Azure Virtual Desktop constitue aujourd’hui une plateforme solide pour fournir des postes de travail et des applications depuis Azure. Cependant, lorsque l’environnement atteint plusieurs centaines ou plusieurs milliers de machines, son exploitation native peut rapidement devenir complexe.

Provisionnement, automatisation, maîtrise des coûts, gestion des postes personnels, délégation des droits, traçabilité ou encore continuité d’activité : les équipes doivent souvent développer et maintenir leurs propres scripts pour répondre aux exigences d’un grand groupe.

Nerdio Manager for Enterprise, ou NME, vient compléter Azure Virtual Desktop avec une couche d’administration, d’automatisation et d’optimisation.

Voici non pas 10 mais 13 bonnes raisons de l’envisager dans un environnement AVD à grande échelle.

1. Une solution déployée dans le tenant Azure de l’entreprise

Le premier avantage de Nerdio Manager for Enterprise concerne son architecture.

NME est déployé sous la forme d’une application Azure au sein du tenant Microsoft Entra ID et de la souscription Azure de l’entreprise. La console d’administration, les composants techniques et les ressources nécessaires à son fonctionnement restent donc sous le contrôle de l’organisation.

Les secrets et les jetons nécessaires au fonctionnement de la plateforme sont stockés dans Azure Key Vault. L’accès peut être sécurisé par identité managée, RBAC et points de terminaison privés.

Cette architecture est particulièrement intéressante pour les organisations dont les politiques de sécurité limitent ou interdisent l’utilisation de consoles d’administration SaaS hébergées à l’extérieur de leur tenant.

Nerdio ne se place par ailleurs ni dans le chemin d’authentification ni dans le flux RDP des utilisateurs. Les mécanismes de connexion restent ceux d’Azure Virtual Desktop et de Microsoft Entra ID.

Les seules informations communiquées au service de licence Nerdio sont les métadonnées nécessaires au suivi de la licence. Les informations relatives aux utilisateurs, aux machines virtuelles et aux sessions ne sont pas transmises.

2. Une API REST pour intégrer AVD aux processus existants

Dans les grandes organisations, le poste de travail virtuel est rarement administré uniquement depuis une console graphique.

Les créations de comptes, les demandes de postes, les affectations d’utilisateurs et les suppressions de ressources sont généralement pilotées depuis un portail interne, un catalogue de services ou une plateforme ITSM.

Nerdio expose une API REST documentée permettant d’automatiser de nombreuses opérations :

• création et gestion des host pools ;
• déploiement de machines virtuelles ;
• affectation d’un poste à un utilisateur ;
• démarrage, arrêt ou redémarrage d’une machine ;
• gestion des sessions ;
• exécution de scripts et d’actions automatisées ;
• intégration avec des outils tels que ServiceNow.

Une organisation disposant déjà d’un portail de provisioning peut ainsi conserver son interface et ses workflows. Le portail appelle Nerdio, qui orchestre ensuite les opérations dans Azure.

Cette approche évite de reconstruire entièrement une couche d’automatisation autour des API Azure, d’Azure Virtual Desktop, de Microsoft Graph et des différents mécanismes de gestion des images.

3. Une administration centralisée de plusieurs souscriptions et tenants

Les grandes architectures Azure sont généralement réparties sur plusieurs souscriptions : production, préproduction, réseau, sécurité, métiers, régions ou filiales.

Une instance Nerdio peut être reliée à plusieurs souscriptions Azure. Les ressources AVD peuvent ainsi être administrées depuis une console commune, sans remettre en cause la séparation existante des périmètres Azure.

Nerdio permet également de gérer des environnements répartis sur plusieurs tenants Microsoft Entra ID. Cette capacité peut être utile dans les groupes internationaux, les organisations multisociétés ou les environnements issus de fusions et acquisitions.

Les souscriptions peuvent être liées à l’aide d’app registrations ou, dans les scénarios pris en charge, d’identités managées.

L’objectif n’est donc pas de simplifier artificiellement l’architecture Azure, mais de centraliser son exploitation tout en conservant ses frontières de gouvernance.

4. Un autoscaling personnel réellement piloté par l’usage

Les environnements de postes personnels présentent un défi particulier : une machine virtuelle est généralement associée durablement à un utilisateur, mais elle ne doit pas nécessairement rester allumée toute la journée.

Nerdio propose un mode d’autoscaling « user-driven ». La machine peut être démarrée lors de la connexion de l’utilisateur, puis arrêtée automatiquement après la fermeture de ses sessions.

L’arrêt ne dépend donc pas uniquement d’une plage horaire fixe. Il tient compte de l’utilisation réelle du poste et de la présence éventuelle de sessions actives ou déconnectées.

Cette fonctionnalité est particulièrement importante lorsque les coûts sont refacturés à des entités internes, des filiales ou des centres de coûts. La consommation Azure peut être rapprochée plus précisément du temps d’utilisation réel.

À grande échelle, quelques heures de fonctionnement évitées chaque jour sur plusieurs centaines ou milliers de machines peuvent représenter une économie significative.

5. Des limites de session configurables par host pool

Une session déconnectée peut continuer à consommer des ressources, conserver des applications ouvertes et empêcher l’arrêt automatique d’une machine.

Nerdio permet de définir directement au niveau de chaque host pool plusieurs règles de gestion des sessions :

• déconnexion après une durée d’inactivité ;
• fermeture des sessions déconnectées après un délai défini ;
• gestion des sessions RemoteApp inactives ;
• application des paramètres aux machines existantes.

Ces règles permettent de reproduire des comportements déjà présents dans certaines plateformes VDI historiques, sans multiplier les objets de stratégie ou les scripts spécifiques.

Elles jouent également un rôle important dans l’optimisation financière. Une machine personnelle ne peut être arrêtée automatiquement que lorsqu’elle ne contient plus de session active ou déconnectée.

La gestion des sessions et l’autoscaling doivent donc être pensés ensemble.

6. L’auto-shrink pour supprimer les postes devenus inutiles

Dans un grand environnement, certaines machines finissent inévitablement par ne plus être utilisées : changement de poste, départ d’un collaborateur, mutation, remplacement d’un prestataire ou abandon d’un projet.

Sans mécanisme automatisé, ces machines continuent à générer des coûts de stockage, de sauvegarde, de supervision et parfois de licences.

La fonction auto-shrink de Nerdio permet d’identifier les postes personnels sur lesquels aucun utilisateur ne s’est connecté depuis un nombre de jours défini.

Avant la suppression définitive, la machine peut être placée dans un état « pending deletion » pendant une période de quarantaine. Cette étape permet aux équipes de contrôler la suppression ou de restaurer le poste en cas d’erreur.

Il est également possible :

• d’exclure certains utilisateurs ou groupes ;
• de protéger les populations sensibles ou VIP ;
• d’exécuter une action scriptée avant la suppression ;
• de prévenir l’utilisateur par email ;
• d’envoyer une notification supplémentaire à l’équipe informatique ;
• de conserver un délai avant la suppression définitive.

Cette fonctionnalité peut remplacer une grande partie des scripts de nettoyage historiquement développés et maintenus en interne.

7. Un Azure API Limit Booster pour les déploiements massifs

Les très grands environnements sont régulièrement confrontés aux limites et mécanismes de throttling des API Azure Resource Manager.

Lors d’une campagne d’onboarding, une entreprise peut avoir besoin de créer ou de modifier plusieurs centaines, voire plusieurs milliers de machines sur une période courte. Les limites Azure peuvent alors ralentir les opérations ou provoquer des échecs temporaires.

Nerdio propose un Azure API Limit Booster. Le principe consiste à enregistrer plusieurs applications dans Microsoft Entra ID, puis à répartir les appels Azure entre ces différentes identités.

Les appels sont distribués selon un mécanisme de rotation, ce qui augmente la capacité globale de traitement.

Cette fonction est particulièrement pertinente pour les campagnes de migration, les intégrations de filiales, les déploiements massifs ou les environnements connaissant de forts pics d’activité administrative.

8. Un RBAC suffisamment granulaire pour déléguer sans surexposer

Dans une petite infrastructure, quelques administrateurs globaux peuvent suffire. Dans une grande organisation, il faut au contraire répartir les responsabilités entre plusieurs équipes :

• administrateurs AVD ;
• équipes support ;
• responsables des images ;
• équipes d’exploitation ;
• administrateurs locaux ;
• équipes de sécurité ;
• auditeurs.

Nerdio propose plusieurs rôles prédéfinis, notamment administrateur AVD, administrateur de postes, support, utilisateur final et reviewer en lecture seule.

Des rôles personnalisés permettent également de définir plus précisément les modules accessibles et le niveau d’autorisation : lecture seule ou accès complet.

Le périmètre peut être limité à certains workspaces, images ou host pools. Une équipe locale peut ainsi administrer uniquement les ressources de son périmètre sans avoir accès à l’ensemble de la plateforme.

Cette granularité simplifie l’application du principe du moindre privilège et réduit le nombre d’administrateurs disposant de droits étendus dans Azure.

9. Une meilleure préparation aux audits et aux exigences de traçabilité

Les secteurs réglementés doivent être capables d’identifier qui a effectué une action, sur quelle ressource et à quel moment.

Nerdio journalise les actions réalisées depuis sa console et s’appuie également sur les mécanismes de journalisation Azure, notamment Azure Monitor.

Les secrets restent protégés dans Azure Key Vault et les identités administratives utilisent leurs propres jetons. Les actions sont ainsi isolées et attribuables à leurs auteurs.

Le rôle reviewer fournit un accès en lecture seule à la console. Il peut être utilisé pour donner aux équipes d’audit ou de contrôle une visibilité sur la configuration sans leur accorder de capacité de modification.

Nerdio ne rend évidemment pas une organisation automatiquement conforme à DORA ou à une autre réglementation. En revanche, la centralisation des opérations, la séparation des rôles et la conservation des journaux facilitent fortement la préparation des contrôles et la production des éléments de preuve.

10. Une architecture de continuité d’activité active/active entre deux régions

Nerdio propose une fonction de disaster recovery au niveau des host pools multisessions.

Les nouvelles machines peuvent être réparties entre une région Azure principale et une région secondaire. Les utilisateurs sont distribués entre les deux régions et, lorsqu’une région devient indisponible, ils peuvent être redirigés vers les ressources restantes.

La configuration prend également en compte les profils FSLogix. Avec FSLogix Cloud Cache, les emplacements de stockage peuvent être configurés dans les deux régions afin d’assurer la réplication et l’accès aux profils.

Cette approche facilite la mise en œuvre d’une architecture active/active, mais elle ne dispense pas de concevoir correctement :

• la connectivité réseau ;
• l’accès aux contrôleurs de domaine ;
• la réplication des images ;
• le stockage FSLogix ;
• la capacité disponible dans chaque région ;
• la haute disponibilité des composants Nerdio eux-mêmes.

La fonction constitue donc un accélérateur de mise en œuvre du PRA, et non un remplacement de la conception d’architecture et des tests réguliers de continuité.

11. Des calendriers alternatifs pour les événements exceptionnels

Les calendriers habituels ne couvrent pas tous les besoins d’exploitation.

Une organisation peut avoir besoin d’appliquer temporairement un comportement différent pendant :

• un jour férié ;
• un week-end prolongé ;
• une période de forte activité ;
• une campagne de migration ;
• une fenêtre de maintenance ;
• une opération de patching.

Nerdio permet de définir un calendrier alternatif en complément du calendrier d’autoscaling habituel.

Il devient par exemple possible de démarrer les machines un dimanche afin de laisser Intune appliquer des mises à jour, puis de les arrêter automatiquement une fois la fenêtre de maintenance terminée.

Cette fonctionnalité évite de modifier manuellement la configuration principale ou de créer des scripts ponctuels qui risquent de ne pas être désactivés après l’opération.

12. Un reporting détaillé des coûts et des économies

L’un des principaux enjeux d’AVD à grande échelle est de comprendre précisément où sont générés les coûts.

Nerdio fournit des tableaux de bord consacrés aux coûts, à l’efficacité opérationnelle et aux économies générées par les mécanismes d’autoscaling.

La fonction d’attribution des coûts peut répartir les dépenses AVD entre les utilisateurs en fonction de leur durée d’utilisation. Elle peut prendre en compte plusieurs catégories de coûts : compute, stockage, réseau, PaaS ou SaaS.

Les données peuvent être affichées dans Nerdio, exportées au format CSV ou intégrées dans Power BI.

En ajoutant les données internes de l’entreprise, il devient possible d’analyser les coûts :

• par utilisateur ;
• par host pool ;
• par service ;
• par filiale ;
• par centre de coûts ;
• par entité de refacturation.

Nerdio peut ainsi contribuer à mettre en place un véritable modèle de showback ou de chargeback pour les services de postes de travail virtuels.

13. Une acquisition simplifiée via Azure Marketplace et le MACC

Nerdio Manager for Enterprise est déployé et facturé par l’intermédiaire d’Azure Marketplace.

Pour les grandes entreprises disposant d’un Microsoft Azure Consumption Commitment, certaines offres Marketplace portant la mention « Azure benefit eligible » peuvent contribuer à l’atteinte de cet engagement.

Lorsque l’offre Nerdio sélectionnée est éligible et que l’achat est réalisé depuis la souscription Azure rattachée au contrat concerné, son coût peut donc être intégré à la consommation engagée.

Cette approche présente plusieurs avantages :

• une facturation consolidée avec Microsoft ;
• l’utilisation d’un budget Azure déjà engagé ;
• une procédure d’achat potentiellement simplifiée ;
• une réduction du risque de sous-consommation du MACC.

L’éligibilité doit néanmoins être vérifiée dans Azure Marketplace au moment de la souscription, ainsi qu’auprès de l’équipe Microsoft en charge du contrat. Elle peut dépendre de l’offre, du mode d’achat et des conditions du contrat de l’entreprise.

Nerdio : une couche d’industrialisation pour Azure Virtual Desktop

Dans un environnement limité, AVD peut être administré directement depuis Azure avec quelques scripts et procédures internes.

À grande échelle, le sujet change de nature. Il ne s’agit plus seulement de créer des host pools, mais d’industrialiser l’ensemble du cycle de vie :

• provisionner rapidement ;
• intégrer les processus ITSM ;
• déléguer les opérations ;
• maîtriser la consommation ;
• supprimer les ressources inutilisées ;
• absorber les déploiements massifs ;
• produire des éléments d’audit ;
• assurer la continuité du service.

Nerdio ne remplace pas Azure Virtual Desktop. Il s’appuie sur les services natifs Microsoft et leur ajoute une couche d’orchestration, de gouvernance et d’optimisation.

Son principal intérêt est donc moins de rendre possible ce qui serait techniquement impossible avec Azure que de réduire fortement la quantité de scripts, de développements et de procédures internes nécessaires pour exploiter AVD de manière industrielle.

Pour une grande organisation, cette réduction de la complexité opérationnelle peut devenir aussi importante que les économies directes réalisées sur la consommation Azure.

Certaines fonctionnalités présentées, notamment les fonctions avancées de reporting, d’insights ou de disaster recovery, peuvent dépendre de l’édition Nerdio souscrite. Leur disponibilité doit être validée lors du cadrage de la solution.