Partager via


Windows Hello Entreprise

Vue d'ensemble

Windows Hello est une technologie d’authentification qui permet aux utilisateurs de se connecter à leurs appareils Windows à l’aide de données biométriques, ou d’un code confidentiel, au lieu d’un mot de passe traditionnel. Il offre une sécurité renforcée grâce à l’authentification à deux facteurs résistante aux hameçonnages et à une protection par force brute intégrée. Avec FIDO/WebAuthn, Windows Hello peut également être utilisé pour se connecter à des sites web pris en charge, ce qui réduit la nécessité de mémoriser plusieurs mots de passe complexes.

Windows Hello Entreprise est une extension de Windows Hello qui fournit des fonctionnalités de sécurité et de gestion de niveau entreprise, notamment l’attestation des appareils, l’authentification basée sur les certificats et les stratégies d’accès conditionnel. Les paramètres de stratégie peuvent être déployés sur les appareils pour s’assurer qu’ils sont sécurisés et conformes aux exigences de l’organisation.

Le tableau suivant répertorie les différences main d’authentification et de sécurité entre les Windows Hello et les Windows Hello pour les entreprises :

Windows Hello Windows Hello Entreprise
Authentication Les utilisateurs peuvent s’authentifier auprès de :
- Un compte Microsoft (MSA)
- Fournisseurs d’identité (IdPs) qui prennent en charge l’authentification FIDO (Fast ID Online) v2.0
Les utilisateurs peuvent s’authentifier auprès de :
- Un compte Microsoft Entra ID
- Un compte Active Directory
- Services de fournisseur d’identité (IdP) ou de partie de confiance qui prennent en charge l’authentification FIDO (Fast ID Online) v2.0
Sécurité Il utilise l’authentification basée sur la clé .
Il n’existe aucun secret symétrique (mot de passe) qui peut être volé à un serveur ou hameçonné d’un utilisateur et utilisé à distance.
Il utilise l’authentification par clé ou par certificat .
Il n’existe aucun secret symétrique (mot de passe) qui peut être volé à un serveur ou hameçonné d’un utilisateur et utilisé à distance.

Windows Hello peut également être utilisé avec des comptes locaux pour des connexions pratiques, au lieu d’entrer un mot de passe. Cette configuration n’est pas adossée à une clé asymétrique (publique/privée), donc elle n’offre pas le même niveau de sécurité que l’authentification basée sur une clé ou un certificat disponible avec les comptes MSA ou Microsoft Entra. Dans tous les autres aspects, l’utilisation de Windows Hello avec un compte local équivaut à l’utiliser avec MSA ou l’ID Entra. Pour renforcer la sécurité, il est recommandé d’utiliser Windows Hello avec un compte Microsoft (MSA) ou des fournisseurs d’identité (IdP) qui prennent en charge l’authentification FIDO2.

Remarque

L’authentification FIDO2 (Fast Identity Online) est une norme ouverte pour l’authentification sans mot de passe. Il permet aux utilisateurs de se connecter à leurs appareils et applications à l’aide de l’authentification biométrique ou d’une clé de sécurité physique, sans avoir besoin d’un mot de passe traditionnel. La prise en charge de FIDO2 dans Windows Hello et Windows Hello Entreprise offre une couche supplémentaire de sécurité et de commodité pour les utilisateurs, tout en réduisant le risque d’attaques liées aux mots de passe.

Avantages

Windows Hello Entreprise offre de nombreux avantages, notamment :

  • Il permet de renforcer les protections contre le vol d’informations d’identification. Un attaquant doit avoir à la fois l’appareil et la biométrie ou le code confidentiel, ce qui rend l’accès beaucoup plus difficile à l’insu de l’utilisateur
  • Étant donné qu’aucun mot de passe n’est utilisé, il contourne les attaques par hameçonnage et par force brute. Plus important encore, il empêche les violations de serveur et les attaques par relecture, car les informations d’identification sont asymétriques et générées dans des environnements isolés de TPM
  • Les utilisateurs disposent d’une méthode d’authentification simple et pratique (sauvegardée avec un code confidentiel) qui est toujours avec eux, de sorte qu’il n’y a rien à perdre. L’utilisation d’un code confidentiel ne compromet pas la sécurité, car Windows Hello dispose d’une protection par force brute intégrée, et le code confidentiel ne quitte jamais l’appareil
  • Vous pouvez ajouter des appareils biométriques dans le cadre d’un déploiement coordonné ou à des utilisateurs spécifiques, selon les besoins

La vidéo suivante montre une démonstration de Windows Hello Entreprise en action, où un utilisateur se connecte avec une empreinte digitale :

Windows Hello et authentification à deux facteurs

Windows Hello Entreprise utilise une méthode d’authentification à deux facteurs qui combine des informations d’identification spécifiques à l’appareil avec un mouvement biométrique ou pin. Ces informations d’identification sont liées à votre fournisseur d’identité, par exemple Microsoft Entra ID ou Active Directory, et peuvent être utilisées pour accéder à organization applications, sites web et services.

Après une vérification initiale en deux étapes de l’utilisateur lors de l’approvisionnement, Windows Hello est configuré sur l’appareil de l’utilisateur et Windows demande à l’utilisateur de définir un mouvement, qui peut être biométrique et un code confidentiel. L’utilisateur fournit le mouvement pour vérifier son identité. Windows utilise ensuite Windows Hello pour authentifier les utilisateurs.

Windows Hello Entreprise est considéré comme une authentification à deux facteurs en fonction des facteurs d’authentification observés de : quelque chose que vous avez, quelque chose que vous connaissez et quelque chose qui fait partie de vous. Windows Hello Entreprise intègre deux de ces facteurs : « élément dont vous disposez (la clé privée de l’utilisateur protégée par le module de sécurité de l’appareil) et « informations que vous connaissez » (votre code confidentiel). Avec le matériel approprié, vous pouvez améliorer l’expérience utilisateur en introduisant la biométrie. En utilisant la biométrie, vous pouvez remplacer le facteur d’authentification que vous connaissez par le facteur qui fait partie de votre facteur, par l’assurance que les utilisateurs peuvent revenir au facteur que vous connaissez.

Connexion biométrique

Windows Hello offre une authentification biométrique fiable et totalement intégrée basée sur la reconnaissance faciale ou la correspondance d’empreintes digitales. Windows Hello combine des caméras (IR) spéciales et des logiciels pour optimiser la précision et protéger contre l’usurpation d’identité. Les principaux fournisseurs de matériel sont des appareils d’expédition qui ont intégré des caméras et des lecteurs d’empreintes digitales compatibles Windows Hello.

Sur les appareils qui prennent en charge Windows Hello, un mouvement biométrique simple déverrouille les informations d’identification des utilisateurs :

  • Reconnaissance faciale : ce type de reconnaissance biométrique utilise des caméras spéciales qui voient dans la lumière ir, ce qui leur permet de faire la différence entre une photographie ou une numérisation et une personne vivante. Plusieurs fournisseurs proposent des caméras externes qui incorporent cette technologie, et de nombreux fabricants d’ordinateurs portables l’intègrent dans leurs appareils
  • Reconnaissance d’empreintes digitales : ce type de reconnaissance biométrique utilise un capteur d’empreintes digitales capacitif pour scanner votre empreinte digitale. La plupart des lecteurs d’empreintes digitales existants fonctionnent avec Windows, qu’ils soient externes ou intégrés à des ordinateurs portables ou des claviers USB
  • Reconnaissance de l’iris : ce type de reconnaissance biométrique utilise des caméras pour effectuer une analyse de votre iris

Windows stocke des données biométriques qui sont utilisées pour mettre en œuvre Windows Hello en toute sécurité sur l’appareil local uniquement. Les données biométriques ne sont pas itinérantes et ne sont jamais envoyées à des appareils ou serveurs externes. Étant donné que Windows Hello stocke uniquement les données d’identification biométriques sur l’appareil, il n’existe aucun point de collecte unique qu’un attaquant peut compromettre pour voler des données biométriques.

Conditions d'octroi de licence d'édition Windows

Le tableau suivant répertorie les éditions de Windows qui prennent en charge Windows Hello Entreprise :

Windows Pro Windows Entreprise Windows Pro Education/SE Windows Éducation
Oui Oui Oui Oui

Windows Hello Entreprise droits de licence sont accordés par les licences suivantes :

Windows Pro/Professionnel Éducation/SE Windows Entreprise E3 Windows Entreprise E5 Windows Éducation A3 Windows Éducation A5
Oui Oui Oui Oui Oui

Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.

Remarque

Windows Hello Entreprise ne fonctionne pas avec Microsoft Entra Domain Services.

Configuration matérielle requise

Microsoft collabore avec les fabricants pour garantir un niveau élevé de performances et de protection par chaque capteur et appareil, en fonction des exigences suivantes :

  • Taux d’acceptation de faux (FAR) : représente le instance une solution d’identification biométrique vérifie une personne non autorisée. Cela est normalement représenté sous la forme d’un ratio du nombre d’instances dans une taille de population donnée, par exemple 1 sur 100 000. Il peut également être exprimé sous forme de pourcentage de cas, par exemple 0,001 %. Cette mesure est fortement considérée comme la plus importante en ce qui concerne la sécurité de l’algorithme biométrique
  • Taux de faux rejet (FRR) : représente les instances où une solution d’identification biométrique ne parvient pas à vérifier correctement une personne autorisée. Représenté sous la forme d’un pourcentage, la somme du taux d’acceptation réelle et du taux de faux rejet est de 1. Peut être avec ou sans détection d’usurpation d’identité ou de vie

Exigences en matière de capteurs d’empreintes digitales

Pour permettre la correspondance des empreintes digitales, les appareils doivent disposer de capteurs d’empreintes digitales et de logiciels. Les capteurs d’empreintes digitales peuvent être des capteurs tactiles (grande ou petite zone) ou des capteurs de balayage. Chaque type de capteur a son propre ensemble d’exigences détaillées qui doivent être implémentées par le fabricant, mais tous les capteurs doivent inclure des mesures anti-usurpation.

Plage de performances acceptable pour les capteurs tactiles de petite à grande taille :

  • Taux d’acceptation de faux (FAR) : <0,001 - 0,002 %
  • FRR réel et efficace avec détection d’usurpation d’identité ou détection de présence : <10 %

Plage de performances acceptable pour les capteurs de balayage :

  • Taux de fausses acceptations (FAR) : <0,002 %
  • FRR réel avec détection d’usurpation d’identité ou détection de présence : <10 %

Capteurs de reconnaissance faciale

Pour pouvoir utiliser la reconnaissance faciale, vous devez disposer d’appareils dotés de logiciels et de capteurs infrarouges spéciaux intégrés. Les capteurs de reconnaissance faciale utilisent des caméras spéciales qui voient dans la lumière ir, ce qui leur permet de faire la différence entre une photo et une personne vivante tout en scannant les caractéristiques faciales d’un employé. Ces capteurs, comme les capteurs d’empreintes digitales, doivent également inclure des mesures détection d’usurpation d’identité (obligatoire) et un moyen de les configurer (facultatif).

  • Taux d’acceptation de faux (FAR) : <0,001 %
  • Taux de faux rejets (FRR) sans détection d’usurpation d’identité ou détection de présence : <5 %
  • FRR réel et efficace avec détection d’usurpation d’identité ou détection de présence : <10 %

Remarque

Windows Hello’authentification faciale ne prend pas en charge le port d’un masque lors de l’inscription ou de l’authentification. Si votre environnement de travail ne vous permet pas de supprimer temporairement un masque, envisagez d’utiliser un code confidentiel ou une empreinte digitale.

Exigences relatives aux capteurs de reconnaissance d’iris

Pour utiliser l’authentification Iris, vous avez besoin d’un appareil HoloLens 2. Toutes les éditions HoloLens 2 sont équipées des mêmes capteurs. Iris est implémenté de la même façon que d’autres technologies Windows Hello et atteint la sécurité biométrique FAR de 1/100K.

Pour plus d’informations sur la configuration matérielle requise pour Windows Hello, consultez Windows Hello exigences biométriques.

Étapes suivantes