Hôtes de session joints à Microsoft Entra dans Azure Virtual Desktop

  • Article

Cet article vous guide tout au long du processus de déploiement et d’accès aux machines virtuelles jointes à Microsoft Entra dans Azure Virtual Desktop. Les machines virtuelles jointes à Microsoft Entra suppriment la nécessité de devoir contrôler la connexion entre la machine virtuelle et un contrôleur de domaine Active Directory (DC) local ou virtualisé, ou de déployer Microsoft Entra Domain services. Dans certains cas, il évite de recourir à un contrôleur de domaine, ce qui simplifie le déploiement et la gestion de l’environnement. Ces machines virtuelles peuvent également être inscrites automatiquement dans Intune pour faciliter la gestion.

Limitations connues

Les limitations connues suivantes peuvent affecter l’accès à vos ressources locales ou jointes à un domaine Active Directory, et vous devez les prendre en compte pour décider si des machines virtuelles jointes à Microsoft Entra sont appropriées pour votre environnement.

  • Azure Virtual Desktop (classique) ne prend pas en charge les machines virtuelles jointes à Microsoft Entra.
  • Les machines virtuelles jointes à Microsoft Entra ne prennent pas actuellement en charge les identités externes, notamment Microsoft Entra Business-to-Business (B2B) et Microsoft Entra Business-to-Consumer (B2C).
  • Les machines virtuelles jointes à Microsoft Entra peuvent uniquement accéder aux Partages de fichiers Azure ou Partages Azure NetApp Files pour les utilisateurs hybrides à l’aide des profils utilisateur Kerberos Microsoft Entra pour FSLogix.
  • L’application Bureau à distance pour Windows ne prend pas en charge les machines virtuelles jointes à Microsoft Entra.

Déployer des machines virtuelles jointes à Microsoft Entra

Vous pouvez déployer des machines virtuelles jointes à Microsoft Entra directement à partir du portail Azure quand vous créez un pool d’hôtes ou développez un pool d’hôtes existant. Pour déployer une machine virtuelle jointe à Microsoft Entra, ouvrez l’onglet Machines virtuelles, indiquez si vous voulez joindre la machine virtuelle à Active Directory ou Microsoft Entra ID. En sélectionnant Microsoft Entra ID, vous pouvez inscrire les machines virtuelles à Intune automatiquement, ce qui vous permet de gérer facilement les hôtes de session. N'oubliez pas que l'option Microsoft Entra ID joint les machines virtuelles au même locataire Microsoft Entra que celui de l'abonnement dans lequel vous vous trouvez.

Remarque

  • Les pools hôtes doivent contenir uniquement des machines virtuelles du même type de jonction de domaine. Par exemple, les machines virtuelles jointes à Microsoft Entra ne doivent être qu'avec d'autres machines virtuelles jointes à Microsoft Entra, et vice versa.
  • Les machines virtuelles du pool d’hôtes doivent exécuter Windows 11 ou Windows 10 session unique ou multisession, version 2004 ou ultérieure, ou Windows Server 2022 ou Windows Server 2019.

Affecter l’accès utilisateur aux pools d’ordinateurs hôtes

Une fois que vous avez créé votre pool d’hôtes, vous devez attribuer aux utilisateurs l’accès à leurs ressources. Pour accorder l’accès aux ressources, ajoutez chaque utilisateur au groupe d’applications. Suivez les instructions dans Gérer des groupes d’applications pour attribuer l’accès utilisateur aux applications et aux appareil de bureau. Nous vous recommandons d’utiliser des groupes d’utilisateurs plutôt que des utilisateurs individuels dans la mesure du possible.

Pour les machines virtuelles jointes à Microsoft Entra, vous devez effectuer deux tâches supplémentaires en plus de la configuration requise pour les déploiements basés sur Active Directory Domain Services ou Microsoft Entra Domain Services :

  • Accordez aux utilisateurs le rôle Connexion de l’utilisateur à la machine virtuelle pour qu’ils puissent se connecter aux machines virtuelles.
  • Affectez aux administrateurs qui ont besoin de privilèges d’administrateur local le rôle Connexion administrateur à l’ordinateur virtuel .

Pour accorder aux utilisateurs l’accès à des machines virtuelles jointes à Microsoft Entra, vous devez configurer des attributions de rôles pour la machine virtuelle. Vous pouvez affecter la connexion utilisateur à la machine virtuelle ou la connexion administrateur à la machine virtuelle sur les machines virtuelles, le groupe de ressources contenant les machines virtuelles ou l’abonnement. Nous vous recommandons d’attribuer le rôle de connexion de l’utilisateur de la machine virtuelle au groupe d’utilisateurs que vous avez utilisé pour le groupe d’applications au niveau du groupe de ressources afin qu’il s’applique à toutes les machines virtuelles du pool d’hôtes.

Accéder à des machines virtuelles jointes à Microsoft Entra

Cette section explique comment accéder à des machines virtuelles jointes à Microsoft Entra à partir de différents clients Azure Virtual Desktop.

Authentification unique

Pour une expérience optimale sur toutes les plateformes, vous devez activer une authentification unique en utilisant l'authentification Microsoft Entra lors de l'accès aux machines virtuelles jointes à Microsoft Entra. Suivez les étapes mentionnées dans Configurer l’authentification unique pour offrir une expérience de connexion sans interruption.

Se connecter à l'aide de protocoles d'authentification hérités

Si vous préférez ne pas activer l'authentification unique, vous pouvez utiliser la configuration suivante pour permettre l'accès aux machines virtuelles jointes à Microsoft Entra.

Se connecter à l'aide du client Windows Desktop

La configuration par défaut prend en charge les connexions à partir de Windows 11 ou Windows 10 à l’aide du client Windows Desktop. Vous pouvez utiliser vos informations d’identification, votre carte à puce, l’approbation de certificat Windows Hello Entreprise ou l’approbation de clé Windows Hello Entreprise avec certificats pour vous connecter à l’hôte de session. Toutefois, pour accéder à l’hôte de session, votre ordinateur local doit remplir l’une des conditions suivantes :

  • Le PC local est Microsoft Entra joint au même locataire Microsoft Entra que l’hôte de session
  • Le PC local est Microsoft Entra hybride joint au même locataire Microsoft Entra que l’hôte de session
  • Le PC local exécute Windows 11 ou Windows 10 version 2004 ou ultérieure, et également inscrit à Microsoft Entra sur le même client Microsoft Entra que l’hôte de la session

Si votre PC local ne répond pas à l’une de ces conditions, ajoutez targetisaadjoined:i:1 en tant que propriété RDP personnalisée au pool d’hôtes. Ces connexions sont limitées à la saisie des informations d’identification de nom d’utilisateur et de mot de passe lors de la connexion à l’hôte de session.

Se connecter à l'aide des autres clients

Pour accéder aux machines virtuelles jointes à Microsoft Entra à l’aide des clients web, Android, macOS et iOS, vous devez ajouter targetisaadjoined:i:1 comme propriété RDP personnalisée au pool hôte. Ces connexions sont limitées à la saisie des informations d’identification de nom d’utilisateur et de mot de passe lors de la connexion à l’hôte de session.

Application de l’authentification multifacteur Microsoft Entra pour les machines virtuelles de session jointes à Microsoft Entra

Vous pouvez utiliser l’authentification multifacteur Microsoft Entra avec des machines virtuelles jointes à Microsoft Entra. Suivez les étapes pour Appliquer l’authentification multifacteur Microsoft Entra pour Azure Virtual Desktop à l’aide de l’accès conditionnel et notez les étapes supplémentaires pour les machines virtuelles hôtes de session jointes à Microsoft Entra.

Si vous utilisez l’authentification multifacteur Microsoft Entra et vous ne souhaitez pas limiter la connexion à des méthodes d’authentification forte comme Windows Hello Entreprise, vous devez exclure l’application de connexion de machine virtuelle Azure Windows de votre stratégie d’accès conditionnel.

Profils utilisateur

Vous pouvez utiliser des conteneurs de profil FSLogix avec des machines virtuelles jointes à Microsoft Entra quand vous les stockez sur Azure Files ou Azure NetApp Files, tout en utilisant des comptes d’utilisateur hybrides. Pour plus d’informations, consultez Créer un conteneur de profil avec Azure Files and Microsoft Entra ID.

Accès aux ressources locales

Même si vous n’avez pas besoin d’une instance Active Directory pour déployer ou accéder à vos machines virtuelles jointes Microsoft Entra, une instance Active Directory et une ligne de vue sont nécessaires pour accéder aux ressources locales à partir de ces machines virtuelles. Pour en savoir plus sur l’accès aux ressources locales, consultez Fonctionnement de l’authentification unique et des ressources locales sur des appareils Microsoft Entra joints.

Étapes suivantes

Maintenant que vous avez déployé quelques machines virtuelles jointes à Microsoft Entra, nous vous recommandons d’activer l’authentification unique avant de vous connecter à un client Azure Virtual Desktop pris en charge pour le tester dans le cadre d’une session utilisateur. Pour en savoir plus, consultez les articles suivants :