Pré-authentification Azure à une source de données Devolutions Server dans Remote Desktop Manager

Sur cette page

L'authentification préalable d'Azure nécessite une configuration unique. Pour utiliser cette fonctionnalité avec Remote Desktop Manager, les administrateurs doivent activer l'authentification sur le Devolutions Server désiré, configurer plusieurs paramètres dans le centre d'administration Microsoft Entra, et configurer un mandataire d'application Azure.

Dans cette rubrique :

Installer et configurer un connecteur privé

  1. Dans l'interface du navigateur du centre d'administration Microsoft Entra, naviguer vers Accès Sécurisé GlobalConnecterConnecteurs, puis activer l'Accès Sécurisé Global dans votre locataire.
    Global Secure Access activation
    Activation de l'Accès Sécurisé Global
  2. Aller à Connecteurs de Réseau PrivéRéacheminement du trafic et basculer sur l'option Profil d'accès privé.
    Private access profile
    Profil d'accès privé
  3. Ensuite, se rendre à Connecteurs de Réseau Privé une fois de plus, et cliquer sur Télécharger le service de connecteur.
    Download connecter service
    Télécharger le service de connecteur
  4. Une fois le service de connecteur téléchargé, exécuter le programme d'installation, se connecter avec l'invite Azure, et attendre la fin de l'installation (le service peut être affiché comme indisponible durant cette période).

Lors de l'exécution sur un Windows Server, s'assurer de désactiver la Configuration améliorée d'IE ou de faire de Microsoft Edge le navigateur par défaut (sans configuration améliorée). Sinon, l'invite de connexion Azure échouera très probablement sans autoriser toutes les URL requises.

De plus, le service du connecteur Windows doit avoir TLS 1.2 activé avant l'installation. Ajouter ci-dessous dans un fichier bloc-notes avec l'extension .reg et double-cliquer pour importer les valeurs nécessaires dans le registre. Ensuite, un redémarrage du serveur est nécessaire avant d'exécuter l'installation du connecteur.

Configurer un mandataire d'application Azure

Voici les prérequis pour les prochaines étapes de configuration de l'authentification préalable d'Azure à la source de données Devolutions Server dans Remote Desktop Manager:

  • Devolutions Server est en version 2024.2.4.x ou supérieure.
  • Remote Desktop Manager est v.2024.2.4.x ou ultérieure.
  • Une licence P1 pour la fonctionnalité Réseau Privé.
  • L'URL de Devolutions Server ne doit pas être la racine, c'est-à-dire https://myserver.com/dvls et non https://myserver.com

Les modifications apportées peuvent prendre 3 à 5 minutes pour prendre effet. En être conscient lors du test des modifications.

  1. Dans le portail Azure, naviguer vers Microsoft Entra IDEnregistrements d'applications, et cliquer sur Nouvel enregistrement.
    Create a new registration
    Créer un nouvel enregistrement
  2. Entrer le nom de l'enregistrement de l'application et laisser toutes les autres valeurs par défaut.
    New app registration name
    Nouveau nom d'enregistrement d'application
  3. Ensuite, se diriger vers Microsoft Entra IDApplications d'entreprise. Cliquer sur l'enregistrement d'application nouvellement créé, aller à Mandataire d'application, et remplir les champs requis suivants :
  • URL interne : C'est la racine du serveur IIS hébergeant le DVLS (généralement http://localhost/dvls ou similaire).
  • URL externe : Par défaut, le nom de l'enregistrement d'application.
  • Préauthentification: Définir sur Microsoft Entra ID.
  • Groupe de connecteurs: Le groupe de connecteurs à cibler.
    App proxy information – Basic
    Informations sur le proxy d'application – Basique
  1. Ensuite, naviguer vers l'onglet Avancé. S'assurer que toutes les options sont décochées ou définies par défaut, sauf Valider le certificat SSL de la dorsale qui peut être laissé activé si nécessaire.
    App proxy information – Advanced
    Informations sur le proxy d'application – Avancé
  2. Revenir à Microsoft Entra IDEnregistrements d'application, et cliquer sur l'application à configurer. Si l'application n'est pas listée, il peut être nécessaire de cliquer sur Toutes les applications pour y accéder car la vue est automatiquement réglée sur Applications possédées par défaut.
  3. Dans l'écran Authentification, cliquer sur le bouton Ajouter une plateforme. Trois nouvelles plateformes doivent être créées : Web, Application monopage, et Applications mobiles et de bureau. Commencer par créer une plateforme Web.
    Creating plaforms
    Création des plateformes
  4. Entrer l'URL de redirection, qui doit être la même que l'URL externe de la racine. Sur cette page, cocher les options pour Jetons d'accès et Jetons ID dans la section des flux implicites et hybrides. Cliquer sur Configurer pour continuer.
    Configuring Web platform
    Configuration de la plateforme Web
  5. Avec la première plateforme ajoutée, cliquer de nouveau sur le bouton Ajouter une plateforme et choisir Application monopage. Entrer l'URI de redirection, qui doit être le même que l'URL externe, avec le texte suivant ajouté à la fin : /dvls/api/external-provider-response (remplacer le /dvls/ par l'URL de l'instance Devolutions Server souhaitée). Enfin, cliquer sur Configurer pour continuer.
    Configuring single-page application platform
    Configuration de la plateforme d'application monopage
  6. Avec la deuxième plateforme ajoutée, cliquer de nouveau sur le bouton Ajouter une plateforme et choisir Applications mobiles et de bureau. Entrer http://localhost exactement dans le champ URI de redirection personnalisé. Laisser toutes les autres valeurs décochées (s'il y en a) et cliquer sur le bouton Configurer.
    Configuring Desktop + devices platform
    Configuration de la plateforme Bureau + appareils
  7. Avec les trois plateformes créées, faire défiler jusqu'en bas de la page Authentification et basculer sur Autoriser les flux des clients publics avant de cliquer sur Enregistrer.
    Allowing public client flows
    Autorisation des flux des clients publics
  8. Maintenant aller à Permissions API et cliquer sur le bouton Ajouter une permission.
    Add API permission
    Ajouter une permission API
  9. Choisir Permissions déléguées, et basculer l'autorisation User.Read sous Utilisateur. Cliquer sur Ajouter des permissions.
    Add User.Read permission
    Ajouter l'autorisation User.Read
  10. Cliquer sur le bouton Octroyer le consentement administrateur pour le locataire et confirmer en cliquant sur Oui.
    Grant admin consent for tenant
    Octroyer le consentement administrateur pour le locataire
  11. Ensuite, naviguer vers Exposer une API et cliquer sur Ajouter à côté de URI d'ID d'application. Ensuite entrer le même URI que l'URL externe de votre Proxy d'application, et ajouter l'URI de base.
    Add application ID URI – step 1
    Ajouter l'URI d'ID d'application – étape 1
    Add application ID URI – step 2
    Ajouter l'URI d'ID d'application – étape 2
  12. Cliquer sur Ajouter une portée et entrer ce qui suit :
  • Nom de l'étendue : usurpation_d'utilisateur
  • Qui peut consentir : Administrateurs et utilisateurs
  • Nom à afficher du consentement d'administration : Accès DVLS
  • Description du consentement administrateur : Permettre à l'application d'accéder à DVLS au nom de l'utilisateur connecté.
  • Nom d'affichage du consentement de l'utilisateur: Accès à DVLS
  • Description du consentement de l'utilisateur: Permettre à l'application d'accéder à DVLS au nom de l'utilisateur connecté.
    Add a scope – step 1
    Ajouter une portée – étape 1
    Add a scope – step 2
    Ajouter une portée – étape 2
  1. Ensuite, aller à Rôles d'application et cliquer sur le bouton Créer un rôle d'application. Deux rôles doivent être créés : Utilisateur et msiam_access.
    Create app role
    Créer un rôle d'application
  2. Sur l'écran Créer un rôle d'application, remplir les champs ci-dessous et cocher la case sous Voulez-vous activer ce rôle d'application?.
  • Nom d'affichage: Utilisateur
  • Types de membres autorisés : Utilisateurs/Groupes
  • Valeur : Utilisateur
  • Description: Utilisateur
    Fill user information
    Remplir les informations de l'utilisateur
  1. Avec le premier rôle créé, cliquer à nouveau sur Créer un rôle d'application, remplir les champs ci-dessous, et cocher la case sous Voulez-vous activer ce rôle d'application? comme précédemment.
  • Nom d'affichage: msiam_access
  • Types de membres autorisés : Utilisateurs/Groupes
  • Valeur: msiam_access
  • Description: msiam_access
    Fill msiam information
    Remplir les informations sur msiam
  1. Aller à Manifest et modifier la valeur de "accessTokenAcceptedVersion" à 2. Cliquer sur le bouton Enregistrer.
    Set accessTokenAcceptedVersion to 2
    Définir accessTokenAcceptedVersion à 2
  2. Retourner à Microsoft Entra IDApplications d'entreprise. Cliquer sur le nouvel enregistrement d'application créé et naviguer vers Utilisateurs et groupes. Cliquer sur Ajouter un utilisateur/groupe.
    Add user/group
    Ajouter un utilisateur/groupe
  3. Sélectionner l'utilisateur ou le groupe et le rôle doit être automatiquement défini sur Utilisateur. Cliquer sur le bouton Attribuer pour terminer l'attribution des permissions.
    Assign desired permissions
    Attribuer les permissions désirées

Configurer Remote Desktop Manager

Avec Azure configuré, et après avoir attendu au moins 5 minutes depuis le dernier changement de configuration, ouvrir Remote Desktop Manager.

  1. Aller à FichierSources de données.
    Remote Desktop Manager data sources
    Sources de données de Remote Desktop Manager
  2. Localiser la source de données Devolutions Server à modifier et cliquer sur le bouton Modifier. Entrer ce qui suit:
  • Hôte : La même valeur que l'URI externe avec le suffixe du serveur DLVS.
  • Nom d'utilisateur: Le même que le nom d'utilisateur DVLS, pas nécessairement le même que celui de l'utilisateur Azure (sauf si vous utilisez "Utiliser l'utilisateur de pré-authentification pour la connexion DVLS"). Ensuite cocher Utiliser le proxy de pré-authentification et, optionnellement,*** Utiliser le proxy de pré-authentification pour la connexion DVLS*** (si Microsoft Authentication est déjà coché).
  1. La configuration est alors terminée, et l'ouverture de session Microsoft Azure devrait s'ouvrir dans une fenêtre intégrée ou un navigateur système (peut se produire deux fois si une fenêtre intégrée apparaît et une fois de plus dans un navigateur système avant l'authentification DVLS). Une fois cela fait, une invite pour l'authentification DVLS devrait apparaître.

Notes supplémentaires

HTTP2 peut nécessiter d'être désactivé sur Windows Server 2019 ou une version ultérieure dans le composant WinHTTP pour que la délégation Kerberos Contrainte fonctionne correctement. Exécuter la commande PowerShell suivante et redémarrer le serveur pour que le changement prenne effet :

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

Assurer que TLS 1.2 est activé

De plus, le service de connecteur Windows doit avoir TLS 1.2 activé avant l'installation. Ajouter ce qui suit à un fichier bloc-notes avec l'extension .reg et double-cliquer importera les valeurs nécessaires dans le registre. Un redémarrage du serveur est alors nécessaire avant de lancer l'installation du connecteur.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

Un secret est configuré automatiquement lors de la création de l'Application Proxy App. Le supprimer interrompra l'authentification préalable et pourra nécessiter la recréation de l'ensemble du proxy d'application.

Devolutions Forum logo Donnez-nous vos commentaires