Durée estimée : 30 minutes

Scenario

Dans cet atelier, nous allons illustrer l'utilisation de l'Azure Resource Control pour gérer une machine Windows depuis l'environnement Azure.
De plus l'accès aux resources Azure depuis la machine Windows se fera nativement gràce à une Managed Identity.

Etape 1 : Créer une machine Windows

Vous allez commencer par lancer la création d'une machine virtuelle Windows qui devra, par la suite, pouvoir accèder à Azure nativement.

Nota : La machine créée ici simulera une machine Windows qui ne serait pas hébergée dans Azure

  1. Connectez-vous au portail Azure (http://portal.azure.com) et cliquez sur + Create a resource
  2. Dans la fenêtre Create a resource, cliquez sur Create sous Virtual Machine.
  3. Dans la fenêtre Create a virtual machine, Utilisez les paramètres suivants dans l'onglet Basics (laissez les paramètres non mentionnés à leur valeur par défaut):
    • Resource Group: cliquez Create new, utilisez demoARC comme nom et cliquez sur OK.
    • Virtual machine name: ARC-VM
    • Region : East US (ou toute autre région conseillée par votre formateur/trice)
    • Availability options: No infrastructure redundancy required
    • Security type: Standard
    • Image : Windows Server 2025 Datacenter Azure Edition - x64 Gen2
    • Size : Standard_D2s_v3
    • Administrator account - Username : saisir Student**
    • Administrator account - Password : saisir Pa55w.rd1234****
  4. Cliquez sur Review + create puis, une fois que le message Validation passed est apparu, cliquez sur Create.

Nota : Vous avez besoin d'attendre que le déploiement de la machine virtuelle soit terminé pour passer à l'étape suivante.

Etape 2: Déconnecter la machine virtuelle de l'environnement Azure

Notre machine virtuelle simule une machine on premises et ne doit, à ce titre, pas être connectée avec l'environnement Azure

  1. Connectez-vous au portail Azure (http://portal.azure.com) et cliquez sur Home puis sur Resource groups
  2. Dans la page Resource Groups, cliquez sur le resource group demoARC pour l'ouvrir
  3. Dans la page demoARC, cliquez sur votre machine virtuelle ARC-VM pour ouvrir sa page
  4. Dans la barre d'outils supérieure de la page ARC-VM, cliquez sur Connect / Connect
  5. Dans la page ARC-VM | Connect, cliquez sur le bouton Download RDP File
  6. Ouvrez le fichier ARC-VM.rd téléchargé depuis votre navigateur Internet et connectez-vous avec les informations suivantes :
    • Nom d'utilisateur : Student
    • Mot de passe : Pa55w.rd1234
  7. Une fois la session ouverte, attendez, si nécessaire, qu'elle s'initialise correctement.

Nota : Dans la session distante, si le panneau Networks s'affiche, cliquez sur yes.

  1. Dans le menu démarrer de la machine virtuelle, faites un clic-droit sur Windows Powershell ISE et choisissez More / Run as administrator
  2. Dans Windows Powershell ISE, cliquez sur la petite flèche descendante à coté de la mention Script pour faire apparaître le panneau Untitled.ps1
  3. Dans le panneau Untitled.ps1, saisissez les 3 lignes de code suivantes :
    Set-Service WindowsAzureGuestAgent -StartupType Disabled -Verbose
    Stop-Service WindowsAzureGuestAgent -Force -Verbose
    New-NetFirewallRule -Name BlockAzureIMDS -DisplayName "Block access to Azure IMDS" -Enabled True -Profile Any -Direction Outbound -Action Block -RemoteAddress 169.254.169.254
  1. Dans Windows Powershell ISE, cliquez sur la flèche verte Run Script (F5).

Nota : Vous pouvez vérifier si vous le souhaitez que, dans le portail azure, la machine virtuelle ne communique plus avec l'environnement Azure car un message apparait sur la resource VM dans le portail indiquant "ARC-VM virtual machine agent status is not ready."

Etape 3: Connecter la machine Windows à Azure

Vous allez maintenant vous connecter à la machine virtuelle pour y installer le nécessaire de connexion en gestion Azure.

  1. Depuis le bureau distant de la machine virtuelle, ouvrez le navigateur Microsoft Edge et initialisez le navigateur.
  2. Dans Microsoft Edge, connectez-vous au portail Azure (http://portal.azure.com) avec votre compte d'administrateur
  3. Dans le portail Azure, dans la barre de recherche, commencez à saisir Azure Arc et cliquez sur le choix Machines - Azure Arc
  4. Dans la page Azure Arc | Machines cliquez sur + Onboard/Create et choisissez Onboard existing machine
  5. Dans la page Onboard existing machines with Azure Arc, utilisez les informations suivantes avant de cliquer sur Download and run script :
    • Resource Group : Sélectionnez demoARC
    • Region : Sélectionnez la même région que pour la VM précédente.
    • Operating system : Selectionnez Windows
    • Connect SQL Server Décochez la case
    • Connectivity method : Sélectionnez Public endpoint
  6. Sur l'onglet 1.Download and run script, utilisez le bouton Copy to clipboard à coté du bouton Download
  7. Dans le Windows Powershell ISE précédemment utilisé, dans le panneau Untitled.ps1, remplacez le contenu par le script copié au point précédent puis cliquez sur la flèche verte Run Script (F5).
  8. Dans la fenêtre de navigateur Internet qui s'ouvre, sélectionnez votre compte administrateur (qui ne doit pas être un compte Microsoft...) pour valider la connexion à Azure (le message "Authentication complete. You can return to the application. Feel free to close this browser tab." valide cette connexion)

Etape 4: Attribution d'un rôle à la machine Windows

  1. Dans l'onglet du portail Azure, cliquez sur Home puis sur votre Resource groups
  2. Dans la page Resource groups, cliquez sur demoARC
  3. Dans la page demoARC | Resource group, cliquez sur Access Control (IAM)
  4. Dans la page Access Control (IAM), cliquez sur Add / Add role assignment
  5. Dans la page Add role assignment, Sélectionnez le rôle Contributor, et cliquez sur Next
  6. Dans l'onglet Members, selectionnez Managed Identity et cliquez sur + Select members
  7. Dans la page Select managed identities, sous Managed Identity, sélectionnez Server - Azure Arc
  8. Cliquez sur l'entrée ARC-VM pour la sélectionner et cliquez sur le bouton Select
  9. De retour sur la page Add role assignment, cliquez sur le bouton Review + assign

Etape 5: Vérification du fonctionnement

  1. Dans le Windows Powershell ISE précédemment utilisé, dans le panneau Untitled.ps1, remplacez le contenu par les 2 commandes suivantes puis cliquez sur la flèche verte Run Script (F5).
   install-module az
   connect-azAccount -Identity

1.Cliquez sur "Yes" sur les deux fenêtres de validationb de l'installation du module powershell pour Azure (cette installation prend quelques minutes).

Résultat

Vous avez pu connecter votre session Powershell à Azure sans besoin de gérer ni certificat ni mot de passe !

Nettoyage

Une fois cet atelier terminé, nous vous conseillons de supprimer le resource group demoARC afin d'éviter toute facturation inutile sur votre compte Azure.