Le 24 novembre 2025, Microsoft a annoncé la prise en charge de l’authentification Entra ID pour les connexions RDP avec Azure Bastion, la solution de bastion Cloud du géant américain. Faisons le point sur cette nouveauté.
Cette évolution permet une authentification basée sur l’identité du compte Microsoft Entra ID s’y connectant, supprimant ainsi le besoin d’utiliser les informations de comptes locaux des machines virtuelles, ou leur stockage dans Azure Key Vault.
Qu’est-ce qu’Azure Bastion ?
En informatique, un bastion (ou bastion host / jump server) est un serveur sécurisé qui sert de point de passage obligatoire pour accéder à des systèmes sensibles, notamment pour accéder à une machine Windows avec le protocole RDP, ou SSH pour une machine Linux.
Dans Microsoft Azure, ce service est proposé en tant que PaaS, et il permet d’accéder aux machines virtuelles d’un environnement Azure, sans exposer publiquement ces ressources. Au lieu de cela, l’utilisateur utilise le Portail Azure, disponible via un navigateur Web et peut se connecter à la VM dont il a besoin.
Ci-dessous, l’architecture du service Azure Bastion sur lequel nous retrouvons :
L’utilisateur est connecté au portail Azure, sécurisé (HTTPS/TLS) depuis son navigateur internet.
Depuis son navigateur internet, une liaison sécurisée va être établie avec le service Azure Bastion.
Selon la VM et le protocole souhaité (RDP ou SSH), Bastion va établir la connexion avec la ressource via le réseau virtuel privé.
Schéma d’architecture du service Azure Bastion – Source : Microsoft
Pour en savoir plus sur l’architecture technique du service Azure Bastion : À propos de la conception et de l’architecture d’Azure Bastion | Microsoft Learn. Par ailleurs, Azure Bastion a également été présenté dans cet article : Tutoriel Azure Bastion.
Gérer les informations de connexion avec Azure Bastion
Comme expliqué précédemment, Azure Bastion représente un service de rebond pour accéder à nos machines virtuelles de manière sécurisée. Il ne dispose d’aucune information d’authentification à ces VMs, c’est l’utilisateur souhaitant se connecter depuis le portail Azure qui doit les fournir. Il existe deux manières pour le faire :
Saisir manuellement le nom d’utilisateur et son mot de passe.
Utiliser des informations d’authentification stockées dans Azure Key Vault (par exemple, une clé SSH).
Avec cette annonce, il est maintenant possible de s’appuyer sur l’identité de l’utilisateur connecté à Azure sans être dépendant des informations d’authentification à fournir comme expliqué. Cela permet de profiter d’une sécurité renforcée, car l’authentification est traitée par Microsoft Entra ID qui permet de bénéficier du MFA et d’autres mécanismes de sécurité. Ceux-ci s’appliquent également aux connexions à une VM avec un compte Entra ID via Azure Bastion. Aussi, la gestion des permissions peut-être gérée finement via l’IAM Azure (RBAC).
La connexion RDP via Azure Bastion peut être initiée directement depuis le portail Web d’Azure, comme le montre l’image ci-dessous. Le tout via une authentification Entra ID grâce à cette nouveauté.
Connexion à une VM Windows depuis Azure Bastion avec Entra ID – Source : Microsoft
Prérequis pour bénéficier de la fonctionnalité
Pour profiter de cette fonctionnalité, plusieurs prérequis sont à respecter :
Affecter l’un des deux rôles disponibles, à savoir :
“Connexion de l’utilisateur à la machine virtuelle” pour se connecter à la VM sans les droits d’administrateur local.
Pour bénéficier des droits d’administrateur local, utiliser le rôle “Connexion de l’administrateur à l’ordinateur virtuel”
Avoir installé l’extension “AADLoginForWindows” sur la VM.
Activer l’identité managée au niveau de la VM.
Retour d’expérience
À l’origine, j’avais prévu d’accompagner cet article d’un tutoriel illustrant la mise en œuvre de cette nouveauté. Cependant, un problème technique empêche actuellement l’utilisateur d’accéder à sa session distante. Ce genre d’anomalie est courant dans les jours qui suivent une nouvelle fonctionnalité, d’autant plus en aperçu. Je suis en contact avec le support Azure, et dès que le problème sera réglé, le tutoriel sera publié.
Source
Passionné par les technologies Microsoft, j’ai naturellement choisie la voie de l’informatique pour en faire mon métier. Je suis Consultant Microsoft et j’interviens sur les écosystèmes M365 et Azure.