Appliquer l’authentification multifacteur Microsoft Entra pour Azure Virtual Desktop à l’aide de l’accès conditionnel

Les utilisateurs peuvent se connecter à Azure Virtual Desktop à partir de n’importe où à l’aide de différents appareils et clients. Toutefois, vous devez prendre certaines mesures pour votre environnement, vous et vos utilisateurs. L’utilisation de l’authentification multifacteur (MFA) Microsoft Entra avec Azure Virtual Desktop demande aux utilisateurs une autre forme d’identification pendant le processus de connexion, en plus de leur nom d’utilisateur et de leur mot de passe. Vous pouvez appliquer l’authentification multifacteur (MFA) pour Azure Virtual Desktop à l’aide de l’accès conditionnel, et vous pouvez également configurer s’il s’applique au client web, à des applications mobiles, à des clients de bureau ou à tous les clients.

Lorsqu’un utilisateur se connecte à une session distante, il doit s’authentifier auprès du service Azure Virtual Desktop et de l’hôte de session. Si l’authentification multifacteur est activée, elle est utilisée lors de la connexion au service Azure Virtual Desktop et l’utilisateur est invité à entrer son compte d’utilisateur et une deuxième forme d’authentification, de la même façon que pour accéder à d’autres services. Lorsqu’un utilisateur démarre une session à distance, un nom d’utilisateur et un mot de passe sont requis pour l’hôte de session, mais ceci est transparent pour l’utilisateur si l’authentification unique (SSO) est activée. Pour plus d’informations, consultez Méthodes d’authentification.

Voici ce dont vous avez besoin pour commencer :

• Affectez aux utilisateurs une licence qui inclut Microsoft Entra ID P1 ou P2.
• Un groupe Microsoft Entra avec vos utilisateurs Azure Virtual Desktop affectés en tant que membres du groupe.
• Activer l’authentification multifacteur Microsoft Entra.

Créer une stratégie d’accès conditionnel

Voici comment créer une stratégie d’accès conditionnel qui exige l’authentification multifacteur lors de la connexion à Azure Virtual Desktop :

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.

2. Accédez à Protection > Accès conditionnel > Stratégies.

3. Sélectionnez Nouvelle stratégie.

4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.

5. Sous Affectations > Utilisateurs, sélectionnez 0 utilisateur et groupe sélectionné.

6. Sous l’onglet Inclure, sélectionnez Sélectionner des utilisateurs et des groupes et cochez Utilisateurs et groupes, puis sous Sélectionner, sélectionnez 0 utilisateurs et groupes sélectionnés.

7. Dans le nouveau volet qui s’ouvre, recherchez et choisissez le groupe qui contient vos utilisateurs Azure Virtual Desktop en tant que membres du groupe, puis sélectionnez Sélectionner.

8. Sous Affectations > Ressources cibles, sélectionnez Aucune ressource cible sélectionnée.

9. Sous l’onglet Inclure, sélectionnez Sélectionner des applications, puis sous Sélectionner, sélectionnez Aucun.

10. Dans le nouveau volet qui s’ouvre, recherchez et sélectionnez les applications nécessaires en fonction des ressources que vous essayez de protéger. Sélectionnez l’onglet approprié pour votre scénario. Lorsque vous recherchez un nom d’application sur Azure, utilisez des termes de recherche commençant par le nom de l’application dans l’ordre, plutôt que des mots clés que le nom de l’application contient en désordre. Par exemple, quand vous voulez utiliser Azure Virtual Desktop, vous devez entrer « Azure Virtual », dans cet ordre. Si vous entrez simplement « virtual », la recherche ne retourne pas l’application souhaitée.

    Pour Azure Virtual Desktop (basé sur Azure Resource Manager), vous pouvez configurer l’authentification multifacteur sur ces différentes applications :

    • Azure Virtual Desktop (ID d’application 9cdead84-a844-4324-93f2-b2e6bb768d07), qui s’applique lorsque l’utilisateur s’abonne à Azure Virtual Desktop, s’authentifie auprès de la passerelle Azure Virtual Desktop pendant une connexion et lorsque les informations de diagnostic sont envoyées au service à partir de l’appareil local de l’utilisateur.
    • Bureau à distance Microsoft (ID d’application a4a365df-50f1-4397-bc59-1a1564b8bb9c) et Connexion cloud Windows (ID d’application 270efc09-cd0d-444b-a71f-39af4910ec45). Elles s’appliquent lorsque l’utilisateur s’authentifie auprès de l’hôte de session lorsque l’authentification unique est activée. Il est conseillé de faire correspondre les stratégies d’accès conditionnel entre ces applications et l’application Azure Virtual Desktop, à l’exception de la fréquence de connexion.

11. Une fois que vous avez sélectionné vos applications, Cliquez sur Sélectionner.

    

12. Sous Affectations > Conditions, sélectionnez 0 condition sélectionnée.

13. Sous Applications clientes, sélectionnez Non configuré.

14. Dans le nouveau volet qui s’ouvre, pour Configurer, sélectionnez Oui.

15. Sélectionnez les applications clientes auxquelles cette politique s'applique :

    • Sélectionnez Navigateur si vous souhaitez que la stratégie s’applique au client web.
    • Sélectionnez Applications mobiles et clients de bureau si vous souhaitez appliquer la stratégie à d’autres clients.
    • Activez les deux cases à cocher si vous souhaitez appliquer la stratégie à tous les clients.
    • Désélectionnez les valeurs des clients d’authentification hérités.

    

16. Une fois que vous avez sélectionné les applications clientes auxquelles cette stratégie s’applique, sélectionnez Terminé.

17. Sous Contrôles d’accès > Octroi, sélectionnez 0 contrôle sélectionné.

18. Dans le nouveau volet qui s’ouvre, sélectionnez Accorder l’accès.

19. Vérifiez Exiger l’authentification multifacteur, puis cliquez sur Sélectionner.

20. Au bas de la page, définissez Activer la stratégie sur Activé et sélectionnez Créer.