> For the complete documentation index, see [llms.txt](https://docs.devolutions.net/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.devolutions.net/rdm/fr/knowledge-base/how-to-articles/azure-pre-authentication-to-a-devolutions-server-workspace-in-remote-desktop-manager.md).

# Pré-authentification Azure pour un espace de travail Devolutions Server dans Remote Desktop Manager

La pré-authentification Azure nécessite une configuration particulière. Pour utiliser cette fonctionnalité avec Remote Desktop Manager, les administrateurs doivent activer l'authentification sur le Devolutions Server souhaité, configurer plusieurs paramètres dans le centre d'administration Microsoft Entra, et configurer un proxy d'application Azure.

{% hint style="warning" %}
Étant donné que cette fonctionnalité est encore en préversion, la configuration est susceptible de changer. L'activation de la [fonctionnalité Global Private Access](https://learn.microsoft.com/en-us/entra/global-secure-access/) pourrait être nécessaire pour suivre ce guide. Pour ce faire, accédez à l'interface du navigateur du centre d'administration Microsoft Entra, naviguez vers ***Global Secure Access*** – ***Connect*** – ***Connectors***, et activez ***Global Secure Access*** dans votre tenant.
{% endhint %}

### Prérequis

* Un abonnement Microsoft Entra ID P1 ou P2
* Un compte administrateur d'application
* L'application ne doit pas être située à la racine (`https://myserver.com/dvls` fonctionne, mais `https://myserver.com` ne fonctionne pas)
* Windows Server 2012 R2 ou version ultérieure avec TLS 1.2 activé

### Installation d'un connecteur privé

1. Depuis la page ***Vue d'ensemble*** du tenant souhaité, cliquez sur ***Proxy d'application*** dans la section ***Gérer*** du volet de navigation.

   ![](https://cdnweb.devolutions.net/docs/INTERFACE4092.png)
2. Cliquez sur ***Télécharger l'appareil connecteur***.

   ![](https://cdnweb.devolutions.net/docs/INTERFACE4004.png)
3. Une fois le téléchargement terminé, exécutez le fichier exécutable pour installer et configurer le connecteur.

   <div data-gb-custom-block data-tag="hint" data-style="warning" class="hint hint-warning"><p>Lors de l'exécution sur un Windows Server, désactivez la <em><strong>Configuration renforcée d'IE</strong></em> ou définissez <em><strong>Microsoft Edge</strong></em> comme navigateur par défaut (sans configuration renforcée). Sinon, l'invite de connexion Azure risque d'échouer sans autoriser toutes les URL requises. De plus, le service du connecteur Windows doit avoir TLS 1.2 activé avant l'installation. L'ajout du contenu ci-dessous dans un fichier Bloc-notes avec l'extension .reg et un double-clic importeront les valeurs nécessaires dans le registre. Un redémarrage du serveur est ensuite nécessaire avant d'exécuter l'installation du connecteur.</p></div>

### Enregistrement d'une application d'entreprise

1. De retour sur la page de vue d'ensemble du tenant, cliquez sur ***Application d'entreprise*** dans la section ***Gérer*** du volet de navigation.

   ![](https://cdnweb.devolutions.net/docs/INTERFACE4091.png)
2. Ensuite, cliquez sur ***Nouvelle application***, puis sur ***Créer votre propre application***.

   ![](https://cdnweb.devolutions.net/docs/INTERFACE4096.png)
3. Donnez un nom à l'application et cochez ***Configurer le proxy d'application pour un accès à distance sécurisé à une application locale***.

   ![](https://cdnweb.devolutions.net/docs/INTERFACE4094.png)
4. Ensuite, renseignez les champs suivants avec les informations appropriées :

| CHAMPS                    | DESCRIPTION                                                                                                                                                                                                                          |
| ------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| **URL interne**           | URL interne pour accéder à l'application. Il s'agit de la racine du serveur IIS hébergeant le DVLS (généralement <http://localhost/dvls> ou similaire).                                                                              |
| **URL externe**           | URL externe pour accéder à l'application. Par défaut, correspond au nom de l'enregistrement d'application. Microsoft recommande d'utiliser un domaine personnalisé. Pour ce faire, le certificat SSL du domaine doit être téléversé. |
| **Pré-authentification**  | Définir sur Microsoft Entra ID                                                                                                                                                                                                       |
| **Groupe de connecteurs** | Le groupe de connecteurs à cibler. Microsoft recommande d'avoir plus d'un connecteur pour assurer la disponibilité de l'application. Les groupes de connecteurs peuvent être créés depuis la page ***Proxy d'application***.         |

![](https://cdnweb.devolutions.net/docs/INTERFACE4034.png)

5. Dans l'onglet ***Avancé***, décochez toutes les options, ou conservez ***Valider le certificat SSL du backend*** si cela est jugé nécessaire. Cliquez sur ***Créer*** ; cela crée également un enregistrement d'application du même nom.

   ![](https://cdnweb.devolutions.net/docs/INTERFACE4095.png)

### Affecter des utilisateurs et des groupes au proxy d'application

1. Retournez à la section ***Application d'entreprise*** et cliquez sur l'application nouvellement créée. Si l'application n'est pas répertoriée, il peut être nécessaire de cliquer sur ***Toutes les applications*** pour y accéder, car la vue est définie par défaut sur **Applications dont je suis propriétaire**.

   ![](https://cdnweb.devolutions.net/docs/INTERFACE4097.png)
2. Cliquez sur ***Ajouter un utilisateur/groupe***, puis sur ***Aucun sélectionné***, et sélectionnez les utilisateurs ou groupes d'utilisateurs à affecter à l'application. Cliquez sur ***Affecter*** une fois cette opération effectuée.

   ![](https://cdnweb.devolutions.net/docs/INTERFACE4098.png)

### Ajout d'une plateforme à l'application

1. *Accédez à **Inscriptions d'applications*** dans la section ***Gérer*** du volet de navigation. Cliquez sur ***Toutes les applications*** et localisez l'application nouvellement créée. Elle portera le même nom que votre application d'entreprise. Ensuite, cliquez sur ***Ajouter une plateforme***, puis sur ***Applications mobiles et de bureau***.
2. Ajoutez **<http://localhost>** et **msal-devolutions-server://auth** comme URI personnalisés.

   ![](https://cdnweb.devolutions.net/docs/INTERFACE4104.png)

   <div data-gb-custom-block data-tag="hint" data-style="warning" class="hint hint-warning"><p>Assurez-vous que ces valeurs sont exactes, car les deux premières URL sont requises par MSAL pour récupérer les jetons d'authentification émis par Entra lors de l'utilisation de plateformes natives.</p></div>

   3\. Ensuite, assurez-vous que **/api/external-provider-response** est ajouté aux ***URI de redirection*** dans votre application Entra de Devolutions Server.

   ![](https://cdnweb.devolutions.net/docs/INTERFACE4105.png)
3. Accédez maintenant à ***Autorisations d'API*** et cliquez sur le bouton ***Ajouter une autorisation***.

   ![](https://cdnweb.devolutions.net/docs/INTERFACE4018.png)
4. Choisissez ***Autorisations déléguées*** et activez l'autorisation User.Read sous ***Utilisateur***. Cliquez sur ***Ajouter des autorisations***.

   ![](https://cdnweb.devolutions.net/docs/INTERFACE4019.png)
5. Cliquez sur le bouton ***Accorder le consentement administrateur pour le tenant*** et confirmez en cliquant sur ***Oui***.

   ![](https://cdnweb.devolutions.net/docs/INTERFACE4020.png)

### Configuration de Remote Desktop Manager

Une fois Azure configuré, et après avoir attendu au moins 5 minutes depuis le dernier changement de configuration, ouvrez Remote Desktop Manager.

1. Accédez à ***Fichier*** – ***Espaces de travail***.

![](https://cdnweb.devolutions.net/docs/INTERFACE4031.png)

2. Localisez l'espace de travail Devolutions Server à modifier et cliquez sur le bouton ***Modifier***. Entrez les informations suivantes :

* **Hôte** : La même valeur que l'URI externe avec le suffixe du serveur DVLS.
* **Nom d'utilisateur** : Le même que le nom d'utilisateur DVLS, pas nécessairement le même que l'utilisateur Azure (sauf si vous utilisez « Utiliser l'utilisateur de pré-authentification pour la connexion DVLS »). Cochez ensuite ***Utiliser le proxy de pré-authentification*** et, optionnellement, ***Utiliser le proxy de pré-authentification pour la connexion DVLS*** (si ***Authentification Microsoft*** est déjà cochée).

3. La configuration est alors terminée et la connexion Azure Microsoft devrait s'ouvrir dans une fenêtre intégrée ou dans le navigateur système (cela peut se produire deux fois si une fenêtre intégrée apparaît, puis une fois de plus dans un navigateur système avant l'authentification DVLS). Une fois cette étape accomplie, une invite d'authentification DVLS devrait apparaître.

### Notes supplémentaires

HTTP2 peut devoir être désactivé sur Windows Server 2019 ou version ultérieure dans le composant `WinHTTP` pour que la délégation contrainte Kerberos fonctionne correctement. Exécutez la commande PowerShell suivante et redémarrez le serveur pour que la modification prenne effet :

```
Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0
```

### Vérification que TLS 1.2 est activé

De plus, le service du connecteur Windows doit avoir TLS 1.2 activé avant l'installation. L'ajout du contenu ci-dessous dans un fichier Bloc-notes avec l'extension .reg et un double-clic importeront les valeurs nécessaires dans le registre. Un redémarrage du serveur est ensuite nécessaire avant d'exécuter l'installation du connecteur.

````
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001
```<div data-gb-custom-block data-tag="hint" data-style='warning'>Un secret est configuré automatiquement lors de la création de l'***Application Proxy App***. Le supprimer interrompra la pré-authentification et pourrait nécessiter la recréation de l'ensemble du proxy d'application.</div>
````


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.devolutions.net/rdm/fr/knowledge-base/how-to-articles/azure-pre-authentication-to-a-devolutions-server-workspace-in-remote-desktop-manager.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.