Configurer le comportement du verrouillage de session pour Azure Virtual Desktop

Vous pouvez choisir de déconnecter la session ou d’afficher l’écran de verrouillage à distance lorsqu’une session à distance est verrouillée, soit par l’utilisateur, soit par la stratégie. Quand le comportement du verrouillage de session est défini pour la déconnexion, une boîte de dialogue s’affiche afin de faire savoir aux utilisateurs qu’ils ont été déconnectés. Les utilisateurs peuvent choisir l’option Se reconnecter dans la boîte de dialogue une fois qu’ils sont prêts à se reconnecter.

Quand elle est utilisée avec l’authentification unique à l’aide de Microsoft Entra ID, la déconnexion de la session offre les avantages suivants :

• Expérience de connexion cohérente via Microsoft Entra ID, le cas échéant.

• Expérience d’authentification unique et reconnexion sans invite d’authentification, quand les stratégies d’accès conditionnel l’autorisent.

• Prend en charge l’authentification sans mot de passe, par exemple avec les clés d’accès et les appareils FIDO2, contrairement à l’écran de verrouillage à distance. La déconnexion de la session est nécessaire pour garantir la prise en charge complète de l’authentification sans mot de passe.

• Les stratégies d’accès conditionnel, notamment l’authentification multifacteur et la fréquence de connexion, sont réévaluées quand l’utilisateur se reconnecte à sa session.

• Vous pouvez imposer une authentification multifacteur pour le retour à la session, et empêcher les utilisateurs d’effectuer le déverrouillage avec un simple nom d’utilisateur et un mot de passe.

Pour les scénarios qui reposent sur l’authentification héritée, notamment les protocoles d’authentification de base NTLM, CredSSP, RDSTLS, TLS et RDP, les utilisateurs sont invités à entrer de nouveau leurs informations d’identification lorsqu’ils se reconnectent ou démarrent une nouvelle connexion.

Le comportement du verrouillage de session par défaut est différent selon que vous utilisez l’authentification unique avec Microsoft Entra ID ou l’authentification héritée. Le tableau suivant présente la configuration par défaut de chaque scénario :

Scénario	Configuration par défaut
Authentification unique à l’aide de Microsoft Entra ID	Déconnecter la session
Protocoles d’authentification hérités	Afficher l’écran de verrouillage à distance

Cet article vous montre comment changer le comportement du verrouillage de session par rapport à sa configuration par défaut à l’aide de Microsoft Intune ou de la stratégie de groupe.

Prérequis

Sélectionnez l’onglet approprié pour votre méthode de configuration.

Intune

Pour que vous puissiez configurer le comportement du verrouillage de session, les prérequis suivants doivent être remplis :

• Un pool d’hôtes existant avec des hôtes de session.

• Vos hôtes de session doivent exécuter l’un des systèmes d’exploitation suivants avec la mise à jour cumulative appropriée installée :

  • Windows 11 monosession ou multisession avec les mises à jour cumulatives 2024-05 pour Windows 11 (KB5037770) ou versions ultérieures installées.
  • Windows 10 monosession ou multisession, versions 21H2 ou ultérieures, avec les mises à jour cumulatives 2024-06 pour Windows 10 (KB5039211) ou versions ultérieures installées.
  • Windows Server 2022 avec la mise à jour cumulative 2024-05 pour le système d’exploitation serveur Microsoft (KB5037782) ou version ultérieure installée.

• Pour configurer Intune, vous avez besoin des éléments suivants :

  • Un compte Microsoft Entra ID auquel est attribué le rôle RBAC intégré Gestionnaire de stratégies et de profils.
  • un groupe contenant les appareils que vous souhaitez configurer.

Stratégie de groupe

Pour que vous puissiez configurer le comportement du verrouillage de session, les prérequis suivants doivent être remplis :

• Un pool d’hôtes existant avec des hôtes de session.

• Vos hôtes de session doivent exécuter l’un des systèmes d’exploitation suivants avec la mise à jour cumulative appropriée installée :

  • Windows 11 monosession ou multisession avec les mises à jour cumulatives 2024-05 pour Windows 11 (KB5037770) ou versions ultérieures installées.
  • Windows 10 monosession ou multisession, versions 21H2 ou ultérieures, avec les mises à jour cumulatives 2024-06 pour Windows 10 (KB5039211) ou versions ultérieures installées.
  • Windows Server 2022 avec la mise à jour cumulative 2024-05 pour le système d’exploitation serveur Microsoft (KB5037782) ou version ultérieure installée.

• Pour configurer la stratégie de groupe, vous avez besoin des éléments suivants :

  • Un compte de domaine autorisé à créer ou modifier des objets de stratégie de groupe.
  • Un groupe de sécurité ou unité d’organisation contenant les appareils que vous souhaitez configurer.

Configurer le comportement du verrouillage de session

Sélectionnez l’onglet approprié pour votre méthode de configuration.

Intune

Pour configurer l’expérience de verrouillage de session à l’aide d’Intune :

1. Connectez-vous au centre d’administration Microsoft Intune.

2. Créez ou modifiez un profil de configuration pour les appareils Windows 10 et de version ultérieure, avec le type de profil catalogue Paramètres.

3. Dans le sélecteur de paramètres, accédez à Modèles d’administration>Composants Windows>Services Bureau à distance>Hôte de session Bureau à distance>Sécurité.

   

4. Cochez la case de l’un des paramètres suivants, en fonction de vos besoins :

   • Pour l’authentification unique à l’aide de Microsoft Entra ID :

     1. Cochez la case Déconnecter la session à distance au moment du verrouillage pour l’authentification sur la plateforme d’identités Microsoft, puis fermez le sélecteur de paramètres.

     2. Développez la catégorie Modèles d’administration, puis basculez le commutateur Déconnecter la session à distance au moment du verrouillage pour l’authentification sur la plateforme d’identités Microsoft sur Activé ou Désactivé :

        • Pour déconnecter la session à distance quand elle se verrouille, basculez le commutateur sur Activé, puis sélectionnez OK.

        • Pour afficher l’écran de verrouillage à distance quand la session se verrouille, basculez le commutateur sur Désactivé, puis sélectionnez OK.

   • Pour les protocoles d’authentification hérités :

     1. Cochez la case Déconnecter la session à distance au moment du verrouillage pour l’authentification héritée, puis fermez le sélecteur de paramètres.

     2. Développez la catégorie Modèles d’administration, puis basculez le commutateur Déconnecter la session à distance au moment du verrouillage pour l’authentification héritée sur Activé ou Désactivé :

        • Pour déconnecter la session à distance quand elle se verrouille, basculez le commutateur sur Activé, puis sélectionnez OK.

        • Pour afficher l’écran de verrouillage à distance quand la session se verrouille, basculez le commutateur sur Désactivé, puis sélectionnez OK.

5. Cliquez sur Suivant.

6. Facultatif : sous l’onglet Étiquettes d’étendue, sélectionnez une étiquette d’étendue pour filtrer le profil. Pour plus d’informations sur les étiquettes d’étendue, consultez Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les étiquettes d’étendue pour l’informatique distribuée.

7. Sous l’onglet Affectations, sélectionnez le groupe contenant les ordinateurs qui fournissent une session à distance et que vous voulez configurer, puis sélectionnez Suivant.

8. Sous l’onglet Vérifier + créer, passez en revue les paramètres, puis sélectionnez Créer.

9. Une fois la stratégie appliquée aux hôtes de session, redémarrez-les pour que les paramètres prennent effet.

10. Pour tester la configuration, connectez-vous à une session à distance, puis verrouillez celle-ci. Vérifiez que la session se déconnecte, ou que l’écran de verrouillage à distance s’affiche, selon votre configuration.

Stratégie de groupe

Pour configurer l’expérience de verrouillage de session à l’aide de la stratégie de groupe, suivez ces étapes.

1. Les paramètres de stratégie de groupe sont uniquement disponibles sur les systèmes d’exploitation listés dans les Prérequis. Pour les rendre disponibles sur d’autres versions de Windows Server, vous devez copier les fichiers de modèles d’administration C:\Windows\PolicyDefinitions\terminalserver.admx et C:\Windows\PolicyDefinitions\en-US\terminalserver.adml depuis un hôte de session vers le même emplacement sur vos contrôleurs de domaine ou le Magasin central de stratégie de groupe, en fonction de votre environnement. Dans le chemin d’accès au fichier pour terminalserver.adml, remplacez en-US par le code de langue approprié si vous utilisez une autre langue.

2. Ouvrez la console de Gestion des stratégies de groupe sur l’appareil qui vous permet de gérer le domaine Active Directory.

3. Créez ou modifiez une stratégie qui cible les ordinateurs fournissant une session à distance que vous souhaitez configurer.

4. Accédez à Configuration ordinateur>Stratégies>Modèles d’administration>Composants Windows>Services Bureau à distance>Hôte de session Bureau à distance>Sécurité.

   

5. Double-cliquez sur l’un des paramètres de stratégie suivants, en fonction de vos besoins :

   • Pour l’authentification unique à l’aide de Microsoft Entra ID :

     1. Double-cliquez sur Déconnecter la session à distance au moment du verrouillage pour l’authentification sur la plateforme d’identités Microsoft afin de l’ouvrir.

        • Pour déconnecter la session à distance quand elle se verrouille, sélectionnez Activé ou Non configuré.

        • Pour afficher l’écran de verrouillage à distance quand la session se verrouille, sélectionnez Désactivé.

     2. Cliquez sur OK.

   • Pour les protocoles d’authentification hérités :

     1. Double-cliquez sur Déconnecter la session à distance au moment du verrouillage pour l’authentification héritée afin de l’ouvrir.

        • Pour déconnecter la session à distance quand elle se verrouille, sélectionnez Activé.

        • Pour afficher l’écran de verrouillage à distance quand la session se verrouille, sélectionnez Désactivé ou Non configuré.

     2. Cliquez sur OK.

6. Vérifiez que la stratégie est appliquée aux hôtes de session, puis redémarrez-les pour que les paramètres prennent effet.

7. Pour tester la configuration, connectez-vous à une session à distance, puis verrouillez celle-ci. Vérifiez que la session se déconnecte, ou que l’écran de verrouillage à distance s’affiche, selon votre configuration.

Contenu connexe

• Découvrez comment Configurer l’authentification unique pour Azure Virtual Desktop à l’aide de Microsoft Entra ID.