Comment configurer et utiliser Azure Virtual Desktop

Pourquoi utiliser Azure Virtual Desktop ?

Azure Virtual Desktop est un service Azure de Microsoft qui permet d’accéder à des applications et des bureaux virtuels. Pour ceux qui connaissent les fonctions traditionnelles des services de bureau à distance (RDS) dans Windows Server, c’est assez similaire. Mais avec AVD, Microsoft fournit ces rôles en tant que service multitenant géré. Les seuls éléments dont les administrateurs doivent se préoccuper sont les machines virtuelles ou les hôtes de session qui hébergent les applications.

L’utilisation de ce service présente des avantages indéniables.

Licences. L’utilisation d’AVD permet aux clients d’utiliser Windows 10 et 11 en multisession, réduisant ainsi le besoin de licences d’accès client Windows Server et RDS. Le service lui-même et ses composants sont gratuits pour les clients qui disposent d’une des licences suivantes attribuées à leurs utilisateurs :

• Microsoft 365 E3, E5, A3, A5, F3 et Business Premium.
• Windows Enterprise E3 et E5.
• Windows Education A3 et A5.

Cela signifie que les entreprises n’ont pas à payer pour les composants de gestion ou le système d’exploitation sous-jacent – les seuls coûts supplémentaires sont l’hébergement des machines virtuelles et d’autres services Azure que les administrateurs pourraient utiliser. Les clients peuvent combiner cela avec la fonction d’autoscaling, qui permet à l’administrateur d’augmenter ou de réduire la taille du service en fonction des besoins d’utilisation. Cela permet de réduire le coût du service lorsque les entreprises diminuent leurs activités.

Services Azure natifs. Le fait qu’il s’agisse d’un service natif signifie que les administrateurs peuvent utiliser tous les avantages d’Azure pour gérer les composants. De plus en plus d’entreprises utilisent désormais l’infrastructure en tant que code (IaC) et les méthodes DevOps, car ils permettent aux administrateurs de déployer des services plus rapidement grâce à l’automatisation. Un autre avantage est que l’informatique peut intégrer le service avec d’autres services, tels qu’Azure Monitor et Microsoft Sentinel, pour assurer la surveillance de l’infrastructure et de la sécurité.

Sécurité. La sécurité est un avantage souvent négligé d’AVD. Alors que la plupart des outils VDI ou desktop-as-a-service actuels publient directement leurs services sur Internet, AVD est un peu différent. Les machines dorsales ne sont jamais directement accessibles depuis l’Internet, et toutes les communications passent par le service de passerelle AVD à l’aide d’un tunnel TCP inversé.

Conditions préalables à la création d’un nouvel environnement AVD

Pour créer un environnement Azure Virtual Desktop, il suffit de disposer d’un abonnement Azure avec un réseau virtuel. Dans la plupart des cas, les entreprises disposent d’une topologie de réseau virtuel existante avec un pare-feu centralisé utilisant l’architecture de référence Microsoft ou une topologie en étoile.

Si AVD est déployé dans le cadre d’une topologie de réseau existante, les administrateurs doivent s’assurer que le pare-feu est configuré pour autoriser le trafic indiqué dans la documentation de Microsoft. Les entreprises qui souhaitent offrir la meilleure expérience possible à leurs utilisateurs ont besoin d’une fonctionnalité appelée Remote Desktop Protocol Shortpath.

Shortpath utilise le transport UDP au lieu de TCP et fournit des connexions avec plus de bande passante et à plus faible latence. Il est activé par défaut et nécessite que les ouvertures correctes du pare-feu soient en place. Les administrateurs doivent s’assurer qu’ils ont ouvert Azure Communication Services.

De plus, il faut s’assurer que les licences nécessaires sont assignées aux utilisateurs qui ont besoin du service et que ces utilisateurs sont dans l’annuaire Entra ID. Ceci est nécessaire indépendamment du fait que l’environnement utilise des machines jointes à un domaine ou jointes à Entra ID.

L’infrastructure elle-même est concrétisée par un espace de travail AVD, où sont déployés les services gérés par une entreprise pour ses utilisateurs. Ensuite, déployez un pool d’hôtes, qui fonctionne comme un conteneur logique pour déployer des hôtes de session.

Les pools d’hôtes regroupent plusieurs machines virtuelles ayant le même ensemble de configurations et d’applications installées. Par exemple, une entreprise peut avoir deux grandes applications d’entreprise qui doivent être installées sur des machines différentes. Dans ce cas, elle a besoin de deux pools d’hôtes. Un pool d’hôtes est constitué de machines virtuelles sur lesquelles est installée l’une des applications d’entreprise, et un autre pool d’hôtes est destiné à la seconde application.

Le service informatique peut héberger les hôtes de session en utilisant soit une image native fournie par Microsoft, soit une image « gold » personnalisée. Deuxièmement, ces machines peuvent être reliées à Active Directory et être affiliées à un domaine, ou elles peuvent être reliées directement à Entra ID. Le service informatique doit vérifier que le réseau virtuel dispose d’un accès réseau aux contrôleurs de domaine pour utiliser la méthode de connexion au domaine. Pour la méthode Entra ID, la seule exigence est l’accès à l’Internet.

Une fois que le service informatique a déployé les machines virtuelles et installé l’agent AVD, les administrateurs peuvent affecter ces VM à des utilisateurs au moyen de groupes d’affectation. C’est ici que les professionnels de l’informatique peuvent attribuer des pools d’hôtes à des utilisateurs ou à des groupes d’Entra ID.

Aperçu général d’un déploiement AVD

En principe, AVD est simplement un agent que les administrateurs installent sur le système d’exploitation, lequel est ensuite chargé de communiquer avec les services Microsoft centraux. Cependant, le service informatique doit toujours installer les différentes applications sur les machines, ce qui prend beaucoup de temps.

Déployer des hôtes de session à l’aide d’une image de référence permet aux administrateurs de gagner un temps précieux et de minimiser les incohérences entre les machines. L’utilisation d’une image de référence réduit le temps de déploiement de nouveaux hôtes de session en garantissant que toutes les applications, configurations et paramètres requis sont préinstallés avant le provisionnement des machines virtuelles.

Dans Azure, le service informatique peut utiliser des outils tels qu’Azure VM Image Builder en combinaison avec l’IaC pour créer des images de référence, puis les déployer sur un ensemble de machines virtuelles différentes.

Azure VM Image Builder utilise un fichier de configuration simple qui décrit tous les aspects de l’image. Une fois le processus de création terminé, l’image doit être placée dans une image partagée Azure Compute Gallery, une bibliothèque d’images de machines.

Déploiement des images de référence

Si Azure VM Image Builder permet d’automatiser ce processus, d’autres outils, tels que HashiCorp Packer et des produits de gestion, comme Intune, permettent également de l’automatiser.

Quel que soit le service utilisé par les administrateurs, le déploiement doit garantir la mise en place des agents et composants du système d’exploitation nécessaires. Cela comprend :

• Azure Virtual Desktop Agent
• FSLogix, une plateforme de gestion des profils
• Des agents de sécurité, tels que Microsoft Defender
• Installation des dernières mises à jour Windows et désactivation des mises à jour automatiques
• Installation des applications métiers et autres prérequis

Pour la mise à jour de l’image des hôtes de session existants avec une nouvelle version, Microsoft a récemment introduit une nouvelle fonctionnalité dédiée. Elle permet aux administrateurs de mettre à jour un ensemble de machines d’un pool d’hôtes à l’aide d’une nouvelle image de la bibliothèque d’images partagées Azure Compute Gallery. Cela simplifie la gestion et ne nécessite pas de script de mise à jour personnalisé ni de pipeline DevOps pour gérer le processus de mise à jour.