Sécuriser les machines virtuelles Windows Server : l'authentification multifacteur sans complexité

Simplifiez la mise en œuvre de l’authentification multifacteur (MFA) sur les machines virtuelles Windows Server.

Publié le 8 décembre 2025
Securing Windows VM Servers with UserLock MFA

La virtualisation est l’un des fondements de l’informatique moderne, mais elle n’est pas sans défis en matière de sécurité.

Le premier problème est le nombre considérable de serveurs virtualisés (machines virtuelles, ou VMs) que les administrateurs doivent désormais protéger, ce qui crée une surface d’attaque en constante expansion pour les cybercriminels.

Un second enjeu réside dans le fait que les serveurs d’aujourd’hui sont presque toujours physiquement éloignés. Dans les déploiements sur site, cela signifie qu’ils se trouvent dans un autre bâtiment. Dans le cas des services cloud, ils peuvent se situer à des milliers de kilomètres. Si cela n'est pas forcément moins sécurisé, cela augmente le risque qu’un serveur soit un jour négligé.

Pour rester sécurisées, les organisations ont besoin de contrôles d’accès solides. L’authentification multifacteur (MFA) et les politiques de contrôle d’accès contextuel sont indispensables.

Mais dans un environnement Microsoft, la mise en œuvre devient rapidement complexe.

Le défi de la mise en place de la MFA pour les VMs

La manière dont les équipes IT implémentent des contrôles d’accès robustes dépend du fait que l’organisation soit majoritairement sur site, qu’elle ait migré vers Entra ID, ou qu’elle adopte une combinaison hybride des deux.

Et lorsqu’il s’agit d’appliquer la MFA à l’accès aux VMs Windows Server, les options se réduisent encore davantage.

Le problème : la MFA n’est pas intégrée nativement à l’infrastructure des serveurs virtuels. C’est toujours une couche supplémentaire.

Le système d’authentification doit prendre en charge la MFA sur plusieurs types de VMs Windows, qu’elles soient dans le cloud ou on-premises.

Malheureusement, cela signifie souvent que les équipes dépensent beaucoup d’argent dans une infrastructure additionnelle chronophage, qui complique encore leur travail.

Le dilemme de l’authentification : les VMs d’aujourd’hui peuvent être n’importe où

À l’origine, un serveur était une machine physique exécutant un seul système d’exploitation sur un matériel dédié. Aujourd’hui, pour des raisons d’échelle et d’efficacité, presque tous les serveurs s’exécutent sur des VMs où plusieurs copies du système d’exploitation cohabitent sur le même matériel. Le clustering permet d’exécuter plusieurs VMs ensemble comme une seule unité logique, avec une répartition de charge.

Ce concept a permis l’essor du cloud, car il autorise l’exécution d’un grand nombre de serveurs dans des datacenters opérés par des fournisseurs de services. Cela a ensuite permis aux organisations d’acheter des ressources serveur sans avoir à gérer leur approvisionnement physique, ce qui constitue le principe du platform-as-a-service (PaaS).

L’inconvénient est que les organisations doivent désormais gérer au moins deux environnements :

  • des serveurs VM traditionnels avec leurs applications exécutées on-premises,

  • et des serveurs distants dans le cloud.

Inévitablement, cela a un impact majeur sur la sécurité. Les organisations doivent choisir si l’authentification est gérée depuis leur propre réseau via AD, ou via un fournisseur de services tiers.

Mettre en œuvre la MFA pour les VMs exige une surveillance attentive

Sécuriser des VMs requiert une surveillance minutieuse. La MFA n’est pas une technologie que l’on configure puis oublie : elle nécessite une supervision constante. Cela est vrai pour toute connexion utilisateur, mais l’est encore davantage pour les connexions serveur qui protègent un actif central.

C’est pourquoi l’une des fonctionnalités les plus importantes d’une plateforme MFA est la manière dont les informations sur les événements sont remontées aux administrateurs.

Si quelque chose de suspect ou d’inhabituel se produit, les administrateurs doivent toujours être les premiers informés. Le système MFA doit pouvoir leur fournir le contexte complet d’une alerte.

MFA pour VMs : trouver la bonne option

Il n’y a pas vraiment de bonne ou de mauvaise réponse.

Une option consiste à utiliser les outils et services natifs de Microsoft :

  • Pour les environnements orientés cloud : Entra ID (IAM), avec Entra MFA et le contrôle d’accès basé sur les rôles (RBAC).

  • Pour les environnements sur site ou hybrides : l’option précédente, complétée par divers outils qui, selon l’équilibre entre on-prem et cloud, peuvent inclure Active Directory Federated Services (AD FS), Entra Connect Sync, et Entra Cloud Sync.

De nombreuses organisations constatent que l’inconvénient de ces outils est qu’ils ajoutent de la complexité et, dans bien des cas, des coûts supplémentaires.

La question est donc la suivante : comment les organisations avec un environnement on-prem ou hybride peuvent-elles sécuriser au mieux leur infrastructure VM ?
Elles veulent ajouter une couche de MFA et de contrôle d’accès pour sécuriser ces serveurs vitaux, mais sans augmenter la charge de gestion.

UserLock : vérifier l’accès aux serveurs VM sans ajouter de complexité

UserLock a été conçu pour résoudre ces défis de mise en œuvre de la MFA grâce à une plateforme intelligente et simple.

Pour un usage sur site, UserLock permet aux administrateurs d’appliquer la MFA et des politiques de contrôle d’accès pour les connexions aux VMs en s’appuyant sur les politiques AD existantes.

Autrement dit, vous pouvez simplement ajouter des couches de sécurité à l’infrastructure déjà en place.

UserLock facilite également l’extension d’une authentification AD sécurisée vers le cloud.
UserLock SSO permet de placer l'accès aux applications SaaS sous le contrôle de l’IT. Là encore, avec UserLock, l'identité AD sur site peut être utilisée pour authentifier l’accès aux VMs exécutées dans le cloud Microsoft.

Cela signifie que les organisations attachées au contrôle sur site peuvent avoir le meilleur des deux mondes, en déployant la MFA sur leurs VMs, où qu’elles soient hébergées.

AD définit déjà la manière dont les utilisateurs et administrateurs accèdent aux VMs. UserLock se contente de renforcer cela, avec des politiques de MFA et de contrôle d’accès granulaires, entièrement personnalisables par les équipes IT.

Prise en charge de multiples mécanismes de connexion et d’authentification

UserLock applique la MFA lorsque les administrateurs ou utilisateurs s’authentifient depuis n’importe quel type de connexion (RDP, VPN, IIS) en utilisant une variété de facteurs, tels que les notifications push, les applications d’authentification, ou les jetons matériels YubiKey ou Token2.

Surveillance des connexions VM pour détecter les activités suspectes

Cependant, la MFA ne représente que la moitié de la solution. La surveillance est tout aussi essentielle. Grâce à UserLock, les administrateurs bénéficient d’une visibilité complète sur les événements d’authentification, par exemple les connexions réussies ou échouées.

Point important : cela s’applique même lorsque ces VMs sont gérées via Entra ID. Toute violation de politique est immédiatement signalée aux administrateurs, tandis que les contrôles d’accès de la plateforme permettent de définir des restrictions basées sur l’emplacement ou l’heure de la journée.

Une surveillance rigoureuse des VMs fait partie intégrante d’une bonne administration. Rappelons que si la gestion bas niveau des VMs est réservée aux administrateurs, les applications qui tournent sur ces serveurs peuvent être accessibles à n’importe quel utilisateur. Les criminels ne ciblent pas uniquement les comptes admin : les comptes utilisateurs ordinaires sont aussi des cibles privilégiées.

Rendre la MFA pour VMs aussi simple que possible

L’expansion massive des infrastructures VM a apporté plusieurs difficultés aux organisations.

Elles savent que leur surface d’attaque a augmenté, ce qui rend la MFA désormais indispensable.

Cependant, sa mise en œuvre peut être complexe. Gérer des VMs dans des environnements hybrides implique de combler les écarts d’identité et d’authentification entre plateformes on-premises et cloud.

Les plateformes ont tendance à supposer que toutes les organisations se tournent vers un fournisseur d'identité cloud (IdP) ou l’utilisent déjà. Ce n’est pas toujours vrai, et cela présente même des inconvénients pour celles qui valorisent le contrôle et la certitude qu’offre l’AD on-premises.

UserLock offre une façon de simplifier la sécurité des VMs : continuez simplement à utiliser la base d’authentification sur site que vous avez déjà avec Active Directory. Et cela, sans perdre la capacité de gérer et surveiller les VMs cloud via Entra ID.

XFacebookLinkedIn

Daniel Garcia Navarro

Directeur de l’ingénierie logicielle, IS Decisions

Daniel Garcia est Directeur de l’ingénierie logicielle chez IS Decisions, où il dirige le développement de solutions de gestion des accès sécurisées et évolutives. Titulaire d’un master en ingénierie des télécommunications, il apporte une expertise technique solide à la sécurité des identités en entreprise.