Comme pour Windows 365, Microsoft continue de faire évoluer Azure Virtual Desktop pour répondre aux besoins des organisations qui travaillent avec des partenaires externes, freelances ou prestataires. La dernière nouveauté, actuellement en préversion publique, permet de provisionner dans votre AVD une ou plusieurs identités externes (invités B2B dans votre tenant Microsoft Entra ID).
Spoiler alert : cet article est la copie quasi-identique de celui consacré aux comptes invités sur Windows 365.
Fini la création systématique de comptes internes temporaires : les utilisateurs peuvent se connecter avec leur propre identité tout en profitant d’un accès à un environnement Azure Virtual Desktop créé sur votre tenant.
Qui peut bénéficier de cette nouveauté ?
Nous venons de sortir il y a peu de la préversion privée, et nous sommes donc maintenant en préversion publique, avant une mise à disposition générale (GA) dans plusieurs mois je suppose. Tout utilisateur externe invité dans votre tenant Microsoft Entra ID peut donc en profiter.
Comme rappelé plus haut, les scénarios typiques sont : prestataires, auditeurs, partenaires de développement…
Le flux d’approvisionnement change-t-il pour ces utilisateurs invités ?
Non, vous utilisez les mêmes pool d’hôtes Azure Virtual Desktop et les mêmes licences que pour les utilisateurs internes à votre tenant.
Depuis quelles plate-formes le compte invité fonctionne ?
A ce jour où ces lignes sont écrites, la documentation Microsoft mentionne deux moyens possibles :
- Navigateur internet
- Windows App
Quelles sont les conditions techniques ?
Plusieurs conditions sont actuellement en vigueur et sont rappelées sur cette page de la documentation Microsoft :
- VM AVD sous Windows 11 Enterprise avec mise à jour 24H2 (KB5065789) ou plus récente
- VM AVD jointe à Entra ID
- Single Sign-On activé au niveau du pool d’hôtes AVD
Quelles sont les principales limitations actuellement dans cette préversion ?
- FSLogix n’est pas encore pris en charge : un nouveau profil utilisateur sera créé sur chaque hôte de session auquel elles se connectent.
- Les polices Intune assignées à l’utilisateur externe ne s’appliquent pas (cibler les VMs AVD).
- Pas de support pour le Cloud Government ni pour les invités cross-cloud (Azure Gov, 21Vianet).
- Pas d’authentification Kerberos/NTLM vers les ressources on-premises.
- Quelques limites sur la Token Protection pour identités externes.
Quelle licence Azure Virtual Desktop faut-il pour ces utilisateurs invités ?
Comme dit plus haut, il faut toujours provisionner une licence dans votre tenant pour le compte invité.
Les licences détenues par un compte invité dans son propre tenant ne confèrent aucun droit pour utiliser Azure Virtual Desktop dans votre tenant :
Si vous déployez Azure Virtual Desktop pour une utilisation avec des identités externes (actuellement en préversion publique), certaines considérations particulières peuvent s’appliquer concernant la manière de licencier Azure Virtual Desktop ainsi que d’autres produits et services Microsoft.
Vous devez donc acheter et attribuer les mêmes licences AVD que pour vos utilisateurs internes, et aussi une licence Microsoft 365, si nécessaire.
Maintenant, il ne nous reste plus qu’à tester tout cela 😎
- Etape 0 – Rappel des prérequis
- Etape I – Création de l’utilisateur invité
- Etape II – Provisionnement de l’accès AVD à notre invité
- Etape III – Test de connexion invité depuis le navigateur internet
- Etape IV – Test de connexion invité depuis Windows App
Pour vous aider et durant mes tests, j’ai rencontrés les soucis suivants :
- Souci I – Impossible de se connecter malgré une version 24H2
- Souci II – Impossible de choisir une entreprise via Windows App
- Souci III – Impossible de se connecter via Windows App – Erreur 7q6ch
Etape 0 – Rappel des prérequis :
Pour réaliser cet exercice, il vous faudra disposer de :
- Un abonnement Azure valide
- Un tenant Microsoft
- Une des licences requises pour Azure Virtual Desktop
Avant d’aller plus loin, commençons par vérifier que notre environnement AVD répondent bien aux prérequis de la fonctionnalité.
Pour cela, rendez-vous dans le portail Azure, puis rendez-vous sur la page de votre pool d’hôtes AVD :
Vérifiez sur une des VMs AVD que la jointure est bien définie vers Entra :
Contrôlez également sur le pool d’hôtes que le Single Sign-On (SSO) est activé :
Vérifiez ensuite que l’image Windows 11 utilisée pour le provisionnement est au minimum en version 24H2, avec le correctif KB5065789, ou plus récent :
Si tous ces points sont OK, commençons par inviter un nouvel utilisateur externe à notre tenant.
Etape I – Création de l’utilisateur invité :
Pour cela, rendez-vous dans le portail Microsoft Entra ID pour créer un nouvel utilisateur invité.
Cliquez sur Nouvel utilisateur, puis choisissez Inviter un utilisateur externe :
Renseignez l’adresse e-mail du compte Microsoft Entra de l’invité, puis cliquez ici :
Attendez quelques secondes, puis constatez la réception de l’e-mail d’invitation dans la boîte du compte invité, et enfin cliquez sur lien présent dans ce dernier :
Cliquez sur Accepter pour rejoindre le tenant qui vous a invité :
Sur votre tenant, ouvrez le portail d’administration de Microsoft 365 :
Ouvrez la fiche de l’utilisateur invité et attribuez-lui la licence AVD nécessaire, puis enregistrez :
Notre utilisateur invité est maintenant présent. Nous allons pouvoir nous intéresser au provisionnement de son accès à l’environnement AVD.
Etape II – Provisionnement de l’accès AVD à notre invité :
Pour cela, rendez-vous dans le portail Azure, puis rendez-vous sur la page du groupe d’application concerné :
Ajoutez l’utilisateur invité à votre groupe d’applications Azure Virtual Desktop :
Pensez également à lui ajouter un droit de connexion à la machine AVD via un rôle Azure RBAC :
Le provisionnement de l’utilisateur invité à notre environnement AVD est terminé. Nous allons maintenant pouvoir tester la connexion de ce dernier à Azure Virtual Desktop.
Etape III – Test de connexion invité depuis le navigateur internet :
Commençons nos tests par le navigateur internet. Pour cela, rendez-vous sur l’URL historique d’Azure Virtual Desktop, puis authentifiez avec le compte invité de votre utilisateur :
https://client.wvd.microsoft.com/arm/webclient/index.htmlUne fois authentifié, constatez l’absence d’accès à l’environnement Azure Virtual Desktop provisionné sur votre tenant pour votre compte invité :
Ouvrez alors une nouvelle page internet en vous connectant, toujours avec le compte invité, sur une autre URL contenant le domaine de votre tenant :
https://client.wvd.microsoft.com/arm/webclient/index.html?tenant=<domainName>
Vérifiez que l’URL reste bien sur le domaine de votre tenant, et que votre environnement AVD apparaît cette fois :
Testez au besoin une seconde URL, commune entre les services Azure Virtual Desktop et Windows 365 :
https://windows.cloud.microsoft?tenant=<domainName>Peu importe le site internet utilisé, cliquez sur Connecter :
Cliquez à nouveau sur Connecter :
Cliquez sur Oui :
Constatez l’apparition du message de chargement de FSLogix :
Constatez la bonne ouverture de session de votre compte invité :
Ouvrez Windows PowerShell :
Lancez la commande suivante afin d’afficher l’état de l’enregistrement dans Entra ID :
dsregcmd /status- AzureAdJoined : YES : La machine est bien jointe à Microsoft Entra ID
- EnterpriseJoined : NO
- DomainJoined : NO :
- TenantName : JLOUDEV : L’appareil s’est bien inscrit dans le bon tenant.
- SSO / Primary Refresh Token :
- AzureAdPrt : YES
- DeviceAuthStatus : SUCCESS : Le Single Sign-On (SSO) est actif et le Primary Refresh Token (PRT) est bien présent :
Ouvrez Microsoft Edge, puis constatez l’absence de récupération automatique du token de connexion pour le SSO :
Ouvrez Microsoft OneDrive, puis constatez, là aussi, l’absence de récupération automatique du token de session pour le SSO :
Malgré l’absence de SSO, la connexion à AVD depuis le navigateur internet se passe bien. Continuons les tests avec l’application Windows App.
Etape IV – Test de connexion invité depuis Windows App :
Avant de continuer, ouvrez les Paramètres de l’application Windows App, puis vérifiez la version installée :
Ouvrez localement PowerShell en tant qu’administrateur, puis lancez la commande ci-dessous pour forcer l’activation de la nouvelle interface de connexion dans l’application Windows App :
reg add "HKLM\SOFTWARE\Microsoft\WindowsApp\Flights" /v EnableIdSignInUx /t REG_DWORD /d 1 /f
Fermez, rouvrez l’application Windows App, puis cliquez sur S’authentifier :
Avant de saisir votre e-mail, cliquez sur le bouton des options avancées :
Cliquez sur le menu Organisation :
Indiquez le domaine de votre organisation, puis cliquez sur Suivant :
Renseignez l’adresse e-mail et le mot de passe du compte invité :
Constatez la bonne ouverture de l’application Windows App connectée à votre tenant avec le compte invité :
Cliquez sur Connecter pour lancer la session Azure Virtual Desktop :
Constatez la bonne ouverture de session AVD pour votre compte invité, puis ouvrez PowerShell :
Lancez la commande suivante afin d’afficher l’état de l’enregistrement AVD dans Entra ID :
dsregcmd /status- AzureAdJoined : YES : La machine est bien jointe à Microsoft Entra ID
- EnterpriseJoined : NO
- DomainJoined : NO
- TenantName : JLOUDEV : L’appareil s’est bien inscrit dans le bon tenant.
- SSO / Primary Refresh Token :
- AzureAdPrt : YES
- DeviceAuthStatus : SUCCESS : Le Single Sign-On (SSO) est actif et le Primary Refresh Token (PRT) est bien présent :
Enfin, la console de gestion Azure Virtual Desktop affiche bien votre utilisateur invité :
Par contre, aucune information n’y est disponible pour notre utilisateur invité :
Mais en passant par l’hôte de session AVD, les actions semblent également fonctionner sur notre utilisateur invité :
Vous voilà bien connecté avec votre compte invité sur l’environnement AVD de votre tenant Microsoft.
Pour vous aider et durant mes tests, j’ai rencontrés les soucis suivants :
- Souci I – Impossible de se connecter malgré une version 24H2
- Souci II – Impossible de choisir une entreprise via Windows App
- Souci III – Impossible de se connecter via Windows App – Erreur 7q6ch
Souci I – Impossible de se connecter malgré une version 24H2 :
Si, malgré le respect des prérequis, il est possible que vous rencontriez le blocage suivant au moment de vous connecter :
Commencez par vérifier que votre utilisateur invité est bien autorisé à ouvrir une session sur votre machine virtuelle AVD via le rôle Azure RBAC suivant :
Ensuite, cela vient peut-être de l’absence du correctif KB5065789 sur votre machine AVD, pourtant en version 24H2.
Pour remédier à cette mise à jour manquante, connectez-vous avec un administrateur sur votre machine AVD, puis lancez la commande PowerShell suivante pour vérifier les correctifs installés :
Get-HotFix | Where-Object {$_.HotFixID -like "KB506*"}
Si besoin, allez dans Windows Update, puis lancez la recherche de mises à jour :
Redémarrez si nécessaire :
Vérifiez avec la commande PowerShell que le correctif KB5065789 (24H2) est maintenant bien présent :
Get-HotFix | Where-Object {$_.HotFixID -like "KB506*"}
Retournez sur la page web de Azure Virtual Desktop ouverte avec le compte invité :
Constatez cette fois la bonne ouverture de session sur votre compte invité :
Souci II – Impossible de choisir une entreprise via Windows App :
Si, dans Windows App, le choix d’une authentification alternative n’apparaît pas, et que l’application ne vous propose qu’une adresse e-mail à renseigner :
C’est qu’il vous manque une clef de registre Windows pour faire apparaître ce choix alternatif.
Pour cela, sur votre PC local, ouvrez PowerShell en tant qu’administrateur puis lancez la commande indiquée pour forcer l’activation de la nouvelle interface de connexion dans l’application Windows App :
reg add "HKLM\SOFTWARE\Microsoft\WindowsApp\Flights" /v EnableIdSignInUx /t REG_DWORD /d 1 /fFermez, rouvrez l’application Windows App, puis cliquez sur S’authentifier, afin de voir le choix apparaître maintenant :
Souci III – Impossible de se connecter via Windows App – Erreur 7q6ch :
J’ai rencontré ce souci lors de l’authentification dans l’application Windows App, sur 2 postes uniquement. Les autres n’ont posé aucune difficulté.
Malgré une authentification réussie pour mon compte invité, le message d’erreur suivant apparaissait :
Suivi de ce seconde message :
Malgré plusieurs réinstallations de l’application Windows App, je n’ai pas encore trouvé la cause de ce souci. Je suis toujours en contact avec les équipes de Microsoft pour en comprendre la cause.
Conclusion
L’arrivée des identités externes sur Azure Virtual Desktop simplifie enfin l’accès des prestataires et partenaires, sans créer de comptes temporaires.
La fonctionnalité reste en préversion publique avec plusieurs limites (SSO partiel, stratégies Intune incomplètes, pas de support Government/cross-cloud), mais Microsoft annonce déjà des évolutions à venir.
C’est donc le bon moment pour tester, identifier les impacts et se préparer à son adoption lorsque ces restrictions seront levées.
