AzureÀ la une

Azure Bastion : connexion RDP avec Entra ID depuis le portail Azure (Preview)

thibault
par thibault
6 Min Read
Azure Bastion : authentification Entra ID en preview pour les connexions RDP via le portail
Azure Bastion : authentification Entra ID en preview pour les connexions RDP via le portail

En bref

Microsoft vient d’annoncer la preview publique d’une fonctionnalité attendue : la possibilité de s’authentifier avec son compte Entra ID lors d’une connexion RDP à une VM Windows via Azure Bastion, directement depuis le portail Azure. Fini la saisie manuelle des credentials locaux ou le recours systématique à Key Vault.

Sommaire

Rappel : qu’est-ce qu’Azure Bastion ?

Rappel : qu'est-ce qu'Azure Bastion ?
Rappel : qu’est-ce qu’Azure Bastion ?

Pour ceux qui ne connaîtraient pas encore ce service, Azure Bastion est la solution PaaS de Microsoft qui permet d’accéder à vos machines virtuelles Azure en RDP ou SSH sans les exposer sur Internet. Concrètement, vous vous connectez via le portail Azure (ou un client natif), et Bastion établit la connexion vers la VM à travers le réseau virtuel privé.

L’architecture est simple :

  • L’utilisateur accède au portail Azure via HTTPS
  • Azure Bastion reçoit la demande de connexion
  • La connexion RDP/SSH est établie vers la VM cible via le VNet

Jusqu’à présent, pour les connexions RDP via le portail web, il fallait fournir les identifiants d’un compte local de la VM ou stocker ces credentials dans Azure Key Vault. L’authentification Entra ID était déjà disponible pour les connexions SSH via le portail et pour les connexions RDP/SSH via le client natif, mais pas pour le RDP directement dans le navigateur.

Ce qui change avec cette preview

Azure Bastion : connexion RDP avec Entra ID depuis le portail Azure (Preview)

Désormais, vous pouvez vous connecter à une VM Windows via Azure Bastion en utilisant directement votre identité Entra ID. Plus besoin de gérer ou mémoriser des mots de passe locaux.

Les avantages concrets

Simplification opérationnelle : une seule identité à gérer pour l’accès aux VMs. On élimine la prolifération des comptes locaux et la complexité associée.

Sécurité renforcée : en passant par Entra ID, vous bénéficiez automatiquement des mécanismes de protection déjà en place : MFA, accès conditionnel, détection de risques, etc. Si votre organisation impose le MFA pour les accès sensibles, c’est appliqué de facto.

Contrôle d’accès granulaire : l’accès aux VMs peut être géré via les rôles RBAC Azure, ce qui permet une gouvernance centralisée et auditable.

Prérequis techniques

Pour utiliser cette fonctionnalité, plusieurs conditions doivent être réunies :

Côté utilisateur

L’utilisateur doit disposer de l’un des deux rôles Azure suivants sur la VM :

  • Virtual Machine User Login : connexion standard sans droits admin sur la VM
  • Virtual Machine Administrator Login : connexion avec droits administrateur local

Côté VM

  • L’extension AADLoginForWindows doit être installée sur la machine virtuelle
  • L’option peut être activée à la création de la VM (case « Login with Microsoft Entra ID ») ou ajoutée ultérieurement via l’extension AADLogin
  • Une identité managée doit être activée sur la VM

Mise en œuvre

La procédure est simple :

  1. Accédez à votre VM dans le portail Azure
  2. Sélectionnez Bastion dans la section Connect
  3. Vérifiez que Microsoft Entra ID est bien sélectionné comme type d’authentification
  4. Cliquez sur Connect

L’authentification se fait alors via votre session Entra ID active dans le navigateur.

Azure Bastion : connexion RDP avec Entra ID depuis le portail Azure (Preview)

Retour terrain : quelques bugs à prévoir

Comme souvent avec les previews, la fonctionnalité n’est pas encore parfaitement stable. D’après les retours sur la Tech Community Microsoft et mes propres tests, plusieurs utilisateurs rencontrent une erreur AADSTS500113 (« No reply address is registered for the application« ) après authentification.

Le support Microsoft a confirmé le problème et travaille sur un correctif. En attendant, la connexion via le client natif (az network bastion rdp) fonctionne correctement avec l’authentification Entra ID.

C’est le lot des previews : utile pour évaluer et préparer vos déploiements, mais pas encore prêt pour la production.

Mon avis

Cette évolution s’inscrit dans la logique de consolidation identitaire que Microsoft pousse depuis plusieurs années. Pour les organisations qui ont déjà investi dans Entra ID (et c’est le cas de la plupart), c’est une simplification bienvenue.

Quelques points d’attention :

  • Dépendance accrue à Entra ID : si votre tenant a un problème, l’accès aux VMs peut être impacté. Gardez une solution de secours (compte local de break-glass, par exemple)
  • Licensing : vérifiez que vos licences Entra ID couvrent bien les fonctionnalités de sécurité que vous comptez utiliser (conditional access, etc.)
  • SKU Bastion : la fonctionnalité semble nécessiter au minimum le SKU Standard (à confirmer dans la doc officielle)

Ressources

TAGS :
Source(s) :it-connect.fr
Partager cet article ?
guest

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.

0 Commentaires
Inline Feedbacks
Voir tous les commentaires

Auteur

Anciennement Sr. Cloud Solution Architect (PFE) @ Microsoft France dans les domaines de l'infrastructure, du cloud et de la sécurité. Je suis aujourd'hui Technical Lead au sein de Devoteam M Cloud. Bonne visite ! 🤓


Certifications

Certifications

Communauté

Discord

Partenaires

 

logo-geekland-200px

Autres articles

0
Pour partager un avis ou poser une question, laissez un commentaire :-).x