RDmi : dans les coulisses du futur de l’accès à distance sous Windows
RDmi n’est pour l’heure accessible qu’en préversion technique. Mais il constitue une étape importante au potentiel considérable.
Microsoft a initialement présenté le concept d'infrastructure moderne d’accès à distance au poste de travail (RDmi, pour « Remote Desktop modern infrastructure ») lors de l’édition 2017 de sa conférence Inspire, puis de nouveau à Ignite 2017. Pour l’heure, RDmi n'est pas accessible au public et ne peut être testé que dans le cadre d'un aperçu technique privé. Mais il n’y en a pas moins de quoi attiser la curiosité. Pour faire court, RDmi combine poste de travail et applications Windows traditionnelles avec des concepts de cloud.
Les concepts sous-jacents
RDmi s’appuie sur Azure. L’un concepts d’architecture clé est que les serveurs RDSH ou les postes de travail virtuels sont déployés dans un ou plusieurs réseaux (virtuels) complètement dissociés de la couche d'infrastructure RDS. Les services d'infrastructure d’accès distant (RD Broker, RD Web et RD Gateway) utilisent Azure Web Apps comme plate-forme sous-jacente et aucun d'eux n'est joint au domaine. A cela, RDmi ajoute un service de diagnostic qui assure la corrélation d’événements de bout en bout, depuis le client Remote Desktop (RD) jusqu’au serveur RDSH.
Les services d'infrastructure RDmi bénéficient des fonctionnalités d’élasticité intégrées au service Azure Web App sous-jacent. En définissant deux règles très simples, les rôles d'infrastructure RD affectent ou désaffectent les ressources dynamiquement pour répondre aux besoins de performances.
Et par construction, RDmi peut être utilisé en toute sécurité dans un environnement mutualisé – une fonctionnalité que les éditeurs indépendants et les fournisseurs de services managés souhaitent de longue date : une même couche d'infrastructure peut être utilisée avec plusieurs pools d'hôtes RDSH attribués à différents clients et liés leurs annuaires AD respectifs.
Les pools d'hôtes rassemblent machines virtuelles Windows 10 ou serveurs RDSH, hébergés sur une infrastructure en mode service de type Azure. Un agent RDmi doit être installé sur chaque machine virtuelle du pool d’hôtes. Dès que l'agent est en cours d'exécution, il établit et maintient une connexion WebSocket sortante au service RD Broker et s'enregistre en tant que membre d'un pool d’hôtes spécifique au client hébergé.
Le service RD Broker connaît ainsi tous les membres de chaque pool d'hôtes et leurs affectations. Fort de ces informations, le courtier est capable de répartir et d'orchestrer les connexions des clients aux hôtes RDSH. RDmi s’appuyant sur Azure AD, l'authentification à facteurs multiples (MFA) peut être activée simplement. Et il est bien sûr possible de profiter des autres fonctionnalités de sécurité liées à Azure AD.
Après une authentification réussie, le client RDmi reçoit un jeton Azure AD qu'il présente au service RD Web. Ce dernier transmet ces informations au service RD Broker qui identifie alors les ressources auxquelles l’utilisateur peut accéder. Celles-ci lui sont présentées dans l'interface du client RDmi : l’utilisateur n’a plus qu’à sélectionner celle qu’il souhaite utiliser, d’un clic sur une icône. Le courtier choisit alors un hôte RDSH en fonction de paramètres de charge.
A ce stade, une seconde connexion WebSocket est établie, depuis l'hôte RDSH vers la passerelle RD Gateway. Une connexion bidirectionnelle entre le client et l'hôte RDSH est alors établie, via la passerelle RD, dans un tunnel https. Aucun autre port que le port 443 n’a besoin d’être ouvert et les utilisateurs peuvent travailler de manière interactive et sécurisée. Les différents pools d'hôtes sont complètement séparés les uns des autres et aucun d'entre eux n'expose de port entrant ouvert vers le monde extérieur.
Pourquoi s'enthousiasmer pour RDmi ?
RDmi présente incontestablement un certain nombre d’avantages. Tout d’abord, l'exécution de la couche d'infrastructure RDS sur Azure Web Apps est potentiellement plus rentable que l'utilisation de machines virtuelles – pour autant, il n'y a pas encore de modèle tarifaire public pour RDmi.
En outre, la couche d'infrastructure RD et les pools d'hôtes RDSH sont complètement isolés les uns des autres, ce qui améliore la sécurité. Et cela vaut aussi pour l’authentification et la gestion des droits basées sur Azure Active Directory. Le tout en ouvrant la voie à une mutualisation de l’infrastructure. Et cela d’autant plus que chaque pool d'hôtes RDSH peut avoir sa propre configuration AD.
En outre, RDmi tire parti de l'élasticité générale d'Azure, et introduit un nouveau service de diagnostic pour aider à résoudre les problèmes de connexion.
Microsoft positionne RDmi comme une plateforme extensible : l’éditeur fournit les fonctionnalités de base pour la fourniture de postes de travail et d'applications Windows à partir d'Azure, en intégrant nativement mutualisation et sécurité. Au-dessus de cela, RD PowerShell et une API REST peuvent être utilisés par des tiers pour étendre RDmi.