoft Entra machines virtuelles jointes à partir de différents clients Azure Virtual Desktop.
Authentification unique
Pour une expérience optimale sur toutes les plateformes, vous devez activer une expérience d’authentification unique à l’aide de l’authentification Microsoft Entra lors de l’accès à Microsoft Entra machines virtuelles jointes. Suivez les étapes de Configurer l’authentification unique pour fournir une expérience de connexion transparente.
Se connecter à l’aide de protocoles d’authentification hérités
Si vous préférez ne pas activer l’authentification unique, vous pouvez utiliser la configuration suivante pour activer l’accès à Microsoft Entra machines virtuelles jointes.
Se connecter à l’aide du client Windows Desktop
La configuration par défaut prend en charge les connexions à partir de Windows 11 ou de Windows 10 à l’aide du client Windows Desktop. Vous pouvez utiliser vos informations d’identification, carte intelligentes, Windows Hello Entreprise approbation de certificat ou Windows Hello Entreprise approbation de clé avec des certificats pour vous connecter à l’hôte de session. Toutefois, pour accéder à l’hôte de session, votre PC local doit remplir l’une des conditions suivantes :
- Le PC local est Microsoft Entra joint au même locataire Microsoft Entra que l’hôte de session
- Le PC local est Microsoft Entra joint hybride au même locataire Microsoft Entra que l’hôte de session
- Le PC local exécute Windows 11 ou Windows 10 version 2004 ou ultérieure et est Microsoft Entra inscrit auprès du même locataire Microsoft Entra que l’hôte de session
Si votre PC local ne remplit pas l’une de ces conditions, ajoutez targetisaadjoined :i :1 en tant que propriété RDP personnalisée au pool d’hôtes. Ces connexions sont limitées à la saisie des informations d’identification de nom d’utilisateur et de mot de passe lors de la connexion à l’hôte de session.
Se connecter à l’aide des autres clients
Pour accéder à Microsoft Entra machines virtuelles jointes à l’aide des clients web, Android, macOS et iOS, vous devez ajouter targetisaadjoined :i :1 en tant que propriété RDP personnalisée au pool d’hôtes. Ces connexions sont limitées à la saisie des informations d’identification de nom d’utilisateur et de mot de passe lors de la connexion à l’hôte de session.
Application de l’authentification multifacteur Microsoft Entra pour les machines virtuelles de session jointes Microsoft Entra
Vous pouvez utiliser Microsoft Entra’authentification multifacteur avec Microsoft Entra machines virtuelles jointes. Suivez les étapes pour appliquer Microsoft Entra l’authentification multifacteur pour Azure Virtual Desktop à l’aide de l’accès conditionnel et notez les étapes supplémentaires pour Microsoft Entra machines virtuelles hôtes de session jointes.
Si vous utilisez Microsoft Entra’authentification multifacteur et que vous ne souhaitez pas restreindre la connexion à des méthodes d’authentification forte comme Windows Hello Entreprise, vous devez exclure l’application de machine virtuelle Windows Azure Sign-In de votre stratégie d’accès conditionnel.
Profils utilisateur
Vous pouvez utiliser des conteneurs de profils FSLogix avec des machines virtuelles jointes Microsoft Entra lorsque vous les stockez sur Azure Files tout en utilisant des comptes d’utilisateur hybrides. Pour plus d’informations, consultez Créer un conteneur de profils avec Azure Files et Microsoft Entra ID.
Accès aux ressources locales
Bien que vous n’ayez pas besoin d’Active Directory pour déployer ou accéder à vos machines virtuelles Microsoft Entra jointes, un Annuaire Active Directory et une ligne de vision sont nécessaires pour accéder aux ressources locales à partir de ces machines virtuelles.
Étapes suivantes
Maintenant que vous avez déployé des machines virtuelles jointes Microsoft Entra, nous vous recommandons d’activer l’authentification unique avant de vous connecter avec un client Azure Virtual Desktop pris en charge pour le tester dans le cadre d’une session utilisateur. Pour en savoir plus, case activée les articles suivants :