Labo 10 : Authentification Microsoft Entra pour machines virtuelles Windows et Linux
Type de connexion = Connexion à la ressource Azure
Scénario de labo
La société a décidé que Microsoft Entra ID doit être utilisé pour l’accès à distance afin de se connecter aux machines virtuelles. Ce labo explique comment cela peut être configuré pour les machines virtuelles Windows et Linux.
Durée estimée : 30 minutes
Exercice 1 : connexion à des machines virtuelles Windows dans Azure avec Microsoft Entra ID
Tâche 1 : créer une machine virtuelle Windows avec une connexion Microsoft Entra ID activée
-
Accéder : https://portal.azure.com
-
Sélectionnez + Créer une ressource.
-
Saisissez Windows 11 dans la barre de recherche de la Place de marché, puis **Entrée **.
-
Dans la zone Windows 11, sélectionnez Créer v et choisissez Windows 11 Entreprise, version 22H2 dans le menu qui s’ouvre.
-
Créez la machine virtuelle à l’aide des valeurs suivantes sous l’onglet Informations de base :
Champ | Valeur à utiliser |
---|---|
Abonnement | Accepter la valeur par défaut |
Groupe de ressources | Créer une nouvelle - rgEntraLogin |
Nom de la machine virtuelle | vmEntraLogin |
Région | default |
Options de disponibilité | Aucune redondance de l’infrastructure requise |
Type de sécurité | standard |
Taille | Standard DC1s_v3 - processeur virtuel, 8 Gio de mémoire |
Nom de l’utilisateur administrateur | vmEntraAdmin |
Mot de passe administrateur | Utilisez celui fourni par l’environnement de labo ou créez un mot de passe sécurisé que vous pouvez mémoriser |
Gestion des licences | Confirmez que vous disposez d’une licence |
-
Vous n’aurez pas besoin de modifier quoi que ce soit sous les onglets Disques ou Mise en réseau, mais vous pouvez passer en revue les valeurs.
-
Sous l’onglet Gestion, cochez la case Connexion avec Microsoft Entra ID sous la section de Microsoft Entra ID.
NOTE: You will notice that the **System assigned managed identity** under the Identity section is automatically checked and turned grey. This action should happen automatically once you enable Login with Microsoft Entra ID.
-
Parcourez le reste de l’expérience de création d’une machine virtuelle.
-
Sélectionnez Examiner et créer, puis sélectionnez Créer.
Tâche 2 : connexion Microsoft Entra ID pour des machines virtuelles Azure existantes
-
Accédez à Machines Virtuelles dans le https://portal.azure.com.
-
Sélectionnez la machine virtuelle nouvellement créée lors de la tâche 1.
-
Sélectionnez Contrôle d’accès (IAM) .
-
Sélectionnez + Ajouter **, puis **Ajouter une attribution de rôle pour ouvrir la page Ajouter une attribution de rôle.
- Configurez les paramètres suivants :
- Rôle de fonction de tâche
- Rôle : connexion de l’administrateur aux machines virtuelles
- Membres : choisissez un utilisateur, un groupe ou un principal de service. Utilisez ensuite + Sélectionner des membres pour ajouter Joni Sherman en tant qu’utilisateur spécifique pour la machine virtuelle.
- Sélectionnez Examiner et attribuer pour terminer le processus.
Tâche 3 : mettre à jour la machine virtuelle pour autoriser la connexion Microsoft Entra ID
-
Sélectionnez l’élément de menu Connect.
-
Sous l’onglet RDP, sélectionnez Télécharger le fichier RDP. Si vous y êtes invité(e), choisissez l’option Conserver pour le fichier. Il sera enregistré dans votre dossier Téléchargements.
-
Ouvrez le dossier Téléchargements dans le Gestionnaire de fichiers.
-
Ouvrez le protocole RDP.
-
Choisissez de vous connecter en tant qu’autre utilisateur.
- Utilisez le nom d’utilisateur d’administrateur (vmEntraAdmin) et le mot de passe que vous avez créés lors de la configuration de la machine virtuelle.
- Si vous y êtes invité(e), autorisez l’accès à la machine virtuelle ou à la session RDP.
-
Attendez que la machine virtuelle s’ouvre et que tous les logiciels se chargent.
-
Sélectionnez le bouton Démarrer dans la machine virtuelle.
-
Tapez Panneau de contrôle et lancez l’application associée.
-
Sélectionnez Système et sécurité dans la liste des paramètres.
-
Dans le paramètre Système, sélectionnez l’option Autoriser l’accès à distance.
-
En bas de la boîte de dialogue qui s’ouvre, vous verrez une section Bureau à distance.
-
Décochez la case Autoriser des connexions uniquement sur les ordinateurs qui exécutent le Bureau à distance avec authentification au niveau du réseau.
-
Sélectionnez Apply (Appliquer), puis OK.
- Quittez la session RDP à la machine virtuelle
Tâche 4 – Modifier votre fichier RDP pour prendre en charge la connexion Microsoft Entra ID
-
Ouvrez le dossier Téléchargements dans le Gestionnaire de fichiers.
-
Faites une copie du fichier RDP et ajoutez -EntraID à la fin du nom du fichier.
- Modifiez la nouvelle version du fichier RDP que vous venez de copier à l’aide de Bloc-notes. Ajoutez les deux lignes de texte suivantes au bas du fichier :
enablecredsspsupport:i:0 authentication level:i:2
- Enregistrez le fichier RDP. Vous devez maintenant avoir deux versions du fichier :
- «virtual machine name» RDP
- «virtual machine name»-EntraID.RDP
Tâche 5 – Se connecter à la machine virtuelle Windows en utilisant une connexion Microsoft Entra ID
-
Ouvrez le fichier **«virtual machine name»-EntraID.RDP
-
Sélectionnez l’icône Se connecter lorsque la boîte de dialogue s’ouvre.
-
Au lieu de recevoir l’invite sur le compte d’utilisateur à connecter, vous devez recevoir un message indiquant si vous souhaitez vous connecter à l’ordinateur distant.
-
Sélectionnez Oui en bas de l’écran.
-
La session Bureau à distance doit s’ouvrir et afficher l’écran de connexion à Windows Server. Autre utilisateur avec un bouton OK doit s’afficher.
-
Cliquez sur OK.
- Dans la boîte de dialogue de connexion, saisissez les informations suivantes :
- Nom d’utilisateur = AzureAD\JoniS@ votre nom de domaine
- Mot de passe : entrez le mot de passe d’administrateur communiqué par votre fournisseur d’hébergement de labo.
REMARQUE : JoniS est l’utilisateur que nous avons autorisé à se connecter en tant qu’administrateur pendant la tâche 1.
- Windows Server doit confirmer la connexion et s’ouvrir au tableau de bord Gestionnaire de serveur normal.
Tâche 6 – Test facultatif pour explorer la connexion Microsoft Entra ID
-
Vérifiez que JoniS était le seul utilisateur ajouté au groupe Administrateurs.
-
Cliquez avec le bouton droit sur le bouton DÉMARRER, puis sélectionnez Gestion de l’ordinateur dans le menu contextuel.
-
Ouvrez utilisateurs et groupes locaux, puis accédez à Groupes, Administrateurs.
-
Vous devriez voir Azure\JoniSherman… dans la liste.
-
Vérifiez si d’autres membres Microsoft Entra ID peuvent se connecter.
-
Quittez la session Bureau à distance.
-
Lancez à nouveau le fichier «server name»-AzureAD.RDP.
-
Essayez de vous connecter en tant qu’autres membres Azure AD comme AdeleV ou AlexW ou DiegoS.
-
Vous devez remarquer que ces utilisateurs n’ont pas accès.
Exercice 2 facultatif : Connexion à des machines virtuelles Linux dans Azure avec Microsoft Entra ID
Tâche 1 : créer une machine virtuelle Linux avec une identité managée affectée par le système
-
Accéder : https://portal.azure.com
-
Sélectionnez + Créer une ressource.
-
Recherchez Ubuntu.
-
Sous Ubuntu Server 22.04 LTS, sélectionnez Créer. Vous pouvez utiliser d’autres serveurs Linux pour ce labo de test.
-
Sous l’onglet Gestion, cochez la case pour activer la Connexion avec Microsoft Entra ID.
-
Vérifiez que l’option Identité managée affectée par le système est cochée.
-
Parcourez le reste de l’expérience de création d’une machine virtuelle. Dans cette préversion, vous devrez créer un compte administrateur avec un nom d’utilisateur et un mot de passe ou une clé publique SSH.
Tâche 2 : connexion Microsoft Entra ID pour des machines virtuelles Azure existantes
-
Accédez à Machines Virtuelles dans le https://portal.azure.com.
-
Sélectionnez Contrôle d’accès (IAM) .
-
Sélectionnez Ajouter Ajouter une attribution de rôle pour ouvrir la page Ajouter une attribution de rôle.
- Attribuez le rôle suivant.
- Rôle : Connexion de l’administrateur aux machines virtuelles ou Connexion de l’utilisateur aux machines virtuelles
- Attribuer l’accès à : Un utilisateur, à un groupe, à un principal de service ou à une identité managée.
- Pour connaître les étapes détaillées, consultez Attribuer des rôles Azure à l’aide du portail Azure.