Combien de clics faut-il réellement pour capturer proprement une image AVD, la versionner dans une galerie, puis redéployer 10 hôtes sans erreur ? Si vous administrez Azure Virtual Desktop au quotidien, vous connaissez la réalité : le portail Azure fonctionne très bien… mais l’opérationnel est répétitif, chronophage, et parfois fragile. Image → Sysprep → Snapshot → Galerie → Version → Déploiement → Intégration au pool → Vérifications. Et on recommence !
Azure Virtual Desktop a énormément évolué ces dernières années. Builder, améliorations ARM/Bicep, automatisations natives… mais malgré tout, dans la vraie vie d’un admin ou d’un architecte, on cherche surtout à raccourcir la boucle opérationnelle.
C’est exactement là que WVDAdmin entre en jeu. Un outil communautaire, simple, direct, qui ne cherche pas à réinventer AVD, mais à compresser le quotidien.
Et pour vous guider plus facilement dans cet article très long, voici des liens rapides :
WVDAdmin est un outil graphique communautaire pour administrer Azure Virtual Desktop (anciennement Windows Virtual Desktop) via une application installée localement. WVDAdmin a été développé par Marcel Meurer et est disponible via son blog ITProCloud.
Qui est Marcel Meurer ?
Marcel Meurer est un expert allemand spécialisé dans Azure Virtual Desktop (AVD) et l’automatisation Azure. Il a reçu une double nomination en tant que Microsoft MVP, et il fait partie de ce prestigieux programme depuis plus de onze années.
Marcel Meurer est également le créateur de Hydra for Azure Virtual Desktop. Nous reviendrons sur Hydra for Azure Virtual Desktop dans un prochain article.
Que peut-on faire avec WVDAdmin ?
Une bonne manière de comprendre WVDAdmin est la suivante : il ne cherche pas à « remplacer Azure Virtual Desktop », mais à compresser la boucle opérationnelle (image → déploiement → exploitation → mise à jour) en moins de clics et dans une interface unique.
Workflow d’image golden : création d’images à partir d’un « golden master » sans détruire la VM maître/modèle, avec gestion de Sysprep, des applications modernes et des opérations de nettoyage.
Déploiement (rollout) : déploiement de plusieurs hôtes de session, choix des tailles de VM par déploiement, prise en charge des disques éphémères, et options telles que « AAD only / joint à MEM/Intune » (selon l’auteur).
Opérations sur les ressources AVD : création, ajout et suppression de pools d’hôtes, groupes d’applications, espaces de travail et hôtes de session.
Opérations sur les sessions : déconnexion, délogage, envoi de messages et shadowing.
Opérations générales sur les VM Azure : inventaire des VM sur plusieurs abonnements (via Azure Resource Graph, avec un délai signalé), exécution de scripts à distance, snapshots/restaurations, et même réduction de la taille des disques OS.
Opérations en simultané : WVDAdmin supporte plusieurs tâches en simultané afin de gagner en efficacité.
WVDAdmin vs Hydra for AVD ?
WVDAdmin est à l’origine un outil communautaire gratuit pour Azure Virtual Desktop. WVDAdmin est intéressant lorsqu’on cherche une méthode rapide pour faire de l’imaging et du déploiement AVD. C’est une application Windows utilisée de manière interactive, donc sans automatisation planifiée.
Hydra en est une évolution plus avancée et orientée production (autoscaling, multi-tenant, orchestration plus poussée, etc.). Hydra apporte l’automatisation complète, l’optimisation des coûts, le monitoring via l’Hydra Agent, et supporte aussi des scénarios Azure Local.
WVDAdmin est donc un choix pertinent si l’on veut éviter de déployer des ressources supplémentaires Azure comme celles nécessaires pour Hydra.
Critère
WVDAdmin
Hydra
Type
Outil GUI local
Plateforme SaaS
Autoscaling
❌
✅
Multi-tenant
Limité
Oui
Coût
Gratuit
Payant
Infrastructure supplémentaire
Non
Oui
Est-ce que WVDAdmin est toujours maintenu ?
L’outil WVDAdmin existe maintenant depuis au moins 5 ans. WVDAdmin est toujours maintenu, mais n’est peut-être plus aussi activement développé comme avant (les efforts d’amélioration sont principalement concentrés sur Hydra).
Il reçoit encore des mises à jour, principalement pour prendre en compte les nouveaux SKUs Azure, corriger des bugs ou assurer la compatibilité avec certains changements d’API :
Quoi qu’on en dise, plusieurs dernières releases de WVDAdmin sont sorties en 2026, avec une dernière version publiée le 06/02/2026 :
Combien coûte WVDAdmin ?
Là encore nous pouvons lui dire merci, car WVDAdmin un outil licence-free pour Azure Virtual Desktop, utilisable sans frais supplémentaires pour l’administration des ressources AVD via une application Windows.
WVDAdmin accès aux ressources Azure par le biais d’un principal de service, protégé par un secret. Celui-ci dispose de permissions sur AVD et sur les ressources Azure. L
’objectif est notamment d’éviter toute confusion lorsque l’administrateur IT est un compte invité dans un tenant client et doit changer régulièrement de tenant.
Voici d’ailleurs un exemple de fonctionnement dans le cadre de plusieurs tenants :
Comment WVDInfra marche ?
Au travers de sa chaîne YouTube, Marcel a mis à disposition une playlist spécifiquement consacré à WVDInfra, de son installation à différentes qu’il peut faire sur votre environnement Azure Virtual Desktop :
Et enfin, comme toujours, je vous propose dans la suite de cet article d’effectuer ensemble un pas à pas pour couvrir l’installation de WVDInfra, sa mise en service, la capture d’une image Windows 11 custom et enfin la création d’une hôte dans un environnement AVD :
Lancez l’installation en spécifiant le contexte d’utilisation de celle-ci, puis cliquez sur Suivant :
Acceptez les termes et conditions, puis cliquez sur Suivant :
Cliquez sur Suivant pour démarrer l’installation :
Une fois l’installation réussie, cliquez ici pour fermer :
Cliquez sur WVDAdmin présent dans dans le menu Démarrer :
WVDAdmin se charge et n’affiche pour le moment aucune ressource ou information de l’environnement Azure :
Pour cela WVDInfra vous demande les informations suivantes sur l’onglet « Welcome » :
l’ID de tenant
le secret client
l’ID client du principal de service
Mais avant d’aller plus loin, il est nécessaire de configurer ce nouveau principal de service sur votre tenant afin de donner à WVDInfra un moyen de s’y authentifier :
Etape II – Configuration Entra :
La création du principal de service via le centre d’administration Entra :
Nommez votre application, puis cliquez ici :
Pour permettre la résolution des utilisateurs et groupes, des permissions doivent être rajoutées :
Cherchez la permission suivante, puis cliquez sur Ajouter :
WVDInfra a besoin d’un consentement administration afin d’accorder les permissions demandées au nom de toute l’organisation :
Vérifiez le changement de statut des permissions :
Le client secret est l’équivalent d’un mot de passe pour l’application. Il sert à authentifier l’application lorsqu’elle demande un token OAuth à Microsoft Entra ID. Ajoutez un secret à votre application WVDInfra :
Copiez la valeur de votre secret immédiatement lors de sa création, car il ne sera plus affiché par la suite :
L’ID d’application (client) et l’ID du tenant doivent être conservés pour la suite :
Collez ces trois valeurs dans l’interface de WVDInfra, sauvegardez, puis lancez un rechargement de l’inventaire :
A ce stade, WVDInfra a bien accès au tenant mais pas encore au ressource Azure :
En l’état, l’application WVDInfra a le service principal, avec qui il peut s’authentifier avec son client ID et son secret, mais n’a par défaut aucun droit sur les ressources Azure. Il peut demander un token, mais ce token ne lui permet rien tant qu’on ne lui attribue pas un rôle RBAC.
Etape III – Configuration Azure :
WVD infra doit modifier des ressources Azure. Et attribuer un rôle RBAC au service principal WVDInfra revient à dire : “Cette application a le droit de faire telle action, sur tel périmètre.”
Pour cela, configurez avec le rôle RBAC de Contributeur sur l’application WVDInfra :
Sur WVDInfra, relancez un rechargement afin de voir apparaître l’inventaire des groupes de ressources et des VMs :
Etape IV – Test de capture d’une VM :
Microsoft recommande que tous les hôtes de session d’un pool soient issus de la même image afin de garantir une expérience utilisateur cohérente. WVDAdmin positionne l’imagerie comme une fonctionnalité centrale : création d’images à partir d’un golden master sans détruire la VM source.
Créez une machine virtuelle Azure :
Créez également une galerie d’images :
Sur WVDInfra, lancez la création d’image depuis votre machine virtuelle :
Les journaux de WVDInfra commence par montrer la création de ressources Azure temporaires (snapshot, VM temporaire, disque temporaire) :
Par la suite, les journaux de WVDInfra montre la généralisation de l’image, la création de la version dans la galerie :
Enfin, les journaux de WVDInfra montre le nettoyage complet des ressources Azure temporaires :
En quelques clics, nous avons une image prête à être déployée sur votre environnement Azure Virtual Desktop. La suite des étapes se fait toujours dans WVDInfra.
Etape V – Test de création d’un hôte :
Avant cela, créez les objets AVD de base (pools d’hôtes, groupes d’applications, espaces de travail) :
Retournez sur WVDInfra, sélectionnez la version d’image, puis lancez le processus de création d’hôtes AVD :
Renseignez le formulaire de déploiement :
le nommage des VM,
le nombre d’hôtes,
la version d’image,
le pool d’hôtes,
le sous-réseau,
les paramètres de disque,
la taille des VM,
les options de jointure Entra / Intune.
Puis lancez la création des machines virtuelle AVD :
Les journaux confirment la création de la VM et de son intégration au pool d’hôtes :
Constatez sur le portail Azure la création de ressources :
Votre pool d’hôtes affiche la nouvelle capacité disponible :
Dams mon cas, l’hôte de session apparait comme appareil joint à Entra ID :
Cette hôte de session est également enrôlés dans Intune :
Un test en session (nom de machine, version de l’OS, application installée) valide le bon fonctionnement :
Etape VI – Fonctionnalités annexes :
WVDAdmin couvre également beaucoup d’opérations IT sur les machines virtuelles Azure :
démarrage, arrêt, redémarrage, hibernation
changement de taille de la VM
Certains actions particulières, comme l’exécution de scripts, sont possibles :
Ou encore la création de snapshot ou le redimensionnement de disque OS :
D’autres sont propres aux machines virtuelles AVD :
gestion du mode drain
actions sur les sessions
suppression complète de l’hôte
Il permet aussi de modifier les affectations se font au niveau des groupes d’applications :
La gestion des applications publiées aussi possible :
Mon avis personnel
Je vais être clair. WVDAdmin n’est pas un remplacement du portail d’Azure Virtual Desktop. Ce n’est pas non plus une solution d’architecture d’entreprise complète. C’est un accélérateur opérationnel.
Et dans certains un contextes, WVDAdmin est redoutablement efficace :
Lab
PoC
Environnement SMB
Client où l’on veut éviter de déployer une surcouche d’automatisation complète
Équipe IT réduite
La capture d’image est propre, le déploiement est rapide, L’interface centralise ce que le portail disperse. Besoin de plus ? Hydra for AVD sera peut être votre réponse.
Conclusion
Azure Virtual Desktop continue de se moderniser, les outils natifs progressent et l’automatisation devient centrale.
Mais entre la théorie et le terrain, il y a toujours l’opérationnel quotidien. WVDAdmin n’a jamais prétendu pas transformer votre architecture, mais il simplifie votre quotidien. Il évite les allers-retours dans le portail, réduit la friction et accélère les tâches répétitives.
Dans un monde où l’on parle beaucoup d’IA, d’automatisation avancée et de plateforme complexe, parfois un bon outil bien conçu fait simplement gagner du temps.
Et en tant qu’architecte AVD, je préfère toujours une solution claire, maîtrisée et comprise, plutôt qu’une sur-ingénierie inutile.
WVDAdmin ne remplace pas une stratégie, il optimise l’exécution. Et ça, pour un admin AVD, ça a énormément de valeur.
Je voulais vérifier un point : un disque OS éphémère (Ephemeral OS Disk) peut être placé sur Temp, NVMe ou Cache selon la série de votre VM. La documentation Microsoft indique que l’option de placement ne change pas la performance ni le coût de l’Ephemeral OS Disk, car la perf dépend du stockage local disponible sur le SKU.
Dans la vraie vie (et dans mes chiffres) : même si les trois restent “OS + éphémère”, le placement change le chemin I/O réel, et donc le comportement sous pression : la différence la plus visible n’est pas toujours l’IOPS moyen, mais la distribution de latence (p95/p99/p99.9) et la stabilité en charge soutenue.
Plusieurs articles ont déjà été écrits sur les performances de stockages Azure :
Mais avant d’aller directement dans les tests, prenons le temps de parcourir ensemble quelques notions concernant le stockage temporaire local attaché une machine virtuelle.
Qu’est-ce qu’un stockage temporaire local ?
Certaines tailles de machine virtuelle Azure incluent un stockage local temporaire éphémère, certaines des tailles les plus récentes utilisant des disques NVMe locaux temporaires.
Le stockage temporaire local utilise des disques supplémentaires approvisionnés directement en tant que stockage local sur un hôte de machine virtuelle Azure, plutôt que sur le stockage Azure distant. Ce type de stockage convient le mieux aux données qui n’ont pas besoin d’être conservées définitivement, telles que les caches, les mémoires tampons et les fichiers temporaires.
Le disque temporaire (souvent D: sous Windows) est un disque local éphémère classique : les données sont potentiellement perdues en si maintenance/redeploy/deallocate. Un disque OS éphémère peut être placé dessus (Temp placement, NVMe, ou sur le cache disk) selon le SKU de la machine virtuelle :
Étant donné que les données stockées sur ces disques ne sont pas sauvegardées, elles sont perdues lorsque la machine virtuelle est libérée ou supprimée. Le stockage éphémère est recréé au démarrage. Les disques éphémères locaux sont différents des disques de système d’exploitation éphémères.
Un disque OS éphémère est un disque système stocké localement sur l’hôte Azure, et non sur un stockage distant Azure Storage. Le point le plus important est que celui-ci est non persistant : en cas de redéploiement, de recréation, le disque OS éphémère revient toujours à l’image de départ.
Les disques de système d’exploitation éphémères sont créés sur le stockage local de la machine virtuelle (VM) et ne sont pas enregistrés dans le Stockage Azure à distance.
Le premier avantage concerne le prix : On ne paye pas le volume de stockage du disque éphémère. Celui-ci est intégré au prix de la machine virtuelle. De plus, les performances sont bien meilleures que la plupart des disques :
Les disques OS éphémères conviennent parfaitement aux charges de travail sans état, dans lesquelles les applications tolèrent les pannes de machines virtuelles individuelles tout en restant sensibles aux délais de mise en service ou à la réimagerie d’instances spécifiques.
Comparé à un disque de système d’exploitation standard, un disque éphémère offre une latence plus faible pour les opérations de lecture/écriture et permet une réinitialisation plus rapide des machines virtuelles.
Comme annoncé plus haut, le disque OS éphémère ne doit pas contenir de la donnée critique. De plus, des fonctionnalités basiques ne sont pas disponibles :
Arrêt / Démarrage de la VM
Capture d’image VM
Captures instantanées de disque
Azure Disk Encryption
Échanges de disques système d’exploitation
Sur le portail Azure, certains menus sont tout simplement grisés pour ce type de VM :
Les fonctionnalités de sauvegarde et de reprise d’activité après sinistres sont elles aussi désactivés :
Comment savoir si le SKU de ma VM dispose d’un stockage temporaire local ?
La doc détaille trois placements possibles selon les VM :
NVMe Disk Placement (GA sur des séries récentes v6+)
Temp Disk / Resource Disk Placement
Cache Disk Placement
La nature et le volume du stockage temporaire local dépend en effet de la famille et du SKU de votre machine virtuelle :
Quid de la SLA d’une VM avec un disque OS éphémère ?
Le base disk influence l’engagement contractuel et certaines phases de provisioning, mais il ne modifie pas le chemin I/O steady-state de l’OS.
Depuis peu, Azure permet de choisir le type de “base disk” associé à un disque OS éphémère : Standard HDD, Standard SSD ou Premium SSD.
Attention cependant, ce “base disk” ne correspond pas au support physique sur lequel l’OS s’exécute.
Dans le cas d’un disque OS éphémère, le système fonctionne toujours sur le stockage local de l’hôte (NVMe / Temp / Cache selon le placement). Le type de base disk désigne le type de disque managé logique utilisé par Azure lors du provisioning et pour l’engagement contractuel.
La prise en charge SSD est une nouvelle option qui permet aux clients de choisir le type de disque principal utilisé pour le disque d’OS éphémère. Auparavant, le disque de base ne pouvait être qu’un HDD standard. À présent, les clients peuvent choisir entre les trois types de disques : HDD Standard (Standard_LRS), SSD Standard (StandardSSD_LRS) ou SSD Premium (Premium_LRS). En utilisant SSD avec disque de système d’exploitation éphémère, les clients peuvent bénéficier des améliorations suivantes :
Contrat SLA amélioré : les machines virtuelles créées avec SSD Premium fournissent un contrat SLA supérieur à celui des machines virtuelles créées avec hDD Standard. Les clients peuvent améliorer le contrat SLA pour leurs machines virtuelles éphémères en choisissant SSD Premium comme disque de base.
Le choix du base disk peut améliorer la SLA contractuelle de la VM.
Il peut également influer sur certaines phases spécifiques (provisioning, re-imaging, lectures liées au backing managed disk).
En revanche, il ne modifie pas les performances steady-state du stockage local sur lequel tourne réellement l’OS.
Autrement dit :
Choisir Premium SSD comme base disk améliore la SLA et certains scénarios liés au provisioning, mais ne transforme pas un placement NVMe ou Temp en Premium SSD local.
Pourcentage de disponibilité (SSD Premium, SSD Premium v2 et Ultra Disk)
Pourcentage de disponibilité (disque géré SSD standard)
Pourcentage de disponibilité (disque géré HDD standard)
Avoir Service
< 99,9 %
< 99,5 %
< 95 %
10 %
< 99 %
< 95 %
< 92 %
25 %
< 95 %
< 90 %
< 90 %
100 %
Quid des performances d’une VM avec un disque OS éphémère ?
Le disque OS éphémère exploite le stockage local intégré à la machine virtuelle. Étant donné que différentes machines virtuelles ont différents types de stockage local (disque de cache, disque temporaire et disque NVMe), l’option de placement définit l’emplacement où le disque de système d’exploitation éphémère est stocké. Le choix du placement n’influence ni les performances ni le coût du disque OS éphémère. Ses performances reposent sur le stockage local de la machine virtuelle. Selon le type de machine virtuelle, trois modes de placement sont proposés.
Placement de disque NVMe (généralement disponible) : le type de placement de disque NVMe est désormais en disponibilité générale (GA) sur la dernière série de machines virtuelles v6 de la dernière génération, comme Dadsv6, Ddsv6, Dpdsv6, etc.
Placement de disque temporaire (également appelé Placement de disque de ressources) : le type de placement de disque temporaire est disponible sur les machines virtuelles avec un disque temp comme Dadsv5, Ddsv5, etc.
Emplacement du disque de cache : le type de placement du disque de cache est disponible sur les anciennes machines virtuelles qui avaient un disque de cache tel que Dsv2, Dsv3, etc.
La performance théorique dépend du SKU, pas du placement. En revanche, comme chaque placement repose sur un support physique différent (NVMe, temp disk, cache disk), le comportement réel sous charge peut varier sensiblement.
Mais cette seconde partie de la documentation Microsoft m’intrigue quand même :
Amélioration des performances : en choisissant SSD Premium comme disque de base, les clients peuvent améliorer les performances de lecture du disque de leurs machines virtuelles. Bien que la plupart des écritures se produisent sur le disque temporaire local, certaines lectures sont effectuées à partir de disques managés. Les disques SSD Premium fournissent 8 à 10 fois plus d’IOPS que hDD Standard.
J’ai créé plusieurs machines virtuelles avec le SKU Standard_D32ads_v7, dont voici les performances pour le stockage local :
Pourtant, les deux différents type de disque OS éphémère créés indiquent exactement les mêmes performances sur le portail Azure :
En extrapolant naïvement à partir de la capacité totale locale (440 Go x4), j’aurais pu m’attendre qu’en faisant un produit en croix basé sur la taille totale des 4 disques locaux attachés à ma VM, je m’attendais à trouver les performances suivantes sur mon disque OS éphémère :
IOPS max : 43296 IOPS
Bande passante max : 323 Mo/sec
Passons maintenant à l’approche utilisée pour mes tests.
Protocole de test que j’ai déployé :
Machines virtuelles Azure :
Pour éviter toute ambiguïté, les 4 VMs utilisent toutes un disque OS avec Windows Server 2022, mais sur des placements différents :
Nom de VM
SKU
Type de disque OS
perftemp
Standard_D32ads_v5
Ephemeral OS Disk – Temp placement
perfnvme-vm
Standard_D32ads_v7
Ephemeral OS Disk – NVMe placement
perfcache
Standard_D32ds_v4
Ephemeral OS Disk – Cache placement
perfssd
Standard_D32ads_v7
OS Disk Premium SSD (référence)
Outils de mesure :
Plusieurs outils de mesures ont été utilisés afin de mieux comprendre les performances :
L’outil a été laissé dans sa configuration de base. Cela permet de provoquer :
Meilleur profit des caches (OS, contrôleur, stockage local, cache host)
Meilleur visu du burst (très bon pendant un court moment)
Ne force pas steady-state
Comme attendu, cela donne des chiffres parfois “spectaculaires”, notamment en lecture. Et c’est exactement le biais évoqué plus haut qui en ressort :
Tests courts
Pas de warm-up réel
Influence potentielle du cache
CrystalDiskMark confirme les tendances générales, mais ne permet pas de juger la stabilité sous charge soutenue.
AS SSD Benchmark – Latence & Incompressible :
AS SSD Benchmark va un peu plus loin que CrystalDiskMark et donne d’autres infos : Seq / 4K / 4K-64Thrd + “Acc.time”. Cela donne dans les résultats une meilleure visibilité des différences d’écriture, parfois très forts selon le disque.
AS SSD est connu pour être très sensible à :
la façon dont le chemin I/O gère les écritures (flush, cache, barrières)
la latence (et il la met en avant via “Acc.time”)
et la façon dont le driver/stack de stockage réagit
AS SSD peut donc apparaître comme plus sévère que CrystalDiskMark sur les écritures quand il tombe sur un scénario où le stockage/driver applique davantage de contraintes (flush/ordering).
Les tests faits via AS SSD nous apporte donc ici deux éléments intéressants :
Mesure directe de latence d’accès
Test incompressible (moins biaisé par cache/compression)
Dans notre cas, on peut donc en déduire que disque éphémère NVMe domine clairement en latence pure, que le disque éphémère temporaire reste très proche, que le disque éphémère cache montre une latence un peu plus élevée, et que le disque Premium SSD affiche la latence la plus importante.
Le score global reflète davantage l’expérience “ressentie” qu’un simple IOPS max.
fio – tests soutenus proches d’un workload :
Contrairement à CrystalDiskMark (smoke test court) et AS SSD (latence & incompressible), fio permet de :
contrôler précisément le pattern I/O
imposer une durée suffisante
forcer le bypass du cache OS (–direct=1)
introduire une phase de warm-up
mesurer les percentiles élevés (p95, p99, p99.9)
Autrement dit, fio mesure le comportement soutenu proche d’un workload réel.
Je suis passé par Chocolatey pour installer fio sur mes 4 machines virtuelles Azure grâce au script PowerShell suivant :
J’ai ensuite lancé le script fio suivant sur chacun des machines virtuelles pour générer et centraliser mes résultats sur un Azure file share. Dans ce script, fio teste :
Random 4K en montée de charge (sweep de queue depth QD1→64) en lecture/écriture
Un “peak” comparable : random 4K QD32, 8 jobs (lecture + écriture).
Un run plus long “steady-state” : random write 4K QD32, 8 jobs (soutenu).
Le coût de la durabilité/synchronisation : random write 4K QD1, 1 job, fsync=1.
Le débit séquentiel : read/write 1M, QD32, 4 jobs.
Sur Temp, Cache et NVMe, on peut lire que Peak ≈ Steady. Cela signifie que :
Pas de burst artificiel
Pas d’effet cache court terme
Pas de chute après 30 secondes
Pas d’effondrement après warm-up
Le comportement observé est soutenu, et c’est extrêmement important, car beaucoup de benchmarks “rapides” montrent un pic initial qui s’effondre après 1 à 2 minutes. Ici, ce n’est pas le cas.
NVMe vs Temp : contre-intuitif
Intuitivement, on pourrait penser que NVMe est supérieur à Temp. Or, en écriture 4K soutenue :
Temp : 153k IOPS
NVMe : 60k IOPS
Ce n’est pas un artefact. De plus : Peak = Steady sur NVMe Cela indique un plafond structurel, pas un effet transitoire. La performance dépend donc du chemin I/O exposé par le SKU, pas uniquement de la nature “NVMe” du support. C’est un point fondamental.
Premium SSD : changement de catégorie
Enfin, nous sommes dans un monde différent avec le premium ssd, En 4K write steady, le Premium SSD monte à 2 926 IOPS, avec un pique à 3500 IOPS. On n’est plus dans la même catégorie. Le disque managé respecte son cap IOPS contractuel :
Ce test montre très clairement la différence entre un stockage managé distant avec limite provisionnée et stockage local intégré au SKU.
Si un stockage persistant est nécessaire, à vous maintenant de voir quel disque correspondra mieux à vos besoins :
Pourquoi regarder p99/p99.9 et pas juste les IOPS ?
Microsoft documente les notions de limites cached/uncached et le fait qu’un workload peut être IO capped. Quand cela arrive :
Les IOPS plafonnent
La file d’attente sature
La latence augmente
Ton plateau write NVMe en 4K random (QD sweep) a exactement la signature d’une limite plateforme. Deux disques peuvent faire 100k IOPS :
L’un avec P99.9 à 10 ms
L’autre avec P99.9 à 50+ ms
Ils n’auront pas du tout la même sensation côté OS. Le P99.9 capture les moments où :
la queue est saturée
un flush bloque
un throttling intervient
C’est ce qui compte en production.
Comment le cache d’Azure nous trompe ?
Microsoft indique qu’un disque avec host caching peut temporairement dépasser la limite disque. Cela explique pourquoi :
CrystalDiskMark peut afficher des chiffres “incroyables”
Un bench court peut mesurer le cache plutôt que le support réel
Si un benchmark va “trop vite”, c’est souvent un cache. De plus :
Microsoft recommande un warm-up
Les cached reads atteignent leurs meilleurs chiffres après stabilisation
Le cache modifie donc la mesure. En write, ce n’est pas magique :
Quand le caching est en Read/Write, l’écriture doit être validée dans le cache et sur le disque. Elle compte dans les limites cached et uncached. Le cache ne supprime pas la limite soutenue.
Pourquoi certains outils de mesure peuvent être trompeur lors de tests sur Azure ?
De ce fait, certains outils comme CrystalDiskMark, sont très bien pour un smoke test, mais :
Les durées courtes,
Les patterns,
et l’absence de phase de warm-up
font qu’ils mesurent souvent le cache, pas le support réel. Un chiffre « trop beau » est souvent… un cache.
La limite n’est pas le disque. C’est la VM :
VM
vCPU
Peak 4K Read
Peak 4K Write
Steady 4K Write
P99 Write (µs)
P99.9 Write (µs)
D32ads_v7
32
~146k
~60k
~60k
~601
~1048
D64ads_v7
64
~291k
~120k
~120k
~580
~1010
VM
Seq Read
Seq Write
D32ads_v7
~1071 MiB/s
~536 MiB/s
D64ads_v7
~2144 MiB/s
~1067 MiB/s
Ces nouveaux tests montrent un comportement très clair :
NVMe en D32 plafonne à ~60k IOPS write
Le même NVMe en D64 monte à ~120k IOPS
La latence reste comparable
Le support physique n’a pas changé. Le workload n’a pas changé. Le placement n’a pas changé.Ce qui a changé : le SKU, cela démontre que Le plafond de performance est imposé par la capacité I/O exposée par la VM, pas par le média NVMe lui-même.
Autrement dit, le NVMe ne “donne” pas 60k IOPS, la VM D32 expose 60k IOPS.
Mais attention, les chiffres donnés dans la documentation Microsoft décrivent le potentiel maximal du stockage local temporaire de la VM (souvent agrégé sur plusieurs disques). Un disque OS éphémère ‘NVMe placement’ n’est pas automatiquement équivalent à ce chemin I/O, et un test ‘fichier’ ajoute un overhead. On compare donc des plafonds de nature différente.
Pourquoi les tests “fsync=1” ne prouvent pas la durabilité ?
fsync=1 mesure le coût d’un flush côté OS, mais ne prouve pas la persistance réelle sur le média ou la résistance à un crash hôte. fio indique qu’en non-buffered I/O, il peut ne pas sync comme attendu :
fsync=1 force un flush côté OS
mais ça ne valide pas une persistance réelle côté hyperviseur / host
ce n’est pas un test de crash-consistency
Donc si tu veux un “durability test”, il faut une variante (ex : buffered ou job dédié) et mesurer la phase sync séparément.
Conclusion
Si je résume :
Les trois disques OS éphémères surpassent le Premium SSD managé
NVMe offre une latence très stable et évolue fortement avec le SKU
Temp placement reste le plus performant en écriture 4K soutenue dans ce test précis
Cache dépend davantage du comportement de file d’attente
Mais surtout, Microsoft a raison : la performance dépend du stockage local. Mais ce que la documentation ne met pas en avant, c’est que le stockage local n’est pas homogène selon le placement. Et c’est là que tout se joue :
Les différences ne sont pas toujours visibles sur l’IOPS moyen. Elles apparaissent dans les percentiles élevés (p99/p99.9)
C’est exactement ce que Microsoft ne détaille pas explicitement : la performance dépend du stockage local… mais le stockage local n’a pas la même nature physique selon le placement
D’un point de vue technique :
Le placement ne change pas le coût
Le placement ne change pas la “promesse marketing”
Mais le placement change le chemin I/O réel
Et donc, en fonction de la charge de travail :
Pour une charge de travail sensible à la latence (SQL temporaire, build intensif, traitement parallèle), le NVMe placement est clairement le plus intéressant.
Pour des workloads stateless classiques, Temp reste un excellent compromis.
Le Cache placement, sur des générations plus anciennes, reste viable mais moins moderne.
Enfin, un Premium SSD managé reste plus simple opérationnellement, mais il est largement dépassé en performance pure par le stockage local éphémère.
Les services de calcul représentent souvent l’essentiel des coûts sur Azure. Pour les charges de travail qui fonctionnent en continu, les instances réservées apportent une réduction notable des tarifs à la carte. En s’engageant sur une durée d’un ou trois ans, il est possible de réaliser jusqu’à grosses économies par rapport au modèle pay‑as‑you‑go. Mais est-on alerté quand ces réductions sont disponibles pour notre environnement Azure, ou qu’elles expirent ?
Dans cet article, nous revenons sur le fonctionnement des instances réservées, leur gestion (notamment le renouvellement automatique) et sur la création d’alertes Azure Advisor pour être notifié lorsqu’une réservation devient pertinente ou expire.
Qu’est-ce qu’une instance réservée Azure ?
Une instance réservée est un engagement de capacité : vous acceptez d’utiliser un type d’instance ou une famille d’instances dans une région spécifique pendant une durée déterminée, en échange d’un prix réduit. Les réservations s’achètent pour un an ou trois ans :
Quand acheter une réservation ?
Les instances réservées sont particulièrement adaptées aux charges stables et prévisibles. La documentation Microsoft recommande d’opter pour une réservation lorsque vous prévoyez d’utiliser le même type d’instance ou la même famille dans une région donnée pendant toute la durée de l’engagement.
À l’inverse, si vos applications changent fréquemment de configuration ou de région, les savings plans peuvent être plus appropriés car ils s’appliquent à un montant horaire sur plusieurs services et régions. Néanmoins, une instance réservée reste l’option la plus économique lorsque son utilisation est maximale.
Que doit-on faire pour appliquer la remise ?
Une fois la réservation achetée, la remise est appliquée automatiquement aux machines virtuelles, SQL Database, Cosmos DB ou d’autres services éligibles qui correspondent aux attributs choisis (SKU, région, étendue).
Les réservations n’affectent pas l’état d’exécution des ressources : si une machine est mise à l’arrêt ou redimensionnée, le rabais se reporte sur une autre ressource compatible, sinon la portion inutilisée est perdue :
Quid d’une machine virtuelle dont la taille varie ?
Une instance réservée s’applique sur une famille de machines virtuelles : même si le SKU d’une RI correspond à un SKU spécifique d’une VM, il peut s’appliquer à d’autres tailles d’une même famille via un ratio :
Le tableau ci-dessus affiche des instances réservées pour des machines virtuelles. Comment fonctionne une instance réservée ? Il faut simplement voir celle-ci comme une place de parking, louée pour un ou trois ans chez Microsoft :
Comme le montre ce schéma, la taille de l’instance réservée doit être en relation avec la taille de la ressources Azure.
Il est donc possible d’optimiser votre réservation pour la flexibilité de taille. Dans ce mode, la remise s’applique à toutes les tailles d’instances d’un même groupe. Par exemple, une réservation achetée pour une instance de la série DSv2 (par exemple Standard_DS3_v2) peut s’appliquer aux autres tailles de ce groupe : Standard_DS1_v2, Standard_DS2_v2, Standard_DS3_v2 et Standard_DS4_v2
Quid de la durée et la fréquence de paiement ?
Le choix de la durée dépend de la stabilité de votre charge. Les engagements d’un an offrent plus de flexibilité tandis que les engagements de trois ans maximisent les économies. Vous pouvez régler la réservation en une seule fois ou mensuellement ; le coût total reste identique et aucune pénalité n’est appliquée en cas de paiement échelonné, sauf le taux de change qui varie dans le temps :
Qu’est-ce qui n’est pas couvert par la RI ?
La remise porte uniquement sur les coûts de calcul. Pour les machines virtuelles, elle concerne les cœurs et la mémoire mais ne couvre pas les licences Windows ni les frais de stockage, réseau ou logiciels.
Les licences peuvent être prises en charge via l’Azure Hybrid Benefit, et les autres coûts sont facturés séparément. En revanche, de nombreux services Azure disposent de capacités réservées pour réduire leurs propres coûts de calcul.
Qu’est-ce qu’Azure Hybrid Benefit ?
Azure Hybrid Benefit est un avantage en matière de licences qui vous permet de réduire considérablement les coûts d’exécution de vos charges de travail dans le cloud. Son fonctionnement consiste à vous autoriser à utiliser vos licences Windows Server et SQL Server compatibles sur Azure.
Il est donc possible d’acheter des licences en souscriptions annuelles ou pluriannuelles. Les économies représentent des sommes non négligeables.
Cet avantage permet donc d’utiliser les licences Windows Server ou SQL Server existantes éligibles, et ainsi de ne payer que le tarif de base des machines virtuelles.
Que se passe-t-il à la fin du contrat de la RI ?
Lorsque vous achetez une réservation, le renouvellement automatique est souvent activé par défaut. Cette fonction permet de racheter automatiquement une réservation équivalente à l’expiration de la précédente, afin de continuer à bénéficier de la remise sans surveillance quotidienne.
Vous pouvez activer ou désactiver cette option à tout moment dans le portail Azure. Le prix du renouvellement est disponible 30 jours avant la date d’expiration. Si la réservation n’est pas renouvelée, vos ressources continuent de fonctionner, mais elles repassent en facturation à l’usage.
Peut-on annuler une instance réservée en cours d’engagement ?
Oui, Microsoft permet l’annulation d’une RI pendant sa durée d’engagement, sous conditions :
Les remboursements sont calculés en fonction du prix le plus bas de votre prix d’achat ou du prix actuel de la réservation.
Nous ne facturons actuellement aucun frais de résiliation anticipée, mais des frais de résiliation anticipée de 12 % pourraient s’appliquer à l’avenir en cas d’annulation.
L’engagement total annulé ne peut pas dépasser 50 000 USD dans une période de 12 mois pour un profil de facturation ou une inscription unique.
Lorsqu’une réservation est échangée ou annulée, le remboursement est calculé en fonction du nombre de jours restants dans la période de réservation. Le calcul est effectué au format UTC et utilise une formule cohérente pour garantir l’équité et la transparence.
Par exemple, si vous avez acheté une réservation le 10 juillet 2024 et que vous l’avez échangée le 9 juillet 2025, seulement 1 jour reste dans la réservation. Vous recevrez un petit remboursement pour ce seul jour.
Instances réservées vs. Savings Plan ?
Bien que les savings plans partagent l’objectif de réduire les coûts, ils fonctionnent différemment. Une instance réservée vous engage sur un type ou une famille d’instances dans une région donnée et vous apporte la remise la plus élevée lorsque vos machines fonctionnent en continu.
À l’inverse, un savings plan fixe un montant horaire applicable sur plusieurs services de calcul et dans toutes les régions. Cette flexibilité est utile pour les charges de travail qui évoluent et qui se déplacent entre régions, mais les économies sont généralement moindres que celles d’une instance réservée utilisée à 100 %.
Dans la majorité des cas, un utilisateur qui connaît ses besoins à moyen terme gagnera à privilégier la réservation et à activer le savings plan seulement pour les charges variables.
Qu’est-ce qu’Azure Advisor ?
Azure Advisor est un assistant cloud personnalisé qui analyse en continu ta configuration Azure et ton usage pour te fournir des recommandations proactives afin d’optimiser :
la fiabilité
la sécurité
la performance
les coûts
l’excellence opérationnelle
Peut-on y créer des alertes concernant le besoin de RI ?
Comme montré dans une copie d’écran plus haut, Azure Advisor affiche des conseils sur les économies financières possibles sur votre infrastructure Azure. Ces conseils portent également sur l’achat d’instances réservées pour vos services de calcul.
Azure Advisor analyse l’utilisation de vos ressources et émet donc des recommandations lorsqu’il détecte des économies potentielles.
Lorsque Advisor identifie une nouvelle recommandation (par exemple l’achat d’une instance réservée), un événement est enregistré dans le journal d’activité. Il est possible de déclencher une alerte à chaque nouvelle recommandation afin d’être averti par courriel ou via un webhook :
Comme vous pouvez le voir, j’ai créé cette nouvelle alerte sur le type de recommandation suivant :
Consider virtual machine reserved instance to save over the on-demand costs
Comme les alertes configurées dans Azure Monitor, un groupe d’action peut y être affecté :
Une fois l’alerte en place, chaque nouvelle recommandation Advisor se traduira par une notification. Cela vous permet d’acheter les réservations appropriées dès qu’elles sont pertinentes et de réagir lorsque l’une d’elles arrive à expiration.
Ayant configuré une adresse email sur ce groupe d’action, et une fois l’alerte déclenchée, l’email suivant me parvient :
Un clic sur le lien présent dans l’email nous affiche la recommandation concernée dans le portail Azure :
Il ne me reste plus alors qu’à acheter, ou racheter, l’instance réservée appropriée 😎
Conclusion
La maîtrise des coûts est un volet essentiel de l’architecture cloud. En engageant vos ressources sur une durée ferme, les instances réservées vous permettent de réduire significativement vos dépenses tout en conservant la flexibilité de changer de taille ou d’échanger votre réservation en cas d’évolution de vos besoins.
Les fonctionnalités de renouvellement automatique garantissent la continuité des remises, et les alertes Azure Advisor vous aident à prendre les bonnes décisions au bon moment. En combinant analyse de l’utilisation (Advisor), estimation des coûts (calculateur de tarification) et stratégie d’engagement, vous disposez de tous les outils pour optimiser votre facture Azure.
Azure Virtual Desktop est souvent présenté comme une solution offrant un Single Sign-On “natif”. Dès que l’on sort d’un environnement cloud-only pour entrer dans un contexte hybride, les mécanismes d’authentification deviennent toutefois plus complexes, et parfois déroutants. Entre Microsoft Entra ID, Active Directory, Kerberos, PRT, Seamless SSO et Cloud Kerberos Trust, il est facile de confondre des briques aux noms proches, mais qui n’interviennent ni au même moment ni au même niveau.
Dans un précédent article, j’avais détaillé la mise en place du SSO Azure Virtual Desktop dans un environnement cloud-only.
Dans cet article, j’ai volontairement changé de contexte pour travailler sur un environnement hybride. L’objectif de cet article est de répondre aux trois questions suivantes :
Clarifier les mécanismes d’authentification (PRT, Seamless SSO, Kerberos, etc.)
Montrer pas à pas pourquoi certaines étapes sont indispensables pour obtenir un SSO réellement transparent dans AVD.
A quoi sert le Seamless SSO disponible dans Entra Connect Sync ?
Avant d’aborder la configuration et les tests, il est utile de poser le cadre : comprendre quels mécanismes d’authentification sont utilisés, à quel moment, et pourquoi certains fonctionnent seuls alors que d’autres doivent être combinés.
Cette FAQ a pour objectif de lever les confusions les plus fréquentes autour des tokens, du Kerberos, et du Single Sign-On dans un environnement Microsoft Entra hybride.
Quels sont les tokens utilisés par Microsoft Entra ID ?
Microsoft Entra ID utilise plusieurs types de tokens, chacun ayant un rôle précis :
Primary Refresh Token (PRT)
Jeton long terme
Spécifique à l’appareil
Sert à demander d’autres tokens
Utilisé par Windows (WAM – Web Account Manager)
Access Token
Jeton court terme
Présenté aux applications (API, Office, AVD…)
Contient les claims utilisateur
Refresh Token
Permet de renouveler un Access Token
Généralement géré automatiquement par le système
Qu’est-ce que le Primary Refresh Token (PRT) ?
Dans le monde de Microsoft, le PRT est un jeton émis par Microsoft Entra ID lorsqu’un appareil est Microsoft Entra Joined ou Microsoft Entra Hybrid Joined.
Un jeton d’actualisation principal (PRT) est un artefact clé de l’authentification Microsoft Entra dans les versions prises en charge de Windows, iOS/macOS, Android et Linux. Un PRT est un artefact sécurisé spécialement émis aux répartiteurs de jetons microsoft pour activer l’authentification unique (SSO) sur les applications utilisées sur ces appareils.
Le PRT est stocké localement sur la machine et sert de jeton racine pour :
obtenir des tokens d’accès OAuth 2.0
s’authentifier automatiquement aux services cloud Microsoft
éviter toute ressaisie de mot de passe pour les applications modernes
Concrètement, le PRT permet :
l’ouverture automatique de session dans Edge
l’authentification transparente à Office, Teams, OneDrive
l’utilisation de Windows App / Azure Virtual Desktop web
Point important : le PRT n’est pas Kerberos et ne permet pas, à lui seul, d’ouvrir une session Windows sur une machine Active Directory.
Pourquoi le PRT ne suffit-il pas pour Azure Virtual Desktop en mode Hybride ?
Dans un environnement Azure Virtual Desktop en mode Hybride, il y a deux niveaux d’authentification distincts :
Accès au service AVD (broker / portail) → Authentification Microsoft Entra ID → Le PRT suffit
Ouverture de la session Windows sur le session host → Authentification Active Directory → Un TGT Kerberos est obligatoire
Dans un environnement Microsoft Entra Hybrid Joined, le PRT est présent, mais le TGT Kerberos n’est pas automatiquement délivré par Entra.
Cela permet de comprendre pourquoi une seconde authentification Active Directory est fréquemment observée dans de nombreux environnements AVD, après une première authentification Entra.
Qu’est-ce qu’un TGT Kerberos Active Directory ?
Le Ticket Granting Ticket (TGT) est un jeton Kerberos délivré par un contrôleur de domaine Active Directory.
Il est obtenu :
lors de l’ouverture de session Windows
après une authentification réussie auprès de l’AD
Le TGT permet ensuite :
d’accéder aux ressources Active Directory
d’obtenir des tickets de service (CIFS, LDAP, HTTP, etc.)
d’ouvrir une session Windows locale ou distante
Sans TGT Kerberos, l’ouverture d’une session Active Directory n’est pas possible.
Qu’est-ce que Microsoft Entra Kerberos (Cloud Kerberos Trust) ?
Microsoft Entra Kerberos est le mécanisme qui permet à Microsoft Entra ID de :
générer un TGT Kerberos Active Directory
à partir d’une authentification cloud
sans nécessiter ADFS
Techniquement :
un objet Kerberos spécial est créé dans l’Active Directory
les clés sont synchronisées avec Microsoft Entra ID
Entra devient capable d’émettre un TGT valide pour l’AD
C’est l’élément nécessaire pour obtenir un SSO complet dans AVD en environnement hybride.
Pourquoi la jointure hybride améliore l’expérience SSO ?
Avec Microsoft Entra Hybrid Join :
l’appareil est reconnu par Entra
un PRT est délivré
les applications cloud utilisent un SSO moderne
En ajoutant Microsoft Entra Kerberos :
Entra peut aussi délivrer un TGT AD
Windows peut ouvrir la session sans redemande de mot de passe
On comprend alors que la combinaison du PRT et d’un TGT Kerberos est nécessaire pour obtenir un SSO transparent dans Azure Virtual Desktop.
À quoi sert la case “Single sign-on” dans Entra Connect ?
La case Single sign-on dans Microsoft Entra Connect active ce qu’on appelle Seamless SSO.
Seamless SSO repose sur :
Kerberos
le compte AD AZUREADSSOACC
le site autologon.microsoftazuread-sso.com
Son objectif est volontairement limité :
éviter la saisie du mot de passe AD
lors d’une authentification navigateur vers Entra ID
sur une machine AD-only
Il est important de distinguer Seamless SSO des autres mécanismes :
ne crée PAS de PRT
ne remplace PAS Microsoft Entra Kerberos
ne supprime PAS tous les écrans de login
Pour se donner une meilleure idée de cette fonctionnalité SSO spécifique, nous la testerons dans la dernière étape de cet article.
Mais commençons d’abord par tester la mise en place du single sign-on complet pour un environnement AVD de mode hybride, dont les procédures officielles sont disponibles ici et là :
Dans mon environnement de test, j’ai déjà configuré certains composants.
Un environnement Active Directory
Microsoft Entra Connect configuré avec
Password Hash Synchronization (PHS)
sans Single sign-on,
avec Hybrid Joined pour les machines Windows 10/11
Synchronisation de l’OU des utilisateurs AVD
Synchronisation de l’OU des machines hôtes AVD
Un environnement Azure Virtual Desktop avec deux machines virtuelles jointes à AD :
Notre environnement AVD en mode hybride est en place, commençons par un premier test.
Etape I – Test sans configuration SSO :
Avant d’aller plus loin, j’effectue déjà un premier test de connexion d’un utilisateur AVD depuis le portail web :
Une authentification AD est demandée lors de l’ouverture de la session Windows, c’est un comportement normal à ce stade car rien n’est configuré :
La commande dsregcmd /status sert à afficher l’état d’enregistrement de l’appareil auprès d’Entra ID et, concernant le PRT (Primary Refresh Token), elle fournit des informations de diagnostic sur sa présence et son état :
AzureAdPrt : YES / NO : Indique si un PRT est présent sur la machine pour l’utilisateur
AzureAdPrtUpdateTime : Date/heure du dernier rafraîchissement du PRT
AzureAdPrtExpiryTime : Date/heure d’expiration du PRT
AzureAdPrtAuthority : Autorité qui a émis le token (généralement login.microsoftonline.com).
Concernant la partie des tickets, voici ce que l’on peut aussi en déduire :
OnPremTgt : NO : cela indique si la session utilisateur courante ne possède pas Ticket Granting Ticket Kerberos émis par un contrôleur de domaine AD.
CloudTgt : YES : indique la présence d’un TGT Kerberos cloud, émis par Entra ID.
Comme on peut le constater, le PRT émis via Entra fonctionne bien pour les services Cloud, mais l’ouverture de session et l’accès à certaines ressources gérées par l’AD pourraient être restreints dans la situation actuelle.
Commençons étape par étape les changements pour arriver à une configuration complète.
Etape II – Configuration SSO du pool d’hotes AVD :
Sur le portail Azure, comme l’indique la documentation Microsoft, j’effectue la configuration SSO du host pool Azure Virtual Desktop afin d’activer “Microsoft Entra authentication for single sign-on” :
J’effectue un nouveau test avec mon utilisateur :
À ce stade, une authentification AD est encore demandée lors de l’ouverture de la session Windows :
Etape III – Création d’un objet serveur Kerberos :
Sur le serveur AD, comme l’indique la documentation Microsoft, je commence par installer le module AzureADHybridAuthenticationManagement :
Cet exemple exploite l’authentification moderne basée sur le User Principal Name (UPN) sans exiger de mot de passe AD explicite.
Il s’intègre parfaitement dans un environnement hybride sécurisé avec MFA et politiques d’accès conditionnel
Il évite les écueils des méthodes utilisant NTLM ou des identifiants AD en clair.
# Specify the on-premises Active Directory domain. A new Microsoft Entra ID
# Kerberos Server object will be created in this Active Directory domain.
$domain = $env:USERDNSDOMAIN
# Enter a UPN of a Hybrid Identity Administrator
$userPrincipalName = "administrator@contoso.onmicrosoft.com"
# Create the new Microsoft Entra ID Kerberos Server object in Active Directory
# and then publish it to Azure Active Directory.
# Open an interactive sign-in prompt with given username to access the Microsoft Entra ID.
Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName
Je lance donc le script à la suite du précédent, en prenant soin de remplacer l’UPN par un administrateur général ou hybride :
Je vérifie le serveur Microsoft Entra Kerberos nouvellement créé à l’aide de la commande suivante :
# When prompted to provide domain credentials use the userprincipalname format for the username instead of domain\username
Get-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential (get-credential)
Enfin je constate la présence krbtgt_AzureAD utilisé par les DC pour signer les TGT Kerberos. Il s’agit d’une séparation cryptographique claire avec krbtgt dans le cadre de Kerberos émis depuis Entra :
J’effectue un nouveau test avec mon utilisateur :
Une fois le Cloud Kerberos Trust et l’authentification RDP Microsoft Entra activés, la seconde authentification Active Directory disparaît et est remplacée par un simple message de consentement Allow Remote Desktop connection :
Entra veut un consentement explicite de l’utilisateur. Ce message ne correspond pas à une authentification supplémentaire, mais à une demande de confiance entre l’utilisateur et le session host :
Si l’utilisateur clique sur Oui, ce consentement sera conservé 30 jours et ne pourra pas mémoriser plus de 15 hôtes.
L’Étape suivante consiste donc à supprimer définitivement le popup en déclarant les session hosts comme appareils de confiance dans Microsoft Entra ID.
Etape IV – Activation de l’authentification Microsoft Entra pour RDP :
Commençons par autoriser Microsoft Entra dans l’authentification pour Windows sur le tenant. Pour cela, j’utilise Azure Cloud Shell depuis le portail Azure :
J’importe les deux modules Microsoft Graph suivants, puis je me connecte avec le compte au permissions appropriées :
Afin de masquer la boîte de dialogue en configurant la liste des hôtes AVD approuvés, je créé un groupe dans Entra ID contenant les hôtes de sessions :
J’utilise une requête dynamique pour ajouter automatiquement mes prochains hôtes dans le groupe :
Enfin, toujours dans la même session d’Azure Cloud Shell, j’ajoute l’ID de groupe à une propriété sur le principal du service SSO Windows Cloud Login.
Enfin, je vérifie la bonne assignation du groupe :
J’effectue un nouveau test avec mon utilisateur :
Cette fois l’authentification passe sans encombre. Un TGT Kerberos AD DS (on-premises) est maintenant présent dans la session.
Cela permet d’observer que :
La machine est Hybrid Entra ID Joined
Le PRT est valide
Le Kerberos cloud fonctionne
Le Kerberos AD DS fonctionne
Les deux mondes coexistent simultanément dans la même session
Cette sortie correspond à un état hybride cohérent, où les mécanismes cloud et on-premises coexistent.
Pour finir, je vous propose de tester l’impact du Seamless SSO présent et configurable dans Entra Connect Sync.
Etape V – Activation du SSO d’Entra Connect Sync :
Pour cela, je décide de rajouter une troisième machine AVD :
Celle-ci est bien présente dans l’Active Directory :
Mais elle n’est pas présente dans Entra ID :
Pour ne pas perturber mes tests, je décide donc de bloquer la connexion aux deux autres VMs AVD :
J’effectue un test avec mon utilisateur :
Comme aucune configuration hybride n’est en place pour cette machine AVD, il n’y a pas de ticket TGT Kerberos émis par Entra ID, donc la seconde authentification AD est logique :
Une fois dans la session Windows, dsregcmd nous affiche les informations suivantes :
La machine est jointe uniquement à Active Directory on-premises
Elle n’est pas jointe à Entra ID
Elle n’est pas Hybrid Join
Aucun PRT
Aucun SSO cloud
Aucune authentification Entra ID
Une tentative d’Entra ID Join / Hybrid Join a eu lieu
Elle a échoué côté Entra ID
La machine AVD n’existe pas ou n’est pas reconnu dans le tenant
L’ouverture de la page d’authentification d’Office 365 dans Microsoft Edge me montre d’ailleurs aucune connexion SSO :
Je décide donc d’activer la fonctionnalité SSO dans Entra Connect Sync :
Une fois la configuration terminée, je constate la création de AZUREADSSOACC en tant que compte ordinateur créé dans Active Directory :
Ce dernier est créé automatiquement lors de l’activation de Seamless Single Sign-On (Seamless SSO) avec Entra ID. Le compte est utilisé par Entra ID pour :
établir une relation de confiance Kerberos avec l’AD on-prem
permettre le SSO sans saisie de mot de passe depuis des postes domain-joined vers Entra ID
J’effectue donc un nouveau test avec mon utilisateur :
Dans ce contexte, il est logique que l’authentification AD soit toujours demandée :
Une fois la session Windows ouverte, comme Seamless SSO fonctionne via l’adresse autologon.microsoftazuread-sso.com, je décide de la rajouter en tant qu’URL de l’Intranet local.
Pour cela, j’ouvre inetcpl.cpl :
Je clique sur Site dans Intranet local :
Je clique sur Avancée :
Je rajoute l’URL suivante :
https://autologon.microsoftazuread-sso.com
Toujours dans Intranet Local, je coche Connexion automatique avec le nom d’utilisateur et le mot de passe actuels :
Quelques minutes plus tard, j’ouvre Microsoft Edge et je constate l’authentification automatique de mon compte Cloud correspondant :
La présence du ticket HTTP/autologon.microsoftazuread-sso.com dans le cache Kerberos confirme que le mécanisme Seamless SSO est bien actif. Ce ticket, émis par le contrôleur de domaine à destination de Microsoft Entra ID, permet une authentification navigateur sans saisie de mot de passe.
klist
Il est important de noter que ce mécanisme n’est pas celui utilisé pour l’ouverture de session Windows dans Azure Virtual Desktop, qui repose sur un TGT Kerberos distinct délivré via Microsoft Entra Kerberos (krbtgt_AzureAD).
Conclusion
À travers ces différents tests et configurations, on constate que le Single Sign-On dans Azure Virtual Desktop hybride ne repose pas sur un mécanisme unique, mais sur une combinaison cohérente de plusieurs briques d’authentification.
Le PRT permet une authentification fluide aux services cloud, mais il ne suffit pas à lui seul pour ouvrir une session Windows dans un contexte Active Directory. C’est bien l’association du Hybrid Join, du Cloud Kerberos Trust et de l’authentification Microsoft Entra pour RDP qui permet d’aligner les mondes cloud et on-premises, et d’obtenir une expérience utilisateur réellement transparente dans AVD.
Comprendre ces mécanismes permet non seulement d’éviter des configurations incomplètes, mais aussi d’expliquer pourquoi certains scénarios fonctionnent “presque”, tout en continuant à demander une authentification supplémentaire.
Le chiffrement des disques Azure existe depuis longtemps, mais il reste souvent mal compris : SSE, Encryption at Host, ADE… tout ne fonctionne pas au même niveau, et tout n’a pas le même impact. Je vous propose ici un tour d’horizon concret : explications, tests de performance et retour d’expérience sur la migration depuis Azure Disk Encryption.
Avant d’aller plus loin dans notre sujet, gardez toujours en tête que le processus de chiffrement concerne plusieurs états possibles de la donnée :
Dans cet article, nous aurons pour objectif de parler de la protection des données « au repos » sur les disques, afin qu’elles restent inexploitables en cas d’accès non autorisé, extraction de disque virtuel ou compromission de stockage.
Vue d’ensemble des options de chiffrement des disques de VM :
À ce jour, il existe plusieurs mécanismes de chiffrement disponibles pour vos disques de vos machines virtuelles Azure. Voici un premier récapitulatif des différents mécanismes de chiffrement disponibles sur Azure :
Azure Disk Storage Server-Side Encryption (SSE) : ce premier niveau de chiffrement est toujours activé pour les données au repos. Il chiffre automatiquement les données stockées sur les disques gérés Azure (disques OS et disques de données, à l’exception des disques temporaires et des caches disque).
Il est même possible de travailler avec d’autres clés que celles gérées par Microsoft :
Confidential disk encryption : ce mécanisme lie les clés de chiffrement des disques au TPM de la machine virtuelle et rend le contenu protégé du disque accessible uniquement à la machine virtuelle et ne permet pas que l’hyperviseur puisse déchiffrer les données.
Encryption at host : option au niveau de la machine virtuelle qui améliore le chiffrement côté serveur Azure Disk Storage afin de garantir que tous les disques temporaires et les caches disque sont chiffrés au repos et transférés chiffrés vers les clusters de stockage.
Azure Disk Encryption (ADE) : ce mécanisme chiffre le système d’exploitation et les disques de données des machines virtuelles Azure (VM) à l’intérieur de vos VM à l’aide de la fonctionnalité DM-Crypt de Linux ou de la fonctionnalité BitLocker de Windows. Azure Key Vault permet de contrôler et gérer les clés et les secrets de chiffrement de disque.
Quand ADE est activé, chaque disque de la machine virtuelle affiche alors cette information :
Une extension ADE est sur la machine virtuelle :
Est-ce que Azure Disk Encryption est déprécié ?
Azure Disk Encryption présente actuellement plusieurs limites importantes :
Le chiffrement réalisé directement dans l’OS peut entraîner une consommation CPU supplémentaire dans la VM.
ADE n’est pas compatible avec l’ensemble des types de disques ni toutes les distributions Linux.
Son intégration étroite avec l’OS et l’agent Azure le rend plus sensible et plus complexe à maintenir.
Partant de ce constat, je suppose que Microsoft a fait son choix et que ADE sera officiellement retiré le 15 septembre 2028, et propose même une stratégie de migration vers Encryption at host :
Azure Disk Encryption pour les machines virtuelles et les Virtual Machine Scale Sets sera mis hors service le 15 septembre 2028. Les nouveaux clients doivent utiliser le chiffrement sur l’hôte pour toutes les nouvelles machines virtuelles.
Les clients existants doivent planifier la migration des machines virtuelles ADE actuelles vers le chiffrement sur l’hôte avant la date de mise hors service pour éviter toute interruption de service.
Encryption at Host est un mécanisme de chiffrement fourni par la plateforme Microsoft Azure permettant de chiffrer les disques de machines virtuelles au niveau de l’hôte (l’hyperviseur), avant que les données ne soient écrites sur le stockage.
Plutôt que de chiffrer les disques directement dans la machine virtuelle via BitLocker ou DM-Crypt, ce mode déplace le chiffrement sur l’hyperviseur Azure lui-même.
Cela permet de chiffrer l’ensemble des composants associés à la VM (disques OS, disques de données, disques temporaires et cache) tout en évitant la charge CPU dans la VM :
Quelles sont les restrictions liées à cette migration ?
Microsoft rappelle ici les différents points et limitations à prendre lorsque vous souhaitez migrer d’Azure Disk Encryption à Encryption at host, Voici quelques-unes d’entre elles :
Temps d’arrêt requis : le processus de migration nécessite un temps d’arrêt de machine virtuelle pour les opérations de disque et la recréation des machines virtuelles.
Aucune migration sur place : vous ne pouvez pas convertir directement des disques chiffrés par ADE en chiffrement sur l’hôte. La migration nécessite la création de disques et de machines virtuelles.
Machines virtuelles jointes à un domaine : si vos machines virtuelles font partie d’un domaine Active Directory, d’autres étapes sont requises :
La machine virtuelle d’origine doit être supprimée du domaine avant la suppression
Après avoir créé la machine virtuelle, elle doit être jointe au domaine
Pour les machines virtuelles Linux, la jonction de domaine peut être effectuée à l’aide d’extensions Azure AD
Pour réaliser cet exercice sur les différentes méthodes de chiffrements, il faut disposer de :
Un tenant Microsoft
Une souscription Azure valide
La suite se passera par la création d’une machine virtuelle depuis le portail Azure.
Etape I – Création de la machine virtuelle Azure :
Je commence par créer une machine virtuelle Windows Server 2025 avec 32 cœurs, afin d’éviter toute limitation liée aux performances de la VM pendant les tests :
Une fois la VM créée, j’ajoute un disque de données supplémentaire en plus du disque système. À ce stade, les deux disques utilisent le chiffrement au repos par défaut de type SSE, appliqué automatiquement par la plateforme :
Sur l’écran de configuration des disques, des Paramètres supplémentaires sont disponibles :
Je constate que le chiffrement au niveau de l’hôte n’est pas activé à ce stade. La VM utilise uniquement le chiffrement SSE, sans mécanisme supplémentaire de type ADE ou Encryption at Host :
Je me connecte à la machine virtuelle via Azure Bastion :
Je vérifie que le service BDESVC associé à BitLocker n’est pas actif et qu’aucun chiffrement au niveau du système d’exploitation n’a été configuré :
Get-Service BDESVC
manage-bde -status
Cela confirme que seul le chiffrement SSE au niveau du stockage est en place, et qu’aucune couche de chiffrement, au niveau de la machine virtuelle ou de l’hyperviseur est activée :
Afin d’étoffer mon analyse, il est intéressant de comparer les performances (IOPS, Débits et CPU) entre plusieurs types de chiffrement de stockage. Pour cela j’utiliserai l’outil de mesure Diskspd et les métriques disponibles sur le portail Azure.
Etape II – Installation de l’outil de mesure Diskspd :
L’installation de Diskspd se fait directement sur la machine virtuelle à tester :
DISKSPD est un outil que vous pouvez personnaliser pour créer vos propres charges de travail synthétiques. Nous utiliserons la même configuration que celle décrite ci-dessus pour exécuter des tests d’évaluation. Vous pouvez modifier les spécifications pour tester différentes charges de travail.
Microsoft recommande d’utiliser l’utilitaire DiskSpd pour générer une charge sur un système de disques (stockage) et … pour mesurer les performances du stockage et obtenir la vitesse maximale disponible en lecture/écriture et les IOPS du serveur spécifique.
J’ouvre Task Manager afin d’observer en temps réel l’activité du disque :
Je surveille l’utilisation CPU de la VM depuis le portail Azure :
Une fois les deux tests terminés, les fichiers sont générés dans le dossier courant :
le premier fichier TXT généré est pour consigner les résultats IOPS :
Le second fichier TXT est généré pour consigner les résultats débits :
Etape VI – Comparaison des performances de chiffrement :
Les mesures montrent que les performances des disques restent globalement équivalentes entre les trois modes, mais que l’usage CPU varie nettement, notamment lorsque le chiffrement est exécuté dans le système d’exploitation comme avec Azure Disk Encryption :
Mode de chiffrement
CPU moyen (%)
SSE (Storage Service Encryption)
1.5 %
Encryption at Host
1.0 %
ADE (Azure Disk Encryption)
2.8 %
SSE et Encryption at Host ont un impact CPU faible et comparable.
ADE présente une charge CPU sensiblement supérieure, liée au chiffrement effectué par BitLocker dans la VM, ce qui correspond à l’architecture même de ce mode.
La surcharge induite par ADE reste faible, mais l’hétérogénéité des latences confirme qu’il reste plus sensible que les modes opérés directement par la plateforme.
Etape VII – Migration d’ADE vers Encryption at host :
La migration depuis ADE vers Encryption at host sur une machine virtuelle n’est pas possible pour des raisons techniques. Voici ce qui se produit lorsqu’on tente d’activer Encryption at Host sur une VM, qui était auparavant configurée avec Azure Disk Encryption :
Microsoft liste donc ici les différentes étapes nécessaires pour réaliser cette migration. Nous allons commencer par désactiver Azure Disk Encryption.
Sur l’écran de configuration des disques, je désactive Azure Disk Encryption, puis je sauvegarde :
Une tâche Azure se déclenche, j’attends quelques minutes que celle-ci se termine :
Je me reconnecte à la machine via Azure Bastion, puis je vérifie que le service BDESVC est toujours activé et qu’une phase de déchiffrement vient de démarrer :
Get-Service BDESVC
manage-bde -status
Quelques minutes plus tard, le déchiffrement est entièrement terminé :
Malgré cela, l’extension ADE est toujours présente sur ma machine virtuelle :
Je la désinstalle depuis le portail Azure :
Quelques minutes plus tard, la notification Azure suivante apparaît :
Lancez la commande PowerShell suivante depuis Azure Cloud Shell pour chacun des disques afin de créer des disques qui ne portent pas sur les métadonnées de chiffrement ADE :
Attention : Ce script ne fonctionne pas sur les disques Premium SSDv2 et Ultra.
# Get source disk information
$sourceDisk = Get-AzDisk -ResourceGroupName "MyResourceGroup" -DiskName "MySourceDisk"
# Create a new empty target disk
# For Windows OS disks
$diskConfig = New-AzDiskConfig -Location $sourceDisk.Location -CreateOption Upload -UploadSizeInBytes $($sourceDisk.DiskSizeBytes+512) -OsType Windows -HyperVGeneration "V2"
# For Linux OS disks (if not ADE-encrypted)
# $diskConfig = New-AzDiskConfig -Location $sourceDisk.Location -CreateOption Upload # -UploadSizeInBytes $($sourceDisk.DiskSizeBytes+512) -OsType Linux # -HyperVGeneration "V2"
# For data disks (no OS type needed)
# $diskConfig = New-AzDiskConfig -Location $sourceDisk.Location -CreateOption Upload # -UploadSizeInBytes $($sourceDisk.DiskSizeBytes+512)
$targetDisk = New-AzDisk -ResourceGroupName "MyResourceGroup" -DiskName "MyTargetDisk" -Disk $diskConfig
# Generate SAS URIs and copy the data
# Get SAS URIs for both disks
$sourceSAS = Grant-AzDiskAccess -ResourceGroupName "MyResourceGroup" -DiskName $sourceDisk.Name -Access Read -DurationInSecond 7200
$targetSAS = Grant-AzDiskAccess -ResourceGroupName "MyResourceGroup" -DiskName $targetDisk.Name -Access Write -DurationInSecond 7200
# Copy the disk data using AzCopy
azcopy copy $sourceSAS.AccessSAS $targetSAS.AccessSAS --blob-type PageBlob
# Revoke SAS access when complete
Revoke-AzDiskAccess -ResourceGroupName "MyResourceGroup" -DiskName $sourceDisk.Name
Revoke-AzDiskAccess -ResourceGroupName "MyResourceGroup" -DiskName $targetDisk.Name
Pour mon disque data configuré en premium SSDv2, je crée un snapshot manuellement :
Depuis le nouveau disque OS créé via le script plus haut, je relance la création d’une nouvelle machine virtuelle :
Je configure cette nouvelle machine virtuelle, en y intégrant le disque de data issu du snapshot, puis je lance sa création :
Une fois la machine virtuelle créée, j’éteins celle-ci, puis j’active Encryption at host dans les paramétrages des disques :
Je redémarre la machine virtuelle, puis je constate dans l’affichage du diagnostic le bon démarrage de celle-ci :
Conclusion
Au final, SSE et Encryption at Host couvrent aujourd’hui l’essentiel des besoins, avec un impact quasi nul sur la VM et une gestion simplifiée. SSE reste la base, toujours activée, tandis qu’Encryption at Host ajoute une couche complète de protection sans coût CPU notable.
ADE fonctionne encore, mais son intégration à l’OS et sa charge CPU supplémentaire en font une solution plus lourde à exploiter. Avec les résultats obtenus et sa dépréciation annoncée, il devient clairement le mécanisme à éviter pour les nouvelles machines virtuelles.
SSE : excellente base, impact minimal, tout est géré par la plateforme.
Encryption at Host : même niveau de performance que SSE, avec la garantie que toutes les couches (OS, data, cache, disque temporaire) sont chiffrées directement par l’hyperviseur.
ADE : Performances disque similaires, mais CPU plus élevé, dû au chiffrement dans la VM. Cela confirme pourquoi ce mode est progressivement remplacé par les autres mécanismes gérés par la plateforme.
Pour la majorité des workloads, Encryption at Host apparaît désormais comme l’option la plus propre, la plus simple et la plus pérenne.
Depuis de longues années, la communauté Azure Virtual Desktop attendait la possibilité de déployer un environnement entièrement cloud, sans dépendance à un domaine Active Directory classique ou à une architecture hybride complexe. Cette évolution permet enfin d’envisager un modèle moderne, simplifié et résolument cloud-native.
Au-delà du progrès technique évident (principalement la simplification de l’infrastructure) cette nouveauté transforme aussi la manière d’aborder la gestion des accès distants et des profils utilisateurs.
Elle marque le passage d’un modèle traditionnel mêlant domaine Active Directory, synchronisation, et Kerberos hybride, vers un modèle entièrement cloud-only : plus léger, plus agile et parfaitement adapté aux organisations modernes, aux partenaires externes ou encore aux environnements projet éphémères.
Cette annonce fut d’ailleurs intégrée à celle des identités externes sur AVD et Windows 365 :
Pour offrir une expérience simplifiée dans un environnement mutualisé Azure Virtual Desktop pour les identités externes, vous pouvez créer un partage de fichiers dans Azure Files afin de stocker les profils FSLogix pour ces identités.
Cette fonctionnalité est désormais disponible en préversion publique. Pour créer un partage de fichiers SMB pour les profils FSLogix pour les identités externes :
Créez un nouveau compte de stockage et un nouveau partage de fichiers configurés pour utiliser l’authentification Microsoft Entra Kerberos.(Nouveau) Lorsque vous attribuez des autorisations pour le partage de fichiers, utilisez la nouvelle page Gérer l’accès pour attribuer des listes de contrôle d’accès (ACL) au groupe Entra ID contenant vos identités externes.
Microsoft illustre également cette nouveauté avec une copie d’écran montrant la gestion native des droits NTFS d’un partage Azure Files directement depuis le portail Azure, ce qui constitue une avancée très attendue :
Qu’est-ce qu’une identité cloud-only ?
Il s’agit d’un utilisateur géré uniquement dans Entra ID, sans représentation dans un Active Directory on-prem, ni synchronisation : idéal pour des contractors, partenaires, ou utilisateurs externes.
Est-ce que FSLogix fonctionne avec ces identités externes / cloud-only ?
Oui, le support FSLogix pour cloud-only & external identities est désormais en preview, ce qui permet de gérer les profils utilisateurs de façon identique à un utilisateur « classique ».
Que change concrètement pour un architecte cloud ou un administrateur ?
Cela signifie moins de dépendances à un AD on-prem, moins de complexité, une gestion simplifiée des utilisateurs externes ou contractors, et un modèle plus cloud-native.
Plusieurs vidéos sont également disponible pour vous aider à la tâche :
Pour y parvenir, plusieurs documentations sont disponibles afin de mettre en place toute la chaîne. Le premier guide Microsoft explique comment activer Kerberos Entra sur Azure Files, tandis que le second part de ce socle et donne seulement ce qu’il faut ajouter pour FSLogix :
Je vous propose donc de passer en revue, étape par étape, l’ensemble de la configuration permettant de tester cette nouvelle fonctionnalité encore en préversion.
L’objectif est de comprendre son fonctionnement réel, ses limites et les scénarios dans lesquels elle pourra s’intégrer :
Pour réaliser ce test FSLogix en mode 100% Cloud-only, il vous faudra disposer de :
Un abonnement Azure valide
Un tenant Microsoft
Afin d’être sûr des impacts de nos différentes actions, je vous propose de commencer par la création d’une nouvel utilisateur 100% Cloud, donc non synchronisé à un environnement Active Directory.
Etape I – Préparation de l’environnement :
Création d’un utilisateur cloud-only pour préparer l’environnement sans synchronisation AD :
Mise en place du réseau virtuel qui servira de base à l’environnement Azure Virtual Desktop :
Déploiement d’un compte de stockage Azure Files Premium pour accueillir les profils FSLogix :
Activation de l’identité Microsoft Entra directement sur le compte de stockage :
Activation du support Microsoft Entra Kerberos pour gérer l’authentification :
Application des permissions par défaut via le rôle Storage File Data SMB Share Contributor :
Création du partage de fichiers pour FSLogix, avec l’identité Microsoft Entra toujours active :
Recherche de l’application d’entreprise générée automatiquement pour ce compte de stockage :
Attribution du consentement administrateur global pour autoriser l’application
Validation de l’autorisation accordée à l’application d’entreprise :
Vérification des permissions héritées depuis l’admin consent sur l’application liée au stockage :
Retrait du compte de stockage dans les polices d’accès conditionnel exigeant une MFA :
Création d’un environnement Azure Virtual Desktop avec deux machines virtuelles :
Activation du Single Sign-On directement dans les propriétés RDP :
Exécution du premier script PowerShell via Run Command pour activer la récupération du ticket Kerberos :
Vérification de la création des clés de registre attendues pour FSLogix :
Alternative via Intune pour gérer ces mêmes paramètres sans script :
Redémarrage des machines virtuelles du host pool pour appliquer la configuration :
Etape II – Test de connexion AVD :
Attente du retour en ligne des machines dans l’environnement AVD :
Activation du mode de drainage sur la seconde machine pour préparer les tests :
Connexion avec l’utilisateur de test pour valider le fonctionnement :
Observation du démarrage du service FSLogix App Services à l’ouverture de session :
Création du dossier de profil FSLogix directement dans le file share :
Présence du fichier VHDx correspondant au profil utilisateur :
Impossibilité de supprimer le fichier VHDx car il est monté et en cours d’utilisation :
Confirmation dans les logs FSLogix que le profil VHDx est correctement chargé :
Inversion du mode de drainage sur les deux machines AVD :
Reconnexion avec l’utilisateur de test pour valider la bascule du profil :
Montage d’un partage réseau pour inspecter le contenu du partage de fichier Azure :
Vérification que la permission générée pour l’utilisateur de test est bien présente :
Afin de finaliser correctement la configuration des permissions pour les profils FSLogix, il est nécessaire de les restreindre pour plus de sécurité.
Etape III – Configurations des permissions NTFS Access Control Lists:
Depuis l’explorateur Windows, je constate que certaines permissions restent visibles, alors qu’elles ne devraient être retirées pour des questions de sécurité :
Je constate également l’impossibilité de modifier les permissions directement depuis Windows ou via une commande ICACLS :
Travis Roberts rencontre d’ailleurs le même souci que moi :
Pour configurer les Windows ACLs, il sera donc nécessaire de passer par le menu Manage Access, visible depuis un portail Azure en préversion, comme le recommande Microsoft dans la documentation :
Le bouton Manage access est alors visible juste ici :
Ce menu n’est d’ailleurs pas visible dans le portail classique d’Azure :
L’affichage des permissions NTFS Access Control Lists configurées par défaut :
Les permissions pour FSLogix doivent alors être reconfigurées comme telles :
Cela donne ceci sur le partage de fichier FSLogix :
Les tests initiaux montrent que l’intégration fonctionne correctement entre FSLogix et Azure Virtual Desktop. Toutefois, quelques écarts apparaissent encore entre la documentation Microsoft et le comportement observé dans mon environnement, ce qui mérite d’être signalé dans le cadre de cette préversion.
Pour compléter mon analyse, il est intéressant de comparer les performances (IOPS et Throughput) entre plusieurs types de stockage, notamment ceux intégrés avec Entra ID.
Etape IV – Tests de performances :
J’ai souhaité comparé les performances entre différents types de stockage afin de bien comprendre l’impact ou non des performances avec cette jointure à Entra ID :
Partage de fichiers sur un compte de stockage Premium joint à Entra ID
Partage de fichiers sur un compte de stockage Premium non joint à Entra ID
Disque Premium SSD v2, configuré avec 30000 IOPS et 1200 de Throughput
Pour réaliser les mesures, nous utiliserons l’outil Diskspd :
DISKSPD est un outil que vous pouvez personnaliser pour créer vos propres charges de travail synthétiques. Nous utiliserons la même configuration que celle décrite ci-dessus pour exécuter des tests d’évaluation. Vous pouvez modifier les spécifications pour tester différentes charges de travail.
Microsoft recommande d’utiliser l’utilitaire DiskSpd (https://aka.ms/diskspd) pour générer une charge sur un système de disques (stockage) et … pour mesurer les performances du stockage et obtenir la vitesse maximale disponible en lecture/écriture et les IOPS du serveur spécifique.
Sur votre machine virtuelle de test, téléchargez l’exécutable via ce lien Microsoft, puis ouvrez l’archive ZIP téléchargée :
Copiez le contenu de l’archive dans un nouveau dossier créé sur le disque C :
L’exécutable se trouve dans le sous-dossier amd64 :
Les 2 étapes suivantes sont dédiées aux tests de performances des disques via l’application Diskspd. Microsoft met d’ailleurs à disposition un protocole similaire de tests juste ici :
Deux séries de tests sont conseillées pour exploiter le deux caractéristiques suivantes :
IOPS
Débit
Le changement entre ces deux séries se fera au niveau de la taille des blocs.
Commencez une première salve de tests pour déterminer les IOPS max pour chacun des espaces de stockage :
Partage de fichiers sur un compte de stockage Premium joint à Entra ID :
Partage de fichiers sur un compte de stockage Premium non joint à Entra ID :
Disque Premium SSD v2 configuré avec 30000 IOPS et 1200 de Throughput :
Ouvrez Windows PowerShell ISE, puis lancez les commandes des test suivantes, une à une ou à la chaîne, en modifiant les paramètres si besoin :
Les arguments utilisés pour diskspd.exe sont les suivants :
-d900 : durée du test en secondes
-r : opérations de lecture/écriture aléatoires
-w100 : rapport entre les opérations d’écriture et de lecture 100%/0%
-F4 : nombre de threads max
-o128 : longueur de la file d’attente
-b8K : taille du bloc
-Sh : ne pas utiliser le cache
-L : mesure de la latence
-c50G : taille du fichier 50 GB
E:\diskpsdtmp.dat : chemin du fichier généré pour le test
> IOPS-AvecEntra.txt : fichier de sortie des résultats
Une fois tous les tests terminés, les résultats sont alors compilés pour les 3 stockages :
Scenario
IOPS
Bandwidth MB/s
Avec Entra ID
12,446.88
299.95
Sans Entra ID
15,032.54
341.17
Premium SSD v2
20,378.31
1,167.25
Les résultats montrent que le Premium SSD v2 délivre les meilleures performances dans ton environnement, avec le plus haut niveau d’IOPS et de bande passante, suivi par le scénario Sans Entra ID, puis par le scénario Avec Entra ID qui obtient systématiquement les valeurs les plus faibles.
La différence entre les scénarios avec et sans Entra ID pourrait s’expliquer par la présence d’une couche d’authentification et de gestion de profils qui ajoute des opérations supplémentaires lors des accès disque, en particulier si le système doit interroger un service distant, valider un token, ou maintenir une session d’identité pour chaque opération liée au profil utilisateur.
Même si cette charge reste faible en théorie, elle peut introduire une latence additionnelle dans un flux d’I/O intensif, ce qui réduirait mécaniquement les IOPS et la bande passante observées.
Conclusion
Le support des identités cloud-only et externes pour Azure Virtual Desktop, associé à l’intégration de FSLogix, représente une évolution majeure dans l’écosystème Microsoft. Cette approche permet désormais de déployer des environnements VDI complets sans aucune dépendance à Active Directory, tout en simplifiant considérablement l’architecture.
Cette modernisation apporte davantage de flexibilité, réduit les contraintes opérationnelles et ouvre la voie à de nouveaux scénarios cloud-native, adaptés aussi bien aux entreprises qu’aux équipes projet, partenaires ou prestataires externes.
Bien que la fonctionnalité soit encore en préversion, elle laisse entrevoir un futur où les environnements virtualisés seront plus simples, plus économiques et mieux intégrés à l’identité Microsoft Entra.
Pourquoi, en 2025, mettre à jour son AVD ronronnant encore et toujours sous Windows 10 22H2 ? Windows 10 ou 11, comme leurs prédécesseurs, reçoivent régulièrement plusieurs types de mises à jour (sécurité, correctifs de bugs, feature update, pilotes, …) . Bien que les Extended Security Updates soient gratuites pour les environnements AVD ou Windows 365 pendant encore une année, il ne faudrait pas trop traîner non plus. Mais … attention à BitLocker !
Voici d’ailleurs le lien vers la FAQ Microosft des Extended Security Updates (ESU) pour Windows 10.
Sous Windows 11, la fréquence des Feature Updates a changé par rapport à Windows 10. Depuis 2022, Microsoft publie une seule Feature Update par an, généralement au second semestre (H2) :
21H2 → sortie en octobre 2021
22H2 → sortie en septembre 2022
23H2 → sortie en octobre 2023
24H2 → sortie en septembre/octobre 2024
Mais, Microsoft ne maintient pas indéfiniment ses produits. La transition vers des versions plus récentes est donc inévitable :
Système
Édition
Version
Date de fin de support / fin de maintenance
Windows 10
Windows 10 Enterprise Windows 10 Enterprise multi-session Windows 10 Education, Windows 10 IoT Enterprise
Les versions Entreprise de Windows 11 ont toute une année de service en plus que leurs homologues respectives en version pro.
Comment les versions de Windows 10/11 sont disponibles sous Azure ?
Lors de la création d’une machine virtuelle sous Azure, Microsoft propose toujours plusieurs versions de Windows 10 ou 11, accessibles via le Marketplace Azure :
Un menu déroulant propose différentes versions et générations (Il est important de vérifier que la VM sélectionnée réponde aux conditions (hardware, Gen2, virt-TPM, Secure Boot…) car toutes les séries de VMs ne sont pas compatibles) :
On peut noter qu’il y a donc distinction entre les éditions clients (Pro, Enterprise). De plus, certaines images sont destinées à des usages spécifiques comme Windows 11 Enterprise multi‑session.
Qu’est-ce qu’Azure Update Manager, et peut-il m’aider ?
Azure Update Manager (AUM) est un service de Microsoft disponible sur Microsoft Azure, conçu pour gérer et superviser les mises à jour logicielles (patches) des machines, tant sous Windows que sous Linux, dans des environnements Azure, sur-premises ou multicloud via Azure Arc.
Grâce à Azure Update Manager, vous allez pouvoir :
Superviser la conformité des mises à jour pour les machines Windows et Linux, qu’elles soient dans Azure ou connectées via Azure Arc (on-premises ou multicloud).
Planifier des fenêtres de maintenance pour appliquer les patches.
Déployer un patch à la demande, ou d’un déploiement automatique selon une plage horaire définie.
Mettre en œuvre des mises à jour critiques et les suivre via le monitoring.
Gérer les droits via la granularité d’accès (RBAC) et d’autres fonctions de gouvernance Azure.
En ce qui concerne une machine virtuelle Azure avec un OS sous Windows 11, Microsoft est très clair sur ce point :
Automation Update Management ne fourni pas de prise en charge pour l’application de patchs à Windows 10 et 11. Il en va de même pour le Gestionnaire de mises à jour Azure. Nous vous recommandons d’utiliser Microsoft Intune comme solution pour maintenir les appareils Windows 10 et 11 à jour.
Pour utiliser ces fonctionnalités, créez une machine virtuelle à l’aide de votre système d’exploitation préféré au lieu d’effectuer une mise à niveau sur place.
Microsoft ne recommande donc pas de faire une mise à niveau sur place pour une machine virtuelle Windows 10 ou 11 dans Azure pour des raisons techniques et structurelles.
Une mise à niveau sur place modifie profondément le système d’exploitation à l’intérieur de la VM sans qu’Azure en soit informé.
Résultat : La machine continue d’exister dans Azure avec les anciennes métadonnées d’image (Publisher, Offer, Plan, version, etc.), ce qui empêche Azure de reconnaître la nouvelle version de l’OS.
Et cela pose un ensemble de problèmes :
de gestion du cycle de vie
de sécurité et conformité (Azure Security Center/Azure Policy peuvent se tromper sur la version de l’OS)
du support Microsoft, car ce dernier s’appuie sur l’image déclarée dans Azure
Mais Microsoft propose pourtant la mise à niveau pour Windows Server ?
Passer d’une version antérieure de Windows Server à une version plus récente tout en conservant les rôles, données et applications.
Que recommande alors Microsoft pour gérer une MAJ sur Windows 10 ?
Microsoft recommande donc de créer une nouvelle VM avec le système d’exploitation cible, car les mises à jour directes peuvent empêcher certaines fonctionnalités Azure de fonctionner correctement.
Donc, la meilleure pratique consiste à :
Déployer une nouvelle VM avec l’image du nouvel OS supporté.
Migrer les applications, données, configurations vers cette nouvelle VM.
Valider le bon fonctionnement, puis retirer l’ancienne VM.
Plusieurs vidéos tutorielles existent sur Internet pour proposer des mises à jour depuis Windows 10 :
Et quid du passage de la 22H2 à la 24H2 ?
Si malgré tout vous devez conserver votre image de base et effectuer une mise à jour vers Windows 11 24H2, vous risquez de rencontrer un problème de démarrage après la capture de votre image après un sysprep.
Lors du passage de Windows 10 22H2 ou Windows 11 22H2 vers la version 24H2, plusieurs administrateurs ont rencontré des écrans bleus ou des erreurs EFI (0xc000000f) juste après la capture d’image via Sysprep.
Le problème provient d’un bug dans le processus de Sysprep, qui modifie la configuration BCD lorsque BitLocker (ou le chiffrement automatique du périphérique) est actif.
Et le souci se manifeste à nouveau si on réactive BitLocker sans avoir corrigé la configuration BCD.
Résultat : l’image capturée devient partiellement chiffrée et inutilisable au déploiement.
Ce souci de démarrage est d’ailleurs confirmé dans les journaux de diagnostic Azure :
Pas de workaround possible ?
Pour éviter cela, il faut désactiver BitLocker avant le Sysprep. Une fois l’image déployée, BitLocker peut être réactivé proprement après correction de la configuration BCD. Ce comportement est spécifique aux builds 26100.x (Windows 11 24H2 et LTSC 2024) .
Voici d’abord une comparaison de l’état de BitLocker sur deux machines virtuelles Azure :
A droite : Windows 10 Multi-session 22H2
A gauche : Windows 11 Multi-session 24H2
La désactivation de BitLocker doit donc être complète et certaine avant de lancer Sysprep, sous peine de le voir se réactiver.
Afin de voir ce qu’il est possible de faire pour résoudre le souci de BitLocker , je vous propose au travers de cet article un pas à pas sur le processus complet :
Pour réaliser ces tests de mise à jour de VM, il vous faudra disposer de :
Un abonnement Azure valide
Un tenant Microsoft
Afin d’être sûr des impacts de nos différentes actions, je vous propose de commencer par la création d’une machine virtuelle à partir d’une image Windows 10/11 multi-session en 22H2, que nous allons mettre à jour dans la foulée.
Etape I – Création d’une VM W10 Multi-session 22H2 + MAJ 24H2 :
Pour cela, je commence par créer une machine virtuelle Azure en Windows 10 en 22H2 :
Une fois la machine virtuelle déployée, je vérifie la présence de mon application et de ma version actuelle de Windows :
J’ouvre PowerShell ISE en mode administrateur afin de vérifier l’état actuel de BitLocker :
Get-Service BDESVC : affiche l’état du service BitLocker Drive Encryption Service, qui gère le chiffrement BitLocker sur Windows.
manage-bde -status : affiche le statut détaillé du chiffrement BitLocker sur tous les lecteurs du système.
(Get-ComputerInfo).WindowsVersion : retourne la version majeure de Windows (ex. 10, 11, etc.).
(Get-ComputerInfo).OsBuildNumber : affiche le numéro de build du système d’exploitation Windows.
(Get-ComputerInfo).WindowsBuildLabEx : fournit la version complète du build Windows avec des informations additionnelles (branche, révision, date de compilation).
Je télécharge ensuite l’ISO Windows 11 24H2 depuis Visual Studio :
Je lance l’installation de Windows 11 en 24H2 :
Je vérifie le maintien de la version Multi-session, puis je démarre l’installation :
L’installation progresse lentement mais sûrement :
Afin de m’assurer que la mise à jour est terminée, je vérifie les journaux de diagnostic Azure pour confirmer le bon démarrage de la machine virtuelle :
Je me connecte via Azure Bastion et je vérifie le statut de BitLocker :
Le service de BitLocker BDESVC est maintenant démarré en 24H2 :
Je lance les commandes suivantes pour arrêter le service BitLocker BDESVC, mais aussi pour bloquer son changement de statut lors du sysprep :
# 1. Empêcher toute activation BitLocker automatique
reg add "HKLM\SYSTEM\CurrentControlSet\Control\BitLocker" /v PreventDeviceEncryption /t REG_DWORD /d 1 /f
# 2. Désactiver le service BitLocker
Set-Service -Name BDESVC -StartupType Disabled
# 3. Stopper le service s’il est actif
Stop-Service -Name BDESVC -Force
# 4. Vérifier que tout est propre
Get-Service BDESVC
manage-bde -status
La machine virtuelle est maintenant prête pour la capture. Avant cela je pourrais effectuer un snapshot. Je décide de continuer avec la commande Sysprep.
Etape II – Capture de l’image Windows 11 24H2 :
Je lance la commande Sysprep pour capturer cette nouvelle image 24H2 :
Une fois Sysprep terminé, j’arrête complètement la machine pour qu’elle soit désallouée, puis je lance l’action de capture de l’image depuis le portail Azure :
Je crée une nouvelle image au sein de ma Azure Compute Gallery :
Avec cette nouvelle image en place, je déclenche la création d’une nouvelle machine virtuelle 24H2 à partir de celle-ci :
La nouvelle machine virtuelle est fonctionnelle, et cela est confirmé dans les journaux de diagnostic Azure :
Etape III – Réactivation de BitLocker:
Une fois la VM créée, je m’y connecte via Azure Bastion, puis je lance la vérification initiale de l’état du service BitLocker et du chiffrement :
La correction est bien visible sur cette seconde partie de l’écran :
Je supprime la clé de registre PreventDeviceEncryption si elle est présente, je rétablis le service BitLocker en mode manuel, je le démarre, puis je contrôle à nouveau l’état du service BDESVC et de BitLocker :
# --- Nettoyage de la clé PreventDeviceEncryption
Write-Host "=== Suppression clé PreventDeviceEncryption ===" -ForegroundColor Cyan
reg delete "HKLM\SYSTEM\CurrentControlSet\Control\BitLocker" /v PreventDeviceEncryption /f | Out-Null
Write-Host "Clé supprimée (si existante)."
Start-Sleep -Seconds 2
# --- Rétablir le service BitLocker (manuel + démarrage)
Write-Host "=== Réactivation du service BitLocker ===" -ForegroundColor Cyan
Set-Service -Name BDESVC -StartupType Manual
Start-Service -Name BDESVC
Write-Host "Service BDESVC en cours d’exécution."
Write-Host ""
Start-Sleep -Seconds 2
# --- Vérifie l’état avant chiffrement
Write-Host "=== État avant chiffrement ===" -ForegroundColor Yellow
Get-Service BDESVC
manage-bde -status
Write-Host ""
Start-Sleep -Seconds 2
J’attends environ 15 minutes la fin du chiffrement du disque OS :
Cette activation est visible par le petit cadenas présent dans les paramétrages BitLocker et dans l’explorateur de fichier, suivi éventuellement d’un avertissement pour me signaler que la protection est encore sur OFF :
Une fois le chiffrement en place, je remets en route la protection (clé TPM active, verrouillage à l’amorçage autorisé)”.
# --- Finalisation
Write-Host "=== Activation finale (Resume-BitLocker) ===" -ForegroundColor Cyan
Resume-BitLocker -MountPoint "C:"
Write-Host "BitLocker réactivé avec succès."
Write-Host ""
Start-Sleep -Seconds 3
# --- Vérification finale
Write-Host "=== Vérification finale ===" -ForegroundColor Green
Get-Service BDESVC
manage-bde -status
Write-Host "=== FIN DU SCRIPT ===" -ForegroundColor Cyan
Cette validation est visible par la disparition de l’avertissement pour me signaler que la protection est maintenant sur ON :
Etape IV – Azure Virtual Desktop :
Je redémarre la machine virtuelle pour vérifier le bon fonctionnement du boot de Windows :
Une fois la VM redémarrée, je me reconnecte et confirme la présence de mon application, de la version 24H2 et de l’état actif de BitLocker sur cette machine virtuelle :
Je teste l’ajout de cette image dans un environnement Azure Virtual Desktop :
J’attends la fin de déploiement afin de constater la présence des VMs AVD comme étant disponibles :
Je passe sur chacune des machines pour lancer le script suivant en local ou à distance :
<#
.SYNOPSIS
Répare la configuration BitLocker après Sysprep /generalize sur Windows 11 24H2.
Corrige le BCD EFI et réactive BitLocker proprement.
.DESCRIPTION
Ce script :
1. Affiche l’état initial BitLocker et du service BDESVC
2. Corrige les entrées BCD {current} et {memdiag}
3. Supprime la clé PreventDeviceEncryption
4. Rétablit le service BitLocker (mode Manuel)
5. Démarre BDESVC et attend qu’il soit prêt
6. Active BitLocker avec TPM (si nécessaire)
7. Attend la fin du chiffrement (max 2h)
8. Finalise avec Resume-BitLocker
#>
# --- FONCTIONS UTILITAIRES ---
function Wait-ForService {
param (
[string]$ServiceName,
[int]$TimeoutSec = 120
)
Write-Host "Attente du service $ServiceName..." -ForegroundColor Yellow
$sw = [Diagnostics.Stopwatch]::StartNew()
while ($sw.Elapsed.TotalSeconds -lt $TimeoutSec) {
$status = (Get-Service $ServiceName -ErrorAction SilentlyContinue).Status
if ($status -eq 'Running') {
Write-Host "Service $ServiceName opérationnel." -ForegroundColor Green
return
}
Start-Sleep -Seconds 3
}
Write-Host "⚠️ Le service $ServiceName n’a pas démarré après $TimeoutSec secondes." -ForegroundColor Red
}
function Wait-ForEncryption {
param (
[string]$MountPoint = "C:",
[int]$CheckIntervalSec = 15,
[int]$TimeoutSec = 7200 # 2 heures
)
Write-Host "Attente de la fin du chiffrement BitLocker sur $MountPoint (timeout $($TimeoutSec/60) min)..." -ForegroundColor Yellow
$sw = [Diagnostics.Stopwatch]::StartNew()
while ($sw.Elapsed.TotalSeconds -lt $TimeoutSec) {
$status = manage-bde -status $MountPoint | Select-String "Conversion Status"
$percent = manage-bde -status $MountPoint | Select-String "Percentage Encrypted"
$state = ($status -replace ".*:\s*", "").Trim()
$progress = ($percent -replace ".*:\s*", "").Trim()
Write-Host "État: $state | Progression: $progress"
if ($state -match "Fully Encrypted|Used Space Only Encrypted") {
Write-Host "✅ Chiffrement terminé sur $MountPoint" -ForegroundColor Green
return
}
Start-Sleep -Seconds $CheckIntervalSec
}
Write-Host "⚠️ Le chiffrement sur $MountPoint n’est pas terminé après $($TimeoutSec/60) minutes." -ForegroundColor Red
Write-Host "Le script continue, mais vérifie manuellement l’état avec 'manage-bde -status $MountPoint'." -ForegroundColor Yellow
}
# --- DÉBUT DU SCRIPT ---
Write-Host "=== Vérification initiale ===" -ForegroundColor Cyan
Get-Service BDESVC
manage-bde -status
Write-Host ""
Start-Sleep -Seconds 3
# --- Vérifie le BCD avant correction
Write-Host "=== BCD avant correction ===" -ForegroundColor Yellow
cmd /c "bcdedit /enum"
Write-Host ""
Start-Sleep -Seconds 2
# --- Corrige les entrées BCD
Write-Host "=== Correction BCD ===" -ForegroundColor Cyan
cmd /c "bcdedit /set {current} osdevice partition=C:"
cmd /c "bcdedit /set {current} device partition=C:"
cmd /c "bcdedit /set {memdiag} device partition=\Device\HarddiskVolume3"
Write-Host "BCD corrigé."
Start-Sleep -Seconds 2
# --- Vérifie le BCD après correction
Write-Host "=== BCD après correction ===" -ForegroundColor Green
cmd /c "bcdedit /enum"
Start-Sleep -Seconds 2
# --- Supprime PreventDeviceEncryption
Write-Host "=== Suppression clé PreventDeviceEncryption ===" -ForegroundColor Cyan
reg delete "HKLM\SYSTEM\CurrentControlSet\Control\BitLocker" /v PreventDeviceEncryption /f | Out-Null
Write-Host "Clé supprimée (si existante)."
Start-Sleep -Seconds 2
# --- Réactive BDESVC
Write-Host "=== Réactivation du service BitLocker ===" -ForegroundColor Cyan
Set-Service -Name BDESVC -StartupType Manual
Start-Service -Name BDESVC
Wait-ForService -ServiceName "BDESVC"
Write-Host ""
# --- Vérifie l’état avant chiffrement
Write-Host "=== État avant chiffrement ===" -ForegroundColor Yellow
Get-Service BDESVC
manage-bde -status
Start-Sleep -Seconds 2
# --- Active BitLocker avec TPM si nécessaire
Write-Host "=== Activation BitLocker (TPM) ===" -ForegroundColor Cyan
$bitlockerStatus = (manage-bde -status C: | Select-String "Conversion Status").ToString()
if ($bitlockerStatus -match "Encryption in Progress|Fully Encrypted|Used Space Only Encrypted") {
Write-Host "ℹ️ BitLocker est déjà actif ou en cours de chiffrement sur C:. Aucune réactivation nécessaire." -ForegroundColor Yellow
} else {
try {
Enable-BitLocker -MountPoint "C:" -TpmProtector -UsedSpaceOnly -ErrorAction Stop
Write-Host "BitLocker initialisé." -ForegroundColor Green
} catch {
Write-Host "⚠️ Impossible d’ajouter un protecteur TPM (probablement déjà présent) : $($_.Exception.Message)" -ForegroundColor Red
}
}
Write-Host "Vérification du statut..."
Wait-ForEncryption -MountPoint "C:" -TimeoutSec 7200
Write-Host ""
# --- Finalisation
Write-Host "=== Activation finale (Resume-BitLocker) ===" -ForegroundColor Cyan
Resume-BitLocker -MountPoint "C:"
Wait-ForEncryption -MountPoint "C:" -TimeoutSec 7200
Write-Host "BitLocker réactivé avec succès." -ForegroundColor Green
Write-Host ""
# --- Vérification finale
Write-Host "=== Vérification finale ===" -ForegroundColor Green
Get-Service BDESVC
manage-bde -status
Write-Host "=== FIN DU SCRIPT ===" -ForegroundColor Cyan
Je redémarre la machine AVD pour vérifier son statut dans les journaux de diagnostic Azure :
Je teste également la connexion Azure Virtual Desktop avec un utilisateur :
Enfin, comme mon environnement est liée à Entra ID, je constate également la remontée automatqiue de ma clef de secours BitLocker dans Entra ID :
Conclusion
Cette expérience montre bien qu’une mise à jour in-place d’une image Windows 10/11 dans Azure n’est jamais anodine. Entre la gestion du chiffrement BitLocker, les effets secondaires du Sysprep et les métadonnées Azure qui ne se mettent pas toujours à jour correctement, le risque d’image inutilisable est bien réel.
Le bon réflexe reste donc de désactiver BitLocker avant le Sysprep, de corriger la configuration BCD, puis de réactiver proprement la protection une fois la VM redéployée. Cette approche garantit un chiffrement fonctionnel sans compromettre la capture ni le déploiement de l’image.
Mais il existe aujourd’hui une alternative plus élégante et performante : Encryption at Host. Cette fonctionnalité permet de chiffrer les disques directement au niveau de l’hôte Azure, sans impliquer le service BitLocker à l’intérieur de la VM.
Résultat :
Moins de charge CPU côté invité,
Pas de dépendance au TPM virtuel,
Et une gestion centralisée du chiffrement dans Azure, plus simple à auditer et à maintenir.
C’est cette approche, à la fois plus moderne et plus légère, que nous verrons dans le prochain article.
On parlera en détail de la mise en œuvre d’Encryption at Host, de son impact sur les performances et des bonnes pratiques pour combiner sécurité et efficacité énergétique dans vos environnements AVD.
Comme pour Windows 365, Microsoft continue de faire évoluer Azure Virtual Desktop pour répondre aux besoins des organisations qui travaillent avec des partenaires externes, freelances ou prestataires. La dernière nouveauté, actuellement en préversion publique, permet de provisionner dans votre AVD une ou plusieurs identités externes (invités B2B dans votre tenant Microsoft Entra ID).
Fini la création systématique de comptes internes temporaires : les utilisateurs peuvent se connecter avec leur propre identité tout en profitant d’un accès à un environnement Azure Virtual Desktop créé sur votre tenant.
Qui peut bénéficier de cette nouveauté ?
Nous venons de sortir il y a peu de la préversion privée, et nous sommes donc maintenant en préversion publique, avant une mise à disposition générale (GA) dans plusieurs mois je suppose. Tout utilisateur externe invité dans votre tenant Microsoft Entra ID peut donc en profiter.
Comme rappelé plus haut, les scénarios typiques sont : prestataires, auditeurs, partenaires de développement…
Le flux d’approvisionnement change-t-il pour ces utilisateurs invités ?
Non, vous utilisez les mêmes pool d’hôtes Azure Virtual Desktop et les mêmes licences que pour les utilisateurs internes à votre tenant.
Depuis quelles plate-formes le compte invité fonctionne ?
A ce jour où ces lignes sont écrites, la documentation Microsoft mentionne deux moyens possibles :
VM AVD sous Windows 11 Enterprise avec mise à jour 24H2 (KB5065789) ou plus récente
VM AVD jointe à Entra ID
Single Sign-On activé au niveau du pool d’hôtes AVD
Quelles sont les principales limitations actuellement dans cette préversion ?
FSLogix n’est pas encore pris en charge : un nouveau profil utilisateur sera créé sur chaque hôte de session auquel elles se connectent.
Les polices Intune assignées à l’utilisateur externe ne s’appliquent pas (cibler les VMs AVD).
Pas de support pour le Cloud Government ni pour les invités cross-cloud (Azure Gov, 21Vianet).
Pas d’authentification Kerberos/NTLM vers les ressources on-premises.
Quelques limites sur la Token Protection pour identités externes.
Quelle licence Azure Virtual Desktop faut-il pour ces utilisateurs invités ?
Comme dit plus haut, il faut toujours provisionner une licence dans votre tenant pour le compte invité.
Les licences détenues par un compte invité dans son propre tenant ne confèrent aucun droit pour utiliser Azure Virtual Desktop dans votre tenant :
Si vous déployez Azure Virtual Desktop pour une utilisation avec des identités externes (actuellement en préversion publique), certaines considérations particulières peuvent s’appliquer concernant la manière de licencier Azure Virtual Desktop ainsi que d’autres produits et services Microsoft.
Cliquez sur Nouvel utilisateur, puis choisissez Inviter un utilisateur externe :
Renseignez l’adresse e-mail du compte Microsoft Entra de l’invité, puis cliquez ici :
Attendez quelques secondes, puis constatez la réception de l’e-mail d’invitation dans la boîte du compte invité, et enfin cliquez sur lien présent dans ce dernier :
Cliquez sur Accepter pour rejoindre le tenant qui vous a invité :
Ouvrez la fiche de l’utilisateur invité et attribuez-lui la licence AVD nécessaire, puis enregistrez :
Notre utilisateur invité est maintenant présent. Nous allons pouvoir nous intéresser au provisionnement de son accès à l’environnement AVD.
Etape II – Provisionnement de l’accès AVD à notre invité :
Pour cela, rendez-vous dans le portail Azure, puis rendez-vous sur la page du groupe d’application concerné :
Ajoutez l’utilisateur invité à votre groupe d’applications Azure Virtual Desktop :
Pensez également à lui ajouter un droit de connexion à la machine AVD via un rôle Azure RBAC :
Le provisionnement de l’utilisateur invité à notre environnement AVD est terminé. Nous allons maintenant pouvoir tester la connexion de ce dernier à Azure Virtual Desktop.
Etape III – Test de connexion invité depuis le navigateur internet :
Commençons nos tests par le navigateur internet. Pour cela, rendez-vous sur l’URL historique d’Azure Virtual Desktop, puis authentifiez avec le compte invité de votre utilisateur :
Peu importe le site internet utilisé, cliquez sur Connecter :
Cliquez à nouveau sur Connecter :
Cliquez sur Oui :
Constatez l’apparition du message de chargement de FSLogix :
Constatez la bonne ouverture de session de votre compte invité :
Ouvrez Windows PowerShell :
Lancez la commande suivante afin d’afficher l’état de l’enregistrement dans Entra ID :
dsregcmd /status
AzureAdJoined : YES : La machine est bien jointe à Microsoft Entra ID
EnterpriseJoined : NO
DomainJoined : NO :
TenantName : JLOUDEV : L’appareil s’est bien inscrit dans le bon tenant.
SSO / Primary Refresh Token :
AzureAdPrt : YES
DeviceAuthStatus : SUCCESS : Le Single Sign-On (SSO) est actif et le Primary Refresh Token (PRT) est bien présent :
Ouvrez Microsoft Edge, puis constatez l’absence de récupération automatique du token de connexion pour le SSO :
Ouvrez Microsoft OneDrive, puis constatez, là aussi, l’absence de récupération automatique du token de session pour le SSO :
Malgré l’absence de SSO, la connexion à AVD depuis le navigateur internet se passe bien. Continuons les tests avec l’application Windows App.
Etape IV – Test de connexion invité depuis Windows App :
Avant de continuer, ouvrez les Paramètres de l’application Windows App, puis vérifiez la version installée :
Ouvrez localement PowerShell en tant qu’administrateur, puis lancez la commande ci-dessous pour forcer l’activation de la nouvelle interface de connexion dans l’application Windows App :
Souci I – Impossible de se connecter malgré une version 24H2 :
Si, malgré le respect des prérequis, il est possible que vous rencontriez le blocage suivant au moment de vous connecter :
Commencez par vérifier que votre utilisateur invité est bien autorisé à ouvrir une session sur votre machine virtuelle AVD via le rôle Azure RBAC suivant :
Ensuite, cela vient peut-être de l’absence du correctif KB5065789 sur votre machine AVD, pourtant en version 24H2.
Pour remédier à cette mise à jour manquante, connectez-vous avec un administrateur sur votre machine AVD, puis lancez la commande PowerShell suivante pour vérifier les correctifs installés :
Retournez sur la page web de Azure Virtual Desktop ouverte avec le compte invité :
Constatez cette fois la bonne ouverture de session sur votre compte invité :
Souci II – Impossible de choisir une entreprise via Windows App :
Si, dans Windows App, le choix d’une authentification alternative n’apparaît pas, et que l’application ne vous propose qu’une adresse e-mail à renseigner :
C’est qu’il vous manque une clef de registre Windows pour faire apparaître ce choix alternatif.
Pour cela, sur votre PC local, ouvrez PowerShell en tant qu’administrateur puis lancez la commande indiquée pour forcer l’activation de la nouvelle interface de connexion dans l’application Windows App :
Fermez, rouvrez l’application Windows App, puis cliquez sur S’authentifier, afin de voir le choix apparaître maintenant :
Souci III – Impossible de se connecter via Windows App – Erreur 7q6ch :
J’ai rencontré ce souci lors de l’authentification dans l’application Windows App, sur 2 postes uniquement. Les autres n’ont posé aucune difficulté.
Malgré une authentification réussie pour mon compte invité, le message d’erreur suivant apparaissait :
Suivi de ce seconde message :
Malgré plusieurs réinstallations de l’application Windows App, je n’ai pas encore trouvé la cause de ce souci. Je suis toujours en contact avec les équipes de Microsoft pour en comprendre la cause.
Conclusion
L’arrivée des identités externes sur Azure Virtual Desktop simplifie enfin l’accès des prestataires et partenaires, sans créer de comptes temporaires.
La fonctionnalité reste en préversion publique avec plusieurs limites (SSO partiel, stratégies Intune incomplètes, pas de support Government/cross-cloud), mais Microsoft annonce déjà des évolutions à venir.
C’est donc le bon moment pour tester, identifier les impacts et se préparer à son adoption lorsque ces restrictions seront levées.
Dès ce mois de septembre 2025, Microsoft introduit l’identité managée (Managed identity) aux environnements Azure Virtual Desktop. Cet ajout permettra d’exécuter en toute sécurité des actions lors de la création, suppression et mise à jour des machines virtuelles du pool d’hôtes. Cette nouvelle identité managé, de type système ou utilisateur est encore en préversion, remplacera certains usages du bien connu service principal Azure Virtual Desktop, que l’on utilise jusqu’à présent sur Azure comme sur Entra.
Concrètement, cela signifie que l’ancien modèle basé sur le service principal AVD disparaît progressivement au profit d’une approche plus robuste, où les opérations de création, suppression et mise à jour des machines virtuelles, passent par une authentification native dans Microsoft Entra ID.
Voici le service principal que l’on utilise actuellement :
Pour les administrateurs, c’est une étape importante qu’il faut anticiper dès maintenant, car elle touche directement la gestion quotidienne des environnements AVD.
Pourquoi ce changement ?
Historiquement, AVD utilisait un service principal spécifique pour réaliser certaines actions sur les ressources Azure associées aux hôtes de session :
Une identité managée s’authentifie automatiquement auprès d’Entra ID sans qu’aucun mot de passe ou secret ne soit stocké dans vos scripts ou vos ressources. Cela réduit considérablement la surface d’attaque et améliore la conformité.
Côté gouvernance, tout passe par l’Azure RBAC, ce qui rend les permissions plus lisibles et plus faciles à auditer.
System-assigned ou User-assigned ? deux modèles possibles :
Azure propose deux types d’identités managées.
System-assigned : créée et rattachée directement au pool d’hôtes Son avantage principal est sa simplicité : elle vit et meurt avec la ressource. Si vous supprimez le pool d’hôtes , l’identité disparaît automatiquement.
User-assigned : ressource indépendante dans Azure que vous pouvez rattacher à un ou plusieurs pools d’hôtes. Elle est donc plus flexible, particulièrement utile dans des environnements complexes où plusieurs ressources doivent partager la même identité et les mêmes permissions. En revanche, elle demande une gestion supplémentaire : l’objet reste actif même si le pool d’hôtes est supprimé.
Quelles fonctionnalités AVD utiliseront cette identité managée ?
Pour le moment, toutes les fonctionnalités d’Azure Virtual Desktop ne basculent pas encore vers ce modèle. Seule la fonction de mise à jour d’un pool d’hotes est prévue actuellement :
Les autres fonctionnalités, telles que App Attach, Autoscale et Start VM on Connect s’appuient encore sur le service principal Azure Virtual Desktop :
Cela signifie que vous aurez peut-être à gérer une période de transition où les deux approches cohabitent.
Quels impacts pour vos environnements AVD existants et futurs ?
Pour les administrateurs AVD, ce changement implique de revoir la configuration des pool d’hôtes, en particulier ceux qui utilisent ou vont utiliser la session host configuration.
À partir de novembre 2025, il ne sera plus possible d’ajouter de nouveaux hôtes de session sans identité managée :
À partir du 19 septembre 2025, les nouveaux pools d’hôtes utilisant une configuration d’hôtes de session dans le portail Azure devront être créés avec une identité managée.
À partir du 15 octobre 2025, les pools d’hôtes existants avec une configuration d’hôtes de session ne pourront plus mettre à jour leur configuration tant qu’une identité managée n’aura pas été ajoutée.
À partir du 15 novembre 2025, les pools d’hôtes existants avec une configuration d’hôtes de session ne pourront plus créer de nouveaux hôtes de session tant qu’une identité managée n’aura pas été ajoutée.
Quels sont les rôles AVD nécessaires avec l’identité managée ?
Lorsqu’on assigne une identité managée à un pool d’hôtes AVD, il faut lui donner les bons rôles RBAC pour qu’Azure Virtual Desktop puisse automatiser les opérations sur les hôtes de session. Voici les rôles clés utilisés avec la session host configuration et leur utilité :
Desktop Virtualization Virtual Machine Contributor – Resource group of image gallery : Autorise l’accès à la Compute Gallery pour que l’identité managée puisse lire et utiliser les images servant de base au déploiement des VMs. Sans ce rôle, AVD ne peut pas provisionner une VM à partir de l’image de référence.
Desktop Virtualization Virtual Machine Contributor – Resource group for session hosts : Donne le droit de créer, mettre à jour et supprimer les machines virtuelles qui composent le pool d’hôtes. C’est le rôle central pour permettre à AVD de gérer le cycle de vie des hôtes de session.
Desktop Virtualization Virtual Machine Contributor – VNet / NSG : Permet à l’identité de connecter les cartes réseau des VMs au bon sous-réseau et d’appliquer les règles de sécurité (NSG). Ce rôle est indispensable pour que les hôtes de session soient correctement intégrés au réseau et puissent rejoindre le domaine ou accéder aux ressources.
Key Vault Secrets User – Domain join Key Vault : Autorise l’identité à récupérer les secrets nécessaires à la jointure au domaine, comme le mot de passe d’un compte de service stocké dans Azure Key Vault. Cela automatise le processus sans exposer les identifiants en clair.
Key Vault Secrets User – Admin account Key Vault : Permet à l’identité d’accéder aux identifiants administrateur stockés dans un Key Vault. Ces informations peuvent être nécessaires lors de la création ou de la configuration initiale des hôtes de session.
Pour illustrer concrètement la mise en place et l’utilisation d’une identité managée dans Azure Virtual Desktop, j’ai choisi de documenter deux scénarios distincts. Cela permettra de couvrir à la fois un environnement AVD neuf et un environnement AVD existant, afin que chacun puisse s’y retrouver selon sa situation.
Dans ce premier cas, je pars de zéro avec un déploiement complet d’Azure Virtual Desktop. Ce scénario illustre la nouvelle exigence imposée par Microsoft pour les nouveaux déploiements, et montre comment intégrer cette configuration proprement dès le départ.
Scénario I – Création d’un nouvel environnement AVD :
L’objectif est de créer un tout nouveau pool d’hôtes après le 19 septembre 2025, et en activant directement l’assignation d’une identité managée dès le processus de création.
Lors de la création de mon pool d’hôtes AVD, sur l’onglet Management, je constate que la case Identité managée est déjà cochée, ainsi que les permissions attribuées à cette identité :
Durant le déploiement, je vois les assignations de rôle automatiquement créées sur différentes ressources Azure pour cette identité managée :
Une fois l’environnement créé, la configuration de l’identité managée est visible directement dans les paramètres du pool d’hôtes :
En cliquant sur l’assignation de rôles, je peux voir les rôles effectivement appliqués sur les ressources du déploiement :
En vérifiant les rôles associés au pool d’hôtes, je constate la présence d’une identité managée de type system-assigned :
Dans le coffre Azure, je retrouve également cette identité managée avec les permissions nécessaires :
Afin de voir l’impact de celle-ci, je déclenche une mise à jour immédiate sur mon nouveau pool d’hôtes AVD :
La mise à jour se déclenche correctement :
Environ quinze minutes plus tard, la mise à jour se termine avec succès :
Les journaux montrent bien que c’est l’identité managée qui a été utilisée comme initiateur de la mise à jour :
Le deuxième test consiste maintenant à prendre un environnement AVD déjà déployé, avec un pool d’hôtes fonctionnel, et à lui associer une identité managée après coup.
Scénario II – Ajout d’une identité managée à un environnement AVD existant :
Ce scénario reflète les besoins de nombreuses organisations qui disposent déjà d’un parc en production AVD et qui doivent se mettre en conformité avant la date butoir de novembre 2025.
Sur mon environnement AVD déjà en place avant le 19 septembre 2025, je lance également une mise à jour via l’interface :
La mise à jour se déclenche correctement :
Après environ quinze minutes, la mise à jour se réalise avec succès :
Dans l’activité, je vois l’identité applicative AVD utilisée pour orchestrer l’opération.
Afin de mettre une identité managée sur mon ancien environnement AVD, je coche la case suivante sur ce pool d’hôtes, puis j’enregistre ma modification :
L’identité managée apparaît désormais dans la configuration du pool d’hôtes :
Une commande PowerShell permet de confirmer la présence de l’identité managée affectée au pool d’hôtes :
Je constate cependant que cette identité n’a encore aucune assignation de rôle.
Malgré tout, je déclenche une mise à jour immédiate AVD :
Cette dernière échoue immédiatement :
Les journaux indiquent clairement que l’identité managée ne dispose pas des droits suffisants sur l’environnement AVD :
Je retourne dans la configuration et ajoute un par un les rôles nécessaires (Compute Gallery, Session Hosts, VNet/NSG, Key Vaults).
J’effectue l’opération autant de fois que nécessaire :
Je contrôle que les rôles sont bien en place sur le pool d’hôtes et sur le coffre associés :
Je relance la mise à jour du pool d’hôtes.
La mise à jour de mon environnement AVD se lance :
Après une quinzaine de minutes, la mise à jour est finalisée avec succès :
Les logs confirment que l’identité managée a bien été utilisée pour piloter la nouvelle mise à jour :
Conclusion
L’introduction des identités managées dans Azure Virtual Desktop marque une étape importante dans la sécurisation et la modernisation du service. Là où le service principal AVD imposait la gestion de secrets et une gouvernance parfois complexe, l’identité managée apporte une intégration native à Microsoft Entra ID et une simplification des processus.
Les deux scénarios que j’ai présentés montrent bien la dualité de la situation actuelle :
Pour les nouveaux environnements, l’identité managée est désormais intégrée par défaut, et il suffit de l’accepter et de valider les rôles nécessaires.
Pour les environnements existants, une phase d’adaptation est incontournable. Il faut ajouter manuellement l’identité managée, attribuer progressivement les bons rôles RBAC, et valider que toutes les opérations AVD critiques fonctionnent correctement.
Au-delà de l’exemple des mises à jour de pools d’hôtes, ce changement illustre surtout la direction que prend Microsoft : réduire la dépendance aux secrets et renforcer la sécurité par défaut. D’ici novembre 2025, l’identité managée sera obligatoire pour l’ensemble des environnements AVD utilisant la session host configuration.
Mon conseil : n’attendez pas la date butoir. Prenez le temps dès maintenant de tester, documenter et industrialiser vos déploiements AVD avec une identité managée. Cela vous évitera des blocages en production et vous assurera une transition fluide vers ce nouveau modèle de sécurité.
Depuis toujours, Azure offrait une “porte de sortie cachée” vers Internet à toutes les machines virtuelles déployées dans un réseau virtuel sans configuration explicite : le fameux Accès sortant par défaut (Default Outbound Access). En clair, si vous créiez une VM sans NAT Gateway, sans Équilibreur de charge, sans IP publique attachée… eh bien Azure vous donnait quand même un accès internet de secours via une IP publique éphémère. Mais tout cela change bientôt !
À partir du 30 septembre 2025, cette facilité disparaît pour tous les nouveaux réseaux virtuels. Les workloads qui comptaient dessus devront désormais passer par des méthodes explicites de sortie (NAT Gateway, Load Balancer SNAT, ou IP publique directe).
Pas d’inquiétude donc pour vos environnements déjà en place ! Ce changement ne concerne pas les réseaux virtuels déjà déployés avant cette date. Mais une modernisation de ces derniers est à envisager afin de les harmoniser avec les nouveaux réseaux virtuels dépourvus de l’Accès sortant par défaut.
Qu’est-ce que l’Accès sortant par défaut ?
L’Accès sortant par défaut est une connectivité internet implicite que Microsoft Azure attribuait automatiquement aux machines virtuelles créées dans un réseau virtuel sans configuration explicite de sortie.
Dans Azure, lorsqu’une machine virtuelle (VM) est déployée dans un réseau virtuel sans méthode de connectivité sortante explicitement définie, une adresse IP publique sortante lui est automatiquement attribuée.
Cette adresse IP permet la connectivité sortante depuis les ressources vers Internet et vers d’autres points de terminaison publics au sein de Microsoft. Cet accès est appelé « accès sortant par défaut ».
Comment et quand l’accès sortant par défaut était-il utilisé ?
Microsoft décrit ici l’ordre de résolution de la connectivité sortante d’une VM dans Azure par plusieurs tests chaque par ordre de priorité :
Firewall
NAT Gateway
IP publique
Équilibreur de charge
Accès sortant par défaut
L’accès sortant par défaut n’est donc qu’un dernier recours. Et après la fin septembre 2025, il disparaîtra pour les nouveaux réseaux virtuels, seules les méthodes explicites resteront.
Pourquoi Microsoft le retire ?
Microsoft met fin à ce mécanisme pour trois raisons principales :
La première est la sécurité : cette IP “fantôme” ne figurait souvent dans aucun inventaire, ce qui compliquait la gestion et exposait à des risques.
La deuxième est la stabilité : ces adresses publiques pouvaient changer sans prévenir, cassant certaines intégrations critiques avec des services externes.
Enfin, la troisième est la conformité : dans un contexte d’audit, il était difficile de tracer les flux sortants d’une VM utilisant ce mode implicite. L’objectif est donc de forcer les clients à adopter des méthodes explicites et maîtrisées de connectivité.
Voici un exemple concret avec un Accès sortant par défaut :
Vous déployez une VM, elle se met à parler à internet avec une IP que vous ne connaissiez pas, qui peut changer sans prévenir, et qui n’apparaît pas dans vos inventaires de sécurité. C’était cela l’Accès sortant par défaut.
Dès la fin septembre, Microsoft dit stop à cette approche :
En supprimant cette facilité, Microsoft pousse à adopter des designs réseau clairs, contrôlables et audités. Malgré la contrainte en tant que telle, cela reste une excellente nouvelle pour la gouvernance cloud.
Qui est impacté ?
Tout le monde. Mais seuls les nouveaux réseaux virtuels créés après le 30 septembre 2025 seront concernés :
Après le 30 septembre 2025, les nouveaux réseaux virtuels exigeront par défaut des méthodes de connectivité sortante explicites au lieu d’avoir un repli vers la connectivité d’accès sortant par défaut.
Les réseaux existants continueront de fonctionner comme avant, mais Microsoft recommande déjà à tous les clients de migrer afin d’éviter les discordances entre les anciens et nouveaux réseaux virtuels :
Toutes les machines virtuelles (existantes ou nouvellement créées) dans les réseaux virtuels existants qui utilisent l’accès sortant par défaut continueront de fonctionner après cette modification. Cependant, nous vous recommandons vivement de passer à une méthode sortante explicite.
Même confirmation sur le site Learn de Microsoft :
Aucune modification n’est apportée aux réseaux virtuels existants. Cela signifie que les machines virtuelles existantes et les machines virtuelles nouvellement créées dans ces réseaux virtuels continuent de générer des adresses IP sortantes par défaut, à moins que les sous-réseaux ne soient modifiés manuellement pour devenir privés.
Afin de maintenir un accès internet à vos machines virtuelles, plusieurs services sont proposés par Microsoft selon vos besoins :
La solution de référence est le NAT Gateway, qui offre une connectivité sortante hautement disponible, scalable et simple à gérer.
Dans certains cas, on pourra également utiliser un Équilibreur de charge configuré avec des règles SNAT.
Pour des scénarios plus ponctuels, il reste possible d’associer une IP publique directement à une VM, même si cela n’est pas conseillé pour des environnements critiques.
Enfin, dans les architectures plus sécurisées, le trafic sortant peut être centralisé à travers un Azure Firewall, un proxy ou une appliance réseau virtuelle (NVA).
Comment préparer ma migration ?
La première étape est d’inventorier vos workloads et d’identifier ceux qui reposent encore sur ce mode implicite d’Accès sortant par défaut.
Ce script PowerShell parcourt toutes les souscriptions Azure et dresse, pour chaque réseau virtuels et sous-réseaux, l’état de l’option Accès sortant par défaut :
Puis, testez ensuite vos flux réseau, notamment tout ce qui dépend de l’accès à Internet : mise à jour, activation Windows, appels API externes, DNS.
Quelles sont les limitations des subnets privés ?
Dans un sous-réseau privé entièrement fermé à Internet, certaines contraintes importantes impactent la bonne marche des machines virtuelles.
Plusieurs fonctionnalités essentielles demandent de mettre en place obligatoirement une méthode explicite de connectivité sortante.
Impossibilité d’utiliser les services Microsoft 365
Impossibilité d’activer le système d’exploitation
Impossibilité de mettre à jour le système d’exploitation via Windows Update
Impossibilité d’associer une machine virtuelle à Azure Virtual Desktop
Les routes configurées avec un next hop de type Internet deviennent inopérantes
Note : Les sous-réseaux privés ne s’appliquent pas non plus aux sous-réseaux délégués ou gérés utilisés par des services PaaS. Dans ces scénarios, c’est le service lui-même (par exemple Azure SQL, App Service, etc.) qui gère sa propre connectivité sortante.
Puis-je déjà désactiver l’Accès sortant par défaut avant septembre 2025 ?
Oui, il est déjà possible de désactiver ce mécanisme dans vos réseaux virtuels pour anticiper la transition.
Cela permet de vérifier vos workloads dans des conditions proches de ce qui deviendra la norme à partir de septembre 2025 et d’éviter les mauvaises surprises le jour où le support sera officiellement retiré.
Important : Il est nécessaire d’arrêter/désallouer les machines virtuelles concernées dans un sous-réseau pour que les modifications de l’Accès sortant par défaut soient prises en compte.
Une fois ces choses dites, je vous propose de tester cela depuis un environnement de démonstration afin de voir ce qu’il est actuellement possible de faire ou de ne pas faire de nôtre côté :
Maintenant, il ne nous reste plus qu’à tester tout cela 😎
Etape 0 – Rappel des prérequis :
Pour réaliser cet exercice, il vous faudra disposer de :
Un abonnement Azure valide
Un tenant Microsoft
Commençons par tester la connectivité à internet depuis un réseau Azure créé avant septembre 2025.
Test I – Connexion internet depuis un sous-réseau non privé :
Dans un réseau virtuel Azure déjà créé, j’ai commencé par créer un premier sous-réseau non privé :
J’ai crée une machine virtuelle sans adresse IP publique associée :
Une fois la VM démarrée, la machine obtient quand même un accès Internet sortant :
Et OneDrive se configure sans problème :
Tout fonctionne comme cela à toujours fonctionné. Passons maintenant à un test reposant sur un sous-réseau virtuel cette fois privé.
Test II – Connexion internet depuis un sous-réseau privé :
Sur ce même réseau virtuel, j’ai crée un second sous-réseau, avec l’option Private subnet cochée :
Une fois connecté à la machine virtuelle, dans les paramétrages Windows, l’état du réseau indique qu’il n’y a plus d’accès Internet :
Impossible d’ouvrir des sites web depuis le navigateur internet :
Windows Update échoue également à télécharger les mises à jour :
L’activation Windows ne se fait pas non plus :
Et cette fois, OneDrive refuse de se configurer :
Et pourtant, j’accède sans problème à un compte de stockage via son URL publique :
Tout montre que l’accès extérieur à Azure, y compris Microsoft 365, est bloqué dans ce sous-réseau privé.
Sur ce second sous-réseau, je décoche l’option précédemment activée, puis je sauvegarde :
Malgré cela, la machine n’a toujours pas retrouvé Internet :
Je tente même un redémarrage de la machine virtuelle depuis le portail Azure :
Mais après ce redémarrage, rien ne change côté accès Internet :
Après un arrêt complet puis un redémarrage manuel, la sortie vers Internet revient :
Cette fois, la VM a bien une IP publique éphémère pour sortir sur Internet :
Ce test nous montre l’impact de cette option sur les ressources externes accessibles à notre machine virtuelle. Continuons avec un test sur le comportement d’Azure Virtual Desktop dont les VMs seraient sur ce type de sous-réseau privé.
Test III – Connexion Azure Virtual Desktop depuis un sous-réseau privé :
Je dispose d’un environnement Azure Virtual Desktop contenant déjà plusieurs machines virtuelles dans le pool d’hôtes :
J’ai donc modifié le sous-réseau AVD pour qu’il soit privé :
J’ai ajouté une nouvelle machine virtuelle via le plan de mise à l’échelle AVD :
La création de la VM se déroule normalement et celle-ci apparaît :
Mais, elle n’a jamais rejoint automatiquement mon Active Directory :
Et elle n’a pas non plus intégré le pool d’hôtes AVD :
Enfin, au bout d’un certain temps, elle s’est même auto-supprimée :
Ce test nous montre qu’un environnement Azure Virtual Desktop déployé après septembre 2025 nécessitera des ressources supplémentaires pour fonctionner correctement.
Continuons nos tests en appliquant les méthodes proposées par Microsoft pour compenser le changement à venir.
Test IV – Connexion internet avec une adresse IP publique :
Je recoche l’option Private subnet sur mon 2ᵉ sous-réseau :
J’y crée une machine virtuelle, cette fois disposant d’une adresse IP publique associée :
La VM a bien accès à Internet, et l’IP vue depuis l’extérieur correspond à l’IP publique de la machine virtuelle :
Voici le coût de cette IP publique dans le Azure Pricing Calculator :
Il s’agit de la solution la plus économique pour retrouver un accès internet. Mais la question va se poser si un grand nombre de machines virtuelles existent. Si l’ajout d’une adresse IP publique sur une machine virtuelle n’est pas sans conséquence sur la sécurité.
Continuons avec le service Azure NAT Gateway.
Test V – Connexion internet avecAzure NAT Gateway :
Je crée un 3ᵉ sous-réseau privé, dédié cette fois à un test avec NAT Gateway :
Je déploie un service NAT Gateway et je lui assigne une IP publique :
Le nouveau sous-réseau privé est bien associé au service NAT Gateway :
Je crée une VM dans ce 3ᵉ sous-réseau :
Les tests montrent que la VM utilise bien l’adresse IP publique du NAT Gateway pour sortir sur Internet :
Je reproduis ensuite ce même test sur le sous-réseau dédié à Azure Virtual Desktop :
Je lance la création d’une 4ᵉ VM AVD :
Cette fois, la VM rejoint correctement mon Active Directory :
Elle est aussi intégrée automatiquement au host pool d’AVD, et devient accessible :
Voici le coût estimé par Azure Pricing Calculator pour un service NAT Gateway et son IP publique :
L’Azure NAT Gateway est un service géré qui permet aux machines virtuelles dans un sous-réseau privé de sortir sur Internet de manière sécurisée, performante et scalable.
Continuons avec le service Azure Firewall.
Test VI – Connexion internet avecAzure Firewall :
Je crée un 4ᵉ sous-réseau privé dédié cette fois à un test avec Azure Firewall :
Je crée aussi le sous-réseau spécifique réservé au service Azure Firewall :
Je déploie un Azure Firewall en SKU Basique pour ce test :
Deux adresses IP publiques sont automatiquement créées pour le Firewall :
Je configure une Firewall Policy avec plusieurs règles et adresses IPs cibles :
Je crée une nouvelle machine virtuelle sur ce nouveau sous-réseau privé :
Enfin je crée une table de routage associée à mon sous-réseau virtuel de test, dont le prochain saut envoie tout le trafic sortant vers l’adresse IP privée de mon Firewall Azure :
Les tests montrent que la sortie Internet se fait bien via l’IP publique de l’Azure Firewall :
Voici le coût estimé par Azure Pricing Calculator pour un service Azure Firewall et ses deux adresses IP publiques :
L’Azure Firewall a un rôle différent d’un NAT Gateway : ce n’est pas juste de la connectivité sortante, c’est une véritable appliance de sécurité managée par Microsoft. Mais d’autres appliances tierces auraient elles-aussi pu faire l’affaire.
Terminons avec un Équilibreur de charge Azure.
Test VII – Connexion internet avecAzure Load Balancer :
Je crée un 5ᵉ sous-réseau privé, cette fois pour tester Azure Load Balancer :
Je crée une nouvelle VM dans ce nouveau sous-réseau privé :
Je déploie un Équilibreur de charge et lui associe une IP publique :
La VM est ajoutée au backend pool :
Je configure une règle SNAT de sortie sur l’Équilibreur de charge :
En me connectant à la VM, je constate que la sortie Internet se fait bien via l’IP publique de l’Équilibreur de charge :
Voici le coût estimé par Azure Pricing Calculator pour un Équilibreur de charge et son adresse IP publique :
Ce service permet aux VM backend de sortir vers Internet sans IP publique dédiée, mais il est limité pour les gros volumes de connexions (NAT Gateway est plus adapté).
Conclusion
La fin de l’Accès sortant par défaut marque une étape clé dans la maturité du cloud Azure. Fini les “raccourcis” implicites : désormais, chaque sortie vers Internet devra être pensée, tracée et gouvernée.
Ce changement n’est pas une contrainte, mais une opportunité :
Opportunité de renforcer la sécurité en éliminant des flux fantômes.
Opportunité d’améliorer la stabilité et la prévisibilité des intégrations.
Opportunité de consolider vos architectures autour de designs réseau clairs, basés sur NAT Gateway, Azure Firewall ou un Équilibreur de charge.
