Configurer l’authentification unique pour Windows 365 Business à l’aide de l’authentification Microsoft Entra

Cet article explique le processus de configuration de l’authentification unique (SSO) pour Windows 365 à l’aide de l’authentification Microsoft Entra. Lorsque vous activez l’authentification unique, les utilisateurs peuvent utiliser l’authentification sans mot de passe et des fournisseurs d’identité tiers qui se fédèrent avec l’ID Microsoft Entra pour se connecter à leur PC cloud. Lorsqu’elle est activée, cette fonctionnalité offre une expérience d’authentification unique lors de l’authentification auprès du PC cloud et à l’intérieur de la session lors de l’accès aux applications et aux sites web basés sur l’ID Microsoft Entra.

Pour activer l’authentification unique à l’aide de l’authentification d’ID Microsoft Entra, vous devez effectuer quatre tâches :

1. Activez l’authentification Microsoft Entra pour le protocole RDP (Remote Desktop Protocol).

2. Configurez les groupes d’appareils cibles.

3. Passez en revue vos stratégies d’accès conditionnel.

4. Configurez les paramètres de votre organisation pour activer l’authentification unique.

Avant d’activer l’authentification unique

Avant d’activer l’authentification unique, passez en revue les informations suivantes pour l’utiliser dans votre environnement.

Déconnexion lorsque la session est verrouillée

Lorsque l’authentification unique est activée, les utilisateurs se connectent à Windows à l’aide d’un jeton d’authentification d’ID Microsoft Entra, qui prend en charge l’authentification sans mot de passe sur Windows. L’écran de verrouillage Windows de la session à distance ne prend pas en charge les jetons d’authentification d’ID Microsoft Entra ni les méthodes d’authentification sans mot de passe, comme les clés FIDO. Au lieu du comportement précédent d’affichage de l’écran de verrouillage à distance lorsqu’une session est verrouillée, la session est déconnectée et l’utilisateur est averti. La déconnexion de la session garantit que :

• Les utilisateurs bénéficient d’une expérience d’authentification unique et peuvent se reconnecter sans invite d’authentification lorsque cela est autorisé.
• Les utilisateurs peuvent se reconnecter à leur session à l’aide de l’authentification sans mot de passe comme les clés FIDO.
• Les stratégies d’accès conditionnel, notamment l’authentification multifacteur et la fréquence de connexion, sont réévaluées lorsque l’utilisateur se reconnecte à sa session.

Configuration requise

Avant de pouvoir activer l’authentification unique, vous devez remplir les conditions préalables suivantes :

• Pour configurer votre locataire Microsoft Entra, vous devez vous voir attribuer l’un des rôles intégrés Microsoft Entra suivants :

  • Administrateur d’application
  • Administrateur d’application cloud

• Les PC cloud doivent exécuter l’un des systèmes d’exploitation suivants avec la mise à jour cumulative appropriée installée :

  • Windows 11 Entreprise avec les mises à jour cumulatives 2022-2010 pour Windows 11 (KB5018418) ou version ultérieure installées.
  • Windows 10 Entreprise avec les mises à jour cumulatives 2022-2010 pour Windows 10 (KB5018410) ou version ultérieure installées.

• Installez le Kit de développement logiciel (SDK) Microsoft Graph PowerShell version 2.9.0 ou ultérieure sur votre appareil local ou dans Azure Cloud Shell.

Activer l’authentification Microsoft Entra pour RDP

Vous devez d’abord autoriser l’authentification Microsoft Entra pour Windows dans votre locataire Microsoft Entra, ce qui permet d’émettre des jetons d’accès RDP permettant aux utilisateurs de se connecter à leur PC cloud. Cette modification doit être effectuée sur les principaux de service pour les applications Microsoft Entra suivantes :

Nom de l’application	ID de l’application
Bureau à distance Microsoft	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Connexion au cloud Windows	270efc09-cd0d-444b-a71f-39af4910ec45

Importante

Dans le cadre d’un changement à venir, nous allons passer du Bureau à distance Microsoft à la connexion au cloud Windows à partir de 2024. La configuration des deux applications garantit maintenant que vous êtes prêt pour la modification.

Pour autoriser l’authentification Entra, vous pouvez utiliser le Kit de développement logiciel (SDK) Microsoft Graph PowerShell pour créer un objet remoteDesktopSecurityConfiguration sur le principal de service et définir la propriété isRemoteDesktopProtocolEnabled sur true. Vous pouvez également utiliser l’API Microsoft Graph avec un outil tel que l’Explorateur Graph.

Suivez les étapes ci-dessous pour apporter les modifications à l’aide de PowerShell :

1. Lancez Azure Cloud Shell dans le portail Azure avec le type de terminal PowerShell, ou exécutez PowerShell sur votre appareil local.

   1. Si vous utilisez Cloud Shell, vérifiez que votre contexte Azure est défini sur l’abonnement que vous souhaitez utiliser.

   2. Si vous utilisez PowerShell localement, commencez par vous connecter avec Azure PowerShell, puis vérifiez que votre contexte Azure est défini sur l’abonnement que vous souhaitez utiliser.

2. Vérifiez que vous avez installé le Kit de développement logiciel (SDK) Microsoft Graph PowerShell à partir des prérequis. Ensuite, importez les modules Microsoft Graph Authentification et applications et connectez-vous à Microsoft Graph avec les Application.Read.All étendues et Application-RemoteDesktopConfig.ReadWrite.All en exécutant les commandes suivantes :

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. Obtenez l’ID d’objet pour chaque principal de service et stockez-les dans des variables en exécutant les commandes suivantes :

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. Définissez la propriété isRemoteDesktopProtocolEnabledtrue sur en exécutant les commandes suivantes. Il n’y a pas de sortie à partir de ces commandes.

   $params = @{
       "@odata.type" = "#microsoft.graph.remoteDesktopSecurityConfiguration"
       isRemoteDesktopProtocolEnabled = $true
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   

5. Vérifiez que la propriété isRemoteDesktopProtocolEnabled est définie sur true en exécutant les commandes suivantes :

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   La sortie doit être :

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

Configurer les groupes d’appareils cibles

Après avoir activé l’authentification Microsoft Entra pour RDP, vous devez configurer les groupes d’appareils cibles. Par défaut, lors de l’activation de l’authentification unique, les utilisateurs sont invités à s’authentifier auprès de l’ID Microsoft Entra et à autoriser la connexion Bureau à distance lors du lancement d’une connexion à un nouveau PC cloud. Microsoft Entra mémorise jusqu’à 15 hôtes pendant 30 jours avant d’y inviter à nouveau. Si un utilisateur voit une boîte de dialogue pour autoriser la connexion Bureau à distance, il doit sélectionner Oui pour se connecter.

Pour masquer cette boîte de dialogue, vous devez créer un ou plusieurs groupes dans l’ID Microsoft Entra qui contient vos PC cloud, puis définir une propriété sur les principaux de service pour les mêmes applications Bureau à distance Microsoft et Connexion au cloud Windows , comme utilisé dans la section précédente, pour le groupe.

Conseil

Nous vous recommandons d’utiliser un groupe dynamique et de configurer les règles d’appartenance dynamique pour inclure tous vos PC cloud. Vous pouvez utiliser les noms d’appareils dans ce groupe, mais pour une option plus sécurisée, vous pouvez définir et utiliser des attributs d’extension d’appareil à l’aide de l’API Microsoft Graph. Alors que les groupes dynamiques sont normalement mis à jour dans un délai de 5 à 10 minutes, les locataires volumineux peuvent prendre jusqu’à 24 heures.

Les groupes dynamiques nécessitent la licence Microsoft Entra ID P1 ou la licence Intune pour l’Éducation. Pour plus d’informations, consultez Règles d’appartenance dynamique pour les groupes.

Pour configurer le principal de service, utilisez le Kit de développement logiciel (SDK) PowerShell Microsoft Graph pour créer un objet targetDeviceGroup sur le principal de service avec l’ID d’objet et le nom d’affichage du groupe dynamique. Vous pouvez également utiliser l’API Microsoft Graph avec un outil tel que l’Explorateur Graph.

1. Créez un groupe dynamique dans l’ID Microsoft Entra contenant les PC cloud pour lesquels vous souhaitez masquer la boîte de dialogue. Notez l’ID d’objet du groupe pour l’étape suivante.

2. Dans la même session PowerShell, créez un targetDeviceGroup objet en exécutant les commandes suivantes, en remplaçant par <placeholders> vos propres valeurs :

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. Ajoutez le groupe à l’objet targetDeviceGroup en exécutant les commandes suivantes :

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   La sortie doit être similaire :

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-Cloud-PC
   

   Répétez les étapes 2 et 3 pour chaque groupe que vous souhaitez ajouter à l’objet targetDeviceGroup , jusqu’à un maximum de 10 groupes.

4. Si vous devez supprimer ultérieurement un groupe d’appareils de l’objet targetDeviceGroup , exécutez les commandes suivantes, en remplaçant par <placeholders> vos propres valeurs :

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

Passer en revue vos stratégies d’accès conditionnel

Lorsque l’authentification unique est activée, une nouvelle application d’ID Microsoft Entra est introduite pour authentifier les utilisateurs sur le PC cloud. Si vous avez des stratégies d’accès conditionnel qui s’appliquent lors de l’accès à Windows 365, passez en revue les recommandations pour définir des stratégies d’accès conditionnel pour Windows 365 afin de vous assurer que les utilisateurs disposent de l’expérience souhaitée et de sécuriser votre environnement.

Activer l’authentification unique pour tous les PC cloud de votre compte

1. Connectez-vous à windows365.microsoft.com avec un compte disposant du rôle Administrateur Windows 365.
2. Sélectionnez PC cloud de votre organisation, puis sélectionnez Mettre à jour les paramètres de l’organisation.
3. Sélectionnez l’option Authentification unique sous Paramètres du PC cloud.