Configurer l’authentification unique pour Azure Virtual Desktop à l’aide de Microsoft Entra ID

L’authentification unique (SSO) pour Azure Virtual Desktop à l’aide de Microsoft Entra ID offre une expérience de connexion fluide aux utilisateurs qui se connectent aux hôtes de session. Lorsque vous activez l’authentification unique, les utilisateurs s’authentifient auprès de Windows à l’aide d’un jeton Microsoft Entra ID. Ce jeton permet d’utiliser l’authentification sans mot de passe et les fournisseurs d’identité tiers qui fédèrent avec Microsoft Entra ID lors de la connexion à un hôte de session, ce qui rend l’expérience de connexion transparente.

L’authentification unique à l’aide de Microsoft Entra ID offre également une expérience fluide pour les ressources Microsoft Entra ID au sein de la session. Pour plus d’informations sur l’utilisation de l’authentification sans mot de passe au sein d’une session, consultez Authentification sans mot de passe dans la session.

Pour activer l’authentification unique à l’aide de l’authentification Microsoft Entra ID, vous devez effectuer 5 tâches :

1. Activer l’authentification Microsoft Entra pour le protocole RDP (Remote Desktop Protocol).

2. Masquez la boîte de dialogue d’invite de consentement.

3. Créez un objet serveur Kerberos, si Active Directory Domain Services fait partie de votre environnement. Pour plus d’informations sur les critères, consultez sa section.

4. Passez en revue vos stratégies d’accès conditionnel.

5. Configurer votre pool d’hôtes pour activer l’authentification unique.

Avant l’activation de l’authentification unique

Avant d’activer l’authentification unique et de l’utiliser dans votre environnement, passez en revue les informations suivantes.

Comportement du verrouillage de session

Quand l’authentification unique à l’aide de Microsoft Entra ID est activée, et que la session à distance est verrouillée, soit par l’utilisateur, soit par une stratégie, vous pouvez choisir si la session est déconnectée, ou si l’écran de verrouillage à distance s’affiche. Le comportement par défaut consiste à déconnecter la session quand elle est verrouillée.

Quand le comportement du verrouillage de session est défini pour la déconnexion, une boîte de dialogue s’affiche afin de faire savoir aux utilisateurs qu’ils ont été déconnectés. Les utilisateurs peuvent choisir l’option Se reconnecter dans la boîte de dialogue une fois qu’ils sont prêts à se reconnecter. Ce comportement est appliqué pour des raisons de sécurité ainsi que pour garantir la prise en charge complète de l’authentification sans mot de passe. La déconnexion de la session offre les avantages suivants :

• Expérience de connexion cohérente via Microsoft Entra ID, le cas échéant.

• Expérience d’authentification unique et reconnexion sans invite d’authentification, quand les stratégies d’accès conditionnel l’autorisent.

• Prend en charge l’authentification sans mot de passe, par exemple avec les clés d’accès et les appareils FIDO2, contrairement à l’écran de verrouillage à distance.

• Les stratégies d’accès conditionnel, notamment l’authentification multifacteur et la fréquence de connexion, sont réévaluées quand l’utilisateur se reconnecte à sa session.

• Peut nécessiter une authentification multifacteur pour le retour à la session, et empêcher les utilisateurs d’effectuer le déverrouillage avec un simple nom d’utilisateur et un mot de passe.

Si vous souhaitez configurer le comportement du verrouillage de session pour afficher l’écran de verrouillage à distance au lieu de déconnecter la session, consultez Configurer le comportement du verrouillage de session.

Comptes Administrateur de domaine Active Directory avec l’authentification unique

Dans les environnements constitués d’Active Directory Domain Services (AD DS) et de comptes d’utilisateurs hybrides, la stratégie de réplication de mot de passe par défaut sur les contrôleurs de domaine en lecture seule refuse la réplication de mot de passe pour les membres des groupes de sécurité Administrateurs du domaines et Administrateurs. Cette stratégie empêchera ces comptes Administrateur de se connecter à des hôtes joints à Microsoft Entra de manière hybride, et ces derniers seront probablement toujours invités à entrer leurs informations d’identification. Cela empêchera également les comptes Administrateur d’accéder aux ressources locales qui utilisent l’authentification Kerberos à partir d’hôtes joints à Microsoft Entra. Pour des raisons de sécurité, nous vous déconseillons de vous connecter à une session à distance à l’aide d’un compte administrateur de domaine.

Si vous devez apporter des modifications à un hôte de session en tant qu’administrateur, connectez-vous à l’hôte de session à l’aide d’un compte non administrateur, puis utilisez l’option Exécuter en tant qu’administrateur ou l’outil runas à partir d’une invite de commandes pour passer à un administrateur.

Prérequis

Avant de pouvoir activer l’authentification unique, vous devez remplir les prérequis suivants :

• Pour que vous puissiez configurer votre tenant (locataire) Microsoft Entra, l’un des rôles intégrés Microsoft Entra suivants, ou l’équivalent, doit vous être attribué :

  • Administrateur d’application

  • Administrateur d’application cloud

• Vos hôtes de session doivent exécuter l’un des systèmes d’exploitation suivants avec la mise à jour cumulative appropriée installée :

  • Windows 11 Entreprise monosession ou multisession avec la Mise à jour cumulative 2022-10 pour Windows 11 (KB5018418) (ou versions ultérieures) installé.

  • Windows 10 Entreprise monosession ou multisession avec la Mise à jour cumulative 2022-10 pour Windows 10 (KB5018410) (ou versions ultérieures) installée.

  • Windows Server 2022 avec la Mise à jour cumulative 2022-10 pour système d’exploitation serveur Microsoft (KB5018421) (ou version ultérieure) installée.

• Vos hôtes de session doivent être joints à Microsoft Entra, ou joints à Microsoft Entra de manière hybride. Les hôtes de session uniquement joints à Microsoft Entra Domain Services ou à Active Directory Domain Services ne sont pas pris en charge.

  Si vos hôtes de session joints à Microsoft Entra de manière hybride se trouvent dans un domaine Active Directory différent de celui de vos comptes d’utilisateur, une approbation bidirectionnelle entre les deux domaines doit exister. Sans l’approbation bidirectionnelle, les connexions reviennent à des protocoles d’authentification plus anciens.

• Installez le kit de développement logiciel (SDK) Microsoft Graph PowerShell version 2.9.0 ou ultérieure sur votre appareil local ou dans Azure Cloud Shell.

• Un client Bureau à distance pris en charge pour se connecter à une session à distance. Les clients suivants sont pris en charge :

  • client Windows Desktop sur des PC locaux exécutant Windows 10 ou une version ultérieure. Le PC local ne doit pas nécessairement être joint à Microsoft Entra ID ou à un domaine Active Directory.

  • Client web.

  • Client macOS, version 10.8.2 ou ultérieure.

  • Client iOS, version 10.5.1 ou ultérieure.

  • Client Android, version 10.0.16 ou ultérieure.

Activer l’authentification Microsoft Entra pour RDP

Vous devez d’abord autoriser l’authentification Microsoft Entra pour Windows dans votre locataire Microsoft Entra. Cela permet d’émettre des jetons d’accès RDP permettant aux utilisateurs de se connecter à vos hôtes de session Azure Virtual Desktop. Vous définissez la propriété isRemoteDesktopProtocolEnabled de l’objet remoteDesktopSecurityConfiguration du principal de service sur « true » pour les applications Microsoft Entra suivantes :

Nom d’application	ID de l’application
Bureau à distance Microsoft	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Connexion au cloud Windows	270efc09-cd0d-444b-a71f-39af4910ec45

Important

À compter de 2024 et dans le cadre d’une modification à venir, nous allons passer de Bureau à distance Microsoft à Connexion au cloud Windows. Le fait de configurer les deux applications maintenant garantit que vous êtes prêts pour la modification.

Pour configurer le principal de service, utilisez le kit de développement logiciel (SDK) Microsoft Graph PowerShell pour créer un objet remoteDesktopSecurityConfiguration sur le principal de service et définissez la propriété isRemoteDesktopProtocolEnabled sur true. Vous pouvez également utiliser l’API Microsoft Graph avec un outil tel que l’Explorateur Graph.

1. Ouvrez Azure Cloud Shell sur le Portail Azure avec le type de terminal PowerShell ou exécutez PowerShell sur votre appareil local.

   • Si vous utilisez Cloud Shell, vérifiez que votre contexte Azure est défini sur l’abonnement que vous souhaitez utiliser.

   • Si vous utilisez PowerShell localement, commencez par vous connecter avec Azure PowerShell, puis vérifiez que votre contexte Azure est défini sur l’abonnement que vous souhaitez utiliser.

2. Veillez à installer le kit de développement logiciel (SDK) Microsoft Graph PowerShell à partir de la section Prérequis, puis importez les modules Microsoft Graph Authentification et Applications et connectez-vous à Microsoft Graph avec les étendues Application.Read.All et Application-RemoteDesktopConfig.ReadWrite.All en exécutant les commandes suivantes :

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Obtenez l’ID d’objet de chaque principal de service et stockez-les dans des variables en exécutant les commandes suivantes :

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Définissez la propriété isRemoteDesktopProtocolEnabled sur true en exécutant les commandes suivantes. Ces commandes ne génèrent aucune sortie.

   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
   }
   

5. Vérifiez que la propriété isRemoteDesktopProtocolEnabled est définie sur true en exécutant les commandes suivantes :

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   La sortie doit être :

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

Masquer la boîte de dialogue d’invite de consentement

Par défaut, quand l’authentification unique est activée, les utilisateurs voient une boîte de dialogue autorisant la connexion Bureau à distance au moment où ils se connectent à un nouvel hôte de session. Microsoft Entra mémorise jusqu’à 15 hôtes pendant 30 jours avant de vous présenter une nouvelle invite. Si les utilisateurs voient cette boîte de dialogue autorisant la connexion Bureau à distance, ils peuvent sélectionner Oui pour se connecter.

Vous pouvez masquer cette boîte de dialogue en configurant la liste des appareils approuvés. Pour configurer la liste des appareils, créez un ou plusieurs groupes dans Microsoft Entra ID contenant vos hôtes de session, puis ajoutez les ID de groupe à une propriété sur les principaux de service SSO, le Bureau à distance Microsoft et Connexion au cloud Windows.

Conseil

Nous vous recommandons d’utiliser un groupe dynamique, et de configurer les règles d’appartenance dynamique pour inclure tous vos hôtes de session Azure Virtual Desktop. Vous pouvez utiliser les noms d’appareil dans ce groupe, mais si vous souhaitez davantage de sécurité, vous pouvez définir et utiliser des attributs d’extension d’appareil à l’aide de l’API Microsoft Graph. Bien que les groupes dynamiques se mettent normalement à jour dans les 5 à 10 minutes, cela peut prendre jusqu’à 24 heures pour les locataires volumineux.

Les groupes dynamiques nécessitent une licence Microsoft Entra ID P1 ou Intune pour l’Éducation. Pour plus d’informations, consultez gérer les Règles d’adhésion dynamiques pour les groupes.

Pour configurer le principal de service, utilisez le kit de développement logiciel (SDK) Microsoft Graph PowerShell pour créer un objet targetDeviceGroup sur le principal de service avec l’ID d’objet et le nom d’affichage du groupe dynamique. Vous pouvez également utiliser l’API Microsoft Graph avec un outil tel que l’Explorateur Graph.

1. Créez un groupe dynamique dans Microsoft Entra ID contenant les hôtes de session pour lesquels vous souhaitez masquer la boîte de dialogue. Notez l’ID d’objet du groupe pour l’étape suivante.

2. Dans la même session PowerShell, créez un objet targetDeviceGroup en exécutant les commandes suivantes, en remplaçant les valeurs <placeholders> par vos propres valeurs :

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Ajoutez le groupe à l’objet targetDeviceGroup en exécutant les commandes suivantes :

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   La sortie doit ressembler à celle de l’exemple suivant :

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
   

   Répétez les étapes 2 et 3 pour chaque groupe (10 maximum) que vous souhaitez ajouter à l’objet targetDeviceGroup.

4. Si vous devez ensuite supprimer un groupe d’appareils de l’objet targetDeviceGroup, exécutez les commandes suivantes, en remplaçant les valeurs <placeholders> par vos propres valeurs :

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Créer un objet serveur Kerberos

Si votre hôte de session répond aux critères suivants, vous devez créer un objet serveur Kerberos. Pour plus d'informations, voir Permettre une connexion sans mot de passe à des ressources sur site en utilisant Microsoft Entra ID, en particulier la section Créer un objet serveur Kerberos :

• Votre hôte de la session est joint à Microsoft Entra de manière hybride. Vous devez disposer d’un objet serveur Kerberos pour mener à bien l’authentification auprès d’un contrôleur de domaine.

• Votre hôte de session est joint à Microsoft Entra et votre environnement contient des contrôleurs de domaine Active Directory. Vous devez disposer d’un objet serveur Kerberos pour permettre aux utilisateurs d’accéder aux ressources locales, telles que les partages SMB, ainsi que de l’authentification intégrée à Windows pour les sites web.

Important

Si vous activez l’authentification unique sur les hôtes de session joints à Microsoft Entra de façon hybride sans créer d’objet serveur Kerberos, voici ce qui peut se produire lorsque vous essayez de vous connecter à une session à distance :

• Vous obtenez un message d’erreur indiquant que la session en question n’existe pas.
• L’authentification unique est ignorée et une boîte de dialogue d’authentification standard s’affiche pour l’hôte de session.

Pour résoudre ces problèmes, créez l’objet serveur Kerberos, puis réessayez de vous connecter.

Passez en revue vos stratégies d’accès conditionnel.

Lorsque l’authentification unique est activée, une nouvelle application Microsoft Entra ID est introduite pour authentifier les utilisateurs auprès de l’hôte de la session. Si vous avez des stratégies d’accès conditionnel qui s’appliquent lorsque vous accédez à Azure Virtual Desktop, passez en revue les recommandations relatives à la configuration de l’authentification multifacteur pour vous assurer que les utilisateurs ont l’expérience souhaitée.

Configurer votre pool d’hôtes pour activer l’authentification unique

Pour activer l’authentification unique sur votre pool d’hôtes, vous devez configurer la propriété RDP suivante. Vous pouvez le faire en utilisant le Portail Azure ou PowerShell. Vous trouverez les étapes de configuration des propriétés RDP dans Personnaliser les propriétés de Bureau à distance (RDP) pour un pool d’hôtes.

• Dans le Portail Azure, définissez Authentification unique Microsoft Entra sur Les connexions utiliseront l’authentification Microsoft Entra pour fournir l’authentification unique.

• Pour PowerShell, définissez la propriété enablerdsaadauth sur 1.

Étapes suivantes

• Consultez Authentification sans mot de passe dans la session pour découvrir comment activer l’authentification sans mot de passe.

• Découvrez comment Configurer le comportement du verrouillage de session pour Azure Virtual Desktop.

• Pour plus d’informations sur Microsoft Entra Kerberos, consultez Présentation approfondie : fonctionnement de Microsoft Entra Kerberos.

• Si vous rencontrez des problèmes, accédez à Résoudre les problèmes de connexion aux machines virtuelles jointes à Microsoft Entra.