Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans cet article, nous allons vous donner une brève vue d’ensemble des types d’identités et de méthodes d’authentification que vous pouvez utiliser dans Azure Virtual Desktop.
Identités
Azure Virtual Desktop prend en charge différents types d’identités en fonction de la configuration que vous choisissez. Cette section explique les identités que vous pouvez utiliser pour chaque configuration.
Importante
Azure Virtual Desktop ne prend pas en charge la connexion à Microsoft Entra ID avec un compte d’utilisateur, puis la connexion à Windows avec un compte d’utilisateur distinct. La connexion avec deux comptes différents en même temps peut amener les utilisateurs à se reconnecter au mauvais hôte de session, des informations incorrectes ou manquantes dans le Portail Azure et des messages d’erreur s’affichent lors de l’utilisation de l’attachement d’application.
Identité locale
Étant donné que les utilisateurs doivent être détectables via Microsoft Entra ID pour accéder au Azure Virtual Desktop, les identités utilisateur qui existent uniquement dans services de domaine Active Directory (AD DS) ne sont pas prises en charge. Cela inclut les déploiements Active Directory autonomes avec Services ADFS (AD FS).
Identité hybride
Azure Virtual Desktop prend en charge les identités hybrides via Microsoft Entra ID, y compris celles fédérées à l’aide d’AD FS. Vous pouvez gérer ces identités d’utilisateur dans AD DS et les synchroniser avec Microsoft Entra ID à l’aide de Microsoft Entra Connect. Vous pouvez également utiliser Microsoft Entra ID pour gérer ces identités et les synchroniser avec Microsoft Entra Domain Services.
Lorsque vous accédez à Azure Virtual Desktop à l’aide d’identités hybrides, il arrive que le nom d’utilisateur principal (UPN) ou l’identificateur de sécurité (SID) de l’utilisateur dans Active Directory (AD) et Microsoft Entra ID ne correspondent pas. Par exemple, le compte user@contoso.local AD peut correspondre à user@contoso.com dans Microsoft Entra ID. Azure Virtual Desktop prend en charge ce type de configuration uniquement si l’UPN ou le SID de vos comptes AD et Microsoft Entra ID correspondent. SID fait référence à la propriété d’objet utilisateur « ObjectSID » dans AD et à « OnPremisesSecurityIdentifier » dans Microsoft Entra ID.
Identité cloud uniquement
Azure Virtual Desktop prend en charge les identités cloud uniquement lors de l’utilisation de machines virtuelles jointes Microsoft Entra. Ces utilisateurs sont créés et gérés directement dans Microsoft Entra ID.
Remarque
Vous pouvez également affecter des identités hybrides à Azure groupes d’applications Virtual Desktop qui hébergent des hôtes de session de type jointure Microsoft Entra joints.
Identité fédérée
Si vous utilisez un fournisseur d’identité (IdP) tiers, autre que Microsoft Entra ID ou services de domaine Active Directory, pour gérer vos comptes d’utilisateur, vous devez vous assurer que :
- Votre fournisseur d’identité est fédéré avec Microsoft Entra ID.
- Vos hôtes de session sont Microsoft Entra joints ou Microsoft Entra joints hybrides.
- Vous activez Microsoft Entra’authentification sur l’hôte de session.
Identité externe
La prise en charge des identités externes vous permet d’inviter des utilisateurs dans votre locataire Entra ID et de leur fournir Azure ressources Virtual Desktop. Il existe plusieurs exigences et limitations lors de la fourniture de ressources à des identités externes :
- Configuration requise
- Système d’exploitation hôte de session : l’hôte de session doit exécuter Windows 11 Entreprise versions 24H2 ou ultérieures avec la Mises à jour cumulative 2025-09 pour Windows 11 (KB5065789) ou ultérieure installée.
- Type de jointure de l’hôte de session : l’hôte de session doit être joint à Entra.
- Authentification unique : l’authentification unique doit être configurée pour le pool d’hôtes.
- Windows App client : l’identité externe doit se connecter à partir du Windows App sur Windows ou un navigateur web.
- Limitations
FSLogix : la prise en charge de FSLogix est en préversion pour les identités externes. Découvrez comment stocker des conteneurs de profils FSLogix sur Azure Files à l’aide de Microsoft Entra ID.
Intune stratégies de configuration d’appareil : les stratégies de configuration d’appareil affectées à l’identité externe ne sont pas appliquées à l’utilisateur sur l’hôte de session. Au lieu de cela, affectez des stratégies de configuration d’appareil à l’appareil.
Disponibilité du cloud : cette fonctionnalité n’est disponible que dans le cloud public Azure, mais pas dans le cloud Du secteur public ou Azure géré par 21Vianet.
Invitations intercloud : les utilisateurs multicloud ne sont pas pris en charge. Vous pouvez uniquement fournir Azure accès aux ressources Virtual Desktop aux utilisateurs que vous invitez à partir de fournisseurs d’identité sociale, Microsoft Entra d’utilisateurs du cloud commercial Microsoft Azure ou d’autres fournisseurs d’identité inscrits dans votre locataire du personnel. Vous ne pouvez pas attribuer Azure ressources Virtual Desktop aux utilisateurs que vous invitez à partir de Microsoft Azure Government ou microsoft Azure gérés par 21Vianet.
Protection des jetons : Microsoft Entra présente certaines limitations pour la protection des jetons pour les identités externes. En savoir plus sur Windows App prise en charge de la protection des jetons par plateforme.
Authentification Kerberos : les identités externes ne peuvent pas s’authentifier auprès des ressources locales à l’aide des protocoles Kerberos ou NTLM.
Applications Microsoft 365 : vous pouvez uniquement vous connecter à la version de bureau Windows des applications Microsoft 365 si :
- L’utilisateur invité est un compte Entra ou un compte Microsoft disposant d’une licence pour Microsoft 365 Apps.
- L’utilisateur invité n’est pas empêché d’accéder aux applications Microsoft 365 par une stratégie d’accès conditionnel à partir du organization d’accueil.
Quel que soit le compte invité, vous pouvez accéder aux fichiers Microsoft 365 partagés avec vous à l’aide de l’application Microsoft 365 appropriée dans le navigateur web de l’hôte de session.
Consultez Microsoft Entra bonnes pratiques B2B pour obtenir des recommandations sur la configuration de votre environnement pour les identités externes et pour obtenir des conseils sur la gestion des licences.
Méthodes d’authentification
Lors de l’accès aux ressources Azure Virtual Desktop, il existe trois phases d’authentification distinctes :
- Authentification du service cloud : l’authentification auprès du service Virtual Desktop Azure, qui inclut l’abonnement aux ressources et l’authentification auprès de la passerelle, s’effectue avec Microsoft Entra ID.
- Authentification de session à distance : Authentification auprès de la machine virtuelle distante. Il existe plusieurs façons de s’authentifier auprès de la session à distance, notamment l’authentification unique (SSO) recommandée.
- Authentification dans la session : Authentification auprès des applications et des sites web au sein de la session à distance.
Pour obtenir la liste des informations d’identification disponibles sur les différents clients pour chaque phase d’authentification, comparez les clients entre les plateformes.
Importante
Pour que l’authentification fonctionne correctement, votre ordinateur local doit également être en mesure d’accéder aux URL requises pour les clients Bureau à distance.
Les sections suivantes fournissent plus d’informations sur ces phases d’authentification.
Authentification du service cloud
Pour accéder à Azure ressources Virtual Desktop, vous devez d’abord vous authentifier auprès du service en vous connectant avec un compte Microsoft Entra ID. L’authentification se produit chaque fois que vous vous abonnez pour récupérer vos ressources, que vous vous connectez à la passerelle lors du lancement d’une connexion ou que vous envoyez des informations de diagnostic au service. La ressource Microsoft Entra ID utilisée pour cette authentification est Azure Virtual Desktop (ID d’application 9cdead84-a844-4324-93f2-b2e6bb768d07).
Authentification multifacteur
Suivez les instructions fournies dans Appliquer Microsoft Entra’authentification multifacteur pour Azure Virtual Desktop à l’aide de l’accès conditionnel pour découvrir comment appliquer Microsoft Entra’authentification multifacteur pour votre déploiement. Cet article vous explique également comment configurer la fréquence à laquelle vos utilisateurs sont invités à entrer leurs informations d’identification. Lorsque vous déployez Microsoft Entra machines virtuelles jointes, notez les étapes supplémentaires pour Microsoft Entra machines virtuelles hôtes de session jointes.
Authentification sans mot de passe
Vous pouvez utiliser n’importe quel type d’authentification pris en charge par Microsoft Entra ID, comme Windows Hello Entreprise et d’autres options d’authentification sans mot de passe (par exemple, les clés FIDO), pour vous authentifier auprès du service.
Authentification carte intelligente
Pour utiliser une carte intelligente pour vous authentifier auprès de Microsoft Entra ID, vous devez d’abord configurer Microsoft Entra’authentification basée sur les certificats ou configurer AD FS pour l’authentification par certificat utilisateur.
Fournisseurs d’identité tiers
Vous pouvez utiliser des fournisseurs d’identité tiers tant qu’ils se fédèrent avec Microsoft Entra ID.
Authentification de session à distance
Si vous n’avez pas encore activé l’authentification unique ou enregistré vos informations d’identification localement, vous devez également vous authentifier auprès de l’hôte de session lors du lancement d’une connexion.
Authentification unique (SSO)
L’authentification unique permet à la connexion d’ignorer l’invite d’informations d’identification de l’hôte de session et de connecter automatiquement l’utilisateur à Windows via l’authentification Microsoft Entra. Pour les hôtes de session Microsoft Entra joints ou Microsoft Entra joints hybrides, il est recommandé d’activer l’authentification unique à l’aide de l’authentification Microsoft Entra. l’authentification Microsoft Entra offre d’autres avantages, notamment l’authentification sans mot de passe et la prise en charge des fournisseurs d’identité tiers.
Azure Virtual Desktop prend également en charge l’authentification unique à l’aide de Services ADFS (AD FS) pour les clients Windows Desktop et web.
Sans authentification unique, le client invite les utilisateurs à fournir leurs informations d’identification d’hôte de session pour chaque connexion. La seule façon d’éviter d’être invité consiste à enregistrer les informations d’identification dans le client. Nous vous recommandons d’enregistrer uniquement les informations d’identification sur des appareils sécurisés pour empêcher d’autres utilisateurs d’accéder à vos ressources.
Carte et Windows Hello Entreprise intelligentes
Azure Virtual Desktop prend en charge NT LAN Manager (NTLM) et Kerberos pour l’authentification de l’hôte de session, mais Smart carte et Windows Hello Entreprise peuvent uniquement utiliser Kerberos pour se connecter. Pour utiliser Kerberos, le client doit obtenir des tickets de sécurité Kerberos à partir d’un service du centre de distribution de clés (KDC) exécuté sur un contrôleur de domaine. Pour obtenir des tickets, le client a besoin d’une ligne de vue réseau directe sur le contrôleur de domaine. Vous pouvez obtenir une visibilité directe en vous connectant directement au sein de votre réseau d’entreprise, en utilisant une connexion VPN ou en configurant un serveur proxy KDC.
Authentification en session
Une fois que vous êtes connecté à votre Application distante ou à votre bureau, vous pouvez être invité à effectuer l’authentification dans la session. Cette section explique comment utiliser des informations d’identification autres que le nom d’utilisateur et le mot de passe dans ce scénario.
Authentification sans mot de passe dans la session
Azure Virtual Desktop prend en charge l’authentification sans mot de passe dans la session à l’aide de Windows Hello Entreprise ou d’appareils de sécurité tels que les clés FIDO lors de l’utilisation du client Windows Desktop. L’authentification sans mot de passe est activée automatiquement lorsque l’hôte de session et le PC local utilisent les systèmes d’exploitation suivants :
- Windows 11 session unique ou multisession avec la Mises à jour cumulative 2022-2010 pour Windows 11 (KB5018418) ou une version ultérieure installée.
- Windows 10 session unique ou multisession, versions 20H2 ou ultérieures avec la Mises à jour cumulative 2022-10 pour Windows 10 (KB5018410) ou ultérieure installée.
- Windows Server 2022 avec la mise à jour cumulative 2022-2010 pour le système d’exploitation serveur Microsoft (KB5018421) ou version ultérieure installée.
Pour désactiver l’authentification sans mot de passe sur votre pool d’hôtes, vous devez personnaliser une propriété RDP. Vous trouverez la propriété de redirection WebAuthn sous l’onglet Redirection de l’appareil dans le Portail Azure ou définissez la propriété redirectwebauthn sur 0 à l’aide de PowerShell.
Quand cette option est activée, toutes les requêtes WebAuthn de la session sont redirigées vers le PC local. Vous pouvez utiliser Windows Hello Entreprise ou des appareils de sécurité attachés localement pour terminer le processus d’authentification.
Pour accéder à Microsoft Entra ressources avec des Windows Hello Entreprise ou des appareils de sécurité, vous devez activer la clé de sécurité FIDO2 comme méthode d’authentification pour vos utilisateurs. Pour activer cette méthode, suivez les étapes décrites dans Activer la méthode de clé de sécurité FIDO2.
Authentification carte intelligente dans la session
Pour utiliser une carte intelligente dans votre session, vérifiez que vous avez installé les pilotes smart carte sur l’hôte de session et activé la redirection de carte intelligente. Passez en revue les graphiques de comparaison des Windows App et de l’application Bureau à distance pour vous permettre d’utiliser la redirection carte intelligente.
Étapes suivantes
- Vous êtes curieux d’autres façons de sécuriser votre déploiement ? Consultez bonnes pratiques en matière de sécurité.
- Vous rencontrez des problèmes de connexion à Microsoft Entra machines virtuelles jointes ? Consultez Résoudre les problèmes de connexion aux machines virtuelles Microsoft Entra jointes.
- Vous rencontrez des problèmes avec l’authentification sans mot de passe dans la session ? Consultez Résoudre les problèmes de redirection WebAuthn.
- Vous souhaitez utiliser des cartes à puce en dehors de votre réseau d’entreprise ? Découvrez comment configurer un serveur proxy KDC.