Partager via

Appliquer Microsoft Entra l’authentification multifacteur pour Azure Virtual Desktop à l’aide de l’accès conditionnel

Les utilisateurs peuvent se connecter à Azure Virtual Desktop depuis n’importe où à l’aide de différents appareils et clients. Toutefois, vous devez prendre certaines mesures pour assurer la sécurité de votre environnement et de vos utilisateurs. L’utilisation de Microsoft Entra’authentification multifacteur (MFA) avec Azure Virtual Desktop invite les utilisateurs pendant le processus de connexion à une autre forme d’identification en plus de leur nom d’utilisateur et de leur mot de passe. Vous pouvez appliquer l’authentification multifacteur pour Azure Virtual Desktop à l’aide de l’accès conditionnel et configurer si elle s’applique au client web, aux applications mobiles, aux clients de bureau ou à tous les clients.

Lorsqu’un utilisateur se connecte à une session à distance, il doit s’authentifier auprès du service Azure Virtual Desktop et de l’hôte de session. Si l’authentification multifacteur est activée, elle est utilisée lors de la connexion au service Azure Virtual Desktop et l’utilisateur est invité à entrer son compte d’utilisateur et une deuxième forme d’authentification, de la même façon que l’accès à d’autres services. Lorsqu’un utilisateur démarre une session à distance, un nom d’utilisateur et un mot de passe sont requis pour l’hôte de session, mais cela est transparent pour l’utilisateur si l’authentification unique (SSO) est activée. Pour plus d’informations, consultez Méthodes d’authentification.

La fréquence à laquelle un utilisateur est invité à se réauthentifier dépend de Microsoft Entra stratégies de durée de vie de session adaptative d’accès conditionnel. Bien que la mémorisation des informations d’identification soit pratique, elle peut également rendre les déploiements utilisant des appareils personnels moins sécurisés. Pour protéger vos utilisateurs, vous pouvez vous assurer que le client demande Microsoft Entra informations d’identification d’authentification multifacteur plus fréquemment. Vous pouvez utiliser la fréquence de connexion de l’accès conditionnel pour configurer ce comportement.

Découvrez comment appliquer l’authentification multifacteur pour Azure Virtual Desktop et éventuellement configurer la fréquence de connexion dans les sections suivantes.

Configuration requise

Voici ce dont vous avez besoin pour commencer :

Créer une stratégie d'accès conditionnel

Voici comment créer une stratégie d’accès conditionnel qui nécessite une authentification multifacteur lors de la connexion à Azure Virtual Desktop :

  1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur de l’accès conditionnel au moins.

  2. Accédez à Stratégiesd’accès> conditionnel de protection>.

  3. Sélectionnez Nouvelle stratégie.

  4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme significative pour les noms de leurs stratégies.

  5. Sous Affectations>Utilisateurs, sélectionnez 0 utilisateurs et groupes sélectionnés.

  6. Sous l’onglet Inclure, sélectionnez Sélectionner des utilisateurs et des groupes et case activée Utilisateurs et groupes, puis sous Sélectionner, sélectionnez 0 utilisateur et groupes sélectionnés.

  7. Dans le nouveau volet qui s’ouvre, recherchez et choisissez le groupe qui contient vos utilisateurs Azure Virtual Desktop en tant que membres du groupe, puis sélectionnez Sélectionner.

  8. Sous Affectations>Ressources cibles, sélectionnez Aucune ressource cible sélectionnée.

  9. Pour la liste déroulante Sélectionnez ce à quoi cette stratégie s’applique, conservez la valeur par défaut Ressources (anciennement applications cloud). Sous l’onglet Inclure , sélectionnez Sélectionner les ressources, puis sous Sélectionner, sélectionnez Aucune.

  10. Dans le nouveau volet qui s’ouvre, recherchez et sélectionnez les applications nécessaires en fonction des ressources que vous essayez de protéger. Sélectionnez l’onglet approprié pour votre scénario. Lorsque vous recherchez un nom d’application sur Azure, utilisez des termes de recherche qui commencent par le nom de l’application dans l’ordre au lieu des mots clés que contient le nom de l’application dans le désordre. Par exemple, lorsque vous souhaitez utiliser Azure Virtual Desktop, vous devez entrer « Azure Virtual », dans cet ordre. Si vous entrez « virtual » par lui-même, la recherche ne retourne pas l’application souhaitée.

    Pour Azure Virtual Desktop (basé sur Azure Resource Manager), vous pouvez configurer l’authentification multifacteur sur ces différentes applications :

    • Azure Virtual Desktop (ID d’application9cdead84-a844-4324-93f2-b2e6bb768d07), qui s’applique lorsque l’utilisateur s’abonne à Azure Virtual Desktop, s’authentifie auprès de la passerelle Azure Virtual Desktop pendant une connexion et lorsque diagnostics informations sont envoyées au service à partir de l’appareil local de l’utilisateur.

      Conseil

      Le nom de l’application était auparavant Windows Virtual Desktop. Si vous avez inscrit le fournisseur de ressources Microsoft.DesktopVirtualization avant que le nom d’affichage ne change, l’application est nommée Windows Virtual Desktop avec le même ID d’application qu’Azure Virtual Desktop.

    • Windows Cloud Login (ID d’application 270efc09-cd0d-444b-a71f-39af4910ec45), qui s’applique lorsque l’utilisateur s’authentifie auprès de l’hôte de session lorsque l’authentification unique est activée. Nous vous recommandons de faire correspondre les stratégies d’accès conditionnel entre ces applications et l’application Azure Virtual Desktop, à l’exception de la fréquence de connexion.

      Importante

      • Si vous vous connectez à Azure Virtual Desktop avec des clients légers, contactez le fournisseur de votre client pour confirmer que vous devez utiliser les stratégies De connexion cloud Windows pour l’accès conditionnel pour les connexions d’authentification unique.

      • Ne sélectionnez pas l’application appelée Azure Virtual Desktop Azure Resource Manager Provider (ID d’application50e95039-b200-4007-bc97-8d5790743a63). Cette application est utilisée uniquement pour récupérer le flux utilisateur et ne doit pas avoir d’authentification multifacteur.

  11. Une fois que vous avez sélectionné vos applications, sélectionnez Sélectionner.

    Capture d’écran de la page Applications ou actions cloud d’accès conditionnel. L’application Azure Virtual Desktop s’affiche.

  12. Sous Conditions des affectations>, sélectionnez 0 condition sélectionner.

  13. Sous Applications clientes, sélectionnez Non configuré.

  14. Dans le nouveau volet qui s’ouvre, pour Configurer, sélectionnez Oui.

  15. Sélectionnez les applications clientes auxquelles cette stratégie s’applique :

    • Sélectionnez Navigateur si vous souhaitez que la stratégie s’applique au client web.
    • Sélectionnez Applications mobiles et clients de bureau si vous souhaitez appliquer la stratégie à d’autres clients.
    • Sélectionnez les deux zones case activée si vous souhaitez appliquer la stratégie à tous les clients.
    • Désélectionnez les valeurs des clients d’authentification hérités.

    Capture d’écran de la page Applications clientes d’accès conditionnel. L’utilisateur a sélectionné les applications mobiles et les clients de bureau, ainsi que les zones de case activée du navigateur.

  16. Une fois que vous avez sélectionné les applications clientes auxquelles cette stratégie s’applique, sélectionnez Terminé.

  17. Sous Contrôles d’accès>Accorder, sélectionnez 0 contrôles sélectionnés.

  18. Dans le nouveau volet qui s’ouvre, sélectionnez Accorder l’accès.

  19. Cochez Exiger l’authentification multifacteur, puis sélectionnez Sélectionner.

  20. En bas de la page, définissez Activer la stratégie sur Activé , puis sélectionnez Créer.

Remarque

Lorsque vous utilisez le client web pour vous connecter à Azure Virtual Desktop via votre navigateur, le journal répertorie l’ID de l’application cliente sous la forme a85cf173-4192-42f8-81fa-777a763e6e2c (client Azure Virtual Desktop). En effet, l’application cliente est liée en interne à l’ID d’application serveur où la stratégie d’accès conditionnel a été définie.

Conseil

Certains utilisateurs peuvent voir une invite intitulée Rester connecté à toutes vos applications si l’appareil Windows qu’ils utilisent n’est pas déjà inscrit avec Microsoft Entra ID. S’ils désélectionnent Autoriser mes organization à gérer mon appareil et sélectionnez Non, se connecter à cette application uniquement, ils peuvent être invités à s’authentifier plus fréquemment.

Configurer la fréquence de connexion

Les stratégies de fréquence de connexion vous permettent de configurer la fréquence à laquelle les utilisateurs doivent se connecter lors de l’accès aux ressources basées sur Microsoft Entra. Cela peut vous aider à sécuriser votre environnement et est particulièrement important pour les appareils personnels, où le système d’exploitation local peut ne pas nécessiter d’authentification multifacteur ou ne pas se verrouiller automatiquement après l’inactivité. Les utilisateurs sont invités à s’authentifier uniquement lorsqu’un nouveau jeton d’accès est demandé à Microsoft Entra ID lors de l’accès à une ressource.

Les stratégies de fréquence de connexion entraînent un comportement différent en fonction de l’application Microsoft Entra sélectionnée :

Nom de l'application ID de l’application Comportement
Azure Virtual Desktop 9cdead84-a844-4324-93f2-b2e6bb768d07 Applique la réauthentification lorsqu’un utilisateur s’abonne à Azure Virtual Desktop, actualise manuellement sa liste de ressources et s’authentifie auprès de la passerelle Azure Virtual Desktop pendant une connexion.

Une fois la période de réauthentification terminée, l’actualisation du flux en arrière-plan et diagnostics chargement échouent en mode silencieux jusqu’à ce qu’un utilisateur termine sa prochaine connexion interactive à Microsoft Entra.
Connexion au cloud Windows 270efc09-cd0d-444b-a71f-39af4910ec45 Applique la réauthentification lorsqu’un utilisateur se connecte à un hôte de session quand l’authentification unique est activée.

Pour configurer la période après laquelle un utilisateur est invité à se reconnecter :

  1. Ouvrez la stratégie que vous avez créée précédemment.
  2. Sous Contrôles> d’accèsSession, sélectionnez 0 contrôles sélectionnés.
  3. Dans le volet Session , sélectionnez Fréquence de connexion.
  4. Sélectionnez Réauthentification périodique ou À chaque fois.
    • Si vous sélectionnez Réauthentification périodique, définissez la valeur de la période après laquelle un utilisateur est invité à se reconnecter lors de l’exécution d’une action qui nécessite un nouveau jeton d’accès, puis sélectionnez Sélectionner. Par exemple, définir la valeur sur 1 et l’unité sur Heures nécessite une authentification multifacteur si une connexion est lancée plus d’une heure après la dernière authentification utilisateur.
    • L’option Chaque fois est prise en charge uniquement lorsqu’elle est appliquée à l’application Windows Cloud Login lorsque l’authentification unique est activée pour votre pool d’hôtes. Si vous sélectionnez Chaque fois, les utilisateurs sont invités à se réauthentifier lors du lancement d’une nouvelle connexion après une période de 5 à 10 minutes depuis leur dernière authentification.
  5. En bas de la page, sélectionnez Enregistrer.

Remarque

  • La réauthentification se produit uniquement lorsqu’un utilisateur doit s’authentifier auprès d’une ressource et qu’un nouveau jeton d’accès est nécessaire. Une fois la connexion établie, les utilisateurs ne sont pas invités, même si la connexion dure plus longtemps que la fréquence de connexion que vous avez configurée.
  • Les utilisateurs doivent se réauthentifier en cas d’interruption du réseau qui force la session à être rétablie après la fréquence de connexion que vous avez configurée. Cela peut entraîner des demandes d’authentification plus fréquentes sur des réseaux instables.

Microsoft Entra machines virtuelles hôtes de session jointes

Pour que les connexions réussissent, vous devez désactiver la méthode de connexion par utilisateur multifacteur héritée. Si vous ne souhaitez pas limiter la connexion à des méthodes d’authentification forte comme Windows Hello Entreprise, vous devez exclure l’application de machine virtuelle Windows Azure Sign-In de votre stratégie d’accès conditionnel.

Étapes suivantes

  • Last updated on