Azure Bastion : connexion RDP avec Entra ID depuis le portail Azure (Preview)

En bref

Microsoft vient d’annoncer la preview publique d’une fonctionnalité attendue : la possibilité de s’authentifier avec son compte Entra ID lors d’une connexion RDP à une VM Windows via Azure Bastion, directement depuis le portail Azure. Fini la saisie manuelle des credentials locaux ou le recours systématique à Key Vault.

Rappel : qu’est-ce qu’Azure Bastion ?

Pour ceux qui ne connaîtraient pas encore ce service, Azure Bastion est la solution PaaS de Microsoft qui permet d’accéder à vos machines virtuelles Azure en RDP ou SSH sans les exposer sur Internet. Concrètement, vous vous connectez via le portail Azure (ou un client natif), et Bastion établit la connexion vers la VM à travers le réseau virtuel privé.

L’architecture est simple :

• L’utilisateur accède au portail Azure via HTTPS
• Azure Bastion reçoit la demande de connexion
• La connexion RDP/SSH est établie vers la VM cible via le VNet

Jusqu’à présent, pour les connexions RDP via le portail web, il fallait fournir les identifiants d’un compte local de la VM ou stocker ces credentials dans Azure Key Vault. L’authentification Entra ID était déjà disponible pour les connexions SSH via le portail et pour les connexions RDP/SSH via le client natif, mais pas pour le RDP directement dans le navigateur.

Ce qui change avec cette preview

Désormais, vous pouvez vous connecter à une VM Windows via Azure Bastion en utilisant directement votre identité Entra ID. Plus besoin de gérer ou mémoriser des mots de passe locaux.

• Plus d’informations sur l’annonce officielle sur le site de Microsoft en suivant ce lien

Les avantages concrets

Simplification opérationnelle : une seule identité à gérer pour l’accès aux VMs. On élimine la prolifération des comptes locaux et la complexité associée.

Sécurité renforcée : en passant par Entra ID, vous bénéficiez automatiquement des mécanismes de protection déjà en place : MFA, accès conditionnel, détection de risques, etc. Si votre organisation impose le MFA pour les accès sensibles, c’est appliqué de facto.

Contrôle d’accès granulaire : l’accès aux VMs peut être géré via les rôles RBAC Azure, ce qui permet une gouvernance centralisée et auditable.

Prérequis techniques

Pour utiliser cette fonctionnalité, plusieurs conditions doivent être réunies :

Côté utilisateur

L’utilisateur doit disposer de l’un des deux rôles Azure suivants sur la VM :

• Virtual Machine User Login : connexion standard sans droits admin sur la VM
• Virtual Machine Administrator Login : connexion avec droits administrateur local

Côté VM

• L’extension AADLoginForWindows doit être installée sur la machine virtuelle
• L’option peut être activée à la création de la VM (case « Login with Microsoft Entra ID ») ou ajoutée ultérieurement via l’extension AADLogin
• Une identité managée doit être activée sur la VM

Mise en œuvre

La procédure est simple :

1. Accédez à votre VM dans le portail Azure
2. Sélectionnez Bastion dans la section Connect
3. Vérifiez que Microsoft Entra ID est bien sélectionné comme type d’authentification
4. Cliquez sur Connect

L’authentification se fait alors via votre session Entra ID active dans le navigateur.

Retour terrain : quelques bugs à prévoir

Comme souvent avec les previews, la fonctionnalité n’est pas encore parfaitement stable. D’après les retours sur la Tech Community Microsoft et mes propres tests, plusieurs utilisateurs rencontrent une erreur AADSTS500113 (« No reply address is registered for the application« ) après authentification.

Le support Microsoft a confirmé le problème et travaille sur un correctif. En attendant, la connexion via le client natif (az network bastion rdp) fonctionne correctement avec l’authentification Entra ID.

C’est le lot des previews : utile pour évaluer et préparer vos déploiements, mais pas encore prêt pour la production.

Mon avis

Cette évolution s’inscrit dans la logique de consolidation identitaire que Microsoft pousse depuis plusieurs années. Pour les organisations qui ont déjà investi dans Entra ID (et c’est le cas de la plupart), c’est une simplification bienvenue.

Quelques points d’attention :

• Dépendance accrue à Entra ID : si votre tenant a un problème, l’accès aux VMs peut être impacté. Gardez une solution de secours (compte local de break-glass, par exemple)
• Licensing : vérifiez que vos licences Entra ID couvrent bien les fonctionnalités de sécurité que vous comptez utiliser (conditional access, etc.)
• SKU Bastion : la fonctionnalité semble nécessiter au minimum le SKU Standard (à confirmer dans la doc officielle)

Ressources

• Annonce officielle Microsoft Tech Community (24 novembre 2025)
• Documentation Azure Bastion – Connexion RDP Windows
• Nouveautés Azure Bastion