Vous achetez des CAL RDS pour Windows Server 2022 et votre revendeur CSP réclame des accès d’administration ? Voici comment limiter les permissions au strict nécessaire, quand recourir à GDAP, et comment installer les licences en interne en toute sécurité.
Vue d’ensemble de la question
De nombreuses organisations se retrouvent face à une demande de privilèges élevés (par exemple « Global Administrator » dans Microsoft Entra) simplement pour finaliser un achat de licences d’accès client Remote Desktop Services. Cette exigence est disproportionnée pour une simple vente. L’objectif de ce guide est d’identifier le jeu de permissions minimal pour acheter des licences RDS CAL destinées à Windows Server 2022, sans conférer au partenaire des droits techniques persistants dans le tenant du client, et de détailler une procédure d’installation locale sécurisée.
Réponse et solutions, en bref
| Point clé | Explications concrètes |
|---|---|
| Aucun rôle requis dans le tenant client | La relation de revendeur n’attribue aucun rôle Microsoft Entra dans votre annuaire. Elle n’accorde pas d’accès aux données, pas d’administration, pas de permissions sur vos ressources. |
| Relation CSP suffisante | Le partenaire passe la commande via le Centre de partenaires en tant que revendeur. Ses rôles (Admin agent, Sales agent) existent dans le tenant du partenaire, pas dans le vôtre. Pour l’achat pur, cela suffit. |
| Pas de gestion = pas de privilèges | Si le partenaire ne fournit pas de support ni d’administration, vous n’avez aucune raison d’accorder un rôle comme « Global Administrator ». Refusez poliment et documentez votre position. |
| Accès limité optionnel via GDAP | Si une aide ponctuelle est souhaitée (ex. assistance à l’attribution de licences Microsoft 365), privilégiez une relation GDAP avec rôles ciblés et durée limitée. Aucune nécessité GDAP pour l’achat seul de RDS CAL. |
| Support commercial | Les questions de permission liées à la vente relèvent du circuit commercial : si un doute persiste, sollicitez le support client Microsoft pour confirmation, sans ouvrir d’accès technique. |
Pourquoi aucun accès client n’est requis pour la vente
Il faut distinguer commerce et administration :
- Commerce CSP : relation de revendeur, création de devis/commande, facturation, livraison du pack de clés RDS CAL. Tout se passe côté partenaire. Aucune intervention dans votre annuaire n’est nécessaire.
- Administration technique : installation des rôles RDS, activation du serveur de licences, configuration de l’hôte de session, vérifications post‑déploiement. Tout cela relève de votre équipe ou d’un prestataire dûment mandaté — et dans ce cas, utilisez GDAP à périmètre minimal et temporaire.
Scénarios types et niveaux d’accès recommandés
| Scénario | Relation à établir | Rôles dans votre tenant | Durée | Commentaires |
|---|---|---|---|---|
| Achat simple de RDS CAL | Relation de revendeur CSP | Aucun | Non applicable | Le partenaire vous livre un license key pack pour installation locale. |
| Aide ponctuelle Microsoft 365 | GDAP | Rôle License Administrator ou équivalent, pas plus | Temporaire | Uniquement si vous demandez expressément une assistance licence M365, sans lien avec RDS. |
| Déploiement et support RDS | GDAP | Rôles strictement nécessaires aux tâches convenues | Limité et renouvelable | Préciser les rôles, la durée, l’audit et la réversibilité dans le contrat. |
Procédure côté client pour acheter et installer les licences
Préparer l’environnement
- Vérifiez que l’édition et la version de Windows Server conviennent au besoin (hôte de session, passerelle, accès applicatif).
- Installez les rôles nécessaires : Remote Desktop Licensing sur le serveur de licences, Remote Desktop Session Host sur les serveurs qui hébergeront les sessions.
- Assurez-vous que le serveur de licences a une connectivité sortante (ou préparez le mode d’activation par téléphone si l’accès Internet est restreint).
Activer le serveur de licences RDS
- Ouvrez Gestionnaire de licences Bureau à distance (licmgr.exe).
- Cliquez droit sur le nom du serveur → Activer le serveur.
- Sélectionnez la méthode (Automatique, Web ou Téléphone) et renseignez les informations d’organisation.
- Terminez l’assistant et redémarrez le service si nécessaire.
Installer les RDS CAL
- Dans le Gestionnaire de licences, cliquez droit → Installer des licences.
- Choisissez le programme de licence approprié (selon ce que votre revendeur vous a fourni) et saisissez les identifiants remis : license key pack, numéro d’autorisation, etc.
- Sélectionnez le type (par utilisateur ou par périphérique) et la quantité correspondant à votre commande.
- Validez puis notez l’ID du pack et la référence de transaction pour votre traçabilité.
Configurer les hôtes de session
- Sur chaque hôte de session, spécifiez le mode de licence (par utilisateur ou par périphérique) et désignez le serveur de licences. Le moyen recommandé est la stratégie de groupe :
- Configuration ordinateur → Modèles d’administration → Composants Windows → Services Bureau à distance → Hôte de session → Spécifier les serveurs de licences.
- Configuration ordinateur → … → Définir le mode de gestion des licences.
- Redémarrez le service RDS ou le serveur si nécessaire.
- Contrôlez l’état avec Diagnostiqueur de licences Bureau à distance sur l’hôte de session.
Vérifications post‑installation
- Le serveur de licences affiche le pack installé et le nombre de licences disponibles.
- Les hôtes de session ne signalent plus d’erreur de licence.
- En mode par périphérique, des jetons sont effectivement émis. En mode par utilisateur, le suivi est déclaratif : documentez vos attributions pour rester conforme.
Aspects licence essentiels à retenir
| Thème | Règle pratique | Impact |
|---|---|---|
| Compatibilité de version | Une RDS CAL de version égale ou supérieure est requise pour accéder à un serveur. Une CAL récente peut accéder à une version antérieure. | Sélectionnez RDS CAL de la même génération que le serveur (ou plus récente) pour éviter les blocages. |
| Double licence | Accès RDS = Windows Server CAL plus RDS CAL (sauf cas d’External Connector approprié). | Budgéter les deux volets si vos utilisateurs n’ont pas déjà la CAL Windows Server. |
| Mode par utilisateur | Suivi non coercitif, à gérer par processus interne (relevés, revues, sortie d’effectif). | Prévoyez un registre nominatif et un audit régulier. |
| Mode par périphérique | Jetons émis et contrôlés par le serveur de licences. | Adapté aux parcs partagés (salles, ateliers, kiosques). |
| Période de grâce | Un hôte de session nouvellement installé fonctionne temporairement sans licences déployées. | Ne considérez pas la grâce comme une compliance durable : installez les CAL dès réception. |
Checklist de moindre privilège à partager au revendeur
- Relation commerciale : revendeur CSP uniquement.
- Accès au tenant client : aucun requis pour la vente.
- Support technique : optionnel, via GDAP ciblé et temporaire, si et seulement si vous le demandez.
- Justificatif : facture et identifiant du pack de licences.
- Installation : réalisée par votre équipe via Remote Desktop Licensing Manager.
Modèles d’e‑mail pour refuser des privilèges excessifs
Réponse courte
Nous confirmons l’achat de RDS CAL via votre relation CSP. Aucun accès d’administration à notre tenant n’est requis pour la vente. Merci de nous transmettre le pack de licences et la facture. Pour toute aide technique, nous évaluerons un GDAP ciblé et temporaire.
Réponse détaillée
Conformément au principe de moindre privilège, nous n’accordons pas de rôle Global Administrator pour un achat de licences. La relation de revendeur suffit. Si une assistance technique est nécessaire, merci de proposer un périmètre GDAP limité (par exemple Licence Administrator) avec durée de validité courte et révocation automatique.
Erreurs fréquentes à éviter
- Confondre commande et administration : un achat n’exige pas d’accès aux données du client.
- Laisser en place une ancienne DAP large : si une délégation historique existe, remplacez‑la par GDAP minimal ou retirez‑la.
- Oublier la CAL Windows Server : RDS CAL n’exonère pas la CAL d’accès standard au serveur.
- Basculer de mode de licence sans vérifier l’inventaire : tenez vos preuves à jour en cas d’audit.
- Centraliser licences et hôtes de session sur le même serveur sans sauvegarde : isolez le rôle de licences et sauvegardez sa base.
Exemple de clause contractuelle protectrice
« Le partenaire agit en qualité de revendeur CSP pour la fourniture de licences RDS CAL. Aucun droit d’administration n’est requis ni accordé dans l’environnement Microsoft Entra du client pour la seule finalisation de la commande. Toute assistance technique ultérieure fera l’objet d’un périmètre GDAP spécifique, limité aux rôles strictement nécessaires, assorti d’une durée déterminée et d’un mécanisme de révocation automatique. »
Traçabilité et audit
- Conservez : bon de commande, facture, identifiant de pack de licences, capture du Gestionnaire de licences après installation.
- Consignez : mode de licence choisi, serveurs concernés, date d’installation, responsable interne.
- Planifiez : une revue trimestrielle des attributions (mode par utilisateur) ou des jetons (mode par périphérique).
Quand envisager un accès GDAP minimal
Quelques cas où un petit périmètre peut se justifier, sans rapport direct avec la vente :
- Accompagnement à l’attribution de licences Microsoft 365 (rôle License Administrator).
- Gestion ponctuelle d’utilisateurs (User Administrator) si vous ne disposez pas de l’équipe pour le faire, et pour une durée très courte.
- Audit documentaire (Directory Readers) pour vérifier des configurations, sans droit d’écriture.
Dans tous les cas, exigez : une durée limitée, un responsable coté partenaire, la liste des rôles, un journal des interventions, et une procédure de révocation.
Foire aux questions
Le revendeur peut‑il installer les licences à ma place ?
Oui, mais uniquement si vous le souhaitez. Dans ce cas, confiez‑lui un accès serveur (bastion, VPN, fenêtre de maintenance) sans lui donner de rôle Entra inutile. Privilégiez un compte technique local à usage unique, journalisé.
Nous n’avons pas d’Active Directory sur site. Est‑ce bloquant ?
Non. Le serveur de licences RDS fonctionne sans domaine, mais la gestion des CAL par utilisateur repose sur un suivi déclaratif. Le mode par périphérique est souvent plus simple en environnement workgroup.
Le gestionnaire de licences propose plusieurs « programmes ». Que choisir ?
Sélectionnez celui qui correspond aux justificatifs fournis par votre revendeur (numéro d’autorisation, contrat, ou identifiant de pack). En cas d’hésitation, demandez au revendeur la procédure exacte et l’ID du pack attendu par l’assistant.
Quelle est la meilleure pratique pour l’emplacement du serveur de licences ?
Dédié et sauvegardé. Évitez de le cohéberger avec des rôles sensibles. Sauvegardez régulièrement la base de licences pour faciliter une restauration en cas d’incident matériel.
Les passerelles Bureau à distance nécessitent‑elles des licences supplémentaires ?
La passerelle n’exige pas de licence séparée au‑delà des RDS CAL requises. Vérifiez toutefois les prérequis de sécurité (TLS, authentification, publication).
Plan d’action recommandé
- Demandez au revendeur de créer ou d’utiliser la relation de revendeur CSP avec votre organisation.
- Refusez tout rôle d’administration dans votre tenant pour la simple vente. Documentez ce refus.
- Recevez la facture et le pack de licences.
- Activez le serveur de licences et installez le pack via le Gestionnaire de licences.
- Configurez GPO pour le mode de licence et le serveur de licences, puis validez avec le Diagnostiqueur.
- Créez vos pièces d’audit : captures d’écran, registre des affectations, rapport de conformité.
- Si une aide technique est nécessaire, encadrez‑la via GDAP minimal et temporaire avec révocation planifiée.
Modèles de registres utiles
Registre des attributions par utilisateur (extrait)
| Utilisateur | Type de CAL | Version | Date d’attribution | Serveur de licences | Remarques |
|---|---|---|---|---|---|
| jdupont | RDS CAL par utilisateur | Windows Server 2022 | 2025‑06‑03 | lic‑srv‑01 | Lot A, ID pack #12345 |
Bonnes pratiques complémentaires
- Installez vous‑même les CAL : le revendeur vous fournit l’identifiant de pack, vous l’installez localement via le Gestionnaire de licences.
- Principe du moindre privilège : refusez les rôles globaux sans justification explicite et datée.
- Accord client : la signature du contrat client Microsoft (MCA) peut être requise pour finaliser la vente, mais elle ne crée aucun droit d’administration.
- Documentation : mettez par écrit votre politique « pas d’accès pour la vente », annexez‑la aux bons de commande.
- Réversibilité : si vous avez concédé un accès temporaire, testez la révocation avant la fin de la mission.
Synthèse opérationnelle
Pour la simple acquisition de CAL RDS destinées à Windows Server 2022, aucun rôle d’administration n’est nécessaire dans votre tenant. Acceptez la relation revendeur sans privilèges, exigez la remise du license key pack et installez les CAL localement. Si, et seulement si, une aide technique est requise, mettez en place un GDAP minimal et temporaire, strictement limité aux rôles indispensables et assorti d’un mécanisme de révocation.
Sources : documentation officielle Microsoft sur les relations revendeur CSP, la délégation GDAP et l’installation des licences RDS, synthétisée et contextualisée pour un usage opérationnel.