Windows 10 : Jonction à Azure AD & expérience utilisateur
Dans le précédent billet Windows 10 : Jonction à un domaine Azure AD ( Azure AD Join), on a décrit les avantages de cette nouvelle possibilité pour Windows 10 d’intégrer un domaine Azure AD; on a détaillé la mise en œuvre (basique) vu du côté Azure Active Directory et ensuite l’expérience utilisateur pour rejoindre le domaine.
On a également vu que le fait de pouvoir s’appuyer sur une infrastructure principalement Cloud ouvrait de nouveaux scénarios pour des petites ou moyennes entreprises, des établissements scolaires, réseaux d’agence, entreprises partenaires, franchisés, ONG…On peut dès lors disposer dans le Cloud, de services qui nécessitaient précédemment d’investir dans une infrastructure qu’il fallait déployer, gérer et faire évoluer.
L’autre avantage du Cloud, est qu’il s’adapte naturellement aux évolutions de l’entreprise : si l’entreprise est en croissance, il n’est nul besoin de faire des investissements supplémentaires pour accueillir de nouveaux collaborateurs ; cette caractéristique du Cloud que l’on désigne par « élasticité », permet de prendre en compte immédiatement les variations liées au business.
Pour revenir sur le sujet technique de jonction à Azure AD, la description du billet précédent était orientée IT. Mais il est également important de s’intéresser à l’expérience de l’utilisateur ou du collaborateur qui va rejoindre l’entreprise : c’est ce que vous trouverez désigné en version US comme Out-of-the-Box Experience, ou en abrégé OOBE (à prononcer Ououbi !), et que l’on pourrait traduire par expérience après déballage ou en sortie du carton. Cette expérience se doit d’être la plus simple possible : on part du principe que l’utilisateur n’est pas censé avoir une connaissance des arcanes d’Azure AD pour enregistrer sa tablette et accéder aux applications de sa nouvelle entreprise !
Pour continuer dans la lignée du précédent billet, on va s’appuyer sur l’annuaire Azure AD contosofrcloud.onmicrosoft.com que l’on a créé précédemment et sur l’utilisateur de test Janssey Trevages (petit nom : jtrevages) de ce domaine.
Expérience utilisateur
Dans le scénario cible, l’utilisateur reçoit de la part de l’entreprise un appareil avec Windows 10 ou en a fait l’acquisition.
L’entreprise (ou l’école) aura distribué un petit dépliant à l’utilisateur ou lui aura transmis un lien vers la procédure d’installation. On devra également lui fournir les seules deux informations nécessaires : son identifiant d’utilisateur et le mot de passe temporaire qu’il devra changer durant la procédure d’enregistrement.
De plus, l’utilisateur devra être en possession d’un smartphone dont le numéro de téléphone lui sera demandé et qui servira de second facteur d’authentification lors de la création du code PIN.
L’expérience utilisateur que l’on souhaite la plus simple se décompose en deux étapes :
- Identification au niveau de l’annuaire Azure AD d’entreprise avec choix d’un mot de passe propre à l’utilisateur, ce qui va permettre l’enregistrement de l’appareil ;
- Création d’un code PIN avec authentification multi-facteur pour accéder immédiatement à l’ouverture de session sur le compte de l’utilisateur
Commençons la procédure.
L’appareil est préinstallé avec l’OS et la personne le sort de son carton et l’allume.
L’écran ci-dessous s’affiche qui pose la question « A qui appartient ce PC ? ».
L’utilisateur doit faire ce choix important de spécifier que l’appareil « appartient » à une entreprise, que cette dernière lui ait fourni directement ou non ; en effet, il s’agit d’un appareil qui va passer sous le contrôle de l’entreprise─ on va la joindre à l’annuaire Azure AD ─ et l’utilisateur ouvrira sa session sur un compte utilisateur Azure AD de l’entreprise que l’on trouve classiquement désigné dans la prose Microsoft comme compte d’entreprise ou compte de travail. Voir dans le billet précédent « Qu’est-ce qu’un compte de travail ou d’entreprise ? ».
On choisit l’option « My organization » et on clique sur Next.
Note : Lorsque vous installer à partir d’une version Enterprise, ce premier écran n’apparaîtra pas.
Le deuxième écran permet de choisir entre joindre l’appareil à Azure AD ou à un domaine ; là encore, l’utilisateur n’est pas censé savoir à quoi correspond Azure AD et donc la petite notice sera la bienvenue. Il doit choisir l’option « Join Azure AD » puis cliquer sur Continue.
L’écran suivant va permettre de spécifier son compte d’utilisateur d’entreprise (compte Azure AD) qui sera associé à cet appareil.
Dans le champ Work or school account, l’utilisateur entre son identifiant d’utilisateur dans l’entreprise, dans notre exemple jtrevages@contosofrcloud.onmicrosoft.com, puis le mot de passe initial. Ce mot de passe est celui qui est attribué à la création du compte et qui lui a été transmis. Il valide en cliquant sur le bouton Sign-In.
Note: Le fait que l’on parle de compte de travail ou compte d’école (school account) indique que les scénarios pour l’éducation sont bien envisagés.
S’agissant d’une première authentification, l’écran « Update your password » s’affiche ; l’utilisateur entre de nouveau le mot de passe initial et choisit un mot de passe qu’il devra confirmer dans la 3ème boite texte, puis cliquer sur le bouton Sign in.
L’écran suivant demande de patienter pendant l’enregistrement de l’appareil dans Azure AD et un premier paramétrage lié au compte utilisateur.
Effectivement, après quelques secondes, l’écran de demande de création d’un code PIN s’affiche.
Ce code PIN est associé au nouveau mode d’authentification de Microsoft Passport et est lié à l’appareil ; il servira ultérieurement pour s’authentifier –par exemple pour l’ouverture de session- ou enregistrer un geste biométrique à travers Windows Hello.
On peut cliquer sur le lien “How can a short PIN be safer than a long password? ” pour répondre à une interrogation classique. Pour s’en convaincre, on peut s’appuyer sur l’analogie avec le code PIN d’une carte bancaire. (je vous laisse y réfléchir, et on ramasse les copies dans une heure )
Note : pour plus d’information sur Windows Hello et Passport, veuillez consulter les liens suivants Password-less Authentication with Microsoft Passport, Microsoft Passport overview et Making Windows 10 More Personal and More Secure with Windows Hello
L’utilisateur clique sur le bouton « Create PIN » .
Avant d’autoriser la création du code PIN, l’utilisateur doit spécifier un numéro de téléphone de manière à fournir un deuxième facteur d’authentification : la preuve de possession d’un appareil, ici le smartphone.
L’utilisateur clique sur le bouton «Set it up now ».
Dans l’écran “Verify your identity”, la liste déroulante permet de sélectionner la méthode de vérification parmi « Text Message », « Phone Call » ou « Mobile App ».
Dans cet exemple, on choisit « Text Message » pour recevoir un SMS, puis on remplit l’indicatif téléphonique du pays France(+33) , suivi du numéro de téléphone sur lequel on veut recevoir le SMS, et on clique sur Next. (Attention à ne pas mettre de 0 devant le 6)
Sur réception du SMS, l’utilisateur rentre le code à usage unique transmis et clique sur Next.
L’écran Set up a work PIN s’affiche. L’utilisateur entre 2 fois le code PIN de son choix en respectant les politiques spécifiées (configurables) et appuie sur le bouton OK.
Après quelques secondes, la session Windows 10 s’ouvre sur l’appareil sous l’identité d’entreprise ! Remarquez bien que l’ouverture de session s’est bien faite sous l’identité Janssey Trevages.
La prochaine fois que l’utilisateur souhaitera ouvrir une session ou débloquer son appareil, il aura, pour s’authentifier deux possibilités : soit utiliser son mot de passe en choisissant l’icône avec la clé (cf ci-dessous), ou plus simplement le code PIN qui vient d’être créé, en sélectionnant l’icône avec le petit clavier.
La possibilité d’utiliser un code PIN est un véritable avantage d’un point de l’expérience utilisateur ; c’est un confort que connaissent les possesseurs de carte à puce physique ou virtuelle mais qui devient désormais accessible à tous!
POINT IMPORTANT : Contrairement à l’implémentation Windows 8/8.1, le code PIN n’est pas simplement un système d’authentification qui repose, au final, sur le mot de passe. Dans son principe, on s’approche plus de l’implémentation des cartes à puce virtuelles, où le code PIN permet d’autoriser l’accès à un ensemble de clés privées stockées dans un container local lui-même protégé par le TPM de l’appareil. (Pour être plus précis, pour permettre de faire effectuer des opérations cryptographiques nécessitant l’utilisation de clés privées).
Conclusion
Dans la suite du billet précédent qui détaillait la mise en place de la jonction à Azure AD et ses avantages, celui-ci a détaillé l’expérience de l’utilisateur qui déballe son appareil et doit l’associer à son entreprise ou son école pour pouvoir bénéficier immédiatement de l’accès à ses ressources et applications. L’expérience en deux étapes, comprenant l’identification dans l’annuaire d’entreprise et la création d’un code PIN pour une authentification simplifiée, se veut la plus simple possible.
L’appareil est automatiquement enregistré dans Azure AD ce qui ouvre de nouveaux horizons comme le contrôle d’accès conditionnel aux applications de l’entreprise. Mais ceci est une autre histoire…