Recommandations en matière de sécurité pour Azure Virtual Desktop

Azure Virtual Desktop est un service de bureau virtuel géré qui comprend de nombreuses fonctionnalités de sécurité pour garantir la sécurité de votre organisation. L'architecture Azure Virtual Desktop comprend de nombreux composants qui constituent le service reliant les utilisateurs à leurs bureaux et applications.

Azure Virtual Desktop dispose de nombreuses fonctionnalités de sécurité avancées intégrées, telles que la connexion inversée où aucun port réseau entrant n'a besoin d'être ouvert. Ces fonctionnalités réduisent le risque lié au fait que les bureaux à distance sont accessibles depuis n’importe où. Le service hérite également de nombreuses autres fonctionnalités de sécurité d’Azure, telles que l’authentification multifacteur et l’accès conditionnel. Cet article décrit les étapes à suivre en tant qu’administrateur pour sécuriser vos déploiements Azure Virtual Desktop, que vous fournissiez des ordinateurs de bureau et des applications aux utilisateurs de votre organisation ou à des utilisateurs externes.

Responsabilités de sécurité partagées

Avant Azure Virtual Desktop, les solutions de virtualisation locales telles que les services Bureau à distance exigeaient d’accorder aux utilisateurs l'accès à des rôles tels que Passerelle, Répartiteur, Accès web, etc. Ces rôles devaient être entièrement redondants et capables de gérer les pics de capacité. Les administrateurs devaient installer ces rôles dans le système d’exploitation Windows Server, et ils devaient être joints à un domaine avec des ports spécifiques accessibles aux connexions publiques. Pour assurer la sécurité des déploiements, les administrateurs devaient constamment s’assurer que tous les éléments de l’infrastructure étaient mis à jour.

Toutefois, dans la plupart des services cloud, il existe un ensemble partagé de responsabilités de sécurité entre Microsoft et le client ou le partenaire. Pour Azure Virtual Desktop, la plupart des composants sont gérés par Microsoft, mais les hôtes de session et certains services et composants de support sont gérés par les clients ou par des partenaires. Pour en savoir plus sur les composants d’Azure Virtual Desktop gérés par Microsoft, veuillez consulter la rubrique Architecture et résilience du service Azure Virtual Desktop.

Même si certains composants sont déjà sécurisés pour votre environnement, vous devez configurer d’autres zones pour répondre aux besoins de sécurité de votre organisation ou de votre client. Voici les composants dont vous êtes responsable de la sécurité dans votre déploiement Azure Virtual Desktop :

Composant Responsabilité
Identité Client ou partenaire
Appareils utilisateur (mobiles et PC) Client ou partenaire
Sécurité de l’application Client ou partenaire
Systèmes d’exploitation de l’hôte de session Client ou partenaire
Configuration du déploiement Client ou partenaire
Contrôles de réseau Client ou partenaire
Plan de contrôle de virtualisation Microsoft
Hôtes physiques Microsoft
Réseau physique Microsoft
Centre de données physique Microsoft

Limites de sécurité

Les limites de sécurité séparent le code et les données des domaines de sécurité avec différents niveaux de confiance. Par exemple, il existe généralement une limite de sécurité entre le mode noyau et le mode utilisateur. La plupart des logiciels et services Microsoft dépendent de plusieurs limites de sécurité pour isoler les appareils sur les réseaux, les machines virtuelles et les applications sur les appareils. Le tableau suivant répertorie chaque limite de sécurité pour Windows et sa contribution à la sécurité globale.

Limite de sécurité Description
Limite de réseau Un point de terminaison réseau non autorisé ne peut pas accéder au code ni aux données sur l’appareil d’un client, ni les falsifier.
Limite de noyau Un processus en mode utilisateur non administratif ne peut pas accéder au code ni aux données du noyau, ni les falsifier. Administrateur-vers-noyau n’est pas une limite de sécurité.
Limite de processus Un processus en mode utilisateur non autorisé ne peut pas accéder au code ni aux données d’un autre processus, ni les falsifier.
Limite de bac à sable AppContainer Un processus de bac à sable basé sur AppContainer ne peut pas accéder au code ni aux données, ni les falsifier, en dehors du bac à sable en fonction des capacités du conteneur.
Limite d’utilisateur Un utilisateur ne peut pas accéder au code ni aux données d’un autre utilisateur, ni les falsifier, sans y être autorisé.
Limite de session Une session utilisateur ne peut pas accéder au code ni aux données d’une autre session utilisateur, ni les falsifier, sans y être autorisé.
Limite de navigateur web Un site web non autorisé ne peut pas violer la stratégie d’origine identique, ni accéder au code natif ni aux données du bac à sable du navigateur web Microsoft Edge, ni les falsifier.
Limite de machine virtuelle Une machine virtuelle invitée Hyper-V non autorisée ne peut pas accéder au code ni aux données d’une autre machine virtuelle invitée, ni les falsifier. Les conteneurs isolés Hyper-V sont également concernés.
Limite du mode sécurisé virtuel (VSM) Le code qui s’exécute en dehors de l’enclave ou du processus de confiance VSM ne peut pas accéder au code ni aux données du processus de confiance, ni les falsifier.

Vous devrez également faire certains choix concernant les limites de sécurité au cas par cas. Par exemple, si un utilisateur de votre organisation a besoin de privilèges d’administrateur local pour installer des applications, vous devrez lui attribuer un bureau personnel plutôt qu’un hôte de session partagé. Nous déconseillons de fournir aux utilisateurs des privilèges d’administrateur local dans les scénarios de pool multisession, car ces utilisateurs peuvent franchir les limites de sécurité pour les sessions ou les autorisations de données NTFS, arrêter des machines virtuelles multisession ou effectuer d’autres opérations susceptibles d’interrompre le service ou d’entraîner des pertes de données.

Les utilisateurs d’une même organisation, comme les travailleurs du savoir qui utilisent des applications ne nécessitant pas de privilèges d’administrateur, sont d’excellents candidats pour les hôtes de session multisession, comme Windows 11 Entreprise multisession. Ces hôtes de session réduisent les coûts pour votre organisation, car plusieurs utilisateurs peuvent partager une seule machine virtuelle, avec uniquement les frais de traitement d’une machine virtuelle par utilisateur. Avec des solutions de gestion de profil utilisateur comme FSLogix, les utilisateurs peuvent se voir attribuer n’importe quelle machine virtuelle dans un pool d’hôtes sans remarquer les éventuelles interruptions de service. Cette fonctionnalité vous permet également d’optimiser les coûts en arrêtant, par exemple, les machines virtuelles pendant les heures creuses.

Si, dans votre cas, des utilisateurs de différentes organisations doivent se connecter à votre déploiement, nous vous recommandons d’avoir un locataire distinct pour les services d’identité comme Active Directory et Microsoft Entra ID. Nous vous conseillons également d’avoir un abonnement distinct pour ces utilisateurs à des fins d’hébergement des ressources Azure, comme Azure Virtual Desktop et les machines virtuelles.

Dans de nombreux cas, l’utilisation de plusieurs sessions est un moyen acceptable de réduire les coûts, mais le fait de la recommander ou non dépend du niveau de confiance entre les utilisateurs possédant un accès simultané à une instance multisession partagée. En règle générale, les utilisateurs qui appartiennent à la même organisation ont une relation de confiance suffisante et approuvée. Par exemple, un service ou un groupe de travail où les utilisateurs collaborent et peuvent accéder aux informations personnelles de chacun est une organisation où le niveau de confiance est élevé.

Windows utilise des limites et des contrôles de sécurité pour s’assurer que les processus et les données des utilisateurs sont isolés entre les sessions. Cependant, Windows donne toujours accès à l’instance sur laquelle l’utilisateur travaille.

Les déploiements multisession pourraient tirer parti d’une stratégie de sécurité en profondeur qui ajoute des limites de sécurité supplémentaires empêchant les utilisateurs internes et externes à l’organisation d’obtenir un accès non autorisé aux informations personnelles d’autres utilisateurs. L’accès non autorisé aux données est lié à une erreur dans le processus de configuration par l’administrateur système, telle qu’une faille de sécurité non divulguée ou une vulnérabilité connue qui n’a pas encore été corrigée.

Nous déconseillons d’accorder aux utilisateurs qui travaillent pour des entreprises différentes ou concurrentes l’accès au même environnement multisession. Ces scénarios comportent plusieurs limites de sécurité qui peuvent être attaquées ou utilisées abusivement, telles que le réseau, le noyau, le processus, l’utilisateur ou les sessions. Une seule vulnérabilité de sécurité peut entraîner le vol d’informations d’identification et de données non autorisées, la fuite d’informations personnelles, l’usurpation d’identité et d’autres problèmes. Les fournisseurs d’environnements virtualisés sont tenus de proposer des systèmes bien conçus, dotés de plusieurs limites de sécurité fortes et de fonctionnalités de sécurité supplémentaires si possible activées.

Pour réduire ces menaces potentielles, il faut une configuration sans faille, un processus de conception de la gestion des correctifs et des calendriers réguliers pour le déploiement de ces correctifs. Il est préférable de respecter les principes de défense en profondeur et de séparer les environnements.

Le tableau suivant résume nos recommandations pour chaque scénario.

Scénario de niveau de confiance Solution recommandée
Utilisateurs d’une même organisation avec des privilèges standard Utilisez un système d’exploitation Windows Entreprise multisession.
Les utilisateurs nécessitent des privilèges d’administrateur Utilisez un pool d’hôtes personnel et attribuez à chaque utilisateur son propre hôte de session.
Utilisateurs de différentes organisations qui se connectent Séparez le locataire Azure et l’abonnement Azure.

Meilleures pratiques relatives à la sécurité Azure

Azure Virtual Desktop est un service sous Azure. Pour optimiser la sécurité de votre déploiement Azure Virtual Desktop, veillez à sécuriser également l’infrastructure Azure et le plan de gestion environnants. Pour sécuriser votre infrastructure, réfléchissez à la façon dont Azure Virtual Desktop s’intègre à votre écosystème Azure plus vaste. Pour en savoir plus sur l’écosystème Azure, consultez Meilleures pratiques et tendances Azure relatives à la sécurité.

Le paysage des menaces d’aujourd'hui exige des conceptions tenant compte des approches de sécurité. Dans l’idéal, vous souhaiterez créer une série de contrôles et de mécanismes de sécurité répartis sur l’ensemble de votre réseau informatique afin de protéger vos données et votre réseau contre toute compromission ou attaque. Ce type de conception de la sécurité est ce que l’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) appelle la défense en profondeur.

Les sections suivantes contiennent des recommandations pour sécuriser un déploiement Azure Virtual Desktop.

Activer Microsoft Defender pour le cloud

Nous vous recommandons d’activer les fonctionnalités de sécurité renforcée de Microsoft Defender pour le cloud pour :

  • Gérer les vulnérabilités.
  • Évaluez la conformité aux normes courantes comme celles établies par le Conseil des normes de sécurité PCI.
  • Renforcer la sécurité globale de votre environnement.

Pour en savoir plus, consultez Activer les fonctionnalités de sécurité améliorées.

Améliorer votre score de sécurité

Le Degré de sécurisation fournit des suggestions et des conseils sur les meilleures pratiques pour améliorer votre sécurité globale. Ces suggestions sont hiérarchisées pour vous aider à choisir celles qui sont les plus importantes, et les options de correction rapide vous aident à résoudre rapidement les vulnérabilités potentielles. Ces suggestions sont également mises à jour au fil du temps, ce qui vous permet de mettre à jour la sécurité de votre environnement. Pour plus d’informations, consultez Améliorer votre score de sécurité dans Microsoft Defender pour le cloud.

Exiger l’authentification multifacteur

L’authentification multifacteur obligatoire pour tous les utilisateurs et administrateurs dans Azure Virtual Desktop améliore la sécurité de l’ensemble de votre déploiement. Pour en savoir plus, consultez Activer l’authentification multifacteur Microsoft Entra pour Azure Virtual Desktop.

Activer l’accès conditionnel

L’activation de l’accès conditionnel vous permet de gérer les risques avant d’accorder aux utilisateurs l’accès à votre environnement Azure Virtual Desktop Virtual Desktop. Lorsque vous choisissez les utilisateurs auxquels accorder l’accès, nous vous recommandons également de déterminer qui est l’utilisateur, comment il se connecte et quel appareil il utilise.

Collecter des journaux d’audit

L’activation de la collecte des journaux d’audit vous permet d’afficher l’activité des utilisateurs et des administrateurs en rapport avec Azure Virtual Desktop. Voici quelques exemples de journaux d’audit clés :

Superviser l’utilisation avec Azure Monitor

Surveillez l’utilisation et la disponibilité de votre service Azure Virtual Desktop avec Azure Monitor. Envisagez de créer des alertes d’intégrité de service pour le service Azure Virtual Desktop afin de recevoir des notifications chaque fois que se produit un événement de service marquant.

Chiffrer vos hôtes de session

Chiffrez vos hôtes de session avec des options de chiffrement de disque managé pour protéger les données stockées contre un accès non autorisé.

Meilleures pratiques pour la sécurité de l’hôte de session

Les hôtes de session sont des machines virtuelles qui s’exécutent au sein d’un abonnement Azure et d’un réseau virtuel. La sécurité globale de votre déploiement Azure Virtual Desktop dépend des contrôles de sécurité que vous placez sur vos hôtes de session. Cette section décrit les meilleures pratiques pour assurer la sécurité de vos hôtes de session.

Activer Endpoint Protection

Pour protéger votre déploiement contre les logiciels malveillants connus, nous vous recommandons d’activer Endpoint Protection sur tous les hôtes de session. Vous pouvez utiliser l’antivirus Windows Defender ou un programme tiers. Pour plus d’informations, consultez Guide de déploiement de l’antivirus Windows Defender dans un environnement VDI.

Pour les solutions de profil, telles que FSLogix ou d’autres solutions, qui effectuent le montage de fichiers de disques durs virtuels (VHD), nous vous recommandons d’exclure les extensions de fichier VHD. Pour plus d’informations, consultez la rubrique

Installer un produit de détection et de réponse de point de terminaison

Nous vous recommandons d’installer un produit de détection et de réponse de point de terminaison (EDR) pour fournir des fonctionnalités avancées de détection et de réponse. Pour les systèmes d’exploitation serveur sur lesquels Microsoft Defender pour le cloud est activé, l’installation d’un produit EDR déploie Microsoft Defender pour point de terminaison. Pour les systèmes d’exploitation client, vous pouvez déployer Microsoft Defender pour point de terminaison ou un produit tiers sur ces points de terminaison.

Activer les évaluations de gestion des menaces et des vulnérabilités

L’identification des vulnérabilités logicielles qui existent dans les systèmes d’exploitation et les applications est essentielle pour garantir la sécurité de votre environnement. Microsoft Defender pour le cloud peut vous aider à identifier où sont les problèmes grâce à la solution de gestion des menaces et des vulnérabilités de Microsoft defender pour point de terminaison. Vous pouvez également utiliser des produits tiers si vous le souhaitez, mais nous vous recommandons d’utiliser Microsoft Defender pour le cloud et Microsoft Defender pour point de terminaison.

Corriger les vulnérabilités des logiciels dans votre environnement

Une fois que vous avez identifié une vulnérabilité, vous devez la corriger. Cela s’applique également aux environnements virtuels, qui comprennent les systèmes d’exploitation en cours d’exécution, les applications qui y sont déployées et les images à partir desquelles vous créez de nouvelles machines. Soyez attentif aux messages de notification de correctifs et appliquez les correctifs en temps utile. Nous vous recommandons d’appliquer des correctifs mensuels à vos images de base pour vous assurer que les machines nouvellement déployées sont aussi sécurisées que possible.

Établir des stratégies de temps d’inactivité et de déconnexion maximales

La déconnexion des utilisateurs inactifs préserve les ressources et empêche l'accès des utilisateurs non autorisés. De préférence, les délais d’expiration équilibrent la productivité des utilisateurs ainsi que l’utilisation des ressources. Pour les utilisateurs qui interagissent avec des applications sans état, envisagez des stratégies plus agressives qui éteignent les machines et préservent les ressources. La déconnexion d’applications en cours d’exécution depuis longtemps et qui continuent à fonctionner si un utilisateur est inactif, comme une simulation ou un rendu CAO, peut interrompre le travail de l’utilisateur et peut même nécessiter le redémarrage de l’ordinateur.

Configurer des verrous d’écran pour les sessions inactives

Vous pouvez empêcher l’accès au système indésirable en configurant Azure Virtual Desktop de façon à verrouiller l’écran d’une machine pendant la durée d’inactivité, et en exigeant une authentification pour le déverrouiller.

Établir un accès administrateur à plusieurs niveaux

Nous vous recommandons de ne pas accorder à vos utilisateurs un accès administrateur aux bureaux virtuels. Si vous avez besoin de logiciels, nous vous recommandons de les rendre disponibles par le biais d’utilitaires de gestion de la configuration comme Microsoft Intune. Dans un environnement multi-session, nous vous recommandons de ne pas laisser les utilisateurs installer directement les logiciels.

Déterminer quels utilisateurs doivent accéder à telles ou telles ressources

Considérez les hôtes de session comme une extension de votre déploiement de postes de travail existant. Nous vous recommandons de contrôler l’accès aux ressources du réseau de la même manière que vous le feriez pour les autres ordinateurs de votre environnement, par exemple en utilisant la segmentation et le filtrage du réseau. Par défaut, les hôtes de session peuvent se connecter à n’importe quelle ressource sur Internet. Vous pouvez limiter le trafic de plusieurs façons, notamment en utilisant le Pare-feu Azure, des appliances virtuelles réseau ou des proxies. Si vous devez limiter le trafic, veillez à ajouter les règles appropriées afin qu’Azure Virtual Desktop puisse fonctionner correctement.

Gérer la sécurité des applications Microsoft 365

En plus de sécuriser vos hôtes de session, il est important de sécuriser également les applications qui s'y exécutent. Les applications Microsoft 365 comptent parmi les plus couramment déployées sur les hôtes de session. Pour améliorer la sécurité du déploiement de Microsoft 365, nous vous recommandons d’utiliser le Conseiller en stratégie de sécurité pour Microsoft 365 Apps for enterprise. Cet outil identifie les stratégies que vous pouvez appliquer à votre déploiement pour davantage de sécurité. Conseiller en stratégie de sécurité recommande également des stratégies en fonction de leur impact sur votre sécurité et votre productivité.

Sécurité du profil de l’utilisateur :

Les profils utilisateur peuvent contenir des informations sensibles. Vous devez restreindre ceux qui ont accès aux profils utilisateur et aux méthodes d’accès, en particulier si vous utilisez FSLogix Profile Container pour stocker des profils utilisateur dans un fichier de disque dur virtuel sur un partage SMB. Vous devez suivre les recommandations de sécurité pour le fournisseur de votre partage SMB. Par exemple, si vous utilisez Azure Files pour stocker ces fichiers de disques durs virtuels, vous pouvez utiliser des points de terminaison privés pour les rendre accessibles uniquement au sein d’un réseau virtuel Azure.

Autres conseils de sécurité pour les hôtes de session

En limitant les capacités du système d'exploitation, vous pouvez renforcer la sécurité de vos hôtes de session. Voici quelques opérations que vous pouvez effectuer :

  • Contrôlez la redirection des périphériques en redirigeant les lecteurs, les imprimantes et les périphériques USB vers le périphérique local d’un utilisateur dans une session de bureau à distance. Nous vous recommandons d'évaluer vos besoins en matière de sécurité et de vérifier si ces fonctionnalités doivent être désactivées ou non.

  • Limitez l’accès de l’Explorateur Windows en masquant les mappages de lecteurs locaux et distants. Cela empêche les utilisateurs de découvrir des informations non désirées sur la configuration du système et les utilisateurs.

  • Empêchez l’accès RDP direct aux hôtes de session dans votre environnement. Si vous avez besoin d’un accès RDP direct pour l’administration ou le dépannage, activez l’accès juste-à-temps pour limiter la surface d’attaque potentielle sur un hôte de session.

  • Accordez aux utilisateurs des autorisations limitées lorsqu’ils accèdent à des systèmes de fichiers locaux et distants. Vous pouvez limiter les autorisations en vous assurant que vos systèmes de fichiers locaux et distants utilisent des listes de contrôle d’accès avec le moins de privilèges possible. De cette façon, les utilisateurs peuvent accéder uniquement à ce dont ils ont besoin et ne peuvent pas modifier ou supprimer les ressources critiques.

  • Empêchez l’exécution de logiciels indésirables sur les hôtes de session. Vous pouvez activer App Locker pour une sécurité supplémentaire sur les hôtes de session, en vous assurant que seules les applications que vous autorisez peuvent fonctionner sur l'hôte.

Lancement approuvé

Les lancements fiables sont des machines virtuelles Azure dotées de fonctionnalités de sécurité améliorées destinées à se protéger contre les techniques d’attaques persistantes comme les menaces « en bas de la pile » par le biais de vecteurs d’attaque tels que les rootkits, les kits de démarrage et les programmes malveillants au niveau du noyau. Ils permettent de sécuriser le déploiement des machines virtuelles avec des chargeurs de démarrage vérifiés, des noyaux de système d’exploitation et des pilotes, et protègent les clés, les certificats et les secrets dans les machines virtuelles. Pour en savoir plus sur le lancement fiable, consultez Lancement fiable pour les machines virtuelles Azure.

Lorsque vous ajoutez des hôtes de session à l’aide du Portail Azure, le type de sécurité par défaut est Machines virtuelles approuvées. Cela garantit que votre machine virtuelle répond aux exigences obligatoires pour Windows 11. Pour plus d’informations sur ces exigences, consultez Prise en charge des machines virtuelles.

Machines virtuelles d’informatique confidentielle Azure

Le support d’Azure Virtual Desktop pour les machines virtuelles d’informatique confidentielle Azure garantit que le bureau virtuel d’un utilisateur est chiffré en mémoire, protégé en cours d’utilisation et sauvegardé par une racine matérielle de confiance.

Le déploiement de machines virtuelles confidentielles avec Azure Virtual Desktop permet aux utilisateurs d’accéder à Microsoft 365 et à d’autres applications sur des hôtes de session qui utilisent l’isolation matérielle, ce qui renforce l’isolation d’autres machines virtuelles, l’hyperviseur et le système d’exploitation hôte. Les clés de chiffrement de mémoire sont générées et protégées par un processeur sécurisé dédié à l’intérieur du processeur qui ne peut pas être lu à partir du logiciel. Pour plus d’informations, y compris les tailles de machines virtuelles disponibles, consultez la présentation de l’informatique confidentielle Azure.

Les systèmes d’exploitation suivants sont pris en charge pour une utilisation en tant qu’hôtes de session avec des machines virtuelles confidentielles sur Azure Virtual Desktop, pour les versions comprises dans le support actif. Consultez les dates du support dans la Politique de support Microsoft.

  • Windows 11 Entreprise
  • Multisession Windows 11 Entreprise
  • Windows 10 Entreprise
  • Windows 10 Entreprise à sessions multiples
  • Windows Server 2022
  • Windows Server 2019

Vous pouvez créer des hôtes de session à l’aide de machines virtuelles confidentielles lorsque vous déployez Azure Virtual Desktop ou ajoutez des hôtes de session à un pool d’hôtes.

Chiffrement du disque du système d’exploitation

Le chiffrement du disque du système d’exploitation est une couche supplémentaire de chiffrement qui lie les clés de chiffrement de disque au Module de plateforme sécurisée (TPM) de la machine virtuelle d’informatique confidentielle. Ce chiffrement rend le contenu du disque accessible uniquement à la machine virtuelle. La supervision de l’intégrité permet l’attestation de chiffrement et la vérification de l’intégrité de démarrage de la machine virtuelle, ainsi que des alertes de surveillance si la machine virtuelle n’a pas démarré, car l’attestation a échoué avec la ligne de base définie. Pour plus d’informations sur la supervision de l’intégrité, consultez Intégration de Microsoft Defender pour le cloud. Vous pouvez activer le chiffrement de calcul confidentiel lorsque vous créez des hôtes de session à l’aide de machines virtuelles confidentielles lorsque vous créez un pool d’hôtes ou ajoutez des hôtes de session à un pool d’hôtes.

Démarrage sécurisé

Le démarrage sécurisé est un mode pris en charge par le microprogramme de la plateforme qui protège votre microprogramme des rootkits et kits de démarrage basés sur des programmes malveillants. Ce mode autorise uniquement les systèmes d’exploitation et les pilotes signés à démarrer.

Surveiller l’intégrité du démarrage à l’aide de l’attestation distante

L’attestation distante est un excellent moyen de vérifier l’intégrité de vos machines virtuelles. L’attestation distante vérifie que les enregistrements de démarrage mesurés sont présents et authentiques et qu’ils proviennent du module de plateforme sécurisé virtuel (vTPM). En guise de vérification de l’intégrité, elle fournit la certitude cryptographique qu’une plateforme a démarré correctement.

vTPM

Un vTPM est une version virtualisée d’un Module de plateforme sécurisée (TPM) matériel, avec une instance virtuelle par machine virtuelle. Le vTPM opère une attestation à distance en effectuant une mesure d’intégrité de la chaîne de démarrage complète de la machine virtuelle (UEFI, SE, système et pilotes).

Nous vous recommandons d’activer le vTPM pour utiliser l’attestation distante sur vos machines virtuelles. Lorsqu’un vTPM est activé, vous pouvez également activer la fonctionnalité BitLocker avec Azure Disk Encryption, qui assure un chiffrement complet du volume pour protéger les données au repos. Toutes les fonctionnalités qui utilisent un vTPM entraînent la liaison de secrets à la machine virtuelle spécifique. Lorsque les utilisateurs se connectent au service Azure Virtual Desktop dans un scénario groupé, les utilisateurs peuvent être redirigés vers n’importe quelle machine virtuelle du pool d’hôtes. Selon la façon dont la fonctionnalité est conçue, cela peut avoir un impact.

Remarque

BitLocker ne doit pas être utilisé pour chiffrer le disque spécifique dans lequel vous stockez vos données de profil FSLogix.

Sécurité basée sur la virtualisation

La sécurité basée sur la virtualisation (VBS) utilise l’hyperviseur pour créer et isoler une région sécurisée de mémoire inaccessible au système d’exploitation. Hypervisor-Protected Code Integrity (HVCI) et Windows Defender Credential Guard utilisent tous deux la VBS pour offrir une protection accrue contre les vulnérabilités.

Hypervisor-Protected Code Integrity

HVCI est un système d’atténuation puissant qui utilise la VBS pour protéger les processus en mode noyau de Windows contre l’injection et l’exécution de code malveillant ou non vérifié.

Windows Defender Credential Guard

Activer Microsoft Defender Credential Guard. Windows Defender Credential Guard utilise la VBS pour isoler et protéger les secrets afin que seuls les logiciels système privilégiés puissent y accéder. Cela empêche tout accès non autorisé à ces secrets et les attaques de vol d’informations d’identification, telles que les attaques de type Pass-the-hash. Pour plus d’informations, consultez Credential Guard.

Windows Defender Application Control

Activez le contrôle d’application Windows Defender. Le Contrôle d’application Windows Defender est conçu pour protéger les appareils contre les programmes malveillants et d’autres logiciels non approuvés. Il empêche l’exécution de code malveillant en s’assurant que seul le code approuvé, que vous connaissez, puisse être exécuté. Pour plus d’informations, consultez Contrôle d’application pour Windows.

Remarque

Lorsque vous utilisez Windows Defender Access Control, nous vous recommandons de cibler uniquement les stratégies au niveau de l’appareil. Bien qu’il soit possible de cibler des stratégies pour des utilisateurs individuels, une fois la stratégie appliquée, elle affecte également tous les utilisateurs sur l’appareil.

Windows Update

Maintenez les hôtes de session à jour avec les mises à jour de Windows Update. Windows Update offre un moyen sécurisé de maintenir vos appareils à jour. Sa protection de bout en bout empêche la manipulation des échanges de protocoles et veille à ce que les mises à jour incluent uniquement du contenu approuvé. Vous devrez peut-être mettre à jour les règles de pare-feu et de proxy pour certains de vos environnements protégés afin d’obtenir un accès approprié aux mises à jour Windows. Pour plus d’informations, voir Sécurité Windows Update.

Client Bureau à distance et mises à jour sur d’autres plateformes de système d’exploitation

Les mises à jour logicielles pour les clients Bureau à distance que vous pouvez utiliser pour accéder aux services Azure Virtual Desktop sur d’autres plateformes de système d’exploitation sont sécurisées en fonction des stratégies de sécurité de leurs plateformes respectives. Toutes les mises à jour clientes sont fournies directement par leurs plateformes. Pour obtenir plus d’informations, consultez les pages de magasin respectives pour chaque application :

Étapes suivantes