MENU
  1. Accueil
  2. Windows
  3. Windows Server
  4. Licence Windows Server 2022 CAL vs RDS CAL : guide complet Jump Server RDS

Licence Windows Server 2022 CAL vs RDS CAL : guide complet Jump Server RDS

Windows Server

Mettre en production un « Jump Server » RDS est incontournable pour isoler les comptes à privilèges ; encore faut‑il comprendre les subtilités de licence entre CAL standard et RDS CAL sous Windows Server 2022 pour rester conforme et optimisé.

Sommaire

Comprendre les licences Windows Server 2022 : CAL standard vs RDS CAL

Problématique

Dans un projet de Privileged Access Management (PAM), le Jump Server sert de point d’entrée unique pour l’administration sécurisée. À première vue, il « suffit » d’un serveur Windows Server 2022 avec le rôle Remote Desktop Services ; en réalité, deux familles de licences sont nécessaires :

  • Windows Server CAL (Client Access License) – autorise l’accès de base aux services du système d’exploitation.
  • Windows Server RDS CAL – autorise une session interactive via RDP ou Remote App.

Tableau comparatif consolidé

Point comparéWindows Server CALWindows Server RDS CAL
Accès couvertServices de base : Active Directory, fichiers, impression, DNS/DHCP, IIS, etc.Rôles RDS : Session Host, Remote App, RD Gateway, Broker, Web Access.
Quand l’exiger ?À chaque connexion d’un utilisateur ou périphérique à n’importe quel service Windows Server.En supplément, dès qu’une session RDP ou Remote App est initiée.
Cumul nécessaire ?Oui : la session RDP nécessite d’abord la CAL standard.Oui : s’ajoute à la CAL standard correspondante.
Modes de comptagePer User ou Per Device (choix irréversible pour le lot).Per User ou Per Device (configuré sur le serveur de licences RDS).
ActivationPreuve d’achat (contrat VL ou CSP) ; pas de serveur dédié.Serveur « RD Licensing » obligatoire, grâce de 120 j, activation en ligne ou par téléphone.
Durée de licencePrincipalement perpétuelle (VL ou CSP « Licence perpétuelle »).Perpétuelle dans 90 % des cas ; location mensuelle/annuelle via CSP ou SPLA.
Maintenance & droits futursPas de mise à niveau incluse. Ajouter Software Assurance (SA) ou opter pour l’abonnement CSP pour recevoir les nouvelles versions.Même logique : SA ou CSP assure la montée de version.

Fonctionnement détaillé des CAL Windows Server

Une Windows Server CAL représente le droit légal pour un utilisateur ou un périphérique de s’authentifier auprès d’un contrôleur de domaine, de naviguer dans un partage SMB ou d’interroger un service réseau. Sans ce sésame, l’entreprise est en « usage non autorisé » lors d’un audit. Les points clés :

  • Couverture des versions héritées : une CAL 2022 couvre les versions antérieures (2019, 2016…), jamais l’inverse.
  • Non transférable sans Software Assurance. Un changement de périphérique nécessite de réaffecter la CAL et d’attendre 90 jours.
  • External Connector : alternative forfaitaire pour des utilisateurs externes uniquement, mais ne couvre pas RDS.

Fonctionnement détaillé des RDS CAL

La RDS CAL se concentre sur l’expérience interactive : affichage distant, redirection audio/USB, impression Easy Print… Elle est indispensable même si vous utilisez des solutions « tierces » s’appuyant sur le protocole RDP (ex. VDI, bastion d’accès, solution d’infogérance).

Rappel : Le simple usage de Remote PowerShell / WinRM ne nécessite pas de RDS CAL, car il s’agit d’une session non interactive.

La stratégie « Per User » est en général préférable : un administrateur peut se connecter depuis plusieurs postes de travail sans multiplier les licences. En revanche, pour un parc kiosque ou des robots de supervision, le mode « Per Device » minimise le coût.

Modalités de souscription et tarification

Microsoft propose trois canaux principaux :

  1. Volume Licensing (Open Value, EA, MPSA…) – achat perpétuel, paiement upfront, option Software Assurance (SA) 1 à 3 ans.
  2. CSP (Cloud Solution Provider) – choix entre licence perpétuelle et abonnement mensuel/annuel. Flexibilité pour augmenter ou diminuer le nombre de RDS CAL selon les pics de charge.
  3. SPLA (Service Provider License Agreement) – facturation mensuelle à l’usage, réservée aux hébergeurs offrant un service mutualisé.

Pour un projet PAM interne, la plupart des organisations optent pour :

  • Des CAL perpétuelles (coût d’entrée mais amortissement sur 5 ans) ou
  • Des abonnements CSP si le budget OPEX prime ou si la durée de vie du projet est incertaine.

Étapes pas à pas pour un Jump Server sécurisé

  1. Préparer l’hôte : installer Windows Server 2022 Datacenter ou Standard à jour.
  2. Ajouter le rôle “Remote Desktop Services” : inclure Session Host, RD Licensing, éventuellement RD Gateway si l’accès se fait depuis Internet.
  3. Basculer le mode de licence en « Per User » (ou « Per Device ») via gpedit.mscComputer Configuration ▸ Administrative Templates ▸ Windows Components ▸ Remote Desktop Services ▸ Remote Desktop Session Host ▸ Licensing.
  4. Activer le serveur RD Licensing : connexion au service d’activation Microsoft ou par téléphone hors‑ligne.
  5. Installer les clés L {Long} User CAL et RDS CAL : via l’assistant ou l’import du fichier .slmgr fourni en Volume Licensing.
  6. Restreindre les accès : GPO de verrouillage d’environnement, activation de JEA/JIT pour limiter le temps et les actions des comptes à privilèges.
  7. Surveiller la conformité : exporter les rapports d’utilisation des licences, vérifier les alarmes « Expired Grace Period » ou « Over‑Allocated ».

Bonnes pratiques de gouvernance et d’audit

  • Inventaire régulier : conservez une liste signée des utilisateurs couverts par des CAL, corrélé à vos systèmes RH.
  • Contrôles croisés : comparez le nombre de sessions RD actives avec le total de licences achetées.
  • Conservation des preuves : facture d’achat, contrat VL, e‑mails d’activation, rapports RD Licensing – Microsoft peut réclamer jusqu’à 5 ans d’historique.
  • Automatisation : scripts PowerShell exportant l’inventaire RD chaque semaine dans un entrepôt SIEM.

FAQ – questions fréquentes

Une CAL Windows Server 2022 fonctionne‑t‑elle avec un serveur 2019 ? Oui. Les CAL sont descendantes : 2022 couvre 2019 et 2016, mais pas l’inverse. Puis‑je mélanger Per User et Per Device ? Oui, en utilisant deux serveurs RD Licensing distincts ou en répartissant les collections RDS. Chaque licence conserve son mode. Les comptes de service nécessitent‑ils une RDS CAL ? Non, sauf si le service ouvre une session interactive. Un agent qui exécute un script en arrière‑plan sans bureau graphique n’a besoin que de la CAL standard. Comment gérer les prestataires externes ? Soit leur fournir un compte AD et consommer une CAL classique, soit souscrire des RDS CAL en mode abonnement CSP le temps du projet.

Erreurs courantes à éviter

  • Compter uniquement les connexions simultanées : en mode Per User, chaque identifiant doit disposer d’une CAL, même s’il se connecte rarement.
  • Oublier le serveur RD Licensing : après 120 jours, les sessions ne s’ouvrent plus et l’indisponibilité impacte la production.
  • Confondre SA et abonnement : SA n’est pas un abonnement, c’est un droit de mise à jour et de mobilité ; l’abonnement CSP couvre la licence et la mise à jour.

Conclusion

Pour un Jump Server RDS conforme et pérenne sous Windows Server 2022, retenez la règle : 1 CAL standard + 1 RDS CAL par utilisateur (ou par périphérique). La location CSP apporte de la souplesse financière tandis que la perpétuelle garantit un coût total de possession plus bas sur le long terme. En intégrant des mécanismes JIT, des GPO restrictives et un suivi d’inventaire rigoureux, votre environnement PAM restera non seulement sécurisé mais aussi parfaitement aligné avec les exigences de licence Microsoft.

Les informations de ce guide sont fournies à titre indicatif ; référez‑vous toujours au contrat et à la documentation officielle Microsoft pour valider votre conformité.

Windows Server
PAM Windows Server 2022 RDS CAL CAL Windows Server Jump Server
Sommaire