Partager via


Expérience sans mot de passe Windows

À compter de Windows 11, version 22H2 avec KB5030310, l’expérience sans mot de passe Windows est une stratégie de sécurité qui favorise une expérience utilisateur sans mot de passe sur Microsoft Entra appareils joints.
Lorsque la stratégie est activée, certains scénarios Authentification Windows n’offrent pas aux utilisateurs la possibilité d’utiliser un mot de passe, aidant les organisations et préparant les utilisateurs à s’éloigner progressivement des mots de passe.

Avec l’expérience sans mot de passe Windows, les utilisateurs qui se connectent avec Windows Hello ou une clé de sécurité FIDO2 :

  • Impossible d’utiliser le fournisseur d’informations d’identification de mot de passe sur l’écran de verrouillage Windows

  • Ne sont pas invités à utiliser un mot de passe lors des authentifications en session (par exemple, élévation de contrôle d’utilisateur, gestionnaire de mots de passe dans le navigateur, etc.)

  • Vous n’avez pas l’option Comptes > Modifier le mot de passe dans l’application Paramètres

    Remarque

    Les utilisateurs peuvent réinitialiser leur mot de passe à l’aide de la touche CTRL+ALT+SUPPR>Gérer votre compte

L’expérience sans mot de passe Windows n’affecte pas l’expérience de connexion initiale et les comptes locaux. Elle s’applique uniquement aux connexions suivantes pour les comptes Microsoft Entra. Cela n’empêche pas non plus un utilisateur de se connecter avec un mot de passe lors de l’utilisation de l’option Autre utilisateur dans l’écran de verrouillage.
Le fournisseur d’informations d’identification de mot de passe est masqué uniquement pour le dernier utilisateur connecté qui s’est connecté Windows Hello ou une clé de sécurité FIDO2. L’expérience sans mot de passe Windows ne vise pas à empêcher les utilisateurs d’utiliser des mots de passe, mais plutôt à les guider et à les informer de ne pas utiliser de mots de passe.

Cet article explique comment activer l’expérience sans mot de passe Windows et décrit les expériences utilisateur.

Astuce

Windows Hello Entreprise utilisateurs peuvent se connecter sans mot de passe à partir de la première connexion à l’aide de la fonctionnalité de connexion web. Pour plus d’informations sur la connexion Web, consultez Connexion web pour les appareils Windows.

Configuration requise

L’expérience sans mot de passe Windows présente les exigences suivantes :

  • Windows 11, version 22H2 avec KB5030310 ou version ultérieure
  • Microsoft Entra joint
  • Windows Hello Entreprise informations d’identification inscrites pour l’utilisateur ou une clé de sécurité FIDO2
  • Géré par GPM : Microsoft Intune ou autre solution GPM

Remarque

Microsoft Entra appareils joints hybrides et les appareils joints au domaine Active Directory sont actuellement hors de portée.

Conditions d'octroi de licence d'édition Windows

Le tableau suivant répertorie les éditions de Windows qui prennent en charge l’expérience sans mot de passe Windows :

Windows Pro Windows Entreprise Windows Pro Education/SE Windows Éducation
Oui Oui Oui Oui

Les droits de licence d’expérience sans mot de passe Windows sont accordés par les licences suivantes :

Windows Pro/Professionnel Éducation/SE Windows Entreprise E3 Windows Entreprise E5 Windows Éducation A3 Windows Éducation A5
Oui Oui Oui Oui Oui

Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.

Activer l’expérience sans mot de passe Windows avec Intune

Pour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue Paramètres et utilisez les paramètres suivants :

Catégorie Nom du paramètre Valeur
Authentication Activer l’expérience sans mot de passe Activé

Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.

Vous pouvez également configurer des appareils à l’aide d’une stratégie personnalisée avec le csp Policy.

Paramètre
- OMA-URI :./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience
- Type de données : int
- Valeur:1

Expériences utilisateur

Expérience de l’écran de verrouillage

Expérience sans mot de passe désactivée : les utilisateurs peuvent se connecter à l’aide d’un mot de passe, comme indiqué par la présence du fournisseur d’informations d’identification de mot de passe dans l’écran de verrouillage De Windows.

Expérience sans mot de passe activée : le fournisseur d’informations d’identification de mot de passe est manquant pour le dernier utilisateur qui s’est connecté avec des informations d’identification fortes. Un utilisateur peut se connecter à l’aide d’informations d’identification fortes ou choisir d’utiliser l’option Autre utilisateur pour se connecter avec un mot de passe.

Expériences d’authentification dans la session

Lorsque l’expérience sans mot de passe Windows est activée, les utilisateurs ne peuvent pas utiliser le fournisseur d’informations d’identification de mot de passe pour les scénarios d’authentification en session. Les scénarios d’authentification en session sont les suivants :

  • Gestionnaire de mots de passe dans un navigateur web
  • Connexion à des partages de fichiers ou à des sites intranet
  • Élévation du contrôle de compte d’utilisateur (UAC), sauf si un compte d’utilisateur local est utilisé pour l’élévation

Remarque

La connexion RDP est par défaut le fournisseur d’informations d’identification utilisé lors de la connexion. Toutefois, un utilisateur peut sélectionner l’option Utiliser un autre compte pour se connecter avec un mot de passe.

L’exécution en tant qu’utilisateur différent n’est pas affectée par l’expérience sans mot de passe Windows.

Exemple d’expérience d’élévation de contrôle de compte d’utilisateur :

Expérience sans mot de passe désactivée : l’élévation de contrôle d’utilisateur permet à l’utilisateur de s’authentifier à l’aide d’un mot de passe.

Expérience sans mot de passe activée : l’élévation de contrôle d’utilisateur n’autorise pas l’utilisateur à utiliser le fournisseur d’informations d’identification de mot de passe pour l’utilisateur actuellement connecté. L’utilisateur peut s’authentifier à l’aide de Windows Hello, d’une clé de sécurité FIDO2 ou d’un compte d’utilisateur local, si disponible.

Recommandations

Voici une liste de recommandations à prendre en compte avant d’activer l’expérience sans mot de passe Windows :

  • Si Windows Hello Entreprise est activé, configurez la fonctionnalité de réinitialisation du code confidentiel pour permettre aux utilisateurs de réinitialiser leur code confidentiel à partir de l’écran de verrouillage. L’expérience de réinitialisation du code confidentiel est améliorée à partir de Windows 11, version 22H2 avec KB5030310
  • Ne pas configurer la stratégie de sécurité Ouverture de session interactive : Ne pas afficher la dernière connexion, car cela empêche l’expérience sans mot de passe Windows de fonctionner
  • Ne désactivez pas le fournisseur d’informations d’identification de mot de passe à l’aide de la stratégie Exclure les fournisseurs d’informations d’identification . Les principales différences entre les deux stratégies sont les suivantes :
    • La stratégie Exclure les fournisseurs d’informations d’identification désactive les mots de passe pour tous les comptes, y compris les comptes locaux. L’expérience sans mot de passe Windows s’applique uniquement aux comptes Microsoft Entra qui se connectent avec Windows Hello ou une clé de sécurité FIDO2. Il exclut également Autre utilisateur de la stratégie, de sorte que les utilisateurs disposent d’une option de connexion de sauvegarde
    • La stratégie d’exclusion des fournisseurs d’informations d’identification empêche l’utilisation de mots de passe pour les scénarios d’authentification RDP et d’identification
  • Pour faciliter les opérations de support technique, envisagez d’activer le compte d’administrateur local ou d’en créer un distinct, en randomisant son mot de passe à l’aide de la solution de mot de passe d’administrateur local Windows (LAPS)

Problèmes connus

Il existe un problème connu affectant l’expérience d’authentification en session lors de l’utilisation de clés de sécurité FIDO2, où les clés de sécurité ne sont pas toujours une option disponible. Le groupe de produits est conscient de ce comportement et envisage de l’améliorer à l’avenir.

Fournir des commentaires

Pour fournir des commentaires sur l’expérience sans mot de passe Windows, ouvrez le Hub de commentaires et utilisez la catégorie Sécurité et confidentialité > Expérience sans mot de passe.