Configurer l’authentification unique pour Azure Virtual Desktop avec l’authentification Microsoft Entra ID

Cet article vous guide tout au long du processus de configuration de l’authentification unique (SSO) pour Azure Virtual Desktop avec l’authentification Microsoft Entra ID. Lorsque vous activez l’authentification unique, les utilisateurs s’authentifient auprès de Windows à l’aide d’un jeton Microsoft Entra ID. Ce jeton permet d’utiliser l’authentification sans mot de passe et les fournisseurs d’identité tiers qui fédèrent avec Microsoft Entra ID lors de la connexion à un hôte de session, ce qui rend l’expérience de connexion transparente.

L’authentification unique à l’aide de l’authentification Microsoft Entra ID fournit également une expérience transparente pour les ressources basées sur Microsoft Entra ID au sein de la session. Pour plus d’informations sur l’utilisation de l’authentification sans mot de passe au sein d’une session, consultez Authentification sans mot de passe dans la session.

Pour activer l’authentification unique à l’aide de l’authentification Microsoft Entra ID, vous devez effectuer 5 tâches :

1. Activer l’authentification Microsoft Entra pour le protocole RDP (Remote Desktop Protocol).

2. Configurer les groupes d’appareils cibles.

3. Créez un objet serveur Kerberos, si Active Directory Domain Services fait partie de votre environnement. Pour plus d’informations sur les critères, consultez sa section.

4. Passez en revue vos stratégies d’accès conditionnel.

5. Configurer votre pool d’hôtes pour activer l’authentification unique.

Avant l’activation de l’authentification unique

Avant d’activer l’authentification unique et de l’utiliser dans votre environnement, passez en revue les informations suivantes.

Déconnexion lorsque la session est verrouillée

Lorsque l’authentification unique est activée, vous vous connectez à Windows à l’aide d’un jeton d’authentification Microsoft Entra ID, qui fournit la prise en charge de l’authentification sans mot de passe auprès de Windows. L’écran de verrouillage Windows de la session distante ne prend pas en charge les jetons d’authentification Microsoft Entra ID ni les méthodes d’authentification sans mot de passe, comme les clés FIDO. L’absence de prise en charge de ces méthodes d’authentification signifie que les utilisateurs ne peuvent pas déverrouiller leurs écrans dans une session à distance. Lorsque vous essayez de verrouiller une session à distance, par le biais d’une action utilisateur ou d’une stratégie système, la session est déconnectée et le service envoie un message à l’utilisateur lui expliquant qu’il a été déconnecté.

La déconnexion de la session garantit également que lorsque la connexion est relancée après une période d’inactivité, Microsoft Entra ID réévalue les stratégies d’accès conditionnel applicables.

Utilisation d’un compte Administrateur de domaine Active Directory avec l’authentification unique

Dans les environnements constitués d’Active Directory Domain Services (AD DS) et de comptes d’utilisateurs hybrides, la stratégie de réplication de mot de passe par défaut sur les contrôleurs de domaine en lecture seule refuse la réplication de mot de passe pour les membres des groupes de sécurité Administrateurs du domaines et Administrateurs. Cette stratégie empêchera ces comptes Administrateur de se connecter à des hôtes joints à Microsoft Entra de manière hybride, et ces derniers seront probablement toujours invités à entrer leurs informations d’identification. Cela empêchera également les comptes Administrateur d’accéder aux ressources locales qui utilisent l’authentification Kerberos à partir d’hôtes joints à Microsoft Entra.

Pour autoriser ces comptes Administrateur à se connecter lorsque l’authentification unique est activée, consultez Autoriser les comptes Administrateur de domaine Active Directory à se connecter.

Prérequis

Avant de pouvoir activer l’authentification unique, vous devez remplir les prérequis suivants :

• Pour configurer votre locataire Microsoft Entra, vous devez avoir l’un des rôles intégrés Microsoft Entra suivants :

  • Administrateur d’application
  • Administrateur d’application cloud
  • Administrateur général

• Vos hôtes de session doivent exécuter l’un des systèmes d’exploitation suivants avec la mise à jour cumulative appropriée installée :

  • Windows 11 Entreprise monosession ou multisession avec la Mise à jour cumulative 2022-10 pour Windows 11 (KB5018418) (ou versions ultérieures) installé.
  • Windows 10 Entreprise monosession ou multisession avec la Mise à jour cumulative 2022-10 pour Windows 10 (KB5018410) (ou versions ultérieures) installée.
  • Windows Server 2022 avec la Mise à jour cumulative 2022-10 pour système d’exploitation serveur Microsoft (KB5018421) (ou version ultérieure) installée.

• Vos hôtes de session doivent être joints à Microsoft Entra, ou joints à Microsoft Entra de manière hybride. Les hôtes de session uniquement joints à Microsoft Entra Domain Services ou à Active Directory Domain Services ne sont pas pris en charge.

  Si vos hôtes de session joints à Microsoft Entra de manière hybride se trouvent dans un domaine Active Directory différent de celui de vos comptes d’utilisateur, une approbation bidirectionnelle entre les deux domaines doit exister. Sans approbation bidirectionnelle, les connexions reviennent à des protocoles d’authentification plus anciens.

• Installez le kit de développement logiciel (SDK) Microsoft Graph PowerShell version 2.9.0 ou ultérieure sur votre appareil local ou dans Azure Cloud Shell.

• Un client Bureau à distance pris en charge pour se connecter à une session à distance. Les clients suivants sont pris en charge :

  • client Windows Desktop sur des PC locaux exécutant Windows 10 ou une version ultérieure. Le PC local ne doit pas nécessairement être joint à Microsoft Entra ID ou à un domaine Active Directory.
  • Client web.
  • Client macOS, version 10.8.2 ou ultérieure.
  • Client iOS, version 10.5.1 ou ultérieure.
  • Client Android, version 10.0.16 ou ultérieure.

• Pour configurer l’autorisation de connexion du compte Administrateur de domaine Active Directory lorsque l’authentification unique est activée, vous avez besoin d’un compte membre du groupe de sécurité Administrateurs du domaine.

Activer l’authentification Microsoft Entra pour RDP

Vous devez d’abord autoriser l’authentification Microsoft Entra pour Windows dans votre locataire Microsoft Entra. Cela permet d’émettre des jetons d’accès RDP permettant aux utilisateurs de se connecter à vos hôtes de session Azure Virtual Desktop. Vous définissez la propriété isRemoteDesktopProtocolEnabled de l’objet remoteDesktopSecurityConfiguration du principal de service sur « true » pour les applications Microsoft Entra suivantes :

Nom d’application	ID de l’application
Microsoft Remote Desktop	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Connexion au cloud Windows	270efc09-cd0d-444b-a71f-39af4910ec45

Important

À compter de 2024 et dans le cadre d’une modification à venir, nous allons passer de Bureau à distance Microsoft à Connexion au cloud Windows. Le fait de configurer les deux applications maintenant garantit que vous êtes prêts pour la modification.

Pour configurer le principal de service, utilisez le kit de développement logiciel (SDK) Microsoft Graph PowerShell pour créer un objet remoteDesktopSecurityConfiguration sur le principal de service et définissez la propriété isRemoteDesktopProtocolEnabled sur true. Vous pouvez également utiliser l’API Microsoft Graph avec un outil tel que l’Explorateur Graph.

1. Lancez Azure Cloud Shell dans le Portail Azure avec le type de terminal PowerShell ou exécutez PowerShell sur votre appareil local.

   1. Si vous utilisez Cloud Shell, vérifiez que votre contexte Azure est défini sur l’abonnement que vous souhaitez utiliser.

   2. Si vous utilisez PowerShell localement, commencez par vous connecter avec Azure PowerShell, puis vérifiez que votre contexte Azure est défini sur l’abonnement que vous souhaitez utiliser.

2. Veillez à installer le kit de développement logiciel (SDK) Microsoft Graph PowerShell à partir de la section Prérequis, puis importez les modules Microsoft Graph Authentification et Applications et connectez-vous à Microsoft Graph avec les étendues Application.Read.All et Application-RemoteDesktopConfig.ReadWrite.All en exécutant les commandes suivantes :

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Obtenez l’ID d’objet de chaque principal de service et stockez-les dans des variables en exécutant les commandes suivantes :

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Définissez la propriété isRemoteDesktopProtocolEnabled sur true en exécutant les commandes suivantes. Ces commandes ne génèrent aucune sortie.

   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled
   }
   

5. Vérifiez que la propriété isRemoteDesktopProtocolEnabled est définie sur true en exécutant les commandes suivantes :

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   La sortie doit être :

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

Configurer les groupes d’appareils cibles

Après avoir activé l’authentification Microsoft Entra pour RDP, vous devez configurer les groupes d’appareils cibles. Par défaut, lors de l’activation de l’authentification unique, les utilisateurs sont invités à s’authentifier auprès de Microsoft Entra ID et à autoriser la connexion Bureau à distance lors du lancement d’une connexion à un nouvel hôte de session. Microsoft Entra mémorise jusqu’à 15 hôtes pendant 30 jours avant de vous présenter une nouvelle invite. Si une boîte de dialogue pour autoriser la connexion Bureau à distance s’affiche, sélectionnez Oui pour vous connecter.

Vous pouvez masquer cette boîte de dialogue et fournir l’authentification unique pour les connexions à tous vos hôtes de session en configurant une liste d’appareils approuvés. Vous devez créer un ou plusieurs groupes dans Microsoft Entra ID qui contient vos hôtes de session, puis définir une propriété sur les principaux de service pour les mêmes applications Bureau à distance Microsoft et Connexion au cloud Windows, telles qu’elles sont utilisées dans la section précédente, pour le groupe.

Conseil

Nous vous recommandons d’utiliser un groupe dynamique et de configurer des règles d’adhésion dynamiques pour inclure tous vos hôtes de session Azure Virtual Desktop. Vous pouvez utiliser les noms d’appareil dans ce groupe, mais si vous souhaitez davantage de sécurité, vous pouvez définir et utiliser des attributs d’extension d’appareil à l’aide de l’API Microsoft Graph. Bien que les groupes dynamiques se mettent normalement à jour dans les 5 à 10 minutes, cela peut prendre jusqu’à 24 heures pour les locataires volumineux.

Les groupes dynamiques nécessitent une licence Microsoft Entra ID P1 ou Intune pour l’Éducation. Pour plus d’informations, consultez gérer les Règles d’adhésion dynamiques pour les groupes.

Pour configurer le principal de service, utilisez le kit de développement logiciel (SDK) Microsoft Graph PowerShell pour créer un objet targetDeviceGroup sur le principal de service avec l’ID d’objet et le nom d’affichage du groupe dynamique. Vous pouvez également utiliser l’API Microsoft Graph avec un outil tel que l’Explorateur Graph.

1. Créez un groupe dynamique dans Microsoft Entra ID contenant les hôtes de session pour lesquels vous souhaitez masquer la boîte de dialogue. Notez l’ID d’objet du groupe pour l’étape suivante.

2. Dans la même session PowerShell, créez un objet targetDeviceGroup en exécutant les commandes suivantes, en remplaçant les valeurs <placeholders> par vos propres valeurs :

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Ajoutez le groupe à l’objet targetDeviceGroup en exécutant les commandes suivantes :

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   La sortie doit ressembler à l’exemple suivant :

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-session-hosts
   

   Répétez les étapes 2 et 3 pour chaque groupe (10 maximum) que vous souhaitez ajouter à l’objet targetDeviceGroup.

4. Si vous devez ensuite supprimer un groupe d’appareils de l’objet targetDeviceGroup, exécutez les commandes suivantes, en remplaçant les valeurs <placeholders> par vos propres valeurs :

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Créer un objet serveur Kerberos

Si votre hôte de session répond aux critères suivants, vous devez Créer un objet serveur Kerberos :

• Votre hôte de la session est joint à Microsoft Entra de manière hybride. Vous devez disposer d’un objet serveur Kerberos pour mener à bien l’authentification auprès d’un contrôleur de domaine.
• Votre hôte de session est joint à Microsoft Entra et votre environnement contient des contrôleurs de domaine Active Directory. Vous devez disposer d’un objet serveur Kerberos pour permettre aux utilisateurs d’accéder aux ressources locales, telles que les partages SMB, ainsi que de l’authentification intégrée à Windows pour les sites web.

Important

Si vous activez l’authentification unique sur des hôtes de session joints à Microsoft Entra de manière hybride avant de créer un objet serveur Kerberos, voici ce qui peut se produire :

• Vous obtenez un message d’erreur indiquant que la session en question n’existe pas.
• L’authentification unique est ignorée et une boîte de dialogue d’authentification standard s’affiche pour l’hôte de session.

Pour résoudre ces problèmes, créez l’objet serveur Kerberos, puis réessayez de vous connecter.

Passez en revue vos stratégies d’accès conditionnel.

Lorsque l’authentification unique est activée, une nouvelle application Microsoft Entra ID est introduite pour authentifier les utilisateurs auprès de l’hôte de la session. Si vous avez des stratégies d’accès conditionnel qui s’appliquent lorsque vous accédez à Azure Virtual Desktop, passez en revue les recommandations relatives à la configuration de l’authentification multifacteur pour vous assurer que les utilisateurs ont l’expérience souhaitée.

Configurer votre pool d’hôtes pour activer l’authentification unique

Pour activer l’authentification unique sur votre pool d’hôtes, vous devez configurer la propriété RDP suivante. Vous pouvez le faire en utilisant le Portail Azure ou PowerShell. Vous trouverez les étapes de configuration des propriétés RDP dans Personnaliser les propriétés de Bureau à distance (RDP) pour un pool d’hôtes.

• Dans le Portail Azure, définissez Authentification unique Microsoft Entra sur Les connexions utiliseront l’authentification Microsoft Entra pour fournir l’authentification unique.
• Pour PowerShell, définissez la propriété enablerdsaadauth sur 1.

Autoriser les comptes Administrateur de domaine Active Directory à se connecter

Pour autoriser les comptes Administrateur de domaine Active Directory à se connecter lorsque l’authentification unique est activée :

1. Sur un appareil que vous utilisez pour gérer votre domaine Active Directory, ouvrez la console Utilisateurs et ordinateurs Active Directory à l’aide d’un compte membre du groupe de sécurité Administrateurs du domaine.

2. Ouvrez l’unité d’organisation Contrôleurs de domaine pour votre domaine.

3. Recherchez l’objet AzureADKerberos, cliquez dessus avec le bouton droit, puis sélectionnez Propriétés.

4. Sélectionnez l’onglet Stratégie de réplication de mot de passe.

5. Modifiez la stratégie pour Admins du domaine en la faisant passer de Refuser à Autoriser.

6. Supprimez la stratégie pour Administrateurs. Le groupe Admins du domaine étant membre du groupe Administrateurs, le refus de la réplication pour les administrateurs vaut également pour les administrateurs du domaine.

7. Sélectionnez OK pour enregistrer vos modifications.

Étapes suivantes

• Consultez Authentification sans mot de passe dans la session pour découvrir comment activer l’authentification sans mot de passe.
• Pour plus d’informations sur Microsoft Entra Kerberos, consultez Présentation approfondie : fonctionnement de Microsoft Entra Kerberos
• Si vous accédez à Azure Virtual Desktop à partir de notre client Windows Desktop, consultez Se connecter avec le client Windows Desktop.
• Si vous accédez à Azure Virtual Desktop à partir de notre client web, consultez Se connecter avec le client web.
• Si vous rencontrez des problèmes, accédez à Résoudre les problèmes de connexion aux machines virtuelles jointes à Microsoft Entra.