Windows Hello Entreprise paramètres dans Configuration Manager
S’applique à : Configuration Manager (branche actuelle)
Configuration Manager s’intègre à Windows Hello Entreprise. (Cette fonctionnalité était anciennement connue sous le nom de Microsoft Passport for Work.) Windows Hello Entreprise est une méthode de connexion alternative pour les appareils Windows 10. Il utilise Active Directory ou un compte Microsoft Entra pour remplacer un mot de passe, un carte intelligent ou un carte intelligent virtuel. Hello Entreprise vous permet d’utiliser un mouvement utilisateur pour vous connecter au lieu d’un mot de passe. Un mouvement utilisateur peut être un code confidentiel, une authentification biométrique ou un appareil externe tel qu’un lecteur d’empreintes digitales.
Importante
À compter de la version 2203, cette fonctionnalité d’accès aux ressources d’entreprise n’est plus prise en charge. Pour plus d’informations, consultez Forum aux questions sur la dépréciation de l’accès aux ressources.
Services ADFS déploiement de l’autorité d’inscription (ADFS RA) est plus simple, offre une meilleure expérience utilisateur et offre une expérience d’inscription de certificat plus déterministe. Utilisez aDFS RA pour l’authentification basée sur les certificats avec Windows Hello Entreprise.
Pour plus d’informations, consultez Windows Hello Entreprise.
Remarque
Configuration Manager n’active pas cette fonctionnalité facultative par défaut. Vous devez activer cette fonctionnalité avant de l’utiliser. Pour plus d’informations, consultez Activer les fonctionnalités facultatives des mises à jour.
Configuration Manager s’intègre à Windows Hello Entreprise des manières suivantes :
Contrôler les mouvements que les utilisateurs peuvent et ne peuvent pas utiliser pour se connecter.
Stockez les certificats d’authentification dans le fournisseur de stockage de clés (KSP) Windows Hello Entreprise. Pour plus d’informations, consultez Profils de certificat.
Créez et déployez un profil Windows Hello Entreprise pour contrôler ses paramètres sur les appareils Windows 10 joints à un domaine qui exécutent le client Configuration Manager. À compter de la version 1910, vous ne pouvez pas utiliser l’authentification basée sur les certificats. Lorsque vous utilisez l’authentification basée sur une clé, vous n’avez pas besoin de déployer un profil de certificat.
Configurer un profil
Dans la console de Configuration Manager, accéder à l’espace de travail Actifs et conformité. Développez Paramètres de conformité, Accédez aux ressources de l’entreprise, puis sélectionnez le nœud Profils Windows Hello Entreprise.
Dans le ruban, sélectionnez Créer Windows Hello Entreprise profil pour démarrer l’Assistant Profil.
Dans la page Général , spécifiez un nom et une description facultative pour ce profil.
Dans la page Plateformes prises en charge , sélectionnez les versions de système d’exploitation auxquelles ce profil doit s’appliquer.
Dans la page Paramètres , configurez les paramètres suivants :
Configurer Windows Hello Entreprise : spécifiez si ce profil active, désactive ou ne configure pas Hello Entreprise.
Utiliser un module de plateforme sécurisée (TPM) : un module TPM fournit une couche supplémentaire de sécurité des données. Choisissez une des valeurs suivantes :
Obligatoire : seuls les appareils disposant d’un module TPM accessible peuvent provisionner Windows Hello Entreprise.
Préféré : les appareils tentent d’abord d’utiliser un module TPM. S’il n’est pas disponible, ils peuvent utiliser le chiffrement logiciel.
Méthode d’authentification : définissez cette option sur Non configuré ou Basé sur une clé.
Remarque
À compter de la version 1910, l’authentification basée sur les certificats avec les paramètres Windows Hello Entreprise dans Configuration Manager n’est pas prise en charge.
Configurer la longueur minimale du code confidentiel : si vous souhaitez exiger une longueur minimale pour le code confidentiel de l’utilisateur, activez cette option et spécifiez une valeur. Quand cette option est activée, la valeur par défaut est
4
.Configurer la longueur maximale du code confidentiel : si vous souhaitez exiger une longueur maximale pour le code confidentiel de l’utilisateur, activez cette option et spécifiez une valeur. Quand cette option est activée, la valeur par défaut est
127
.Exiger l’expiration du code confidentiel (jours) : spécifie le nombre de jours avant que l’utilisateur doit modifier le code confidentiel de l’appareil.
Empêcher la réutilisation des codes confidentiels précédents : n’autorisez pas les utilisateurs à utiliser des codes confidentiels qu’ils ont déjà utilisés.
Exiger des lettres majuscules dans le code CONFIDENTIEL : spécifie si les utilisateurs doivent inclure des lettres majuscules dans le code confidentiel Windows Hello Entreprise. Choisissez parmi les autorisations suivantes :
Autorisé : les utilisateurs peuvent utiliser des caractères majuscules dans leur code confidentiel, mais n’y sont pas obligés.
Obligatoire : les utilisateurs doivent inclure au moins un caractère majuscule dans leur code confidentiel.
Non autorisé : les utilisateurs ne peuvent pas utiliser de caractères majuscules dans leur code confidentiel.
Exiger des lettres minuscules dans le code CONFIDENTIEL : spécifie si les utilisateurs doivent inclure des lettres minuscules dans le code confidentiel Windows Hello Entreprise. Choisissez parmi les autorisations suivantes :
Autorisé : les utilisateurs peuvent utiliser des caractères minuscules dans leur code confidentiel, mais ce n’est pas le cas.
Obligatoire : les utilisateurs doivent inclure au moins un caractère minuscule dans leur code confidentiel.
Non autorisé : les utilisateurs ne peuvent pas utiliser de caractères minuscules dans leur code confidentiel.
Configurer des caractères spéciaux : spécifie l’utilisation de caractères spéciaux dans le code confidentiel. Choisissez parmi les autorisations suivantes :
Remarque
Les caractères spéciaux incluent l’ensemble suivant :
! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
Autorisé : les utilisateurs peuvent utiliser des caractères spéciaux dans leur code confidentiel, mais ce n’est pas le cas.
Obligatoire : les utilisateurs doivent inclure au moins un caractère spécial dans leur code confidentiel.
Non autorisé : les utilisateurs ne peuvent pas utiliser de caractères spéciaux dans leur code confidentiel. Ce comportement est également le cas si le paramètre est Non configuré.
Configurer l’utilisation de chiffres dans le code confidentiel : spécifie l’utilisation de nombres dans le code confidentiel. Choisissez parmi les autorisations suivantes :
Autorisé : les utilisateurs peuvent utiliser des numéros dans leur code confidentiel, mais n’ont pas besoin de le faire.
Obligatoire : les utilisateurs doivent inclure au moins un numéro dans leur code confidentiel.
Non autorisé : les utilisateurs ne peuvent pas utiliser de nombres dans leur code confidentiel.
Activer les mouvements biométriques : utilisez l’authentification biométrique telle que la reconnaissance faciale ou l’empreinte digitale. Ces modes sont une alternative à un code confidentiel pour Windows Hello Entreprise. Les utilisateurs configurent toujours un code confidentiel en cas d’échec de l’authentification biométrique.
Si la valeur est Oui, Windows Hello Entreprise autorise l’authentification biométrique. Si la valeur est Non, Windows Hello Entreprise empêche l’authentification biométrique pour tous les types de comptes.
Utiliser l’anti-usurpation améliorée : configure l’anti-usurpation améliorée sur les appareils qui la prennent en charge. Si la valeur est Oui, lorsqu’elle est prise en charge, Windows exige que tous les utilisateurs utilisent l’anti-usurpation d’identité pour les caractéristiques faciales.
Utiliser la connexion par téléphone : configure l’authentification à deux facteurs avec un téléphone mobile.
Suivez les instructions de l’Assistant.
La capture d’écran suivante est un exemple de paramètres de profil Windows Hello Entreprise :
Configuration des autorisations
En tant qu’administrateur de domaine ou informations d’identification équivalentes, connectez-vous à une station de travail d’administration sécurisée sur laquelle la fonctionnalité facultative suivante est installée : RSAT : services de domaine Active Directory et Outils des services d’annuaire légers.
Ouvrez la console Utilisateurs et ordinateurs Active Directory.
Sélectionnez le domaine, accédez au menu Action , puis sélectionnez Propriétés.
Basculez vers l’onglet Sécurité , puis sélectionnez Avancé.
Conseil
Si vous ne voyez pas l’onglet Sécurité , fermez la fenêtre propriétés. Accédez au menu Affichage , puis sélectionnez Fonctionnalités avancées.
Sélectionnez Ajouter.
Choisissez Sélectionner un principal et entrez
Key Admins
.Dans la liste S’applique à , sélectionnez Objets utilisateur descendants.
En bas de la page, sélectionnez Effacer tout.
Dans la section Propriétés , sélectionnez Read msDS-KeyCredentialLink.
Sélectionnez OK pour enregistrer vos modifications et fermer toutes les fenêtres.