Configurer la MFA sur les sessions Remote Desktop Gateway

Appliquez l’authentification multifacteur (MFA) aux connexions Remote Desktop Gateway (RD Gateway) pour sécuriser l’accès distant aux postes de travail et serveurs internes.

Publié le 9 octobre 2025

Introduction

Le serveur Remote Desktop Gateway (RD Gateway) permet aux utilisateurs d’accéder aux ressources internes via HTTPS, sans nécessiter de connexion VPN.
Si cette solution simplifie l’accès à distance, elle constitue également un point d’entrée potentiel vers le réseau d’entreprise.

UserLock peut appliquer une authentification multifacteur (MFA) lorsque les utilisateurs se connectent via RD Gateway, ajoutant une vérification d’identité supplémentaire avant d’autoriser l’accès.

Les sections suivantes expliquent comment activer la MFA pour les connexions RD Gateway, pourquoi l’installation de l’agent NPS est recommandée, et quelles options sont possibles si l’agent ne peut pas être déployé.

Configurer la MFA pour les sessions RD Gateway

Pour appliquer la MFA aux utilisateurs se connectant via RD Gateway :

  1. Installer l’agent UserLock Desktop sur toutes les machines cibles accessibles en RDP.
    Sans cet agent, UserLock ne peut pas appliquer la MFA ni protéger les sessions.

  2. Créer ou modifier une stratégie d’accès MFA
    Si nécessaire, consultez le guide Configurer une stratégie d’accès pour suivre la procédure complète.

  3. Dans les règles de la strégie d'accès MFA, activez la MFA.

  4. Sélectionner le type de connexion sur lequel la MFA doit s’appliquer :

    Valeur

    Description

    Note

    Toutes

    Applique la MFA sur toutes les connexions

    Locales, distantes et depuis l'extérieur

    Distantes

    Applique la MFA sur les sessions distantes

    ⚠️ Nécessite l’agent NPS
    (voir ci-dessous)

    Depuis l'extérieur

    Applique la MFA uniquement pour les connexions externes

    ⚠️ Nécessite l’agent NPS ou le réglage avancé
    (voir ci-dessous)

  5. Enregistrer les modifications et vérifiez que la MFA se déclenche lors d’une connexion via RD Gateway.

À propos de l’agent NPS

Lorsqu’un utilisateur s’authentifie via RD Gateway, la requête est gérée par un serveur NPS (Network Policy Server).
L’installation de l’agent UserLock NPS sur ce serveur permet à UserLock de détecter la véritable adresse IP externe du client distant.

Situation

Ce que voit UserLock

Impact

Agent NPS installé sur le serveur NPS qui authentifie le Gateway

La véritable adresse IP publique du client distant

La MFA peut s’appliquer automatiquement selon les types de connexion “Remote” ou “From outside”.

Agent NPS non installé

L’adresse IP du RD Gateway

  • La session est considérée comme “interne” au réseau.

  • La MFA ne se déclenchera pas pour les sessions "Distantes”

  • La MFA ne se déclenchera pas “Depuis l'extérieur”, sauf si le réglage avancé ci-dessous est appliqué.

Considérer l’adresse IP du RD Gateway comme externe

Si l’agent NPS ne peut pas être déployé, vous pouvez indiquer manuellement à UserLock de traiter l’adresse IP du RD Gateway comme externe.

Procédure :

  1. Ouvrez la console UserLock.

  2. Accédez à Paramètres du serveur ▸ Paramètres avancés.

  3. Recherchez l’option Adresses IP considérées comme externes.

  4. Ajoutez l’adresse IP de votre RD Gateway.

  5. Enregistrez la configuration.

Cela garantit que la MFA s’applique même si l’adresse IP du RD Gateway appartient à votre réseau interne.

Note

Par défaut, toutes les adresses IP en dehors des plages suivantes sont considérées comme externes :

  • 10.0.0.0 - 10.255.255.255

  • 172.16.0.0 - 172.31.255.255

  • 192.168.0.0 - 192.168.255.255

  • fc00::/7

  • fe80::/10