Double inscription
Cet article décrit Windows Hello Entreprise fonctionnalités ou scénarios qui s’appliquent à :
- Type de déploiement : local , hybride
- Type d’approbation :
- Type de jointure :de jonction de domaine , Microsoft Entra la jointure hybride
Important
La double inscription ne remplace pas ou n’offre pas la même sécurité que les stations de travail à accès privilégié. Microsoft encourage les organisations à utiliser les stations de travail à accès privilégié pour leurs utilisateurs d’informations d’identification privilégiées. Les organisations peuvent envisager Windows Hello Entreprise double inscription dans les situations où la fonctionnalité d’accès privilégié ne peut pas être utilisée. Pour plus d’informations, consultez Stations de travail à accès privilégié.
L’inscription double permet aux administrateurs d’effectuer des fonctions administratives avec élévation de privilèges en inscrivant leurs informations d’identification non privilégiées et privilégiées sur leur appareil.
Par défaut, Windows n’énumère pas tous les utilisateurs Windows Hello Entreprise à partir de la session d’un utilisateur. À l’aide du paramètre de stratégie de groupe Autoriser l’énumération des carte intelligentes émulées pour tous les utilisateurs, vous pouvez configurer un appareil pour énumérer toutes les informations d’identification Windows Hello Entreprise inscrites sur les appareils sélectionnés.
Avec ce paramètre, les utilisateurs administratifs peuvent se connecter à Windows à l’aide de leurs informations d’identification de Windows Hello non privilégiées pour un flux de travail normal, comme la messagerie électronique, mais peuvent lancer des consoles de gestion Microsoft (MMC), des clients des services Bureau à distance et d’autres applications en sélectionnant Exécuter en tant qu’utilisateur différent ou Exécuter en tant qu’administrateur, en sélectionnant le compte d’utilisateur privilégié et en fournissant leur code confidentiel. Les administrateurs peuvent également tirer parti de cette fonctionnalité avec des applications en ligne de commande en utilisant runas.exe
combiné à l’argument /smartcard
. Cela permet aux administrateurs d’effectuer leurs opérations quotidiennes sans avoir à se connecter et à se déconnecter, ou à utiliser un basculement utilisateur rapide en alternance entre des charges de travail privilégiées et non privilégiées.
Important
Vous devez configurer un ordinateur Windows pour Windows Hello Entreprise double inscription avant que l’utilisateur (privilégié ou non privilégié) ne provisionne Windows Hello Entreprise. L’inscription double est un paramètre spécial configuré sur le conteneur Windows Hello lors de la création.
Configurer Windows Hello Entreprise double inscription
Voici les étapes pour activer l’inscription double :
- Configurer Active Directory pour prendre en charge l’inscription administrateur de domaine
- Configurer une double inscription à l’aide de stratégie de groupe
Configurer Active Directory pour prendre en charge l’inscription administrateur de domaine
La configuration Windows Hello Entreprise conçue donne au groupe des Key Admins
autorisations de lecture et d’écriture sur l’attributmsDS-KeyCredentialsLink
. Vous avez fourni ces autorisations à la racine du domaine et utilisez l’héritage d’objet pour vous assurer que les autorisations s’appliquent à tous les utilisateurs du domaine, quel que soit leur emplacement dans la hiérarchie du domaine.
services de domaine Active Directory utilise AdminSDHolder
pour sécuriser les utilisateurs et les groupes privilégiés contre toute modification involontaire en comparant et en remplaçant la sécurité des utilisateurs et groupes privilégiés pour qu’elle corresponde à celles définies sur l’objet AdminSDHolder sur un cycle horaire. Par Windows Hello Entreprise, votre compte d’administrateur de domaine peut recevoir les autorisations, mais elles disparaissent de l’objet utilisateur, sauf si vous accordez les AdminSDHolder
autorisations de lecture et d’écriture à l’attributmsDS-KeyCredential
.
Connectez-vous à un contrôleur de domaine ou à une station de travail de gestion avec un accès équivalent à l’administrateur de domaine.
Tapez la commande suivante pour ajouter les autorisations de propriété autoriser la lecture et l’écriture pour l’attribut msDS-KeyCredentialLink pour le
Key Admins
groupe sur l’objet .AdminSDHolder
dsacls "CN=AdminSDHolder,CN=System,DC=domain,DC=com" /g "[domainName\keyAdminGroup]":RPWP;msDS-KeyCredentialLink
où
DC=domain,DC=com
est le chemin LDAP de votre domaine Active Directory etdomainName\keyAdminGroup
est le nom NetBIOS de votre domaine et le nom du groupe que vous utilisez pour accorder l’accès aux clés en fonction de votre déploiement. Par exemple :dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=mstepdemo,DC=net" /g "mstepdemo\Key Admins":RPWP;msDS-KeyCredentialLink
Pour déclencher la propagation du descripteur de sécurité, ouvrez
ldp.exe
.Sélectionnez Connexion , puis Se connecter... En regard de Serveur, tapez le nom du contrôleur de domaine qui détient le rôle PDC pour le domaine. En regard de Port, tapez 389 et sélectionnez OK.
Sélectionnez Connexion , puis Lier... Sélectionnez OK pour lier en tant qu’utilisateur actuellement connecté.
Sélectionnez Navigateur , puis Modifier. Laissez la zone de texte DN vide. En regard de Attribut, tapez RunProtectAdminGroupsTask. En regard de Valeurs, tapez
1
. Sélectionnez Entrée pour l’ajouter à la liste d’entrées.Sélectionnez Exécuter pour démarrer la tâche.
Fermez LDP.
Configurer une double inscription avec une stratégie de groupe
Vous configurez Windows pour prendre en charge la double inscription à l’aide de la partie configuration de l’ordinateur d’un objet stratégie de groupe :
À l’aide de la console de gestion stratégie de groupe (GPMC), créez un objet stratégie de groupe basé sur un domaine et liez-le à une unité d’organisation qui contient des objets d’ordinateur Active Directory utilisés par les utilisateurs privilégiés.
Modifiez l’objet stratégie de groupe de l’étape 1.
Activez le paramètre de stratégie Autoriser l’énumération des cartes à puce émulées pour tous les utilisateurs situé sous Configuration ordinateur-Modèles> d’administration-Composants> Windows-Windows Hello Entreprise>
Fermez le Rédacteur stratégie de groupe Management pour enregistrer l’objet stratégie de groupe. Fermez la console GPMC.
Redémarrez les ordinateurs ciblés par cet objet stratégie de groupe.
L’ordinateur est prêt pour l’inscription double. Connectez-vous d’abord en tant qu’utilisateur privilégié et inscrivez-vous pour Windows Hello Entreprise. Une fois l’opération terminée, déconnectez-vous et connectez-vous en tant qu’utilisateur non privilégié, puis inscrivez-vous pour Windows Hello Entreprise. Vous pouvez désormais utiliser vos informations d’identification privilégiées pour effectuer des tâches privilégiées sans utiliser votre mot de passe et sans avoir à changer d’utilisateur.