Identités et méthodes d’authentification prises en charge
Dans cet article, nous vous fournirons un aperçu des types d’identités et de méthodes d'authentification que vous pouvez utiliser dans Azure Virtual Desktop.
Identities
Azure Virtual Desktop prend en charge différents types d’identités, selon la configuration que vous choisissez. Cette section décrit les identités que vous pouvez utiliser pour chaque configuration.
Important
Azure Virtual Desktop ne prend pas en charge la connexion à Microsoft Entra ID en utilisant un compte d’utilisateur, puis la connexion à Windows avec un compte d’utilisateur distinct. La connexion simultanée avec deux comptes différents peut entraîner une reconnexion des utilisateurs à l’hôte de session incorrect, des informations incorrectes ou manquantes dans le Portail Azure et des messages d’erreur qui s’affichent lors de l’utilisation de l’attachement d’application ou de l’attachement d’application MSIX.
Identité locale
Étant donné que les utilisateurs doivent pouvoir être découverts via Microsoft Entra ID pour accéder à Azure Virtual Desktop, les identités utilisateurs qui existent uniquement dans Active Directory Domain Services (AD DS) ne sont pas prises en charge. Cela comprend les déploiements Active Directory autonomes avec les services de fédération Active Directory (AD FS).
Identité hybride
Azure Virtual Desktop prend en charge les identités hybrides par le biais de Microsoft Entra ID, notamment celles fédérées à l’aide des services d’AD FS. Vous pouvez gérer ces identités utilisateurs dans AD DS et les synchroniser avec Microsoft Entra ID à l’aide de Microsoft Entra Connect. Vous pouvez également utiliser Microsoft Entra ID pour gérer ces identités et les synchroniser avec Microsoft Entra Domain Services.
Lors de l’accès à Azure Virtual Desktop à l’aide d’identités hybrides, parfois, le nom d’utilisateur principal (UPN) ou l’identificateur de sécurité (SID) de l’utilisateur dans Active Directory (AD) et Microsoft Entra ID ne correspondent pas. Par exemple, le compte AD user@contoso.local peut correspondre à user@contoso.com dans Microsoft Entra ID. Azure Virtual Desktop ne prend en charge ce type de configuration que si l’UPN ou le SID de vos comptes AD et Microsoft Entra ID correspondent. SID fait référence à la propriété d’objet utilisateur « ObjectSID » dans AD et « OnPremisesSecurityIdentifier » dans Microsoft Entra ID.
Identité cloud uniquement
Azure Virtual Desktop prend en charge les identités cloud uniquement lors de l’utilisation de machines virtuelles jointes à Microsoft Entra. Ces utilisateurs sont créés et gérés directement dans Microsoft Entra ID.
Remarque
Vous pouvez aussi attribuer des identités hybrides à des groupes d’applications Azure Virtual Desktop qui hébergent des hôtes de session joints à Microsoft Entra.
Identité fédérée
Si vous utilisez un fournisseur d’identité (IdP) tiers, autre que Microsoft Entra ID ou Active Directory Domain Services, pour gérer vos comptes d’utilisateur, vous devez vérifier les points suivants :
- Votre Idp estfédéré avec Microsoft Entra ID.
- Vos hôtes de la session doivent être joints à Microsoft Entra ou joints à Microsoft Entra de manière hybride.
- Vous activez l’authentification Microsoft Entra sur l’hôte de la session.
Identité externe
Actuellement, Azure Virtual Desktop ne prend pas en charge les identités externes.
Méthodes d’authentification
Quand vous accédez aux ressources Azure Virtual Desktop, il existe trois phases d’authentification distinctes :
- Authentification auprès du service cloud : l’authentification auprès du service Azure Virtual Desktop, qui comprend l’abonnement aux ressources et l’authentification auprès de la passerelle, s’effectue avec Microsoft Entra ID.
- Authentification auprès de la session à distance : authentification auprès de la machine virtuelle distante. Il existe plusieurs façons de s’authentifier auprès de la session à distance, par exemple via l’authentification SSO (authentification unique), qui est recommandée.
- Authentification dans la session : authentification auprès des applications et des sites web au sein de la session à distance.
Pour obtenir la liste des informations d’identification disponibles sur les différents clients pour chacune des phases d’authentification, comparez les clients entre les plateformes.
Important
Pour que l’authentification fonctionne correctement, votre machine locale doit également pouvoir accéder aux URL requises pour les clients Bureau à distance.
Les sections suivantes fournissent plus d’informations sur ces phases d’authentification.
Authentification auprès du service cloud
Pour accéder aux ressources Azure Virtual Desktop, vous devez d’abord vous authentifier auprès du service en vous connectant avec un compte Microsoft Entra ID. L’authentification a lieu chaque fois que vous vous abonnez pour récupérer vos ressources, que vous vous connectez à la passerelle au moment du lancement d’une connexion ou que vous envoyez des informations de diagnostic au service. La ressource Microsoft Entra ID utilisée pour cette authentification est Azure Virtual Desktop (ID d’application 9cdead84-a844-4324-93f2-b2e6bb768d07).
Authentification multifacteur
Suivez les instructions dans Appliquer l’authentification multifacteur Microsoft Entra pour Azure Virtual Desktop en utilisant l’accès conditionnel afin d’appliquer l’authentification multifacteur Microsoft Entra pour votre déploiement. Cet article vous indique également comment configurer la fréquence à laquelle vos utilisateurs sont invités à entrer leurs informations d’identification. Lors du déploiement de machines virtuelles jointes à Microsoft Entra, notez les étapes supplémentaires pour les machines virtuelles hôtes de la session jointes à Microsoft Entra.
Authentification sans mot de passe
Vous pouvez utiliser n’importe quel type d’authentification pris en charge par Microsoft Entra ID, comme Windows Hello Entreprise et d’autres options d’authentification sans mot de passe (par exemple, des clés FIDO), pour vous authentifier auprès du service.
Authentification par carte à puce
Pour utiliser une carte à puce afin de vous authentifier auprès de Microsoft Entra ID, vous devez d’abord configurer l’authentification par certificat Microsoft Entra ou configurer AD FS pour l’authentification par certificat utilisateur.
Fournisseurs d'identité tiers
Vous pouvez utiliser des fournisseurs d’identité tiers à condition qu’ils soient fédérés à Microsoft Entra ID.
Authentification auprès de la session à distance
Si vous n’avez pas encore activé l’authentification unique ou enregistré vos informations d’identification localement, vous devez également vous authentifier auprès de l’hôte de session lors du lancement d’une connexion.
Authentification unique (SSO)
L’authentification SSO permet à la connexion d’ignorer la demande d’informations d’identification de l’hôte de session, et de connecter automatiquement l’utilisateur à Windows via l’authentification Microsoft Entra. Pour les hôtes de la session joints à Microsoft Entra ou joints à Microsoft Entra de manière hybride, il est recommandé d’activer l’authentification unique à l’aide de l’authentification Microsoft Entra. L’authentification Microsoft Entra offre d’autres avantages, notamment l’authentification sans mot de passe et la prise en charge des fournisseurs d’identité tiers.
Azure Virtual Desktop prend également en charge l’authentification unique à l’aide des services de fédération Active Directory (AD FS) pour les clients Windows Desktop et web.
Sans l’authentification SSO, le client demande aux utilisateurs leurs informations d’identification d’hôte de session pour chaque connexion. La seule façon de ne pas recevoir une invite consiste à enregistrer les informations d’identification dans le client. Nous vous recommandons d’enregistrer les informations d’identification uniquement sur des appareils sécurisés pour empêcher d’autres utilisateurs d’accéder à vos ressources.
Carte à puce et Windows Hello Entreprise
Azure Virtual Desktop prend en charge NTLM (NT LAN Manager) et Kerberos pour l’authentification de l’hôte de session. Toutefois, la carte à puce et les Windows Hello Entreprise peuvent uniquement utiliser Kerberos pour se connecter. Pour utiliser Kerberos, le client doit obtenir des tickets de sécurité Kerberos auprès d’un service de centre de distribution de clés (KDC, Key Distribution Center) fonctionnant sur un contrôleur de domaine. Pour obtenir des tickets, le client a besoin d’une ligne de vue réseau directe sur le contrôleur de domaine. Vous pouvez obtenir une ligne de vue en vous connectant directement sur votre réseau d’entreprise, à l’aide d’une connexion VPN ou en configurant un serveur proxy KDC.
Authentification dans la session
Une fois que vous êtes connecté à votre RemoteApp ou à votre bureau, vous pouvez être invité à vous authentifier dans la session. Cette section explique comment utiliser des informations d’identification autres que le nom d’utilisateur et le mot de passe dans ce scénario.
Authentification sans mot de passe dans la session
Azure Virtual Desktop prend en charge l’authentification sans mot de passe dans la session en utilisant Windows Hello Entreprise ou des appareils de sécurité comme des clés FIDO lors de l’utilisation du client Windows Desktop. L’authentification sans mot de passe est activée automatiquement quand l’hôte de session et le PC local utilisent les systèmes d’exploitation suivants :
- Windows 11 monosession ou multisession avec la Mise à jour cumulative 2022-10 pour Windows 11 (KB5018418) (ou versions ultérieures) installée.
- Windows 10 monosession ou multisession avec la Mise à jour cumulative 2022-10 pour Windows 10 (KB5018410) version 20H2 (ou versions ultérieures) installée.
- Windows Server 2022 avec la Mise à jour cumulative 2022-10 pour système d’exploitation serveur Microsoft (KB5018421) (ou version ultérieure) installée.
Pour désactiver l’authentification sans mot de passe sur votre pool d’hôtes, vous devez personnaliser une propriété RDP. Vous pouvez trouver la propriété Redirection WebAuthn sous l’onglet Redirection d’appareil dans le portail Azure ou définir la propriété redirectwebauthn sur 0 en utilisant PowerShell.
Lorsque cette option est activée, toutes les requêtes WebAuthn de la session sont redirigées vers le PC local. Vous pouvez utiliser Windows Hello Entreprise ou des appareils de sécurité attachés localement pour mener à bien le processus d’authentification.
Pour accéder aux ressources Microsoft Entra avec Windows Hello Entreprise ou des appareils de sécurité, vous devez activer la clé de sécurité FIDO2 comme méthode d’authentification pour vos utilisateurs. Pour activer cette méthode, suivez les étapes fournies dans Activer la méthode de clé de sécurité FIDO2.
Authentification par carte à puce dans la session
Pour utiliser une carte à puce dans votre session, vérifiez que vous avez installé les pilotes de la carte à puce sur l’hôte de session et activé la redirection de carte à puce. Examinez le graphique de comparaison client pour vous assurer que votre client prend en charge la redirection de carte à puce.
Étapes suivantes
- Vous êtes curieux de connaître d’autres moyens de sécuriser votre déploiement ? Consultez les meilleures pratiques relatives à la sécurité.
- Vous rencontrez des problèmes pour vous connecter à des machines virtuelles jointes à Microsoft Entra ? Consultez Résoudre les problèmes de connexion aux machines virtuelles jointes à Microsoft Entra.
- Vous rencontrez des problèmes avec l’authentification sans mot de passe dans la session ? Consultez Résoudre les problèmes de redirection WebAuthn.
- Vous souhaitez utiliser des cartes à puce en dehors de votre réseau d’entreprise ? Consultez comment configurer un serveur proxy KDC.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour