Azure Virtual Desktop

par wmenant, publié dans Azure

Azure Virtual Desktop est un service de virtualisation de bureau et d’application à distance s’exécutant dans le Cloud Microsoft Azure.

Dans cet article, je vais présenter les principes de base d’Azure Virtual Desktop et comment l’installer simplement avec des applications et un bureau à distance.

Optionnel : vous pouvez, si vous le souhaitez, préparer et déployer une image Windows personnalisée pour Azure Virtual Desktop (VM Sysprep, image de VM, profils FSLogix, déploiement AVD). Nous en discuterons dans d’autre articles.

Prérequis

Dans cet article, nous partirons du principe que les prérequis sont respectés. Les plus importants étant d’avoir :

  • Une instance Azure Active Directory.
  • Un annuaire Windows Server Active Directory synchronisé avec Azure Active Directory. Vous pouvez configurer cela à l’aide d’Azure AD Connect (pour les organisations hybrides) ou d’Azure AD Domain Services (pour les organisations hybrides ou cloud) :
    • Un domaine Windows Server AD synchronisé avec Azure Active Directory.
    • Un domaine Azure AD Domain Services.
  • Un abonnement Azure, apparenté au même locataire Azure AD, comprenant un réseau virtuel qui contient l’instance Windows Server Active Directory ou Azure AD DS, ou qui y est connecté.

Dans notre exemple, nous allons partir sur un domaine Azure AD Domain Services. Ici nous ne présenterons pas la création du domaine Azure AD Domain Services (voir l’article dédié à ce sujet).

Modification DNS

Afin que la communication s’établisse bien entre le contrôleur de domaine et les machines virtuelles Azure que vous allez créer pour Azure Virtual Desktop, il est important de configurer les DNS du réseau dans Azure. Dans mon exemple, j’ai créé un réseau spécifique à l’Azure Active Directory Domain Services avec plusieurs espaces d’adressage. Ceci, afin de bien séparer le domaine Azure AD DS et les machines AVD. Pour cela on clique dans le menu de gauche « Virtual networks », on sélectionne notre réseau (ici : aadds-vnet), puis on cliqur sur « DNS Servers ». On spécifie alors les adresses IP des serveurs DNS, dans notre cas ceux de l’Azure AD DS : 10.0.0.4 et 10.0.0.5

Modification des paramètre DNS du réseau virtuel

Ensuite, on finit par valider les modifications en cliquant sur « Save ».

SSPR (Self-Service Password Reset)

Le Self-Service Password Reset (SSPR) offre aux utilisateurs d’Azure Active Directory (Azure AD) la possibilité de modifier ou de réinitialiser leur mot de passe, sans implication de l’administrateur.

Cette configuration est importante pour une bonne mise en place d’un projet AVD, et pour ce faire, il suffit d’aller dans le portail Azure puis de cliquer dans le menu de gauche « Azure Active Directory » et sur « Password Reset ». On sélectionne soit un groupe d’utilisateurs en particulier soit tous les utilisateurs  :

Configuration du SSPR

Puis de valider les modifications en cliquant sur « Save ».

Groupe AAD DC Administrators

Il est important de noter que vous ne disposez pas des autorisations Administrateur de domaine ou Administrateur d’entreprise sur un domaine managé avec Azure AD DS. Ces autorisations sont réservées par le service et ne sont pas disponibles pour les utilisateurs au sein du locataire.

Contrairement à un domaine local Active Directory contenant un groupe « Administrateurs », un groupe d’administration spécial nommé « AAD DC Administrators » est utilisé pour la gestion du domaine Azure AD DS. Les membres de ce groupe peuvent aussi utiliser le Bureau à distance pour se connecter aux machines virtuelles jointes au domaine.

De ce fait, le groupe « AAD DC Administrators » vous permet d’effectuer des opérations privilégiées. Ces opérations incluent l’appartenance au groupe d’administration sur les machines virtuelles jointes au domaine ainsi que la configuration de la stratégie de groupe.

Lors de la création d’un Azure Active Directory Domain Services, ce groupe est automatiquement créé dans votre annuaire Azure AD. Si vous disposez déjà d’un groupe du même nom dans votre répertoire Azure AD, l’Assistant sélectionne ce groupe.

Nous allons ajouter un administrateur dans ce groupe. Pour cela, il suffit d’aller dans le menu de gauche « Azure Active Directory », puis sur « Groups ». Les groupes apparaissent :

Liste des groupes Azure AD

Ensuite, on sélectionne le groupe « AAD DC Administrators » et on clique dans le menu de gauche sur « Members » afin d’ajouter l’administrateur n cliquant sur « Add members » dans le menu du haut :

Ajout d’un administrateur au groupe AAD DC Administrators

Activer les comptes d’utilisateur pour Azure AD DS

Un point non négligeable pour bien authentifier les utilisateurs sur le domaine managé est la modification du mot de passe. En effet, Pour les comptes d’utilisateurs cloud uniquement, les utilisateurs doivent changer leur mot de passe avant de pouvoir utiliser Azure AD DS. Ce processus de changement du mot de passe entraîne la génération et le stockage dans Azure AD des hachages de mot de passe pour l’authentification Kerberos et NTLM. Le compte n’est pas synchronisé entre Azure AD et Azure AD DS tant que le mot de passe n’a pas été changé. Vous pouvez faire expirer les mots de passe de tous les utilisateurs cloud du locataire qui doivent utiliser Azure AD DS, ce qui force le changement de mot de passe à la connexion suivante, ou demander aux utilisateurs cloud de changer manuellement leur mot de passe. Pour ce tutoriel, nous changeons manuellement le mot de passe d’un utilisateur.

Pour qu’un utilisateur puisse réinitialiser son mot de passe, le locataire Azure AD doit être configuré pour la réinitialisation du mot de passe en libre-service (voir procédure ci-dessus ou pour plus de détails : https://docs.microsoft.com/fr-fr/azure/active-directory/authentication/tutorial-enable-sspr)

Pour changer le mot de passe d’un utilisateur cloud uniquement, l’utilisateur doit effectuer les étapes suivantes :

  1. Accédez à la page Panneau d’accès Azure AD à l’adresse https://myapps.microsoft.com.
  2. En haut à droite, sélectionnez votre nom, puis choisissez Profil dans le menu déroulant.
  3. Select profile
  4. Dans la page Profil, sélectionnez Changer le mot de passe.
  5. Dans la page Changer le mot de passe, entrez votre mot de passe existant (l’ancien), puis entrez un nouveau mot de passe et confirmez-le.
  6. Sélectionnez Envoyer.

Une fois que vous avez changé votre mot de passe, quelques minutes sont nécessaires pour que le nouveau mot de passe soit utilisable dans Azure AD DS et que vous puissiez vous connecter aux ordinateurs joints au domaine managé.

Création d’un pool d’hôtes de bureau à distance

Pour déployer Azure Virtual Desktop, il est nécessaire de créer un pool hôtes, en spécifiant des VM hôtes de session et de créer un espace de travail. Ce processus permet de créer un groupe d’applications de bureau. Nous allons ensuite affecter ce groupe d’applications à un utilisateur et vérifier qu’il voit le bureau virtuel dans son espace de travail.

Les pools d’hôtes sont des ensembles d’une ou plusieurs machines virtuelles identiques, aussi appelés « hôtes de session », dans des environnements Azure Virtual Desktop. Chaque pool d’hôtes peut contenir un groupe d’applications avec lequel les utilisateurs peuvent interagir comme ils le feraient sur un ordinateur de bureau physique.

Dans cet article, nous allons partir sur le déploiement d’Azure Virtual Desktop avec des images Windows fournis par Microsoft. Il est aussi possible de créer sa propre image et de la déployer par la suite sur les environnements de bureaux à distance (cf. Voir l’article sur la création d’image).

Il est important de connaitre l’emplacement du réseau virtuel en lien avec l’Active Directory, soit par le biais d’un VPN Azure si votre Active Directory est local, soit si vous utilisez Azure Active Directory Domain Services et son réseau Azure.

Pour créer un Pool d’Hôtes, recherchez « Azure Active Directory » dans les ressources Azure et cliquez sur Create a host pool »  :

Création du pool d’hôtes

Ensuite, spécifiez les informations suivantes :

Informations de base sur le pool d’hôtes

Quelle est la différence entre des hôtes de session de type « Pooled » ou « Personal » au sein d’Azure Virtual Desktop ?

  • Personal (Bureau personnel) : Les bureaux personnels, également appelés bureaux persistants, sont les endroits où chaque utilisateur se voit attribuer un bureau. Les utilisateurs peuvent modifier leur bureau pour répondre à leurs préférences personnelles et peuvent enregistrer des fichiers dans leur propre environnement de bureau.
  • Pooled (Bureaux regroupés) : Les bureaux regroupés, également appelés bureaux non persistants, affectent les utilisateurs à l’hôte de session disponible à ce moment-là. Cela dépend de l’algorithme d’équilibrage de charge configuré. Étant donné que les utilisateurs ne reviennent pas toujours au même hôte de session chaque fois qu’ils se connectent à Azure Virtual Desktop, les utilisateurs ont une capacité limitée à personnaliser l’environnement de bureau.

Concernant les algorithmes du load-balancing :

  • Breadth-first : distribuera les nouvelles sessions utilisateur sur tous les hôtes de session disponibles dans le pool d’hôtes
  • Depth-first : distribue de nouvelles sessions utilisateur à un hôte de session disponible avec le plus grand nombre de connexions mais qui n’a pas atteint son seuil de limite de session maximum spécifié dans le paramètre en dessous du choix de l’algorithme.

Après ces premiers paramètres de renseignés, nous pouvons valider la création du pool d’hôtes. Nous verrons par la suite l’ajout de machines virtuelles, la création d’un espace de travail et plus.

Paramètres des machines virtuelles
Paramètres de l’espace de travail
Paramètres avances
Tags
Récapitulatif avant création

Enfin, cliquez sur « Create ». Le processus de création va déployer le pool d’hôtes…

Pool d’hôtes déployé avec succès

Ajout de machines Virtuelles Azure

Une fois le Pool d’hôtes créé, nous allons maintenant ajouter des machines virtuelles à celui-ci. Pour cela, nous allons dans Azure Virtual Desktop, puis dans le menu de gauche « Host Pool ». Ici, nous retrouvons le premier pool d’hôtes que nous avons créé « AVDHostPool » :

Notre premier pool d’hôtes créé auparavant

Il nous suffit de cliquer dessus pour avoir les options de ce pool :

Les caractéristiques de notre pool d’hôtes

Afin de créer nos machines virtuelles, on clique sur « Total machines ». pour l’instant, on s’aperçoit qu’il n’y a aucunes machines (chiffre à zéro). Une fois cliqué, nous pouvons créer les machines virtuelles en cliquant sur « Add » dans le menu en haut :

Ajout des machines virtuelles

Puis on spécifie les caractéristiques de nos machines virtuelles :

Paramètres de base

Il nous faut indiquer un préfix à la machine virtuelle et choisir un type d’image. Ici nous utilisons la galerie Microsoft, avec une image Windows 11 contenant les applications Microsoft 365. Cependant, vous pourriez très bien créer votre propre image avec vos applications. Nous en reparlerons dans un autre article dédié à la création d’image pour AVD. Pensez à choisir une taille de puissance pour vos machines. Ici ce seront des machines de type Standard B2ms avec 8Gb de mémoire de 2 vCPU.

Paramètres des machines

Attention lors de la configuration des paramètres liés au domaine. Il est important de bien spécifier le type de domaine à joindre, ici Active Directory, puis les informations d’identification de l’administrateur ajouté au groupe AAD DC Administrators un peu plus haut. Enfin, n’oubliez pas de spécifier un nom de domaine, ici : aadds.menant.eu

Paramètres liées au domaine
Paramètres avancés
Tag
Récapitulatif avant validation

UNe fois le tout validé, on valide en cliquant sur « Create ». Le processus prendra un certain temps en fonction du nombre de machines virtuelles et de leur taille… On retrouve alors le nombre de machines dans le récapitulatif de notre pool d’hôtes :

Ajout d’un groupe d’application

Les machines virtuelles étant maintenant opérationnelles, AVD a créé un groupe d’application spécial pour que les utilisateurs puissent avoir un bureau à distance. Ici, nous allons créer un nouveau groupe d’applications avec uniquement des applications qui s’exécuteront à distance, sans session de bureau.

Pour cela, il ne faut aller dans le menu de gauche « Applications Groups ». Celui créé auparavant apparait, il s’agit du bureau à distance. Pour créer uniquement les applications, cliquez sur « Create » en haut :

Notre pool d’hôtes de bureau avant création du nouveau
Paramètres de base de notre groupe d’applications

Ensuite nous allons spécifier les applications que nous souhaitons ajouter. En fonction de votre image, vous aurez des applications dédiées ou celles incluses dans l’image comme Microsoft 365. Ici, nous ajoutons les applcations Microsoft 365 telles que Word, Excel, … :

Choix des applications depuis le menu démarrer
Paramètres de l’application, ici Excel
Liste des applications qui seront ajoutées

Ensuite, il faut spécifier quels utilisateurs auront accès à ces applications :

Ajout des utilisateurs

Puis on laisse les paramètres suivants par défaut; Nous les étudierons ci dessous. On finalise la création en cliquant sur « Create » afin de créer le groupe d’applications :

Récapitulatif avant création

Ajout à l’espace de travail

Maintenant il nous faut créer un espace de travail (Workspace). Pour cela il faut se rendre dans le menu de gauche « Workspaces » :

Ajout de l’espace de travail

On clique sur « Create » et on spécifie les paramètres :

Création de l’espace de travail
Paramètres de base

Ensuite il est important d’ajouter nos groupes d’applications, la session de bureau virtuel et les applications à distance :

Ajout des groupes d’applications
Groupes d’applications liés

On laisse ensuite les autres paramètres par défaut on on valide la création en cliquant sur « Create » :

Validation et création

Assignations des droits des groupes d’applications

Pour finir, il nous faut maintenant accorder les droits aux utilisateurs qui pourront utiliser le bureau à distance et/ou les applications. Pour cela, nous allons dans notre pool d’hôtes :

On clique sur « Applications groups ». Normalement, la colonne située à droite nous indique les assignations. Ici, les applications ont bien été assignées mais pas le bureau à distance. Nous cliquons dessus puis sur « Assigments (manage) » :

Assignation des utilisateurs
Liste des utilisateurs autorisés

Test de connexion

Maintenant que la configuration de base est terminée, nous pouvons tester la bonne connexion et l’accès aux ressources Azure Virtual Desktop. Pour cela, on se connecte avec un utilisateur dont nous avons donné les autorisations un peu plus.

L’adresse de connexion est la suivante :

https://client.wvd.microsoft.com/arm/webclient/index.html

Ici, nous nous authentifions et les ressources s’affichent :

Affichage de ressources disponibles pour l’utilisateur connecté

L’utilisateur peut ainsi lancer une session de bureau à distance par exemple, en cliquant sur « Bureau à distance ». AVD lui demande s’il souhaite autoriser des ressources locales (presse-papier, imprimantes, …) :

Accès aux ressources pour la session à distance
La session s’ouvre
Et l’utilisateur s’authentifie sur AVD
Bureau de l’utilisateur

Pour une meilleur expérience, l’utilisateur peut mettre en grand écran et détacher l’onglet de son bureau dans son navigateur en cliquant sur les icones en haut à droites :

Ainsi, l’utilisateur à l’impression d’être devant son bureau et peut travailler en toute simplicité :

Bureau AVD de l’utilisateur

Il peut aussi choisir de lancer seulement Excel. Des lors, l’application s’exécute à distance :

Chargement d’Excel
Ouverture de l’application Excel à distance
Exécution d’Excel dans AVD

Conclusion

A travers cet article, vous avez pu découvrir la configuration de base pour déployer Azure Virtual Desktop. Bien évidemment, les possibilités offertes sont puissantes avec AVD et vous pouvez améliorer les performance et fonctionnalités en intégrant, par exemple, les profils FSLogix que nous aborderons dans un prochain chapitre.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *