La MFA pour Windows VDI répond aux exigences du gouvernement américain
- Zephyr Cloud
- Fournisseur de services gérés
- États-Unis
)
)
)
)
Zephyr Cloud est un MSP basé en Virginie qui propose une assistance informatique entièrement gérée pour les services de réseau de bureau virtuel et de cloud privé et hébergé utilisant Entra ID (anciennement Azure AD).
« Si un autre client veut utiliser la MFA pour la VDI, nous ne ferions pas autrement ».
Salim Khourl - Associé gérant
Tout a commencé lorsqu'un client de Zephyr Cloud a déplacé ses applications d'ingénierie CAO/FAO sur site pour 40 personnes vers un réseau d'infrastructure de bureau virtuel (VDI) Windows multisession (partagé). L'objectif était d'améliorer la collaboration au sein de l'équipe tout en évitant les problèmes de gestion des appareils et de sécurité qui se posent lors de l'exécution d'applications et de données sensibles sur des ordinateurs portables et des postes de travail individuels.
Compte tenu du risque de sécurité lié à l'accès de plusieurs employés à une VDI partagée, le client et Zephyr ont convenu qu'ils devaient adopter une authentification multifactorielle en plus des informations d'identification Windows. Cette mesure était essentielle pour garantir que seul le personnel autorisé puisse accéder aux documents sensibles.
Il était également important que les réseaux VDI respectent les normes annuelles de conformité et de reporting nécessaires à l'exécution des contrats du gouvernement américain. Bien que le fournisseur d'identité de domaine du client soit Entra ID, il utilise AD DS pour s'authentifier auprès des systèmes existants ainsi que VDI.
Pour Zephyr Cloud, ce projet est un exemple de la façon dont les petits réseaux exécutant des applications spécialisées exigent de plus en plus la sécurité supplémentaire de la MFA. En tant que MSP, Zephyr Cloud devait répondre à cette exigence sans créer de complexité pour lui-même ou de dépenses pour son client.
"La principale raison pour laquelle les clients optent pour la VDI est la nécessité d'exécuter des applications patrimoniales. Les applications d'ingénierie telles qu'AutoCAD, MATLAB et Design Studio doivent être installées sur un PC. La solution évidente pour le client était de les exécuter sur une VDI et de les mettre à la disposition de plusieurs utilisateurs."
Salim Khouri - Associé gérant
Le client utilisait déjà la MFA pour la messagerie électronique, SharePoint et Teams. Cependant, l'étendre à la VDI s'est avéré plus complexe que Zephyr Cloud ne l'avait prévu.
"Nous avons étudié de nombreuses solutions, mais elles n'offraient pas les bonnes fonctionnalités. Par exemple, Azure AD proposait la MFA, mais elle était conçue pour fonctionner avec des services web plutôt qu'avec une implémentation VDI plus traditionnelle."
Salim Khouri - Associé gérant
En raison de la nécessité pour le client de conserver et d'authentifier l'accès aux applications héritées qui ne fonctionnent pas dans le nuage, il était logique de continuer à utiliser AD DS fonctionnant dans Entra ID pour l'authentification.
Le client voulait également une solution qui mettrait en œuvre la MFA de manière cohérente, quelle que soit la façon dont les utilisateurs se connectent à la VDI (via le bureau ou le navigateur) ou à partir d'appareils tels que les smartphones.
Mais lorsque Zephyr Cloud a évalué la manière dont la MFA pouvait être mise en œuvre pour répondre à ces exigences, chaque solution ajoutait beaucoup de complexité en termes de matériel et de logiciel, sans parler du coût.
Azure AD était l'option évidente, mais cela nécessitait de modifier l'implémentation VDI sous-jacente pour exécuter la MFA avec les services de terminal Remote Desktop Services (RDS) de Microsoft.
UserLock, en revanche, était incroyablement simple à configurer et utilisait l'infrastructure Active Directory existante sans nécessiter de plug-ins ou de services supplémentaires pour faire fonctionner VDI.
"Les solutions alternatives à UserLock que nous avons examinées étaient plus complexes et nécessitaient du matériel et des éléments logiciels supplémentaires tels que SAML. Il s'agissait donc d'un plus grand nombre de pièces susceptibles de se briser dans un réseau où le client exigeait un temps de fonctionnement et une fiabilité. UserLock est si simple. Le fait de tout exécuter sur un seul serveur AD DS facilite également la sauvegarde, la restauration et la réplication."
Salim Khouri - Associé gérant
Les avantages
Le client de Zephyr Cloud a migré vers une VDI multi-session sécurisée avec MFA en utilisant la même app Microsoft Authenticator que les employés utilisaient déjà pour leurs emails et l'accès à Microsoft 365. UserLock rend cela possible sans avoir besoin de serveurs ou de logiciels supplémentaires.
"En moyenne, nous avons environ 30 utilisateurs actifs connectés à la fois sur une VDI basée sur une session de bureau à distance, chacun avec ses propres fichiers, profils et applications. Il est important de noter qu'avec UserLock MFA, chaque utilisateur est séparé et obtient sa propre invite d'authentification."
Salim Khouri - Associé gérant
L'un des grands avantages de UserLock est qu'il simplifie l'expérience de l'utilisateur. Les utilisateurs reçoivent une invite MFA juste après leur dialogue de connexion habituel au bureau Windows. Et ce, qu'ils accèdent à la VDI par le biais d'un navigateur ou d'un agent VDI. UserLock fonctionne de manière transparente avec n'importe quel client.
"Avec UserLock, la MFA est mise en œuvre à l'écran de connexion lorsque vous vous connectez au bureau. La beauté de UserLock, c'est qu'il fonctionne dans tous les sens. Les utilisateurs peuvent utiliser n'importe quel client ou navigateur. Si un autre client veut utiliser la MFA pour la VDI, nous ne ferions pas autrement."
Salim Khouri - Associé gérant