Dans cet article , nous allons mettre en place Single Sign on pour la simplication de l’authentication des utilisateurs.
Pour mettre en place la fonctionnalité, il y ‘ a des prérequis :
- Windows 11 Enterprise single or multi-session with the 2022-10 Cumulative Updates for Windows 11 (KB5018418) installé
- Windows 10 Enterprise single or multi-session, versions 20H2 or later with the 2022-10 Cumulative Updates for Windows 10 (KB5018410) installé
- Windows Server 2022 with the 2022-10 Cumulative Update for Microsoft server operating system (KB5018421) installé.
Les hôtes de session doivent être joints à Azure AD ou Azure AD Hybride.
Pour cet article les hôtes de session seront joint à Azure AD.
Déploiement des VM
On va d’abord créer les VM. Il faut chercher Azure Virtual Desktop sur la barre de recherche.
On clique sur Create Host pool.
Pour le déploiement des machines AVD, nous allons créer un hostpool , une application group et un Workspace.
on met la subscription : Bass_Prod et on met le ressource rg_avd_pooled.
Nous donnons un nom à notre pool d’hôtes : pool-vdi-sso.
Les métadonnées seront stockées en North Europe . Pour le type de déploiement choisi : Pooled avec load balancing : breadth-first.
On clique sur Next : Machines Machines
Dans image , on va sélectionner Windows 11 Entreprise multisession, version 22H2 .
Pour la partie réseau , on choisit le réseau virtuel : bassavd-Vnet et le sous-réseau : avd_subnet.
Pour joindre les machines au domaine , on a deux options : Active Directory et Azure Active Directory.
On choisit Azure Active Directory .
Nous avons également besoin d’un compte administrateur de machine virtuelle.
On clique sur l’onglet Workspace , on enregistre l’application sur le workspace AVD_Workpace.
Après la validation des paramètres on appuie sur create.
Affectation du groupe d’applications de bureau aux utilisateurs
Avec la création de l ‘environnement AVD , il faut assigner les utilisateurs à l’application pour qu’il puisse connecter à la VM.
Pour cela, il faut aller dans l’onglet Application Groups > pool-vdi-sso -DAG puis dans Assignements et cliquer sur Add.
Le groupe VDIDemos est bien ajouté.
Ajout des rôles RBAC
Afin d’autoriser les utilisateurs à se connecter aux machines virtuelles AVD jointes à Azure AD, l’attribution d’un rôle RBAC spécifique est nécessaire. Affectez les deux rôles RBAC suivants sur le groupe de ressources :
- Virtual Machine Administrator Login : Groupe d’utilisateurs ayant les droits d’administrateur local sur les machines virtuelles AVD.
- Virtual Machine User Login : Affecter le rôle Virtual Machine User Login au même groupe d’utilisateurs que celui utilisé pour le groupe d’application AVD.
Implémentation de la fonctionnalité SSO
Pour activer la fonctionnalité , il faut aller dans le host pool .
Dans Azure AD , on sélectionne RDP with attempt to use Azure AD authentification to sign in
Après on clique sur Save.
Dans Advanced , on voit bien que l’option a été ajoutée.
Test d ‘un utilisateur
On ouvre l’application Bureau à Distance . On se connecte avec l ‘utilisateur avduser1@bass12.fr
La session de l ‘utilisateur s’ouvre.
Il faudra réessayer une deuxième fois pour vérifier le bon fonctionnement du SSO.
Conclusion
Dans cet article , on a vu comment mettre en place le SSO pour Azure Virtual Desktop Lorsqu’elle est activée, cette fonctionnalité fournit une expérience d’authentification unique lors de l’authentification auprès de l’hôte de session.
