Guide de déploiement de l’approbation de clé hybride
Cet article décrit les fonctionnalités ou scénarios windows Hello Entreprise qui s’appliquent à :
- Type de déploiement :
- Type d’approbation :
- Type de jointure :microsoft Entra join , , jointure hybride Microsoft Entra
Important
L’approbation Kerberos cloud Windows Hello Entreprise est le modèle de déploiement recommandé par rapport au modèle d’approbation de clé. Pour plus d’informations, consultez Déploiement d’approbation Kerberos cloud.
Conditions préalables
Avant de commencer le déploiement, passez en revue les exigences décrites dans l’article Planifier un déploiement Windows Hello Entreprise .
Vérifiez que les conditions suivantes sont remplies avant de commencer :
Étapes de déploiement
Une fois les conditions préalables remplies, le déploiement de Windows Hello Entreprise comprend les étapes suivantes :
Configurer et valider l’infrastructure à clé publique
Windows Hello Entreprise doit disposer d’une infrastructure à clé publique (PKI) lors de l’utilisation du modèle d’approbation de clé . Les contrôleurs de domaine doivent disposer d’un certificat, qui sert de racine de confiance pour les clients. Le certificat garantit que les clients ne communiquent pas avec les contrôleurs de domaine non autorisés.
Les déploiements d’approbation de clé n’ont pas besoin de certificats émis par le client pour l’authentification locale.
Microsoft Entra Connect Sync configure les comptes d’utilisateur Active Directory pour le mappage de clé publique, en synchronisant la clé publique des informations d’identification Windows Hello Entreprise avec un attribut sur l’objet Active Directory de l’utilisateur (msDS-KeyCredentialLink
attribut).
Vous pouvez utiliser une infrastructure À clé publique Windows Server ou une autorité de certification d’entreprise non Microsoft. Pour plus d’informations, consultez Configuration requise pour les certificats de contrôleur de domaine provenant d’une autorité de certification non-Microsoft.
Déployer une autorité de certification d’entreprise
Ce guide suppose que la plupart des entreprises disposent déjà d'une infrastructure à clé publique. Windows Hello Entreprise dépend d’une infrastructure à clé publique d’entreprise exécutant le rôle Services de certificats Windows Server Active Directory .
Si vous n’avez pas d’infrastructure à clé publique existante, consultez Guide de l’autorité de certification pour concevoir correctement votre infrastructure. Ensuite, consultez le Guide du laboratoire de test : déploiement d’une hiérarchie d’infrastructure à clé publique ad CS Two-Tier pour obtenir des instructions sur la configuration de votre infrastructure à clé publique à l’aide des informations de votre session de conception.
Infrastructure à clé publique basée sur un laboratoire
Les instructions suivantes peuvent être utilisées pour déployer une infrastructure à clé publique simple qui convient à un environnement lab.
Connectez-vous à l’aide d’informations d’identification équivalentes administrateur d’entreprise sur un serveur Windows Server sur lequel vous souhaitez que l’autorité de certification (CA) soit installée.
Remarque
N’installez jamais d’autorité de certification sur un contrôleur de domaine dans un environnement de production.
- Ouvrir une invite Windows PowerShell avec élévation de privilèges
- Utilisez la commande suivante pour installer le rôle Services de certificats Active Directory.
Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
- Utilisez la commande suivante pour configurer l’autorité de certification à l’aide d’une configuration d’autorité de certification de base
Install-AdcsCertificationAuthority
Configurer l’infrastructure à clé publique d’entreprise
Configurer des certificats de contrôleur de domaine
Les clients doivent approuver les contrôleurs de domaine, et la meilleure façon d’activer l’approbation consiste à s’assurer que chaque contrôleur de domaine dispose d’un certificat d’authentification Kerberos . L’installation d’un certificat sur les contrôleurs de domaine permet au centre de distribution de clés (KDC) de prouver son identité à d’autres membres du domaine. Les certificats fournissent aux clients une racine de confiance externe au domaine, à savoir l’autorité de certification d’entreprise.
Les contrôleurs de domaine demandent automatiquement un certificat de contrôleur de domaine (s’il est publié) lorsqu’ils découvrent qu’une autorité de certification d’entreprise est ajoutée à Active Directory. Les certificats basés sur les modèles de certificat d’authentification de contrôleur de domaine et de contrôleur de domaine n’incluent pas l’identificateur d’objet d’authentification KDC (OID), qui a été ajouté ultérieurement à la RFC Kerberos. Par conséquent, les contrôleurs de domaine doivent demander un certificat basé sur le modèle de certificat d’authentification Kerberos .
Par défaut, l’autorité de certification Active Directory fournit et publie le modèle de certificat d’authentification Kerberos . La configuration de chiffrement incluse dans le modèle est basée sur des API de chiffrement plus anciennes et moins performantes. Pour vous assurer que les contrôleurs de domaine demandent le certificat approprié avec le meilleur chiffrement disponible, utilisez le modèle de certificat d’authentification Kerberos comme base de référence pour créer un modèle de certificat de contrôleur de domaine mis à jour.
Important
Les certificats émis aux contrôleurs de domaine doivent répondre aux exigences suivantes :
- L’extension de point de distribution de liste de révocation de certificats (CRL) doit pointer vers une liste de révocation de certificats valide ou une extension AIA (Authority Information Access) qui pointe vers un répondeur OCSP (Online Certificate Status Protocol)
- Si vous le souhaitez, la section Objet du certificat peut contenir le chemin d’accès au répertoire de l’objet serveur (nom unique)
- La section Utilisation de la clé de certificat doit contenir signature numérique et chiffrement de clé
- Si vous le souhaitez, la section Contraintes de base du certificat doit contenir :
[Subject Type=End Entity, Path Length Constraint=None]
- La section Utilisation étendue de la clé du certificat doit contenir l’authentification du client (
1.3.6.1.5.5.7.3.2
), l’authentification du serveur (1.3.6.1.5.5.7.3.1
) et l’authentification KDC (1.3.6.1.5.2.3.5
) - La section Autre nom de l’objet du certificat doit contenir le nom DNS (Domain Name System)
- Le modèle de certificat doit avoir une extension qui a la valeur
DomainController
, encodée en tant que BMPstring. Si vous utilisez l’autorité de certification Windows Server Enterprise, cette extension est déjà incluse dans le modèle de certificat de contrôleur de domaine - Le certificat du contrôleur de domaine doit être installé dans le magasin de certificats de l’ordinateur local
Connectez-vous à une autorité de certification ou à des stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur de domaine .
Ouvrir la console de gestion de l’autorité de certification
Cliquez avec le bouton droit sur Gérer les modèles de > certificats
Dans la console de modèle de certificat, cliquez avec le bouton droit sur le modèle d’authentification Kerberos dans le volet d’informations, puis sélectionnez Dupliquer le modèle
Utilisez le tableau suivant pour configurer le modèle :
Nom de l’onglet Configurations Compatibilité - Décochez la case Afficher les modifications résultantes
- Sélectionnez Windows Server 2016 dans la liste Autorité de certification
- Sélectionnez Windows 10 / Windows Server 2016 dans la liste Destinataire de certification
Général - Spécifier un nom d’affichage de modèle, par exemple Authentification du contrôleur de domaine (Kerberos)
- Définir la période de validité sur la valeur souhaitée
- Notez le nom du modèle pour plus tard, qui doit être le même que le nom d’affichage du modèle moins les espaces
Nom de l’objet - Sélectionnez Générer à partir de ces informations Active Directory.
- Sélectionnez Aucun dans la liste Format du nom de l’objet
- Sélectionnez le nom DNS dans la liste Inclure ces informations dans un autre objet
- Effacer tous les autres éléments
Chiffrement - Définir la catégorie de fournisseur sur Fournisseur de stockage de clés
- Définir le nom de l’algorithme sur RSA
- Définissez la taille de clé minimale sur 2048
- Définir le hachage de la demande sur SHA256
Sélectionnez OK pour finaliser vos modifications et créer le nouveau modèle
Fermer la console
Remarque
L’inclusion de l’OID d’authentification KDC dans le certificat de contrôleur de domaine n’est pas requise pour les appareils joints hybrides Microsoft Entra. L’OID est nécessaire pour activer l’authentification auprès de Windows Hello Entreprise auprès des ressources locales par les appareils joints à Microsoft Entra.
Important
Pour que les appareils joints à Microsoft Entra s’authentifient auprès des ressources locales, veillez à :
- Installez le certificat d’autorité de certification racine dans le magasin de certificats racine approuvé de l’appareil. Découvrez comment déployer un profil de certificat approuvé via Intune
- Publier votre liste de révocation de certificats à un emplacement disponible pour les appareils joints à Microsoft Entra, tel qu’une URL web
Remplacer les certificats de contrôleur de domaine existants
Les contrôleurs de domaine peuvent avoir un certificat de contrôleur de domaine existant. Les services de certificats Active Directory fournissent un modèle de certificat par défaut pour les contrôleurs de domaine appelé certificat de contrôleur de domaine. Les versions ultérieures de Windows Server ont fourni un nouveau modèle de certificat appelé certificat d’authentification du contrôleur de domaine. Ces modèles de certificat ont été fournis avant la mise à jour de la spécification Kerberos qui indiquait que les centres de distribution de clés (KDC) effectuant l’authentification par certificat étaient nécessaires pour inclure l’extension KDC Authentication .
Le modèle de certificat d’authentification Kerberos est le modèle de certificat le plus actuel désigné pour les contrôleurs de domaine et doit être celui que vous déployez sur tous vos contrôleurs de domaine.
La fonctionnalité d’inscription automatique vous permet de remplacer les certificats de contrôleur de domaine. Utilisez la configuration suivante pour remplacer les anciens certificats de contrôleur de domaine par de nouveaux certificats, à l’aide du modèle de certificat d’authentification Kerberos .
Connectez-vous à une autorité de certification ou à des stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur d’entreprise .
- Ouvrir la console de gestion de l’autorité de certification
- Cliquez avec le bouton droit sur Gérer les modèles de > certificats
- Dans la console modèle de certificat, cliquez avec le bouton droit sur le modèle Authentification du contrôleur de domaine (Kerberos) (ou le nom du modèle de certificat que vous avez créé dans la section précédente) dans le volet d’informations, puis sélectionnez Propriétés.
- Sélectionnez l’onglet Modèles remplacés . Sélectionnez Ajouter.
- Dans la boîte de dialogue Ajouter un modèle remplacé , sélectionnez le modèle de certificat contrôleur de domaine , puis sélectionnez OK > Ajouter
- Dans la boîte de dialogue Ajouter un modèle remplacé , sélectionnez le modèle de certificat d’authentification du contrôleur de domaine , puis sélectionnez OK
- Dans la boîte de dialogue Ajouter un modèle remplacé , sélectionnez le modèle de certificat d’authentification Kerberos , puis sélectionnez OK
- Ajoutez tous les autres modèles de certificat d’entreprise précédemment configurés pour les contrôleurs de domaine à l’onglet Modèles remplacés
- Sélectionnez OK et fermez la console Modèles de certificats.
Le modèle de certificat est configuré pour remplacer tous les modèles de certificat fournis dans la liste des modèles remplacés .
Toutefois, le modèle de certificat et le remplacement des modèles de certificat ne sont pas actifs tant que le modèle n’est pas publié sur une ou plusieurs autorités de certification.
Remarque
Le certificat du contrôleur de domaine doit être chaîné à une racine dans le magasin NTAuth. Par défaut, le certificat racine de l’autorité de certification Active Directory est ajouté au magasin NTAuth. Si vous utilisez une autorité de certification non-Microsoft, cette opération peut ne pas être effectuée par défaut. Si le certificat du contrôleur de domaine n’est pas chaîné à une racine dans le magasin NTAuth, l’authentification utilisateur échoue. Pour afficher tous les certificats dans le magasin NTAuth, utilisez la commande suivante :
Certutil -viewstore -enterprise NTAuth
Annuler la publication de modèles de certificats remplacés
L’autorité de certification émet uniquement des certificats basés sur des modèles de certificat publiés. Pour des questions de sécurité, il est recommandé d’annuler la publication des modèles de certificat que l’autorité de certification n’est pas configurée pour émettre, y compris les modèles prépubliés de l’installation du rôle et tous les modèles remplacés.
Le modèle de certificat d’authentification du contrôleur de domaine nouvellement créé remplace les modèles de certificat de contrôleur de domaine précédents. Par conséquent, vous devez annuler la publication de ces modèles de certificat à partir de toutes les autorités de certification émettrices.
Connectez-vous à l’autorité de certification ou à la station de travail de gestion avec des informations d’identification équivalentes à l’administrateur d’entreprise .
- Ouvrir la console de gestion de l’autorité de certification
- Développez le nœud parent à partir du volet >de navigation Modèles de certificats
- Cliquez avec le bouton droit sur le modèle de certificat contrôleur de domaine , puis sélectionnez Supprimer. Sélectionnez Oui dans la fenêtre Désactiver les modèles de certificat .
- Répétez l’étape 3 pour les modèles de certificat Authentification du contrôleur de domaine et Authentification Kerberos
Publier le modèle de certificat sur l’autorité de certification
Une autorité de certification peut uniquement émettre des certificats pour les modèles de certificats qui y sont publiés. Si vous disposez de plusieurs autorités de certification et que vous souhaitez que d’autres autorités de certification émettent des certificats basés sur le modèle de certificat, vous devez publier le modèle de certificat sur celles-ci.
Connectez-vous à l’autorité de certification ou aux stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur d’entreprise .
- Ouvrir la console de gestion de l’autorité de certification
- Développez le nœud parent à partir du volet de navigation
- Sélectionnez Modèles de certificats dans le volet de navigation
- Cliquez sur le nœud Modèles de certificats. Sélectionnez Nouveau > modèle de certificat à émettre
- Dans la fenêtre Activer les modèles de certificats, sélectionnez le modèle Authentification du contrôleur de domaine (Kerberos) que vous avez créé dans les étapes > précédentes, sélectionnez OK.
- Fermer la console
Important
Si vous envisagez de déployer des appareils joints à Microsoft Entra et que vous avez besoin de l’authentification unique (SSO) sur des ressources locales lors de la connexion avec Windows Hello Entreprise, suivez les procédures pour mettre à jour votre autorité de certification afin d’inclure un point de distribution de liste de révocation de certificats http.
Configurer et déployer des certificats sur des contrôleurs de domaine
Configurer l’inscription automatique des certificats pour les contrôleurs de domaine
Les contrôleurs de domaine demandent automatiquement un certificat à partir du modèle de certificat de contrôleur de domaine . Toutefois, les contrôleurs de domaine ne connaissent pas les modèles de certificat plus récents ou les configurations remplacées sur les modèles de certificat. Pour que les contrôleurs de domaine inscrivent et renouvellent automatiquement les certificats, configurez un objet de stratégie de groupe pour l’inscription automatique des certificats et liez-le à l’unité d’organisation contrôleurs de domaine .
- Ouvrez la console de gestion des stratégies de groupe (gpmc.msc)
- Développez le domaine et sélectionnez le nœud Objet de stratégie de groupe dans le volet de navigation
- Cliquez avec le bouton droit sur Objets de stratégie de groupe, puis sélectionnez Nouveau
- Tapez Inscription automatique du certificat de contrôleur de domaine dans la zone nom, puis sélectionnez OK.
- Cliquez avec le bouton droit sur l’objet de stratégie de groupe Inscription automatique du certificat de contrôleur de domaine , puis sélectionnez Modifier
- Dans le volet de navigation, développez Stratégies sous Configuration de l’ordinateur
- Développez Paramètres Windows Paramètres > De sécurité Stratégies > de clé publique
- Dans le volet d’informations, cliquez avec le bouton droit sur Client Des services de certificats - Inscription automatique, puis sélectionnez Propriétés.
- Sélectionnez Activé dans la liste Modèle de configuration .
- Cochez la case Renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués
- Cochez la case Mettre à jour les certificats qui utilisent des modèles de certificat
- Sélectionnez OK.
- Fermer l’Éditeur de gestion des stratégies de groupe
Déployer l’objet de stratégie de groupe d’inscription de certificat automatique du contrôleur de domaine
Connectez-vous aux stations de travail de contrôleur de domaine ou de gestion avec des informations d’identification équivalentes à l’administrateur de domaine .
- Démarrez la Console de gestion des stratégies de groupe (gpmc.msc).
- Dans le volet de navigation, développez le domaine et développez le nœud avec le nom de domaine Active Directory. Cliquez avec le bouton droit sur l’unité d’organisation Contrôleurs de domaine et sélectionnez Lier un objet de stratégie de groupe existant...
- Dans la boîte de dialogue Sélectionner un objet de stratégie de groupe, sélectionnez Inscription automatique du certificat de contrôleur de domaine ou le nom de l’objet de stratégie de groupe d’inscription de certificat de contrôleur de domaine que vous avez créé précédemment
- Sélectionnez OK.
Valider la configuration
Windows Hello Entreprise est un système distribué qui, au premier abord, semble complexe et difficile. La clé d’un déploiement réussi consiste à valider les phases de travail avant de passer à la phase suivante.
Vérifiez que vos contrôleurs de domaine inscrivent les certificats corrects et aucun modèle de certificat remplacé. Vérifiez que chaque contrôleur de domaine a terminé l’inscription automatique du certificat.
Utiliser les journaux des événements
Connectez-vous aux stations de travail de contrôleur de domaine ou de gestion avec des informations d’identification équivalentes à l’administrateur de domaine .
- À l’aide de l’Observateur d’événements, accédez au journal des événements Application et services>Microsoft>Windows>CertificateServices-Lifecycles-System
- Recherchez un événement indiquant une nouvelle inscription de certificat (inscription automatique) :
- Les détails de l’événement incluent le modèle de certificat sur lequel le certificat a été émis
- Le nom du modèle de certificat utilisé pour émettre le certificat doit correspondre au nom du modèle de certificat inclus dans l’événement
- L’empreinte numérique du certificat et les EKUs pour le certificat sont également incluses dans l’événement
- La référence EKU nécessaire pour l’authentification Windows Hello Entreprise appropriée est l’authentification Kerberos, en plus des autres EKUs fournis par le modèle de certificat
Les certificats remplacés par votre nouveau certificat de contrôleur de domaine génèrent un événement d’archivage dans le journal des événements. L'événement d'archive contient le nom de modèle du certificat et l'empreinte numérique du certificat qui a été remplacé par le nouveau certificat.
Gestionnaire de certificats
Vous pouvez utiliser la console du Gestionnaire de certificats pour valider le contrôleur de domaine. Le certificat dûment inscrit est basé sur le modèle de certificat correct avec les EKU appropriées. Utilisez certlm.msc pour afficher le certificat dans les magasins de certificats d'ordinateurs locaux. Développez le magasin Personnel et afficher les certificats inscrits pour l'ordinateur. Les certificats archivés n’apparaissent pas dans le Gestionnaire de certificats.
Certutil.exe
Vous pouvez utiliser la certutil.exe
commande pour afficher les certificats inscrits sur l’ordinateur local. Certutil affiche les certificats inscrits et archivés de l'ordinateur local. À partir d’une invite de commandes avec élévation de privilèges, exécutez la commande suivante :
certutil.exe -q -store my
Pour afficher des informations détaillées sur chaque certificat dans le magasin et valider l’inscription automatique des certificats inscrits avec les certificats appropriés, utilisez la commande suivante :
certutil.exe -q -v -store my
Résolution des problèmes
Windows déclenche l'inscription automatique des certificats pour l'ordinateur pendant le démarrage et la mise à jour de la stratégie de groupe. Vous pouvez actualiser la stratégie de groupe à partir d'une invite de commandes avec élévation de privilèges à l'aide gpupdate.exe /force
.
Sinon, vous pouvez déclencher de force l'inscription automatique des certificats en utilisant certreq.exe -autoenroll -q
à partir d'une invite de commandes avec élévation de privilèges.
Utilisez les journaux d'événements pour surveiller l'inscription et l'archivage de certificats. Passez en revue la configuration, par exemple la publication de modèles de certificat sur l’autorité de certification émettrice et l’autorisation d’inscription automatique.
Révision de la section et étapes suivantes
Avant de passer à la section suivante, vérifiez que les étapes suivantes sont effectuées :
- Configurer un modèle de certificat de contrôleur de domaine
- Remplacer les certificats de contrôleur de domaine existants
- Annuler la publication de modèles de certificats remplacés
- Publier le modèle de certificat sur l’autorité de certification
- Déployer des certificats sur les contrôleurs de domaine
- Valider la configuration des contrôleurs de domaine