Guide de déploiement cloud uniquement
Cet article décrit Windows Hello Entreprise fonctionnalités ou scénarios qui s’appliquent à :
- Type de déploiement :cloud uniquement
- Type de jointure : Microsoft Entra rejoindre
Conditions préalables
Avant de commencer le déploiement, passez en revue les exigences décrites dans l’article Planifier un déploiement Windows Hello Entreprise.
Vérifiez que les conditions suivantes sont remplies avant de commencer :
Étapes de déploiement
Une fois les conditions préalables remplies, le déploiement de Windows Hello Entreprise comprend les étapes suivantes :
Configurer les paramètres de stratégie Windows Hello Entreprise
Lorsque vous Microsoft Entra rejoindre un appareil, le système tente de vous inscrire automatiquement dans Windows Hello Entreprise. Si vous souhaitez utiliser Windows Hello Entreprise dans un environnement cloud uniquement avec ses paramètres par défaut, aucune configuration supplémentaire n’est nécessaire.
Les déploiements cloud uniquement utilisent l’authentification multifacteur (MFA) Microsoft Entra lors de l’inscription Windows Hello Entreprise, et aucune autre configuration MFA n’est nécessaire. Si vous n’êtes pas déjà inscrit dans l’authentification multifacteur, vous êtes guidé par l’inscription MFA dans le cadre du processus d’inscription Windows Hello Entreprise.
Les paramètres de stratégie peuvent être configurés pour contrôler le comportement des Windows Hello Entreprise, via le fournisseur de services de configuration (CSP) ou la stratégie de groupe (GPO). Dans les déploiements cloud uniquement, les appareils sont généralement configurés via une solution GPM telle que Microsoft Intune, à l’aide du fournisseur de solutions Cloud PassportForWork.
Remarque
Consultez l’article Configurer Windows Hello Entreprise à l’aide de Microsoft Intune pour en savoir plus sur les différentes options offertes par Microsoft Intune pour configurer Windows Hello Entreprise.
Si la stratégie Intune à l’échelle du locataire est configurée pour désactiver Windows Hello Entreprise, ou si les appareils sont déployés avec Windows Hello désactivés, vous devez configurer un paramètre de stratégie pour activer Windows Hello Entreprise :
Un autre paramètre de stratégie facultatif, mais recommandé, est :
Suivez les instructions ci-dessous pour configurer vos appareils à l’aide de Microsoft Intune ou d’une stratégie de groupe (GPO).
Pour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue Paramètres et utilisez les paramètres suivants :
Catégorie | Nom du paramètre | Valeur |
---|---|---|
Windows Hello Entreprise | Utiliser Windows Hello Entreprise | true |
Windows Hello Entreprise | Exiger un appareil de sécurité | true |
Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.
Vous pouvez également configurer des appareils à l’aide d’une stratégie personnalisée avec le csp PassportForWork.
Paramètre |
---|
-
OMA-URI :./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork - Type de données: bool - Valeur: True |
-
OMA-URI :./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice - Type de données: bool - Valeur: True |
Astuce
Si vous utilisez Microsoft Intune et que vous n’utilisez pas la stratégie à l’échelle du locataire, activez la page d’état d’inscription (ESP) pour vous assurer que les appareils reçoivent les paramètres de stratégie Windows Hello Entreprise avant que les utilisateurs puissent accéder à leur bureau. Pour plus d’informations sur ESP, consultez Configurer la page d’état de l’inscription.
D’autres paramètres de stratégie peuvent être configurés pour contrôler le comportement de Windows Hello Entreprise. Pour plus d’informations, consultez paramètres de stratégie Windows Hello Entreprise.
S’inscrire à Windows Hello Entreprise
Le processus d’approvisionnement Windows Hello Entreprise commence immédiatement après la connexion d’un utilisateur, si certaines vérifications préalables sont réussies.
Expérience de l'utilisateur
Une fois qu’un utilisateur s’est connecté, le processus d’inscription Windows Hello Entreprise commence :
- Si l’appareil prend en charge l’authentification biométrique, l’utilisateur est invité à configurer un mouvement biométrique. Ce mouvement peut être utilisé pour déverrouiller l’appareil et s’authentifier auprès des ressources qui nécessitent Windows Hello Entreprise. L’utilisateur peut ignorer cette étape s’il ne souhaite pas configurer un mouvement biométrique
- L’utilisateur est invité à utiliser Windows Hello avec le compte organization. L’utilisateur sélectionne OK
- Le flux d’approvisionnement passe à la partie d’authentification multifacteur de l’inscription. L’approvisionnement informe l’utilisateur qu’il tente activement de contacter l’utilisateur via sa forme configurée d’authentification multifacteur. Le processus d’approvisionnement ne se poursuit pas tant que l’authentification n’a pas réussi, échoué ou expiré. Un échec ou un délai d’expiration de l’authentification multifacteur entraîne une erreur et demande à l’utilisateur de réessayer
- Après une authentification multifacteur réussie, le flux d’approvisionnement demande à l’utilisateur à créer et de valider un code confidentiel. Ce code confidentiel doit respecter toutes les stratégies de complexité du code confidentiel configurées sur l’appareil
- Le reste de l’approvisionnement inclut la demande, par Windows Hello Entreprise, d'une paire de clés asymétriques pour l’utilisateur, de préférence à partir du module TPM (ou requis si définie explicitement via la stratégie). Une fois la paire de clés acquise, Windows communique avec le fournisseur d’identité pour inscrire la clé publique. Une fois l’inscription de clé terminée, Windows Hello Entreprise provisionnement informe l’utilisateur qu’il peut utiliser son code confidentiel pour se connecter. L’utilisateur peut fermer l’application d’approvisionnement et accéder à son bureau
Diagrammes de séquence
Pour mieux comprendre les flux d’approvisionnement, passez en revue les diagrammes de séquence suivants en fonction du type d’authentification :
- Provisionnement pour les appareils joints Microsoft Entra avec l’authentification managée
- Approvisionnement d’appareils joints Microsoft Entra avec authentification fédérée
Pour mieux comprendre les flux d’authentification, consultez le diagramme de séquence suivant :
Désactiver l’inscription automatique
Si vous souhaitez désactiver l’inscription automatique Windows Hello Entreprise, vous pouvez configurer vos appareils avec un paramètre de stratégie ou une clé de Registre. Pour plus d’informations, consultez Désactiver l’inscription Windows Hello Entreprise.
Remarque
Pendant le flux OOBE (out-of-box experience) d’une jointure Microsoft Entra, vous êtes guidé pour vous inscrire à Windows Hello Entreprise lorsque vous n’avez pas Intune. Vous pouvez annuler l’écran du code confidentiel et accéder au bureau sans vous inscrire dans Windows Hello Entreprise.