Configurer et s’inscrire dans Windows Hello Entreprise dans un modèle d’approbation de clé locale
Cet article décrit les fonctionnalités ou scénarios windows Hello Entreprise qui s’appliquent à :
-
Type de déploiement :locale
-
Type d’approbation :
-
Type de jointure :
Une fois que les conditions préalables sont remplies et que les configurations PKI et AD FS sont validées, le déploiement de Windows Hello Entreprise se compose des étapes suivantes :
Configurer les paramètres de stratégie Windows Hello Entreprise
Un paramètre de stratégie est requis pour activer Windows Hello Entreprise dans un modèle d’approbation de clé :
Un autre paramètre de stratégie facultatif, mais recommandé, est :
Vous pouvez configurer le paramètre de stratégie Utiliser Windows Hello Entreprise dans le nœud ordinateur ou utilisateur d’un objet de stratégie de groupe :
- Le déploiement du paramètre de stratégie de nœud d’ordinateur permet à tous les utilisateurs qui se connectent aux appareils ciblés de tenter une inscription à Windows Hello Entreprise
- Le déploiement du paramètre de stratégie de nœud utilisateur permet uniquement aux utilisateurs ciblés de tenter une inscription Windows Hello Entreprise
Si les paramètres de stratégie d’utilisateur et d’ordinateur sont tous les deux déployés, le paramètre de stratégie d’utilisateur a la priorité.
Pour configurer un appareil avec une stratégie de groupe, utilisez l’Éditeur de stratégie de groupe local. Pour configurer plusieurs appareils joints à Active Directory, créez ou modifiez un objet de stratégie de groupe (GPO) et utilisez les paramètres suivants :
| Chemin d’accès à la stratégie de groupe | Paramètre de stratégie de groupe | Valeur |
|---|---|---|
|
Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Hello Entreprise or Configuration utilisateur\Modèles d’administration\Composants Windows\Windows Hello Entreprise |
Utiliser Windows Hello Entreprise | Activé |
| Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Hello Entreprise | Utiliser un périphérique de sécurité matériel | Activé |
Les stratégies de groupe peuvent être liées à des domaines ou à des unités organisationnelles, filtrées à l’aide de groupes de sécurité ou filtrées à l’aide de filtres WMI.
Astuce
La meilleure façon de déployer l’objet de stratégie de groupe Windows Hello Entreprise consiste à utiliser le filtrage des groupes de sécurité. Seuls les membres du groupe de sécurité ciblé approvisionnent Windows Hello Entreprise, ce qui permet un déploiement progressif. Cette solution permet de lier l’objet de stratégie de groupe au domaine, ce qui garantit que l’objet de stratégie de groupe est étendu à tous les principaux de sécurité. Le filtrage des groupes de sécurité garantit que seuls les membres du groupe global reçoivent et appliquent l’objet de stratégie de groupe, ce qui entraîne l’approvisionnement de Windows Hello Entreprise.
Des paramètres de stratégie supplémentaires peuvent être configurés pour contrôler le comportement de Windows Hello Entreprise. Pour plus d’informations, consultez Paramètres de stratégie Windows Hello Entreprise.
S’inscrire à Windows Hello Entreprise
Le processus d’approvisionnement de Windows Hello Entreprise commence immédiatement après le chargement du profil utilisateur et avant que l’utilisateur reçoive son bureau. Pour que le processus d’approvisionnement commence, toutes les vérifications des prérequis doivent réussir.
Vous pouvez déterminer l’état des vérifications des prérequis en affichant le journal administrateur De l’inscription des appareils utilisateur sous Journaux > des applications et des services Microsoft > Windows.
Ces informations sont également disponibles à l’aide de la dsregcmd.exe /status commande à partir d’une console. Pour plus d’informations, consultez dsregcmd.
Expérience de l'utilisateur
Une fois qu’un utilisateur s’est connecté, le processus d’inscription à Windows Hello Entreprise commence :
- Si l’appareil prend en charge l’authentification biométrique, l’utilisateur est invité à configurer un mouvement biométrique. Ce mouvement peut être utilisé pour déverrouiller l’appareil et s’authentifier auprès des ressources qui nécessitent Windows Hello Entreprise. L’utilisateur peut ignorer cette étape s’il ne souhaite pas configurer un mouvement biométrique
- L’utilisateur est invité à utiliser Windows Hello avec le compte d’organisation. L’utilisateur sélectionne OK
- Le flux d’approvisionnement passe à la partie d’authentification multifacteur de l’inscription. L’approvisionnement informe l’utilisateur qu’il tente activement de contacter l’utilisateur via sa forme configurée d’authentification multifacteur. Le processus d’approvisionnement ne se poursuit pas tant que l’authentification n’a pas réussi, échoué ou expiré. Un échec ou un délai d’expiration de l’authentification multifacteur entraîne une erreur et demande à l’utilisateur de réessayer
- Après une authentification multifacteur réussie, le flux d’approvisionnement demande à l’utilisateur à créer et de valider un code confidentiel. Ce code confidentiel doit respecter toutes les stratégies de complexité du code confidentiel configurées sur l’appareil
- Le reste de l’approvisionnement inclut la demande, par Windows Hello Entreprise, d'une paire de clés asymétriques pour l’utilisateur, de préférence à partir du module TPM (ou requis si définie explicitement via la stratégie). Une fois la paire de clés acquise, Windows communique avec le fournisseur d’identité pour inscrire la clé publique. Une fois l’inscription de clé terminée, l’approvisionnement de Windows Hello Entreprise informe l’utilisateur qu’il peut utiliser son code confidentiel pour se connecter. L’utilisateur peut fermer l’application d’approvisionnement et accéder à son bureau
La vidéo suivante montre les étapes d’inscription à Windows Hello Entreprise après la connexion avec un mot de passe, à l’aide d’un adaptateur MFA personnalisé pour AD FS.
Diagramme de séquence
Pour mieux comprendre les flux d’approvisionnement, passez en revue le diagramme de séquence suivant :