ra2 studio - stock.adobe.com
Bureaux à distance : ce qu’il faut savoir sur Azure Virtual Desktop
Azure Virtual Desktop, le service de bureaux Windows distants depuis le cloud de Microsoft, vient avec des prérequis, des possibilités de configuration et des méthodes d’administration. Cet article explique tout.
Azure Virtual Desktop (AVD), lancé en juin 2021, est une offre de poste de travail à la demande (Desktop as a Service, DaaS) plus classique que son prédécesseur Windows Virtual Desktop (WVD), mais qui se démarque sur plusieurs points.
Pourquoi choisir Azure Virtual Desktop ?
Les deux offres de Microsoft ont de nombreux points communs, mais AVD a été largement enrichi par rapport à WVD. Parmi les améliorations, notons les suivantes :
- Support avancé d’Azure Active Directory (AD), qui permet de se dispenser d’un contrôleur de domaine.
- Intégrations avec Microsoft Endpoint Manager (MEM) et Intune pour la gestion de machines virtuelles Windows 10 et 11 en mode multisession.
- Centralisation du déploiement dans le portail Azure pour accélérer et faciliter l’administration.
Ce qu’il faut pour exécuter d’Azure Virtual Desktop
Du point de vue de l’administration, AVD exige avant tout l’activation d’un système d’exploitation et du framework Active Directory. Les administrateurs IT ne négligeront pas non plus les questions liées au réseau et à la prise en charge du matériel des utilisateurs.
Les postes de travail virtuels Azure prennent en charge les licences Windows 10 ou 11 en mode multisession, ce qui est plus économique en termes de ressources qu’une session par machine virtuelle Windows. L’option multi-utilisateur du système d’exploitation est une spécificité d’Azure, pour les postes de travail virtuels, unique sur le marché. Ajoutons qu’AVD peut aussi partager des bureaux distants basés sur Windows 7 et sur les versions de Windows Server qui vont de 2012 R2 à 2022.
Les licences suivantes d’un OS pour poste de travail sont compatibles avec l’hébergement des sessions utilisateur : Microsoft 365 E3, E5, A3, A5, F3, et Business Premium Windows E3, E5, A3, A5. Concernant Windows Server, les services de bureau à distance nécessitent la souscription supplémentaire aux licences d’accès client (Client Access Licenses, CAL) avec Software Assurance.
Concernant Active Directory, Azure AD est la meilleure option dans un environnement AVD, et le choix le plus répandu. Les entreprises abonnées à Microsoft 365 profitent d’un environnement clés en main puisque Azure AD est préintégré à cette offre. Ce service répond aux besoins d’authentification, mais aussi d’administration d’AVD par les équipes informatiques. Cela étant dit, AVD peut tout aussi bien s’accompagner de Windows Server Active Directory.
Quelle que soit la source, Azure AD ou Windows Server Active Directory, les comptes utilisateur doivent partager la même infrastructure Active Directory que les machines virtuelles auxquelles les utilisateurs ont accès. Cette obligation assure un mécanisme d’authentification et de sécurité. Les comptes utilisateur indépendants de l’infrastructure Active Directory de base (comptes B2B ou Microsoft MSA, par exemple) n’ont pas accès aux ressources AVD. Ainsi, un compte utilisateur partenaire lié par une collaboration B2B n’accédera pas aux ressources AVD, contrairement à un compte utilisateur de filiale enregistré dans la même infrastructure Active Directory.
Les VM Azure auxquelles les utilisateurs accèdent peuvent résider dans toutes les régions Azure, mais il faudra tenir compte de la latence réseau et de la réglementation en vigueur pour l’hébergement. Bien que les réseaux ExpressRoute dédiés assurent une connectivité optimale, mieux vaut privilégier la région Azure la plus proche des utilisateurs pour les connexions Internet.
Prenons l’exemple d’un utilisateur basé aux États-Unis qui accède à des postes de travail virtuels hébergés en Europe ou en Asie. Dans son cas, la latence due à la distance entre le terminal et l’hôte est trop importante pour assurer une expérience utilisateur de qualité. Par ailleurs, certains pays, comme l’Allemagne, imposent que les données restent sur le territoire. Pour se conformer à cette règle de résidence des données, les utilisateurs doivent alors accéder à des postes de travail virtuels hébergés par leur entreprise en Allemagne.
Dans la plupart des cas, AVD prend en charge le terminal physique que l’utilisateur possède ou préfère, qu’il s’agisse d’un poste de travail Windows ou d’un appareil macOS, iOS ou Android. En outre, le client Web HTML a accès aux ressources AVD.
Les personnalisations possibles d’Azure Virtual Desktop
AVD accepte deux types de personnalisation : les déploiements au niveau du système d’exploitation et ceux au niveau des applications.
En général, les entreprises déploient AVD via l’interface d’administration du portail Azure, conviviale. Les utilisateurs chevronnés peuvent utiliser le module PowerShell pour Azure Virtual Desktop, des modèles Azure Resource Manager et des API REST.
Bien qu’orienté poste de travail virtuel, AVD permet également de déployer des applications distantes de façon individualisée. Par exemple, si certains utilisateurs travaillent depuis des postes virtuels et que d’autres ont besoin d’accéder à une ou plusieurs applications virtuelles, l’équipe IT peut mettre à disposition, via AVD, uniquement les applications nécessaires à chaque groupe d’utilisateurs. Les administrateurs peuvent aussi personnaliser le stockage des données utilisateur, par exemple les fichiers et les profils, en fonction des besoins de l’entreprise. Ils ont alors le choix entre des partages de fichiers, OneDrive et FSLogix.
Très peu de déploiements reposent sur des postes de travail virtuels nus, car les utilisateurs ont besoin d’applications pour exécuter des tâches élémentaires. Les entreprises déploient donc, a minima, les applications de productivité Microsoft 365 sur les postes virtuels. Quant aux nombreux progiciels supplémentaires souvent indispensables, charge à l’équipe IT de les intégrer. Sauf exception, par exemple des applications personnalisées ou anciennes, l’intégration est assez simple.
Cependant, le fonctionnement de multiples applications sur un poste de travail virtuel Windows 10 en mode multisession peut se révéler laborieux. Les administrateurs ont donc intérêt à tester intégralement les applications avec différents comptes et scénarios. Certaines applications extraient les données utilisateur du dossier AppData. Si ce dossier est redirigé, par exemple, les utilisateurs peuvent subir de la latence à l’occasion de certaines activités. En bref, une application qui exécute parfaitement certaines tâches n’est pas la garantie d’une architecture parfaite.
Prise en charge d’un environnement Azure Virtual Desktop
Les options d’assistance et de dépannage Azure Virtual Desktop sont plus accessibles que dans le cas de déploiements sur site.
Passée la prise en main du portail Azure, la gestion de l’environnement AVD est sans surprise. Les tâches telles que la création d’images et de profils ne posent aucun problème. Des assistants guident les administrateurs, par exemple pour créer des pools d’hôtes, des groupes d’applications et des espaces de travail, et Microsoft fournit une documentation et un support technique de qualité.
Azure ne s’appuie pas sur des outils courants tels que l’Observateur d’événements Windows, mais propose ses propres outils de monitoring et de dépannage tels que Log Analytics et Azure Monitor. Azure Monitoring Insights, notamment, fournit une vue détaillée des diagnostics, des performances, de l’utilisation, des alertes, etc.
Microsoft met à jour ses services Azure en permanence. En novembre 2021, par exemple, l’éditeur a publié la préversion de la mise à l’échelle automatique, qui permet aux équipes IT d’automatiser le démarrage et l’arrêt des hôtes de session à jours et heures fixes. Ainsi, une entreprise qui ferme longuement en fin d’année appréciera de réduire ses coûts de service Azure.
D’autres services Azure peuvent être requis pendant ou après le déploiement initial pour répondre aux besoins des utilisateurs et des systèmes, par exemple des licences mises à niveau, des VM plus efficaces, un complément de stockage et des connexions ExpressRoute supplémentaires. En outre, l’unité Microsoft Consulting peut intervenir pour répondre à de nouveaux besoins et traiter des projets complexes.
Certains services IT ont besoin, par exemple, d’un monitoring détaillé pour leur large base d’utilisateurs AVD. Dans ce cas, un outil tiers tel que ControlUp ou EG Innovations permet de détecter rapidement les incidents utilisateur et système, ce que ne peuvent pas faire les outils AVD natifs. De même, ces options externes permettent de produire des rapports détaillés plus fournis.
Des services et produits tiers, autres que Microsoft Azure, peuvent être nécessaires pour répondre à certains besoins techniques et métier. Bien qu’Azure propose une profusion d’outils et de ressources, d’autres fournisseurs peuvent avoir des offres spécifiques, mieux adaptées pour certaines entreprises.