Sélection d’une stratégie d’authentification pour Azure Virtual Desktop
Pour les utilisateurs se connectant à une session à distance, il existe trois points d’authentification distincts :
- Authentification du service auprès d’Azure Virtual Desktop : récupération d’une liste de ressources auxquelles l’utilisateur a accès lors de l’accès au client. L’expérience dépend de la configuration du compte Microsoft Entra. Par exemple, si l’authentification multifacteur est activée pour l’utilisateur, celui-ci est invité à entrer son compte d’utilisateur et une deuxième forme d’authentification, de la même façon que lors de l’accès à d’autres services.
- Hôte de session : lors du démarrage d’une session à distance. Un nom d’utilisateur et un mot de passe sont requis pour un hôte de session, mais ceci est transparent pour l’utilisateur si l’authentification unique est activée.
- Authentification basée sur la session : connexion à d’autres ressources au sein d’une session à distance.
Les sections suivantes expliquent en détail chacun de ces points d’authentification.
Authentification du service
Pour accéder à des ressources Azure Virtual Desktop, vous devez d’abord vous authentifier auprès du service en vous connectant à un compte Microsoft Entra. L’authentification se produit chaque fois que vous vous abonnez à un espace de travail pour récupérer vos ressources et que vous vous connectez à des applications ou à des ordinateurs de bureau. Vous pouvez utiliser des fournisseurs d’identité tiers à condition qu’ils soient fédérés à Microsoft Entra ID.
Authentification multifacteur
Suivez les instructions dans Appliquer l’authentification multifacteur Microsoft Entra pour Azure Virtual Desktop en utilisant l’accès conditionnel afin d’appliquer l’authentification multifacteur Microsoft Entra pour votre déploiement. Cet article vous indique également comment configurer la fréquence à laquelle vos utilisateurs sont invités à entrer leurs informations d’identification. Lors du déploiement de machines virtuelles jointes à Microsoft Entra, notez les étapes supplémentaires pour les machines virtuelles hôtes de la session jointes à Microsoft Entra.
Authentification sans mot de passe
Vous pouvez utiliser n’importe quel type d’authentification pris en charge par Microsoft Entra ID, comme Windows Hello Entreprise et d’autres options d’authentification sans mot de passe (par exemple, des clés FIDO), pour vous authentifier auprès du service.
Authentification par carte à puce
Pour utiliser une carte à puce à des fins d’authentification auprès de Microsoft Entra ID, vous devez d’abord configurer AD FS pour l’authentification par certificat utilisateur ou configurer l’authentification basée sur les certificats Microsoft Entra.
Authentification de l’hôte de session
Si vous n’avez pas encore activé l’authentification unique ou enregistré vos informations d’identification localement, vous devez également vous authentifier auprès de l’hôte de session lors du lancement d’une connexion. La liste suivante décrit les types d’authentification actuellement pris en charge par chaque client Azure Virtual Desktop. Certains clients peuvent nécessiter l’utilisation d’une version spécifique, que vous trouverez dans le lien pour chaque type d’authentification.
| Client | Type(s) d’authentification pris en charge |
|---|---|
| Client Windows Desktop | Nom d’utilisateur et mot de passe Carte à puce Approbation de certificat Windows Hello Entreprise Approbation de clé avec certificats Windows Hello Entreprise Authentification Microsoft Entra |
| Application Azure Virtual Desktop du Store | Nom d’utilisateur et mot de passe Carte à puce Approbation de certificat Windows Hello Entreprise Approbation de clé avec certificats Windows Hello Entreprise Authentification Microsoft Entra |
| Application Bureau à distance | Nom d’utilisateur et mot de passe |
| Client web | Nom d’utilisateur et mot de passe Authentification Microsoft Entra |
| Client Android | Nom d’utilisateur et mot de passe Authentification Microsoft Entra |
| Client iOS | Nom d’utilisateur et mot de passe Authentification Microsoft Entra |
| Client macOS | Nom d’utilisateur et mot de passe Carte à puce : prise en charge des connexions basées sur carte à puce par le biais de la redirection de carte à puce à l’invite Winlogon lorsque l’authentification au niveau du réseau n’est pas négociée. Authentification Microsoft Entra |
Important
Pour que l’authentification fonctionne correctement, votre machine locale doit également pouvoir accéder aux URL requises pour les clients Bureau à distance.
Authentification unique (SSO)
L’authentification unique permet à la connexion d’ignorer l’invite de demande d’informations d’identification de l’hôte de session et de connecter automatiquement l’utilisateur à Windows. Pour les hôtes de la session joints à Microsoft Entra ou joints à Microsoft Entra de manière hybride, il est recommandé d’activer l’authentification unique à l’aide de l’authentification Microsoft Entra. L’authentification Microsoft Entra offre d’autres avantages, notamment l’authentification sans mot de passe et la prise en charge des fournisseurs d’identité tiers.
Azure Virtual Desktop prend également en charge l’authentification unique à l’aide des services de fédération Active Directory (AD FS) pour les clients Windows Desktop et web.
Sans authentification unique, le client invite les utilisateurs à entrer leurs informations d’identification d’hôte de session pour chaque connexion. La seule façon de ne pas recevoir une invite consiste à enregistrer les informations d’identification dans le client. Nous vous recommandons d’enregistrer les informations d’identification uniquement sur des appareils sécurisés pour empêcher d’autres utilisateurs d’accéder à vos ressources.
Carte à puce et Windows Hello Entreprise
Azure Virtual Desktop prend en charge NTLM (NT LAN Manager) et Kerberos pour l’authentification de l’hôte de session. Toutefois, la carte à puce et les Windows Hello Entreprise peuvent uniquement utiliser Kerberos pour se connecter. Pour utiliser Kerberos, le client doit obtenir des tickets de sécurité Kerberos auprès d’un service de centre de distribution de clés (KDC, Key Distribution Center) fonctionnant sur un contrôleur de domaine. Pour obtenir des tickets, le client a besoin d’une ligne de vue réseau directe sur le contrôleur de domaine. Vous pouvez obtenir une ligne de vue en vous connectant directement sur votre réseau d’entreprise, à l’aide d’une connexion VPN ou en configurant un serveur proxy KDC.
Authentification dans la session
Une fois que vous êtes connecté à votre RemoteApp ou à votre bureau, vous pouvez être invité à vous authentifier dans la session. Cette section explique comment utiliser des informations d’identification autres que le nom d’utilisateur et le mot de passe dans ce scénario.
Authentification sans mot de passe dans la session
Azure Virtual Desktop prend en charge l’authentification sans mot de passe dans la session en utilisant Windows Hello Entreprise ou des appareils de sécurité comme des clés FIDO lors de l’utilisation du client Windows Desktop. L’authentification sans mot de passe est activée automatiquement quand l’hôte de session et le PC local utilisent les systèmes d’exploitation suivants :
- Windows 11 monosession ou multisession avec la Mise à jour cumulative 2022-10 pour Windows 11 (KB5018418) (ou versions ultérieures) installée.
- Windows 10 monosession ou multisession avec la Mise à jour cumulative 2022-10 pour Windows 10 (KB5018410) version 20H2 (ou versions ultérieures) installée.
- Windows Server 2022 avec la Mise à jour cumulative 2022-10 pour système d’exploitation serveur Microsoft (KB5018421) (ou version ultérieure) installée.
Pour désactiver l’authentification sans mot de passe sur votre pool d’hôtes, vous devez personnaliser une propriété RDP. Vous pouvez trouver la propriété Redirection WebAuthn sous l’onglet Redirection d’appareil dans le portail Azure ou définir la propriété redirectwebauthn sur 0 en utilisant PowerShell.
Lorsque cette option est activée, toutes les requêtes WebAuthn de la session sont redirigées vers le PC local. Vous pouvez utiliser Windows Hello Entreprise ou des appareils de sécurité attachés localement pour mener à bien le processus d’authentification.
Pour accéder aux ressources Microsoft Entra avec Windows Hello Entreprise ou des appareils de sécurité, vous devez activer la clé de sécurité FIDO2 comme méthode d’authentification pour vos utilisateurs. Pour activer cette méthode, suivez les étapes fournies dans Activer la méthode de clé de sécurité FIDO2.
Authentification par carte à puce dans la session
Pour utiliser une carte à puce dans votre session, vérifiez que vous avez installé les pilotes de la carte à puce sur l’hôte de session et activé la redirection de carte à puce. Examinez le graphique de comparaison client pour vous assurer que votre client prend en charge la redirection de carte à puce.