Paramètres de profil De protection des identités dans Intune pour Windows Hello Entreprise
Importante
En juillet 2024, les profils Intune suivants pour la protection des identités et la protection des comptes ont été dépréciés et remplacés par un nouveau profil consolidé nommé Protection des comptes. Ce profil plus récent se trouve dans le nœud de stratégie de protection de compte de la sécurité des points de terminaison. Il s’agit du seul modèle de profil qui reste disponible pour créer de nouvelles instances de stratégie pour la protection des identités et des comptes. Les paramètres de ce nouveau profil sont également disponibles via le catalogue de paramètres.
Toutes les instances des profils plus anciens suivants que vous avez créés restent disponibles pour l’utilisation et la modification :
- Protection des identités : précédemment disponible à partir dela configuration>des appareils>Créer une>>stratégieWindows 10 et versions ultérieures>>Identity Protection
- Protection de compte (préversion) : précédemment disponible à partir de Endpoint Security>Account Protection>Windows 10 et versions ultérieures>Protection du compte (préversion)
Remarque
Intune peut prendre en charge davantage de paramètres que les paramètres répertoriés dans cet article. Tous les paramètres ne sont pas documentés et ne le seront pas. Pour afficher les paramètres que vous pouvez configurer, créez une stratégie de configuration d’appareil, puis sélectionnez Catalogue de paramètres. Pour plus d’informations, accédez à Catalogue des paramètres.
Cet article décrit les paramètres Windows Hello Entreprise que vous pouvez gérer avec un profil Identity Protection. Les profils De protection des identités font partie de la stratégie de configuration des appareils dans Microsoft Intune. Toutefois, à compter de juillet 2024, les profils de configuration d’appareil pour Identity Protection sont remplacés par des profils de sécurité de point de terminaison pour la protection des comptes. Bien que vous puissiez continuer à utiliser les profils de protection des identités que vous avez créés précédemment, Intune ne prend plus en charge la création d’instances. Au lieu de cela, pour gérer les paramètres de la protection des identités, utilisez une stratégie de protection de compte de sécurité de point de terminaison.
Avec un profil Identity Protection, vous pouvez configurer des paramètres sur des groupes discrets d’appareils Windows 10/11. Pour configurer Windows Hello Entreprise à l’échelle du locataire, dans le cadre de l’inscription des appareils, consultez Créer une stratégie Windows Hello Entreprise dans Intégrer Windows Hello Entreprise à Microsoft Intune.
Cet article décrit les paramètres de la stratégie d’inscription.
Vous trouverez des informations supplémentaires sur ces paramètres dans Configurer les paramètres de stratégie Windows Hello Entreprise, dans la documentation Windows Hello.
Windows Hello Entreprise
Les détails des paramètres suivants s’appliquent uniquement au modèle de profil de configuration d’appareil pour Identity Protection, qui a été déconseillé en juillet 2024.
Configurer Windows Hello Entreprise :
Non configuré (par défaut) : sélectionnez ce paramètre si vous ne souhaitez pas utiliser Intune pour contrôler les paramètres de Windows Hello Entreprise. Les paramètres Windows Hello Entreprise existants sur les appareils Windows 10/11 ne sont pas modifiés. Tous les autres paramètres du volet sont indisponibles.
Désactiver : si vous ne souhaitez pas utiliser Windows Hello Entreprise, sélectionnez ce paramètre. Tous les autres paramètres de l’écran ne sont alors pas disponibles.
Activer : sélectionnez ce paramètre si vous souhaitez configurer les paramètres de Windows Hello Entreprise.
Lorsqu’il est défini sur Activer, les paramètres suivants sont disponibles :
Longueur minimale du code confidentiel
Spécifiez une longueur de code confidentiel minimale pour les appareils, comprise entre 4 et 127 caractères. Par défaut, ce paramètre est Non configuré.Longueur maximale du code PIN
Spécifiez une longueur de code confidentiel maximale pour les appareils, de quatre à 127 caractères. Par défaut, ce paramètre est Non configuré.Lettres minuscules dans le code PIN
Si nécessaire, le code confidentiel de l’utilisateur doit inclure au moins une lettre minuscule. Par défaut, ce paramètre est Non configuré.- Non autorisé : empêcher les utilisateurs d’utiliser des lettres minuscules dans le code confidentiel. Ce comportement se produit également si le paramètre n’est pas configuré.
- Autorisé : autoriser les utilisateurs à utiliser des lettres minuscules dans le code confidentiel, mais ce n’est pas obligatoire.
- Obligatoire : les utilisateurs doivent inclure au moins une lettre minuscule dans le code confidentiel. Par exemple, il est courant d’exiger au moins une majuscule et un caractère spécial.
Lettres majuscules dans le code PIN
Si nécessaire, le code confidentiel de l’utilisateur doit inclure au moins une lettre majuscule. Par défaut, ce paramètre est Non configuré.- Non autorisé : empêche les utilisateurs d’utiliser des lettres majuscules dans le code confidentiel. Ce comportement se produit également si le paramètre n’est pas configuré.
- Autorisé : autorisez les utilisateurs à utiliser des lettres majuscules dans le code confidentiel, mais ce n’est pas obligatoire.
- Obligatoire : les utilisateurs doivent inclure au moins une lettre majuscule dans le code confidentiel. Par exemple, il est courant d’exiger au moins une majuscule et un caractère spécial.
Caractères spéciaux dans le code PIN
Si nécessaire, le code confidentiel de l’utilisateur doit inclure au moins un caractère spécial. Les caractères spéciaux sont les suivants :! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
- Non autorisé (valeur par défaut) : empêche les utilisateurs d’utiliser des caractères spéciaux dans le code confidentiel. Ce comportement se produit également si le paramètre n’est pas configuré.
- Autorisé : autorisez les utilisateurs à utiliser des lettres majuscules dans le code confidentiel, mais ce n’est pas obligatoire.
- Obligatoire : les utilisateurs doivent inclure au moins une lettre majuscule dans le code confidentiel. Par exemple, il est courant d’exiger au moins une majuscule et un caractère spécial.
Expiration du code confidentiel (jours)
S’il est configuré, l’utilisateur est forcé de modifier son code confidentiel après le nombre de jours défini. L’utilisateur peut toujours modifier de manière proactive son code confidentiel avant l’expiration. Par défaut, ce paramètre est Non configuré.Mémoriser l’historique des codes confidentiels
S’il est configuré, l’utilisateur ne peut pas réutiliser ce nombre de codes confidentiels précédents. Par défaut, ce paramètre est Non configuré.Activer la récupération du code confidentiel
Permet à l’utilisateur d’utiliser le service de récupération de code confidentiel Windows Hello Entreprise.- Activer : le secret de récupération du code confidentiel est stocké sur l’appareil et l’utilisateur peut modifier son code confidentiel si nécessaire.
- Non configuré (valeur par défaut) : le secret de récupération n’est pas créé ou stocké.
Utiliser un module de plateforme sécurisée (TPM)
Une puce TPM fournit une couche supplémentaire de sécurité des données.- Activer : seuls les appareils disposant d’un module TPM accessible peuvent provisionner Windows Hello Entreprise.
- Non configuré (par défaut) : les appareils tentent d’abord d’utiliser un module TPM. Si un module TPM n’est pas disponible, il peut utiliser le chiffrement logiciel.
Autoriser l’authentification biométrique
Si cela est autorisé, Windows Hello Entreprise peut s’authentifier à l’aide de mouvements, tels que le visage et l’empreinte digitale. Les utilisateurs doivent toujours configurer un code confidentiel en cas de défaillance.- Activer : Windows Hello Entreprise autorise l’authentification biométrique.
- Non configuré (par défaut) : Windows Hello Entreprise empêche l’authentification biométrique (pour tous les types de comptes).
Utiliser l’anti-usurpation améliorée, le cas échéant
S’ils sont activés, les appareils utilisent l’anti-usurpation améliorée, lorsqu’elles sont disponibles (par exemple, la détection d’une photo d’un visage au lieu d’un visage réel).- Activer : Windows exige que tous les utilisateurs utilisent l’anti-usurpation pour les fonctionnalités faciales lorsque cela est pris en charge.
- Non configuré (par défaut) : Windows respecte les configurations anti-usurpation sur l’appareil.
Certificat pour les ressources locales
- Activer : permet à Windows Hello Entreprise d’utiliser des certificats pour s’authentifier auprès des ressources locales.
- Non configuré (valeur par défaut) : empêche Windows Hello Entreprise d’utiliser des certificats pour s’authentifier auprès des ressources locales. Au lieu de cela, les appareils utilisent le comportement par défaut de l’authentification locale d’approbation de clé. Pour plus d’informations, consultez Certificat utilisateur pour l’authentification locale dans la documentation Windows Hello.
Utiliser des clés de sécurité pour la connexion
Ce paramètre est disponible pour les appareils qui exécutent Windows 10 version 1903 ou ultérieure, ou Windows 11. Utilisez-la pour gérer la prise en charge de l’utilisation des clés de sécurité Windows Hello pour la connexion.- Activer : les utilisateurs peuvent utiliser une clé de sécurité Windows Hello comme informations d’identification de connexion pour les PC ciblés par cette stratégie.
- Non configuré : les clés de sécurité sont désactivées et les utilisateurs ne peuvent pas les utiliser pour se connecter aux PC.