Essayez gratuitement UserLock

MFA pour les data centers : sécuriser l'accès aux applications Windows hébergées

Comment les data centers qui fournissent un accès client distant aux applications Windows utilisent la MFA de UserLock.

Publié le 31 mars 2026
MFA for data center Windows applications

Pour de nombreux data centers et hébergeurs, Microsoft Remote Desktop Services (RDS) reste la plateforme de référence pour délivrer des applications Windows aux utilisateurs distants. En hébergeant les applications de manière centralisée et en les publiant via des technologies comme RemoteApp, RD Web et RD Gateway, les organisations peuvent offrir un accès sécurisé à des logiciels Windows critiques, sans avoir à les installer sur chaque poste utilisateur. Cependant, mettre en place l'authentification multi-facteur (MFA) pour les data centers dans ces configurations peut rapidement devenir complexe.

Comment les data centers utilisent Remote Desktop Services (RDS)

RDS est un système centralisé qui permet aux employés, partenaires ou clients d'accéder à des applications Windows à distance, depuis n'importe quel appareil. Souvent qualifié de technologie héritée, RDS est en réalité encore largement utilisé par de nombreuses entreprises qui dépendent fortement des applications Windows — y compris celles de Microsoft — pour accomplir un large éventail de tâches.

Faire tourner ces applications sur un PC local est difficile à gérer à l'ère du travail à distance et mobile, où tout le monde n'utilise pas un appareil Windows. RDS résout ce problème en exécutant les applications Windows de manière centralisée et en les diffusant aux utilisateurs, qui ont l'impression de les utiliser en local.

Cela passe généralement par le RD Gateway de Microsoft, qui fait office de proxy sécurisé sans nécessiter de connexion VPN :

  • RemoteApp est la méthode standard, rendant les applications du data center accessibles via un logiciel client appelé Windows App (anciennement Remote Desktop).

  • RD Web est une variante offrant une prise en charge des appareils non-Windows et BYOD, avec un accès aux applications via navigateur grâce à un serveur web IIS.

  • Remote Desktop donne accès à un bureau Windows complet, applications incluses.

Pourquoi la MFA est difficile à mettre en œuvre pour l'accès client aux applications de data center hébergées via RDS

Ces connexions étant distantes, elles représentent un risque de sécurité majeur. La MFA est l'un des meilleurs moyens de réduire ce risque, mais il n'est pas simple à mettre en place avec les outils sur site natifs de Microsoft, comme RADIUS/Network Policy Server (NPS). C'est pourquoi de nombreuses organisations se tournent vers des alternatives.

L'approche d'UserLock s'apparente au déploiement d'une solution MFA dédiée sur site, intégrée à Active Directory (AD) pour authentifier les utilisateurs distants.

L'invite MFA présentée à l'utilisateur est déclenchée par les agents UserLock installés à différents points, selon l'architecture RDS utilisée.

Dans un environnement RDS, l'authentification peut intervenir à différents niveaux, le portail d'entrée (IIS/RDWeb), la passerelle (RD Gateway) ou l'hôte de session lui-même (RemoteApp/Remote Desktop). UserLock assure la MFA via ses agents déployés sur RDWeb et les hôtes de session RD.

Où appliquer la MFA dans RDS : RD Gateway, RD Web ou hôte de session ?

Pour de nombreux data centers, mettre en œuvre la MFA au niveau de la connexion RD Gateway est l'option par défaut. Les utilisateurs sont ainsi authentifiés au périmètre avant d'accéder au serveur RemoteApp, également appelé hôte de session RD.

La limite de cette approche est que le RD Gateway seul ne fournit pas une authentification forte. Il sécurise uniquement la couche transport (HTTPS) et contrôle les accès, sans imposer la MFA.

Pour garantir une authentification forte aussi bien pour les sessions externes qu'internes, la MFA doit être appliqué au niveau de l'hôte de session RD (RemoteApp/Remote Desktop).

Avec UserLock, la MFA est appliqué au niveau de l'hôte de session : les utilisateurs ne s'authentifient qu'une seule fois, sans invite MFA en double.

RD Web représente une troisième option. Dans ce cas, les data centers peuvent appliquer la MFA sur la connexion RD Web via IIS, qui fait office de point d'entrée web pour le serveur d'applications.

Essayez la MFA UserLock pour les data centers

Démarrez votre essai gratuit de 30 jours. Utilisateurs illimités, sans carte bancaire, avec un support technique à chaque étape.

Télécharger

Cas d'usage : MFA pour les applications Windows hébergées en data center

Un hébergeur a déployé UserLock pour fournir la MFA à un large portefeuille de clients PME accédant à distance à des applications Windows SAP personnalisées via RemoteApp et RD Web, à travers RD Gateway.

Dans cette configuration, la simplicité de l'expérience utilisateur était primordiale. Les clients de l'hébergeur ne voulaient pas que leurs utilisateurs aient à franchir des étapes inutiles pour s'authentifier.

RemoteApp facilite les choses : l'application est publiée à distance, mais donne l'impression de tourner en local. Elle apparaît dans le menu Démarrer de Windows aux côtés des autres applications, comme si elle était installée sur l'appareil.

UserLock simplifie la sécurité. L'infrastructure reste légère, car UserLock ne nécessite qu'un seul agent (appelé Desktop Agent) pour appliquer la MFA et les contrôles d'accès contextuels sur les accès RemoteApp.

Les administrateurs ont configuré UserLock pour déclencher une invite par session, selon une durée définie, ou pour des utilisateurs ou groupes d'OU AD spécifiques. Cela leur permet de définir le bon niveau d'authentification sans créer de friction pour les utilisateurs finaux.

Pour l'accès RD Web via IIS, le serveur web traite les demandes d'authentification avant qu'elles n'atteignent le serveur hôte. Dans ce cas, l'agent UserLock est installé sur le serveur IIS, offrant les mêmes options de configuration décrites ci-dessus.

Sécuriser l'accès distant aux applications Windows depuis n'importe quel appareil

Aujourd'hui, les applications sont accessibles depuis plusieurs endroits, sur différents systèmes d'exploitation et appareils, à toute heure du jour ou de la nuit. La MFA est donc un contrôle de sécurité indispensable, même si sa mise en œuvre n'est pas toujours simple.

L'accès distant aux applications Windows via RDS pour les clients de data centers est un cas d'usage particulier. Windows n'a pas été conçu pour rendre la prise en charge du MFA simple et plug-and-play — notamment parce que le point d'application de l'invite MFA dépend de la façon dont RDS est utilisé.

Le modèle de déploiement basé sur des agents de UserLock donne aux organisations la flexibilité de choisir elles-mêmes, sans les forcer à choisir entre sécurité et simplicité. La MFA peut être appliqué à l'un des plusieurs points d'accès selon le déploiement spécifique. Quel que soit le point d'authentification, les administrateurs disposent des mêmes options de configuration et contrôles d'accès, tous directement liés aux politiques AD.

XFacebookLinkedIn

Daniel Garcia Navarro

Directeur de l’ingénierie logicielle, IS Decisions

Daniel Garcia est Directeur de l’ingénierie logicielle chez IS Decisions, où il dirige le développement de solutions de gestion des accès sécurisées et évolutives. Titulaire d’un master en ingénierie des télécommunications, il apporte une expertise technique solide à la sécurité des identités en entreprise.