Il est possible depuis longtemps de se connecter à une session Windows via un compte Azure AD, que cela concerne Windows 10/11 ou Windows Server. Pour cela, une jointure à Azure AD est nécessaire et l’article l’expliquant est disponible juste ici. Seulement sur Azure, les choses sont légèrement différentes. Je trouvais donc intéressant de vous en écrire un article dessus.
En effet, lors de la création d’une machine virtuelle Azure, il est possible de la joindre directement à Azure AD au travers d’une extension. Cette jointure va vous permettre de vous y connecter en bureau à distance via votre compte Azure AD.
Mais certaines choses sont à respecter pour que cela fonctionne, et c’est pour cela que j’ai écrit cet article, car bien souvent on bloque et on tourne en rond.
Dans celui-ci, vous trouverez toutes les étapes nécessaires, de la création à la connexion à la machine virtuelle, en passant par une règle d’accès conditionnel d’Azure AD :
- Etape 0 – Rappel des prérequis
- Etape I – Déploiement de la machine virtuelle Azure
- Etape II – Tests avec Azure AD
- Etape III – Test avec accès conditionnel MFA
Etape 0 – Rappel des prérequis :
Pour réaliser cet exercice sur Azure, il vous faudra disposer de :
- Un tenant Microsoft
- Une souscription Azure valide
Etape I – Déploiement de la machine virtuelle Azure :
Pour cela, rendez-vous dans le portail d’Azure et utilisez la barre de recherche :
Cliquez-ici pour créer une première machine virtuelle Azure :
Renseignez les informations de base relatives à votre VM :
Définissez un compte administrateur local, puis cliquez sur Suivant :
Aucune modification n’est à faire sur cet onglet, cliquez sur Suivant :
Aucune modification n’est à faire sur cet onglet, cliquez sur Suivant :
Cochez la case Azure AD, cela coche automatiquement la case Identité, puis lancez la validation Azure :
Une fois la validation Azure réussie, lancez la création des ressources puis attendez environ 3 minutes :
Une fois le déploiement terminé, cliquez-ici pour terminer la configuration de vm :
Cliquez sur le bouton suivant pour déployer le service Azure Bastion :
Deux notifications apparaissent concernant le déploiement de Bastion :
N’attendez pas qu’Azure Bastion soit déployé pour continuer les prochaines actions.
Toujours sur votre VM de test, allez dans le menu suivant afin d’ajouter un rôle sur votre utilisateur de test :
Ajoutez-lui le rôle suivant pour que celui-ci soit autorisé à se connecter en bureau à distance sur la VM :
Rendez-vous sur la page des périphériques d’Azure AD suivante afin de constater la bonne jointure de votre VM de test :
Comme ma machine virtuelle de test tourne sur Windows Server, celle-ci n’est pas présente dans la gestion MDM Intune :
Quelques minutes plus tard, Azure Bastion devrait être entièrement déployé :
Sur votre machine de test, ouvrez une session Bastion en utilisant le compte administrateur local renseigné lors de la création de la VM :
Vérifiez que la session s’ouvre bien :
Saisie la commande suivante dans une fenêtre CMD :
dsregcmd /statutVérifiez encore une fois la bonne jointure à Azure AD :
Etape II – Tests avec Azure AD :
Tentez de vous connecter à votre VM en utilisant le compte Azure AD de votre utilisateur de test via Azure Bastion :
Constatez le message d’erreur d’Azure Bastion :
Tentez de vous connecter à votre VM en utilisant le compte Azure AD de votre utilisateur de test précédé de la mention AzureAD\ :
Constatez une seconde fois le même message d’erreur d’Azure Bastion :
Sur la session Bastion ouverte avec le compte administrateur, ouvrez l’éditeur de registre Windows, puis rendez-vous au chemin suivant :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TcpModifiez les deux clefs suivantes en changeant leur valeur par zéro :
- SecurityLayer
- UserAuthentication
Il est possible de faire via un script PowerShell, exécutable depuis le portail Azure :
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name 'SecurityLayer' -Value '0' # was before 2
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name 'UserAuthentication' -Value '0' # was before 1Retentez une connexion à distance depuis Azure Bastion avec votre utilisateur de test, toujours précédé de la mention AzureAD\ :
Constatez cette fois-ci la bonne ouverture de votre session Windows :
Afin de renforcer la sécurité de vos utilisateurs, la mise en place d’une connexion renforcée via MFA est indispensable. Voici d’ailleurs plus articles intéressants à ce sujet :
- Optimisez votre Azure : 2/4 – La sécurité
- Optimisez votre Azure : 2/4 – La sécurité de vos identités
- Déployez des bases de sécurité Azure en 10 min
Bien souvent, la question se pose sur l’ouverture de session Windows avec un compte Azure AD protégé par une MFA. Pour cela, nous allons tester l’impact de l’accès conditionnel sur notre utilisateur
Etape III – Test avec accès conditionnel MFA :
Pour cela, rendez-vous à la page d’Azure AD suivante afin d’y créer une règle d’accès conditionnel pour notre utilisateur de test :
Ajoutez votre utilisateur de test dans le public cible :
Dans un premier temps, intégrez l’ensemble des applications cloud dans cette police d’accès conditionnel :
Autorisez l’accès sous la condition de réussir le challenge MFA, activez la police puis sauvegardez la :
Avant de tester la solution sur l’ouverture de session Windows, il est nécessaire de configurer la MFA pour notre utilisateur de test.
Comme la police d’accès conditionnel est très récente, il est préférable d’attendre environ 5 minutes que celle-ci soit correctement appliquée pour notre utilisateur.
Rendez-vous en navigation privée sur la page office.com, puis authentifiez-vous :
Comme on pouvait s’y attendre, il est nécessaire de remplir les informations MFA dès à présent.
Choisissez la méthode MFA qui vous arrange, puis configurez-là :
Fermez le navigateur privé, puis réouvrez-en un afin de vérifier que le challenge MFA est bien présent et correctement configuré :
Retournez sur le portail Azure, rouvrez une session Windows avec les mêmes identifiants que lors du test précédent :
Constatez la présence de ce message bloquant provenant du challenge MFA :
Et cela malgré l’indication des succès dans le log des authentifications d’Azure AD de notre utilisateur de test :
Afin de contourner le problème lié à la MFA sur le compte Azure AD, retournez dans la police d’accès conditionnel créée précédemment afin de lui y ajouter l’exclusion suivante, puis sauvegardez :
Retendez encore une fois d’ouvrir une session Windows avec les mêmes identifiants que lors du test précédent :
Constatez cette fois-ci le succès et l’absence de blocage au moment de l’ouverture de session.
Un rapide whoami en ligne de commande nous confirme bien la connexion au compte Azure AD :
Conclusion
Finalement, les opérations nécessaires à la connexion à la VM via Azure AD ne sont pas très compliquées. Notez ici qu’il s’agit d’un simple test et que la grande majorité d’environnement de production nécessiteront des mesures de sécurité supplémentaires.
Voici d’ailleurs un article très intéressant à ce sujet : La sécurité de votre Azure. Bonne lecture !
Un commentaire sur “VM : Connectez-vous avec Azure AD”