Partager via


Configurer Windows Hello Entreprise sur les appareils lorsqu’ils s’inscrivent avec Intune

Avec Microsoft Intune, vous pouvez créer une stratégie à l’échelle du locataire qui configure l’utilisation de Windows Hello Entreprise sur des appareils Windows 10 ou Windows 11 au moment où ces appareils s’inscrivent avec Intune. Cette stratégie cible l’ensemble de votre organization et prend en charge l’expérience OOBE (Out-of-Box-Experience) Windows Autopilot.

Pour les appareils Windows 10/11, l’utilisation de Windows Hello Entreprise remplace l’utilisation de mots de passe par une authentification forte à deux facteurs sur les appareils. Cette authentification se compose d’informations d’identification d’utilisateur liées à un appareil et qui utilise un code biométrique ou un code confidentiel.

Après l’inscription de l’appareil, ou lorsque vous choisissez de ne pas utiliser la stratégie d’inscription à l’échelle du locataire, Intune prend en charge les méthodes suivantes pour gérer les Windows Hello sur des groupes discrets d’appareils :

  • Sécurité des points de terminaison Stratégie de protection du compte : pour gérer les Windows Hello sur les appareils après leur inscription auprès de Intune, utilisez le profil de protection de compte Intune, qui fait partie de la stratégie de protection du compte de sécurité des points de terminaison.

  • Bases de référence de sécurité : certains paramètres de Windows Hello peuvent être gérés par des bases de référence de sécurité, telles que les bases de référence pour la sécurité Microsoft Defender pour point de terminaison ou la base de référence de sécurité pour Windows 10 et versions ultérieures.

  • Catalogue de paramètres : les paramètres de la sécurité des points de terminaison Les profils de protection de compte sont disponibles dans le catalogue de paramètres Intune.

Importante

Avant la mise à jour anniversaire (Windows version 1607), vous pouviez définir deux codes CONFIDENTIELs différents qui pouvaient être utilisés pour l’authentification auprès des ressources :

  • Le code confidentiel de l’appareil pouvait être utilisé pour déverrouiller l’appareil et se connecter aux ressources de cloud.
  • Le code confidentiel de travail a été utilisé pour accéder aux ressources Microsoft Entra sur l’appareil personnel d’un utilisateur (BYOD).

Dans la mise à jour anniversaire, ces deux codes confidentiels ont été fusionnés dans un même code confidentiel d’appareil. Les stratégies de configuration Intune que vous définissez pour contrôler le code confidentiel de l’appareil, ainsi que toutes les stratégies Windows Hello Entreprise que vous avez configurées, définissent à présent la valeur de ce nouveau code confidentiel. Si vous avez défini ces deux types de stratégie pour contrôler le code PIN, la stratégie Windows Hello Entreprise est appliquée. Pour garantir la résolution des conflits de stratégie et l’application de la stratégie de code confidentiel, mettez à jour votre stratégie Windows Hello Entreprise en fonction des paramètres de votre stratégie de configuration, puis demandez à vos utilisateurs de synchroniser leurs appareils dans l’application Portail d’entreprise.

Contrôle d'accès basé sur les rôles

Vous devez être administrateur de service Intune pour créer ou modifier une stratégie de Windows Hello Entreprise dans l’inscription Windows. Tous les autres rôles Intune ont un accès en lecture seule. Pour plus d’informations sur le contrôle d’accès en fonction du rôle (RBAC), consultez RBAC avec Microsoft Intune.

Créer une stratégie de Windows Hello Entreprise pour l’inscription des appareils

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Accédez à Inscription des appareils>.

  3. Sous l’onglet Windows, sous Options d’inscription, sélectionnez Windows Hello Entreprise. Attendez que le volet Windows Hello Entreprise s’ouvre.

  4. Sélectionnez l'une des options suivantes pour Configurer Windows Hello Entreprise :

    • Activée. Sélectionnez ce paramètre si vous souhaitez configurer les paramètres Windows Hello Entreprise. Quand vous sélectionnez Activé, des paramètres supplémentaires pour Windows Hello sont visibles et peuvent être configurés pour les appareils.

    • Désactivé. Si vous ne souhaitez pas activer Windows Hello Entreprise lors de l’inscription de l’appareil, sélectionnez cette option. Une fois désactivée, les utilisateurs peuvent configurer Windows Hello Entreprise. Quand cette stratégie est Désactivée, vous pouvez toujours configurer les paramètres suivants pour Windows Hello Entreprise même si cette stratégie n’active pas Windows Hello Entreprise.

    • Non configuré. Sélectionnez ce paramètre si vous ne souhaitez pas utiliser Intune pour contrôler les paramètres Windows Hello Entreprise. Les paramètres de Windows Hello Entreprise existants sur les appareils Windows 10/11 ne changent pas. Tous les autres paramètres du volet sont indisponibles.

  5. Si vous avez sélectionné Activé à l’étape précédente, configurez les paramètres requis qui sont appliqués à tous les appareils Windows 10/11 inscrits. Une fois ces paramètres configurés, cliquez sur Enregistrer.

    • Utiliser un module de plateforme sécurisée (TPM) :

      Une puce TPM fournit une autre couche de sécurité des données. Choisissez une des valeurs suivantes :

      • Requis (par défaut). Seuls les appareils avec un module de plateforme sécurisée (TPM) accessible peuvent configurer Windows Hello Entreprise.
      • Préféré. Les appareils tentent d’abord d’utiliser un module de plateforme sécurisée. Si cette option n’est pas disponible, ils peuvent utiliser le chiffrement logiciel.
    • Longueur minimale du PIN et Longueur maximale du PIN :

      Ce paramètre configure les appareils pour qu’ils utilisent les longueurs minimale et maximale de code confidentiel que vous spécifiez, afin d’optimiser la sécurisation de la connexion. Le code PIN par défaut comporte six caractères, mais vous pouvez appliquer une longueur minimale de quatre caractères. La longueur maximale du code confidentiel est de 127 caractères.

    • Lettres minuscules dans le PIN, Lettres majuscules dans le PIN et Caractères spéciaux dans le PIN.

      Vous pouvez appliquer un code confidentiel plus puissant en exigeant l’utilisation de majuscules, de minuscules et de caractères spéciaux dans ce code. Pour chacun d’eux, sélectionnez parmi les options suivantes :

      • Autorisé : les utilisateurs peuvent utiliser le type de caractère dans leur code confidentiel, mais ce n’est pas obligatoire.

      • Obligatoire : les utilisateurs doivent inclure au moins un des types de caractères dans leur code confidentiel. Par exemple, il est courant d’exiger au moins une majuscule et un caractère spécial.

      • Non autorisé (valeur par défaut) : les utilisateurs ne doivent pas utiliser ces types de caractères dans leur code confidentiel. (Il s’agit également du comportement appliqué si le paramètre n’est pas configuré.)

        Les caractères spéciaux sont les suivants : ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~

    • Expiration du code PIN (en jours) :

      Nous vous conseillons de spécifier une période d’expiration pour un code confidentiel, après laquelle les utilisateurs finaux doivent le modifier. La valeur par défaut est 41 jours.

    • Conserver l’historique des codes PIN :

      Limite la réutilisation des codes confidentiels précédemment utilisés. Par défaut, les 5 derniers codes PIN ne peuvent pas être réutilisés.

    • Autoriser l’authentification biométrique :

      Permet d’utiliser l’authentification biométrique, telle que la reconnaissance faciale ou les empreintes digitales, à la place d’un code confidentiel pour Windows Hello Entreprise. Les utilisateurs doivent toujours configurer un code confidentiel professionnel en cas d’échec de l’authentification biométrique. Choisissez parmi les autorisations suivantes :

      • Oui. Windows Hello Entreprise autorise l’authentification biométrique.
      • Non. Windows Hello Entreprise empêche l’authentification biométrique (pour tous les types de compte).
    • Utiliser la détection d’usurpation avancée, si disponible :

      Détermine si les fonctionnalités de détection d’usurpation de Windows Hello sont utilisées sur les appareils qui les prennent en charge. Vous pouvez ainsi détecter si un visage est réel ou s’il provient d’une photo.

      Si cette option est définie sur Oui, Windows nécessite que tous les utilisateurs utilisent la détection d’usurpation pour les fonctions de reconnaissance faciale, si disponible.

    • Autoriser la connexion par téléphone :

      Si cette option est définie sur Oui, les utilisateurs peuvent utiliser un appareil Remote Passport comme appareil mobile pour l’authentification d’ordinateur du bureau. L’ordinateur de bureau doit être Microsoft Entra joint et l’appareil complémentaire doit être configuré avec un code confidentiel Windows Hello Entreprise.

    • Activer la sécurité de connexion améliorée :

      Configurez Windows Hello sécurité de connexion améliorée sur les appareils dotés d’un matériel compatible. Les options disponibles sont les suivantes :

      • La sécurité de connexion renforcée sera activée sur les systèmes dotés d’un matériel compatible (par défaut) : les utilisateurs d’appareils ne peuvent pas utiliser de périphériques externes pour se connecter à leur appareil avec Windows Hello.
      • La sécurité de connexion renforcée sera désactivée sur tous les systèmes : les utilisateurs d’appareils peuvent utiliser des périphériques externes compatibles avec Windows Hello pour se connecter à leur appareil.
    • Utilisez des clés de sécurité pour la connexion :

      Lorsqu’il est défini sur Activé, ce paramètre fournit la capacité d’activer/désactiver à distance les clés de sécurité Windows Hello pour tous les ordinateurs du organization d’un client.

Prise en charge de Windows Holographic for Business

Windows Holographic for Business prend en charge les paramètres Windows Hello Entreprise suivants :

  • Utiliser un module de plateforme sécurisée (TPM)
  • Longueur minimale du code confidentiel
  • Longueur maximale du code PIN
  • Lettres minuscules dans le code PIN
  • Lettres majuscules dans le code PIN
  • Caractères spéciaux dans le code PIN
  • Expiration du code confidentiel (jours)
  • Mémoriser l’historique des codes confidentiels

Prochaines étapes

Pour plus d’informations sur les Windows Hello, consultez les sujets suivants dans la documentation Windows :