Partager via


Configurer et s’inscrire dans Windows Hello Entreprise dans un modèle d’approbation de certificat local

Cet article décrit les fonctionnalités ou scénarios windows Hello Entreprise qui s’appliquent à :

  • Type de déploiement :locale
  • Type d’approbation :
  • Type de jointure :

Une fois que les conditions préalables sont remplies et que les configurations PKI et AD FS sont validées, le déploiement de Windows Hello Entreprise se compose des étapes suivantes :

Configurer les paramètres de stratégie Windows Hello Entreprise

Deux paramètres de stratégie sont requis pour activer Windows Hello Entreprise dans un modèle d’approbation de certificat :

Un autre paramètre de stratégie facultatif, mais recommandé, est :

Suivez les instructions ci-dessous pour configurer vos appareils à l’aide de Microsoft Intune ou d’une stratégie de groupe (GPO).

Vous pouvez configurer le paramètre de stratégie Utiliser Windows Hello Entreprise dans le nœud ordinateur ou utilisateur d’un objet de stratégie de groupe :

  • Le déploiement du paramètre de stratégie de nœud d’ordinateur permet à tous les utilisateurs qui se connectent aux appareils ciblés de tenter une inscription à Windows Hello Entreprise
  • Le déploiement du paramètre de stratégie de nœud utilisateur permet uniquement aux utilisateurs ciblés de tenter une inscription Windows Hello Entreprise

Si les paramètres de stratégie d’utilisateur et d’ordinateur sont tous les deux déployés, le paramètre de stratégie d’utilisateur a la priorité.

Astuce

Utilisez le même groupe de sécurité Utilisateurs Windows Hello Entreprise pour attribuer des autorisations de modèle de certificat afin que les mêmes membres puissent s’inscrire dans le certificat d’authentification Windows Hello Entreprise.

Activer l’inscription automatique des certificats paramètre de stratégie de groupe

L’approvisionnement de Windows Hello Entreprise effectue l’inscription initiale du certificat d’authentification Windows Hello Entreprise. Ce certificat expire en fonction de la durée configurée dans le modèle de certificat d’authentification Windows Hello Entreprise.

Le processus ne nécessite aucune interaction de l’utilisateur, à condition que l’utilisateur se connecte à l’aide de Windows Hello Entreprise. Le certificat est renouvelé en arrière-plan avant qu’il n’expire.

Pour configurer un appareil avec une stratégie de groupe, utilisez l’Éditeur de stratégie de groupe local. Pour configurer plusieurs appareils joints à Active Directory, créez ou modifiez un objet de stratégie de groupe (GPO) et utilisez les paramètres suivants :

Chemin d’accès à la stratégie de groupe Paramètre de stratégie de groupe Valeur
Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Hello Entreprise
or
Configuration utilisateur\Modèles d’administration\Composants Windows\Windows Hello Entreprise
Utiliser Windows Hello Entreprise Activé
Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Hello Entreprise
or
Configuration utilisateur\Modèles d’administration\Composants Windows\Windows Hello Entreprise
Utiliser le certificat pour l’authentification locale Activé
Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de clé publique
or
Configuration utilisateur\Paramètres Windows\Paramètres de sécurité\Stratégies de clé publique
Client des services de certificats - Inscription automatique - Sélectionnez Activé dans le modèle de configuration
- Sélectionnez renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués
- Sélectionnez Mettre à jour les certificats qui utilisent des modèles de certificat
Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Hello Entreprise Utiliser un périphérique de sécurité matériel Activé

Remarque

L’activation du paramètre de stratégie Utiliser un appareil de sécurité matériel est facultative, mais recommandée.

Les stratégies de groupe peuvent être liées à des domaines ou à des unités organisationnelles, filtrées à l’aide de groupes de sécurité ou filtrées à l’aide de filtres WMI.

Astuce

La meilleure façon de déployer l’objet de stratégie de groupe Windows Hello Entreprise consiste à utiliser le filtrage des groupes de sécurité. Seuls les membres du groupe de sécurité ciblé approvisionnent Windows Hello Entreprise, ce qui permet un déploiement progressif. Cette solution permet de lier l’objet de stratégie de groupe au domaine, ce qui garantit que l’objet de stratégie de groupe est étendu à tous les principaux de sécurité. Le filtrage des groupes de sécurité garantit que seuls les membres du groupe global reçoivent et appliquent l’objet de stratégie de groupe, ce qui entraîne l’approvisionnement de Windows Hello Entreprise.

Des paramètres de stratégie supplémentaires peuvent être configurés pour contrôler le comportement de Windows Hello Entreprise. Pour plus d’informations, consultez Paramètres de stratégie Windows Hello Entreprise.

S’inscrire à Windows Hello Entreprise

Le processus d’approvisionnement de Windows Hello Entreprise commence immédiatement après le chargement du profil utilisateur et avant que l’utilisateur reçoive son bureau. Pour que le processus d’approvisionnement commence, toutes les vérifications des prérequis doivent réussir.

Vous pouvez déterminer l’état des vérifications des prérequis en affichant le journal administrateur De l’inscription des appareils utilisateur sous Journaux > des applications et des services Microsoft > Windows.
Ces informations sont également disponibles à l’aide de la dsregcmd.exe /status commande à partir d’une console. Pour plus d’informations, consultez dsregcmd.

Expérience de l'utilisateur

Une fois qu’un utilisateur s’est connecté, le processus d’inscription à Windows Hello Entreprise commence :

  1. Si l’appareil prend en charge l’authentification biométrique, l’utilisateur est invité à configurer un mouvement biométrique. Ce mouvement peut être utilisé pour déverrouiller l’appareil et s’authentifier auprès des ressources qui nécessitent Windows Hello Entreprise. L’utilisateur peut ignorer cette étape s’il ne souhaite pas configurer un mouvement biométrique
  2. L’utilisateur est invité à utiliser Windows Hello avec le compte d’organisation. L’utilisateur sélectionne OK
  3. Le flux d’approvisionnement passe à la partie d’authentification multifacteur de l’inscription. L’approvisionnement informe l’utilisateur qu’il tente activement de contacter l’utilisateur via sa forme configurée d’authentification multifacteur. Le processus d’approvisionnement ne se poursuit pas tant que l’authentification n’a pas réussi, échoué ou expiré. Un échec ou un délai d’expiration de l’authentification multifacteur entraîne une erreur et demande à l’utilisateur de réessayer
  4. Après une authentification multifacteur réussie, le flux d’approvisionnement demande à l’utilisateur à créer et de valider un code confidentiel. Ce code confidentiel doit respecter toutes les stratégies de complexité du code confidentiel configurées sur l’appareil
  5. Le reste de l’approvisionnement inclut la demande, par Windows Hello Entreprise, d'une paire de clés asymétriques pour l’utilisateur, de préférence à partir du module TPM (ou requis si définie explicitement via la stratégie). Une fois la paire de clés acquise, Windows communique avec le fournisseur d’identité pour inscrire la clé publique. Une fois l’inscription de clé terminée, l’approvisionnement de Windows Hello Entreprise informe l’utilisateur qu’il peut utiliser son code confidentiel pour se connecter. L’utilisateur peut fermer l’application d’approvisionnement et accéder à son bureau

Après une inscription de clé réussie, Windows crée une demande de certificat à l’aide de la même paire de clés pour demander un certificat. Windows envoie la demande de certificat au serveur AD FS pour l’inscription de certificat.

L’autorité d’inscription AD FS vérifie que la clé utilisée dans la demande de certificat correspond à la clé précédemment inscrite. En cas de correspondance, l’autorité d’inscription AD FS signe la demande de certificat à l’aide de son certificat d’agent d’inscription et l’envoie à l’autorité de certification.

L’autorité de certification vérifie que le certificat est signé par l’autorité d’inscription. En cas de validation réussie, il émet un certificat basé sur la demande et retourne le certificat à l’autorité d’inscription AD FS. L’autorité d’inscription retourne le certificat à Windows, où elle installe ensuite le certificat dans le magasin de certificats de l’utilisateur actuel.

La vidéo suivante montre les étapes d’inscription à Windows Hello Entreprise après la connexion avec un mot de passe, à l’aide d’un adaptateur MFA personnalisé pour AD FS.

Diagramme de séquence

Pour mieux comprendre les flux d’approvisionnement, passez en revue le diagramme de séquence suivant :