Connectez-vous à une machine virtuelle Windows dans Azure à l’aide de Microsoft Entra ID et du contrôle d'accès basé sur les rôles Azure.

Les organisations peuvent améliorer la sécurité des virtual machines Windows Server dans Azure en intégrant l’authentification Microsoft Entra. Vous pouvez désormais utiliser Microsoft Entra ID en tant que plateforme d’authentification principale pour Remote Desktop Protocol (RDP) dans les versions prises en charge de Windows Server. Vous pouvez ensuite contrôler de manière centralisée et appliquer le contrôle d'accès Azure basé sur les rôles (RBAC) et les stratégies d'accès conditionnel qui autorisent ou refusent l'accès aux machines virtuelles.

Cet article vous montre comment créer et configurer une machine virtuelle Windows Server et vous connecter à l’aide de l’authentification basée sur Microsoft Entra ID.

Il existe de nombreux avantages en matière de sécurité liés à l’utilisation de l’authentification basée sur Microsoft Entra ID pour se connecter à Windows Server virtual machines dans Azure. Il s’agit notamment des éléments suivants :

• Utilisez l’authentification Microsoft Entra, y compris sans mot de passe pour vous connecter à Windows Server virtual machines. Réduisez la dépendance sur les comptes administrateur locaux.
• Utilisez la complexité du mot de passe et les stratégies de durée de vie des mots de passe que vous configurez pour Microsoft Entra ID afin d'aider à sécuriser les machines virtuelles sous Windows Server.
• Utilisez Azure access control en fonction du rôle :
  • Spécifiez qui peut se connecter en tant qu’utilisateur normal ou avec des privilèges d’administrateur.
  • Lorsque les utilisateurs rejoignent ou quittent votre équipe, vous pouvez mettre à jour la stratégie de contrôle d'accès basée sur des rôles Azure pour accorder l'accès le cas échéant.
  • Lorsque les employés quittent votre organisation et que leurs comptes d’utilisateur sont désactivés ou supprimés de Microsoft Entra ID, ils n’ont plus access à vos ressources.
• Utilisez la stratégie d'accès conditionnel « MFA résistant au phishing » et d'autres signaux tels que le risque de connexion de l'utilisateur.
• Utilisez Azure Policy pour déployer et auditer des stratégies afin d'exiger la connexion via Microsoft Entra pour les machines virtuelles Windows Server et de signaler l'utilisation de comptes locaux non approuvés sur les machines virtuelles.
• Utilisez Intune pour automatiser et étendre l’adhésion à Microsoft Entra avec l’inscription automatique de gestion des appareils mobiles (MDM) des VM Windows Azure qui font partie de vos déploiements d’infrastructure de bureau virtuel VDI. L'inscription MDM automatique nécessite des licences Microsoft Entra ID P1.

L'inscription MDM automatique nécessite des licences Microsoft Entra ID P1. Les machines virtuelles Windows Server ne prennent pas en charge l’inscription à GPM.

Importante

Après avoir activé cette fonctionnalité, votre machine virtuelle Azure sera jointe à Microsoft Entra. Vous ne pouvez pas les joindre à un autre domaine, comme on-premises Active Directory ou Microsoft Entra Domain Services. Si vous avez besoin de le faire, déconnectez l'appareil de Microsoft Entra en désinstallant l'extension. En outre, si vous déployez une image golden prise en charge, vous pouvez activer l’authentification Microsoft Entra ID en installant l’extension. L'accès conditionnel n'est pas pris en charge avec Windows Server avec l'extension de jointure Microsoft Entra dans les machines virtuelles Windows Azure.

Spécifications

Régions Azure prises en charge et distributions Windows

Cette fonctionnalité prend actuellement en charge les distributions Windows Server suivantes :

• Windows 11 24H2 ou version ultérieure installée.
• Windows Server 2025 ou version ultérieure installée avec Expérience de bureau.

Cette fonctionnalité est désormais disponible dans les clouds Azure suivants :

• Azure Global
• Azure Gouvernement
• Microsoft Azure géré par 21Vianet

Remarque

Les images renforcées CIS prennent en charge l’authentification Microsoft Entra ID pour les offres Microsoft Windows Enterprise et Microsoft Windows Server. Pour plus d’informations, consultez : Images renforcées CIS sur Microsoft Windows Enterprise.

Configuration requise pour le réseau

Pour permettre l’authentification Microsoft Entra aux machines virtuelles dans Azure, vous devez vous assurer que votre configuration réseau autorise les accès sortants vers les points de terminaison suivants sur le port TCP 443.

Azure Global :

• https://enterpriseregistration.windows.net : Inscription de l’appareil.

• http://169.254.169.254 : point de terminaison du service de métadonnées d’instance Azure.

• https://login.microsoftonline.com: flux d’authentification.

• https://pas.windows.net : flux de contrôle d'accès basés sur des rôles Azure.

Azure Government :

• https://enterpriseregistration.microsoftonline.us : Inscription de l’appareil.

• http://169.254.169.254 : point de terminaison du service de métadonnées d’instance Azure.

• https://login.microsoftonline.us: flux d’authentification.

• https://pasff.usgovcloudapi.net : flux de contrôle d'accès basés sur des rôles Azure.

Microsoft Azure géré par 21Vianet :

• https://enterpriseregistration.partner.microsoftonline.cn : Inscription de l’appareil.

• http://169.254.169.254 : point de terminaison du service de métadonnées d’instance Azure.

• https://login.chinacloudapi.cn: flux d’authentification.

• https://pas.chinacloudapi.cn : flux de contrôle d'accès basés sur des rôles Azure.

Exigences relatives à l’authentification

• type de compte Utilisateur : seuls les comptes d’utilisateur Microsoft Entra standard du même locataire que la machine virtuelle Azure Windows sont pris en charge. Les comptes invités (utilisateurs B2B) ne peuvent pas être utilisés pour l’authentification.

• Identités managées: Vous devez activer l'identité managée attribuée par le système sur votre machine virtuelle Azure avant d'installer l'extension de connexion à la machine virtuelle Microsoft Entra. Les identités managées sont stockées dans un seul locataire Microsoft Entra et ne prennent actuellement pas en charge les scénarios entre répertoires.

• Attribution de rôles : les utilisateurs doivent être affectés au rôle Connexion administrateur de machine virtuelle ou Connexion utilisateur de machine virtuelle pour se connecter à la machine virtuelle. Le fait d’avoir le rôle Propriétaire ou Contributeur seul n’accorde pas de privilèges de connexion.

• Connexion administrateur de l’ordinateur virtuel : Les utilisateurs auxquels ce rôle est attribué peuvent se connecter à une machine virtuelle Azure avec des privilèges d’administrateur.

• Connexion utilisateur de l’ordinateur virtuel : Les utilisateurs auxquels ce rôle est attribué peuvent se connecter à une machine virtuelle Azure avec des privilèges d’utilisateur réguliers.

• Méthodes d’authentification :

  • L’authentification sans mot de passe est recommandée et prise en charge via les informations d’identification Microsoft Entra
  • L’authentification basée sur mot de passe est prise en charge avec les attributions de rôles appropriées
  • Windows Hello for Business est pris en charge uniquement à l’aide du modèle d’approbation de certificat (et non du modèle d’approbation de clé)
  • Les comptes d’administrateur local créés manuellement en ajoutant des utilisateurs à des groupes locaux ne sont pas pris en charge

Activer la connexion à Microsoft Entra pour une machine virtuelle Windows dans Azure

Pour utiliser la connexion Microsoft Entra pour une machine virtuelle Windows, vous devez :

1. Activez l’extension de connexion Microsoft Entra pour l’appareil.
2. Configurez Azure attributions de rôles pour les utilisateurs.

Activer l’extension de connexion Microsoft Entra

• Azure machine virtuelle exécutant Windows

Vous devez activer l'identité managée attribuée par le système sur votre machine virtuelle Azure avant d'installer l'extension de machine virtuelle Microsoft Entra. Les identités managées sont stockées dans un seul locataire Microsoft Entra et ne prennent actuellement pas en charge les scénarios entre répertoires.

L’exemple suivant illustre les modèles Azure pour les extensions de machines virtuelles Azure.

{
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string"
    },
    "location": {
      "type": "string"
    }
  },
  "resources": [
    {
      "name": "[concat(parameters('vmName'),'/AADLogin')]",
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "location": "[parameters('location')]",
      "apiVersion": "2015-06-15",
      "properties": {
        "publisher": "Microsoft.Azure.ActiveDirectory",
        "type": "AADLoginForWindows",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion": true
      }
    }
  ]
}

Configurer les attributions de rôles

Pour attribuer des rôles d’utilisateur, vous devez disposer du rôle Virtual Machine Data Access Administrator ou d’un rôle qui inclut l’action Microsoft.Authorization/roleAssignments/write telle que le rôle Role Based Access Control Administrator. Toutefois, si vous utilisez un rôle différent de l’Administrateur d'accès aux données de machine virtuelle, nous vous recommandons d’ajouter une condition pour réduire l’autorisation de créer des attributions de rôle.

• Connexion administrateur de l’ordinateur virtuel : Les utilisateurs auxquels ce rôle est attribué peuvent se connecter à une machine virtuelle Azure avec des privilèges d’administrateur.
• Connexion utilisateur de l’ordinateur virtuel : Les utilisateurs auxquels ce rôle est attribué peuvent se connecter à une machine virtuelle Azure avec des privilèges d’utilisateur réguliers.

Remarque

Élever manuellement un utilisateur pour devenir administrateur local sur l’appareil en ajoutant l’utilisateur à un membre du groupe des administrateurs locaux ou en exécutant net localgroup administrators /add "AzureAD\UserUpn" la commande n’est pas pris en charge. Vous devez utiliser des rôles dans Azure pour autoriser la connexion.

Remarque

Un utilisateur Azure qui a le rôle Propriétaire ou Contributeur attribué n'a pas automatiquement les privilèges de connexion aux appareils. La raison est de fournir une séparation auditée entre l'ensemble des personnes qui contrôlent les machines virtuelles et l'ensemble des personnes qui peuvent accéder aux machines virtuelles.

La documentation suivante fournit des détails pas à pas pour ajouter des comptes d’utilisateur aux attributions de rôles dans Azure :

• Assigner des rôles Azure à l’aide du Azure portal
• Assigner des rôles Azure à l’aide du Azure CLI
• Assigner des rôles Azure à l’aide de Azure PowerShell

Se connecter à l’aide des informations d’identification Microsoft Entra sur une machine virtuelle Windows

Vous pouvez vous connecter via RDP en utilisant l’une des deux méthodes suivantes :

• Sans mot de passe, en utilisant une des informations d’identification Microsoft Entra prises en charge (recommandé)
• Mot de passe/sans mot de passe à l’aide de Windows Hello pour Entreprise déployé à l’aide du modèle de confiance basé sur les certificats

Connectez-vous à l’aide de l’authentification sans mot de passe avec Microsoft Entra ID

Pour utiliser l’authentification sans mot de passe pour vos machines virtuelles Windows Server dans Azure, l’hôte de session doit être en cours d’exécution :

• Windows 11 avec mises à jour cumulatives 2022-10 pour Windows 11 (KB5018418) ou version ultérieure installée.
• Windows 10, version 20H2 ou ultérieure, avec Mises à jour cumulatives d'octobre 2022 pour Windows 10 (KB5018410) ou une version ultérieure installée.
• Windows Server 2022 avec Mise à jour cumulative 10-2022 pour système d’exploitation serveur Microsoft (KB5018421) ou version ultérieure installée.
• Windows Server 2025 ou version ultérieure est installé.

Remarque

Lorsque vous utilisez le compte web pour vous connecter à l'ordinateur distant option, il n'est pas nécessaire que l'appareil local soit joint à un domaine ou à un Microsoft Entra ID.

Pour vous connecter à l’ordinateur distant :

• Lancez Remote Desktop Connexion à partir de Windows Search ou exécutez mstsc.exe.
• Sélectionnez l’option Utiliser un compte Web pour se connecter à l’ordinateur distant dans l’onglet Avancé. Cette option équivaut à la propriété RDP enablerdsaadauth. Pour plus d’informations, consultez Propriétés RDP prises en charge avec Remote Desktop Services.
• Indiquez le nom de l’ordinateur distant, puis sélectionnez Se connecter.

Importante

L’adresse IP ne peut pas être utilisée avec Utiliser un compte web pour se connecter à l’option d’ordinateur distant . Le nom doit correspondre au nom d’hôte de l’appareil distant dans Microsoft Entra ID et être adressable au réseau, en résolvant l’adresse IP de l’appareil distant.

• Lorsque vous êtes invité à saisir des informations d’identification, spécifiez votre nom d’utilisateur au format user@domain.com.
• Vous êtes ensuite invité à autoriser la connexion remote desktop lors de la connexion à un nouveau PC. Microsoft Entra mémorise jusqu’à 15 hôtes pendant 30 jours avant de vous présenter une nouvelle invite. Si vous voyez cette boîte de dialogue, sélectionnez Oui pour vous connecter.

Importante

Si votre organisation utilise Microsoft Entra Conditional Access, votre appareil doit satisfaire aux exigences du Access conditionnel pour autoriser la connexion à l’ordinateur distant. Les stratégies d'accès conditionnel peuvent être appliquées à l’application Microsoft Remote Desktop (a4a365df-50f1-4397-bc59-1a1564b8bb9c) pour un accès contrôlé.

Remarque

L’écran de verrouillage Windows de la session distante ne prend pas en charge les jetons d’authentification Microsoft Entra ni les méthodes d’authentification sans mot de passe, comme les clés FIDO. L’absence de prise en charge de ces méthodes d’authentification signifie que les utilisateurs ne peuvent pas déverrouiller leurs écrans dans une session à distance. Lorsque vous essayez de verrouiller une session distante, par le biais d’une action utilisateur ou d’une stratégie système, la session est déconnectée et le service envoie un message à l’utilisateur. La déconnexion de la session garantit également que lorsque la connexion est relancée après une période d’inactivité, Microsoft Entra ID réévalue les stratégies de Access conditionnelles applicables.

Connectez-vous à l’aide d’une authentification avec/sans mot de passe avec l'identifiant Microsoft Entra

L’authentification basée sur password et l’authentification Passwordless sont prises en charge pour se connecter à Windows virtual machines.

Importante

La connexion à distance aux VMs jointes à l'ID Microsoft Entra est autorisée uniquement à partir de PC Windows 10 ou ultérieur, qui sont soit Microsoft Entra enregistrés (build minimale requise est 20H1), soit Microsoft Entra joints, soit Microsoft Entra hybrides au même répertoire que la VM. En outre, pour RDP à l’aide des informations d’identification Microsoft Entra, les utilisateurs doivent appartenir à l’un des deux rôles Azure, connexion administrateur de machine virtuelle ou connexion utilisateur de machine virtuelle.

Si vous utilisez un PC Windows 10 ou version ultérieure inscrit par Microsoft Entra, vous devez entrer des informations d’identification au AzureAD\UPN format (par exemple, AzureAD\john@contoso.com). À ce stade, vous pouvez utiliser Azure Bastion pour vous connecter avec l’authentification Microsoft Entra via les Azure CLI et le client RDP natif mstsc.

Pour vous connecter à votre machine virtuelle Windows Server 2019 à l’aide de Microsoft Entra ID :

1. Accédez à la page vue d’ensemble de la machine virtuelle activée avec la connexion à Microsoft Entra.
2. Sélectionnez Se connecter pour ouvrir le volet Se connecter à la machine virtuelle.
3. Sélectionnez Télécharger le fichier RDP.
4. Sélectionnez Open pour ouvrir le client connexion Remote Desktop.
5. Sélectionnez Se connecter pour ouvrir la boîte de dialogue de connexion Windows.
6. Connectez-vous à l’aide de vos informations d’identification Microsoft Entra.

Vous êtes maintenant connecté à la machine virtuelle Windows Server 2019 Azure avec les autorisations de rôle attribuées, telles que l'utilisateur de machine virtuelle ou l'administrateur de machine virtuelle.

Remarque

Vous pouvez enregistrer le fichier .RDP localement sur votre ordinateur pour démarrer les futures connexions remote desktop à votre machine virtuelle, au lieu d’accéder à la page vue d’ensemble de la machine virtuelle dans le Azure portal et à l’aide de l’option de connexion.

Appliquer des stratégies d'accès conditionnel

Vous pouvez appliquer des stratégies d'Accès conditionnelles, telles que « MFA résistant au phishing » ou vérification du risque de connexion de l'utilisateur, avant que les utilisateurs ne puissent accéder aux machines virtuelles Windows Server dans Azure. Pour appliquer une stratégie d'accès conditionnel, vous devez sélectionner l'application Connexion à la machine virtuelle Windows de Microsoft Azure à partir de l'option d'attribution d'actions ou d'applications cloud.

Les stratégies de Access conditionnelles qui limitent la connexion à l'aide de règles de configuration d'appareil ne sont pas prises en charge lors de la connexion à partir d'un appareil Windows Server. Pour obtenir un guide sur la définition de stratégies de access conditionnelles, consultez : Tutorial : Sécuriser les événements de connexion utilisateur avec l’authentification multifacteur Microsoft Entra.

Remarque

Si vous exigez l'AMF en tant que contrôle, vous devez fournir une revendication MFA en tant que partie du client qui initialise la session RDP sur la machine virtuelle cible Windows Server. L'application Remote Desktop prend en charge les stratégies d'accès conditionnel, toutefois, si vous utilisez la connexion web, vous devez utiliser un code PIN professionnel Windows Hello for Business ou l'authentification biométrique. La prise en charge de l’authentification biométrique a été ajoutée au client RDP dans Windows 10 version 1809. L'utilisation de Windows Hello pour l'authentification Windows Hello pour Entreprise via Bureau à distance est disponible uniquement pour les déploiements utilisant un modèle d'approbation de certificat et n'est pas disponible pour un modèle d'approbation de clé.

Utiliser Azure Policy pour répondre aux normes et évaluer la conformité

Utilisez Azure Policy pour :

• Vérifiez que la connexion à Microsoft Entra est activée pour vos virtual machines Windows Server nouvelles et existantes.
• Évaluez la conformité de votre environnement à grande échelle sur un tableau de bord de conformité.

Cette fonctionnalité vous permet d’utiliser de nombreux niveaux de mise en application. Vous pouvez marquer des machines virtuelles Windows Server nouvelles et existantes au sein de votre environnement qui n'ont pas activé la connexion Microsoft Entra. Vous pouvez également utiliser Azure Policy pour déployer l’extension Microsoft Entra sur Windows virtual machines dans Azure.

En plus de ces fonctionnalités, vous pouvez utiliser Azure Policy pour détecter et marquer des ordinateurs Windows qui ont des comptes locaux non approuvés créés sur leurs appareils. Pour en savoir plus, consultez Azure Policy.

Résoudre les problèmes de déploiement

L’extension AADLoginForWindows doit être installée correctement pour que l’appareil termine le processus de jointure Microsoft Entra. Si l’extension ne parvient pas à être installée correctement, procédez comme suit :

1. Connectez-vous à l’appareil et examinez le fichier CommandExecution.log sous C :\WindowsAzure\Logs\Plugins\Microsoft. Azure. ActiveDirectory.AADLoginForWindows\1.0.0.1.

   Si l’extension redémarre après l’échec initial, le journal contenant l’erreur de déploiement est enregistré sous CommandExecution_AAAAMMJJHHMMSSSSS.log.

2. Ouvrez une fenêtre PowerShell sur l’appareil. Vérifiez que les requêtes suivantes sur le point de terminaison du service de métadonnées d’instance Azure s’exécutant sur l’hôte retournent la sortie attendue :

   Pour Azure virtual machines :

   Commande à exécuter	Sortie attendue
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01"	Informations correctes sur la machine virtuelle Azure
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01"	ID de locataire valide associé à l’abonnement Azure
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01"	Jeton de access valide émis par Microsoft Entra ID pour l’identité managée affectée à cette machine virtuelle

3. Vérifiez que les points de terminaison requis sont accessibles à partir de l’appareil via PowerShell :

   • curl.exe https://login.microsoftonline.com/ -D -
   • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
   • curl.exe https://enterpriseregistration.windows.net/ -D -
   • curl.exe https://device.login.microsoftonline.com/ -D -
   • curl.exe https://pas.windows.net/ -D -

   Remplacez <TenantID> par l’ID de locataire Microsoft Entra associé à l’abonnement Azure. login.microsoftonline.com/<TenantID>, enterpriseregistration.windows.net et pas.windows.net doit retourner le comportement attendu 404 Introuvable.

4. Affichez l’état de l’appareil en exécutant dsregcmd /status. L’objectif est que l’état de l’appareil s’affiche sous la forme AzureAdJoined : YES.

   L’activité de jointure Microsoft Entra est capturée dans l'Observateur d'événements sous le journal Inscription de l’appareil utilisateur\Admin à Observateur d'événements (local)\Applications et Services Logs\Microsoft\Windows\User Device Registration\Admin.

Si l’extension AADLoginForWindows échoue avec un code d’erreur, vous pouvez effectuer la procédure suivante.

Le nom de l’appareil existe déjà

Si un objet de périphérique ayant le même nom d'affichage que le nom d'hôte de la machine virtuelle Azure existe, le périphérique ne parvient pas à rejoindre Microsoft Entra en raison d'une erreur de duplication de nom d'hôte. Évitez la duplication en modifiant le nom d’hôte.

Code d’erreur de terminal 1007 et code de sortie -2145648574

Le code d’erreur terminale 1007 et le code de sortie -2145648574 se traduisent en DSREG_E_MSI_TENANTID_UNAVAILABLE. L'extension ne peut pas interroger les informations du tenant Microsoft Entra.

Connectez-vous à l’appareil en tant qu’administrateur local et vérifiez que le point de terminaison renvoie un ID de locataire valide à partir du Azure Instance Metadata Service. Exécutez la commande suivante à partir d’une fenêtre PowerShell avec élévation de privilèges sur l’appareil :

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

Ce problème peut également se produire lorsque l’administrateur tente d’installer l’extension AADLoginForWindows, mais que l’appareil n’a pas d’identité managée affectée par le système. Dans ce cas, accédez au volet Identité de l’appareil. Sous l’onglet Attribué par le système, vérifiez que le bouton bascule Statut est défini sur Activé.

Code de sortie -2145648607

Le code de sortie -2145648607 se traduit en DSREG_AUTOJOIN_DISC_FAILED. L'extension ne peut pas atteindre le point de terminaison https://enterpriseregistration.windows.net.

1. Vérifiez que les points de terminaison requis sont accessibles à partir de l’appareil via PowerShell :

   • curl https://login.microsoftonline.com/ -D -
   • curl https://login.microsoftonline.com/<TenantID>/ -D -
   • curl https://enterpriseregistration.windows.net/ -D -
   • curl https://device.login.microsoftonline.com/ -D -
   • curl https://pas.windows.net/ -D -

   Remplacez <TenantID> par l’ID de locataire Microsoft Entra de l’abonnement Azure. Si vous avez besoin de trouver l’ID de locataire, vous pouvez pointer sur le nom de votre compte ou sélectionner Entra IDOverview>Properties>Tenant ID>.

   Les tentatives de connexion à enterpriseregistration.windows.net peuvent retourner 404 Non trouvé, ce qui est le comportement attendu. Les tentatives de connexion à pas.windows.net peuvent nécessiter un code PIN ou retourner 404 Non Trouvé. (Vous n’avez pas besoin d’entrer le code confidentiel.) L’une ou l’autre de ces actions peut suffire pour vérifier que l’URL est accessible.

2. Si l’une des commandes échoue avec « Impossible de résoudre l’hôte <URL>», essayez d’exécuter cette commande pour déterminer quel serveur DNS Windows utilise :

   nslookup <URL>

   Remplacez <URL> par les noms de domaine complets utilisés par les points de terminaison, tels que login.microsoftonline.com.

3. Vérifiez si la spécification d’un serveur DNS public permet à la commande d’aboutir :

   nslookup <URL> 208.67.222.222

4. Si nécessaire, modifiez le serveur DNS affecté au groupe de sécurité réseau auquel appartient l’appareil.

Code de sortie 51

Le code de sortie 51 se traduit par « Cette extension n’est pas prise en charge sur ce système d’exploitation ».

L’extension AADLoginForWindows est destinée à être installée uniquement sur des machines virtuelles Azure avec Windows Server 2022 ou Windows 10 1809 ou version ultérieure. Vérifiez que votre version de Windows Server est prise en charge. Si elle n’est pas prise en charge, désinstallez l’extension.

Résoudre les problèmes de connexion

Utilisez les informations suivantes pour corriger les problèmes de connexion.

Vous pouvez afficher l’état de l’appareil et de l’authentification unique (SSO) en exécutant dsregcmd /status. L’objectif est que l’état de l’appareil s’affiche sous la forme AzureAdJoined : YES et que l’état SSO s’affiche sous la forme AzureAdPrt : YES.

La connexion RDP via les comptes Microsoft Entra est capturée dans Event Viewer sous les journaux d’événements Applications et services\Microsoft\Windows\AAD\Operational.

Rôle Azure non attribué

Vous pouvez recevoir le message d’erreur suivant lorsque vous lancez une connexion remote desktop à votre appareil : « Votre compte est configuré pour vous empêcher d’utiliser cet appareil. Pour plus d’informations, contactez votre administrateur système. »

Vérifiez les stratégies de contrôle d'accès Azure basées sur les rôles qui accordent à l’utilisateur le rôle Connexion administrateur de machine virtuelle ou Connexion utilisateur de machine virtuelle.

Si vous rencontrez des problèmes avec les attributions de rôles Azure, consultez Dépanner le contrôle d'accès basé sur les rôles d'Azure.

Modification non autorisée du client ou du mot de passe requise

Vous pouvez recevoir le message d'erreur suivant lorsque vous lancez une connexion remote desktop à votre appareil : « Vos informations d'identification ne fonctionnaient pas. »

Essayez ces solutions :

• Le PC Windows 10 ou version ultérieure que vous utilisez pour lancer la connexion Bureau à distance doit être joint à Microsoft Entra ou avoir une jonction hybride Microsoft Entra au même répertoire Microsoft Entra. Pour plus d’informations sur l’identité d’appareil, consultez l’article Qu’est-ce qu’une identité d’appareil ?.

  Windows 10 Build 20H1 a ajouté la prise en charge d’un PC inscrit par Microsoft Entra pour lancer une connexion RDP à votre machine virtuelle. Lorsque vous utilisez un appareil client inscrit par Microsoft Entra (et non joint à Microsoft Entra ou joint à Microsoft Entra hybride) en tant que client RDP pour lancer des connexions à votre machine virtuelle, vous devez entrer des informations d’identification au format AzureAD\UPN (par exemple). AzureAD\john@contoso.com

  Vérifiez que l’extension AADLoginForWindows n’a pas été désinstallée une fois la jonction Microsoft Entra terminée.

  En outre, assurez-vous que la stratégie de sécurité Sécurité réseau : Autoriser les demandes d’authentification PKU2U pour cet ordinateur pour utiliser les identités en ligne est activée sur le serveur et le client.

• Vérifiez que l’utilisateur n’a pas de mot de passe temporaire. Les mots de passe temporaires ne peuvent pas être utilisés pour se connecter à une connexion remote desktop.

  Connectez-vous avec le compte d’utilisateur dans un navigateur web. Par exemple, connectez-vous au Azure portal dans une fenêtre de navigation privée. Si vous êtes invité à changer le mot de passe, définissez un nouveau mot de passe. Ensuite, réessayez de vous connecter.

AADSTS293004 : l’identificateur de l’appareil cible dans la requête xxx n’a pas été trouvé dans le tenant xxx

Cause :

Le nom de l’ordinateur entré dans mstsc ne correspond à aucun des attributs « hostnames » pour l’appareil AADJ cible. Par exemple, le nom d’hôte de l’appareil AADJ est le nom court comme device_1, mais le nom d’ordinateur entré dans mstsc est le nom de domaine complet comme device_1.contoso.com.

Essayez ces solutions :

Il existe plusieurs façons de résoudre le problème :

1. Modifiez l’entrée HOSTS sur l’ordinateur client, ajoutez un enregistrement DNS de type A qui pointe vers le nom d’appareil approprié (confirmez à partir de l’enregistrement d’appareil AAD) à l’adresse IP de l’ordinateur cible. Utilisez ce nom d’appareil dans mstsc.
2. Vérifiez si l’ordinateur cible est géré et si le nom d’hôte est défini par Group Policy ou MDM via la valeur PrimaryDnsSuffix du client DNS ADMX_DnsClient CSP de stratégie | Microsoft Learn. Si cette valeur est définie et est incorrecte, elle doit être supprimée ou définie correctement.
3. Lorsque le client doit utiliser le nom de domaine complet (FQDN) pour se connecter, mais que le nom de l'appareil AAD est un nom court, connectez-vous à la machine cible avec les privilèges d'administrateur local et ajoutez un « suffixe DNS principal » pour leur suffixe de domaine. Instructions détaillées :

• Accédez à l’onglet Paramètres système avancés/Propriétés système ->** Nom de l’ordinateur** -> sélectionnez le bouton « Modifier » pour renommer l’ordinateur ,> sélectionnez « Plus... » sous le nom d’ordinateur existant :> tapez votre nom de domaine, puis sélectionnez OK -> Enregistrer et redémarrer.
• Une fois l’opération terminée, nous pouvons utiliser RDP avec le nom de domaine complet directement et n’avons pas besoin de modifier l’entrée HOSTS.

Remarque

Dans ce cas, lorsque le suffixe DNS principal est ajouté, la tâche planifiée Device-Sync est déclenchée lors de l’ajout du nom de domaine complet dans les attributs « hostnames » de l’appareil AAD. C’est pourquoi il résout le problème.

Méthode de connexion MFA requise

Le message d'erreur suivant peut s'afficher lorsque vous lancez une connexion remote desktop à votre appareil : « La méthode de connexion que vous essayez d'utiliser n'est pas autorisée. Essayez une autre méthode de connexion ou contactez votre administrateur système. »

Si vous configurez une stratégie d'accès conditionnel qui nécessite l'authentification multifacteur, vous devez vous assurer que l'appareil à l'origine de la connexion utilise une authentification forte, telle que Windows Hello.

Un autre message d’erreur lié à l’authentification multifacteur est celui décrit précédemment : « Vos informations d’identification ne fonctionnaient pas. »

Si vous configurez un paramètre Authentification multifacteur Microsoft Entra activée/appliquée par utilisateur hérité et que vous voyez l’erreur, vous pouvez résoudre le problème en supprimant le paramètre MFA par utilisateur. Pour plus d'informations, consultez l'article Activer l'authentification multifacteur Microsoft Entra par utilisateur pour sécuriser les événements de connexion.

Si Windows Hello pour Entreprise n'est pas une option, configurez une stratégie d’accès conditionnel qui exclut l'application de connexion Machine Virtuelle Windows Azure Microsoft. Pour en savoir plus sur Windows Hello entreprise, consultez Windows Hello vue d’ensemble de l’entreprise.

La prise en charge de l’authentification biométrique avec RDP a été ajoutée dans Windows 10 version 1809. L'utilisation de Windows Hello Entreprise pour l'authentification durant une session RDP est possible pour les déploiements qui utilisent un modèle d'approbation de certificat ou de clé.

Partagez vos commentaires sur cette fonctionnalité ou signalez des problèmes liés à son utilisation sur le forum de commentaires Microsoft Entra.

Application manquante

Si l'application de connexion des machines virtuelles Microsoft Azure Windows est manquante dans l'Accès conditionnel, assurez-vous que l'application se trouve dans le locataire :

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu'administrateur d'application Cloud, au minimum.
2. Accédez aux Entra ID>applications d'entreprise.
3. Supprimez les filtres pour afficher toutes les applications et recherchez Machine virtuelle. Si vous ne voyez pas Connexion de machine virtuelle Windows Microsoft Azure, c'est que le principal de service est manquant dans le client.

Une autre façon de la vérifier est via Graph PowerShell :

1. Installez le Kit de développement logiciel (SDK) Graph PowerShell.
2. Exécutez Connect-MgGraph -Scopes "ServicePrincipalEndpoint.ReadWrite.All", suivi de "Application.ReadWrite.All".
3. Connectez-vous avec un compte Global Administrator.
4. Consentez à l’invite d’autorisation.
5. Exécutez Get-MgServicePrincipal -ConsistencyLevel eventual -Search '"DisplayName:Azure Windows VM Sign-In"'.

   • Si cette commande ne génère aucune sortie et vous renvoie à l’invite PowerShell, vous pouvez créer le principal de service avec la commande PowerShell Graph suivante :

     New-MgServicePrincipal -AppId 372140e0-b3b7-4226-8ef9-d57986796201

   • La sortie réussie indique que l’application de connexion de machine virtuelle Microsoft Azure Windows et son ID ont été créés.

6. Déconnectez-vous de Graph PowerShell à l’aide de la Disconnect-MgGraph commande.

Certains locataires peuvent voir l'application nommée Connexion à une machine virtuelle Windows Azure au lieu de Connexion à une machine virtuelle Windows Microsoft Azure. L’application a le même ID d’application 372140e0-b3b7-4226-8ef9-d57986796201.

Impossible d'utiliser cette fonctionnalité lorsqu'une stratégie d'Accès Conditionnel nécessitant un appareil conforme est appliquée à la ressource de connexion de machine virtuelle Windows dans Azure et que vous vous connectez depuis un appareil sous Windows Server.

La configuration de la conformité des appareils Windows Server dans la stratégie d'accès conditionnel n'est pas prise en charge.

Étapes suivantes

Pour plus d’informations sur Microsoft Entra ID, consultez Qu’est-ce que Microsoft Entra ID ?.