Configurer Windows Hello Entreprise sur les appareils lorsqu’ils s’inscrivent auprès d’Intune

Avec Microsoft Intune, vous pouvez créer une stratégie à l’échelle du locataire qui configure l’utilisation de Windows Hello Entreprise sur des appareils Windows 10 ou Windows 11 au moment de l’inscription de ces appareils auprès d’Intune. Cette stratégie cible l’ensemble de votre organization et prend en charge l’expérience OOBE (Out-of-Box-Experience) Windows Autopilot.

Pour les appareils Windows 10/11, l’utilisation de Windows Hello Entreprise remplace l’utilisation de mots de passe par une authentification forte à deux facteurs sur les appareils. Cette authentification se compose d’informations d’identification d’utilisateur liées à un appareil et qui utilise un code biométrique ou un code confidentiel.

Après l’inscription de l’appareil ou lorsque vous choisissez de ne pas utiliser la stratégie d’inscription à l’échelle du locataire, Intune prend en charge les méthodes suivantes pour gérer les Windows Hello sur des groupes d’appareils discrets :

  • Protection des identités : la stratégie de configuration de l’appareil inclut le profil Identity Protection, que vous pouvez utiliser pour configurer des groupes d’appareils pour Windows Hello.

  • Bases de référence de sécurité : certains paramètres de Windows Hello peuvent être gérés par des bases de référence de sécurité, telles que les bases de référence pour la sécurité Microsoft Defender pour point de terminaison ou la base de référence de sécurité pour Windows 10 et versions ultérieures.

  • Sécurité des points de terminaison Stratégie de protection du compte : les stratégies de protection de compte incluent certains des paramètres utilisés par Windows Hello.

Importante

Avant la mise à jour anniversaire (Windows version 1607), vous pouviez définir deux codes CONFIDENTIELs différents qui pouvaient être utilisés pour l’authentification auprès des ressources :

  • Le code confidentiel de l’appareil pouvait être utilisé pour déverrouiller l’appareil et se connecter aux ressources de cloud.
  • Le code pin de travail a été utilisé pour accéder aux ressources Microsoft Entra sur les appareils personnels de l’utilisateur (BYOD).

Dans la mise à jour anniversaire, ces deux codes confidentiels ont été fusionnés dans un même code confidentiel d’appareil. Les stratégies de configuration Intune que vous définissez pour contrôler le code confidentiel de l’appareil, ainsi que toutes les stratégies Windows Hello Entreprise que vous avez configurées, définissent à présent la valeur de ce nouveau code confidentiel. Si vous avez défini ces deux types de stratégie pour contrôler le code PIN, la stratégie Windows Hello Entreprise est appliquée. Pour garantir la résolution des conflits de stratégie et l’application de la stratégie de code confidentiel, mettez à jour votre stratégie Windows Hello Entreprise en fonction des paramètres de votre stratégie de configuration, puis demandez à vos utilisateurs de synchroniser leurs appareils dans l’application Portail d’entreprise.

Contrôle d'accès basé sur les rôles

Vous devez être administrateur de service Intune pour créer ou modifier une stratégie Windows Hello Entreprise dans l’inscription Windows. Tous les autres rôles Intune disposent d’un accès en lecture seule. Pour plus d’informations sur le contrôle d’accès en fonction du rôle (RBAC), consultez RBAC avec Microsoft Intune.

Créer une stratégie Windows Hello Entreprise

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Accédez à Appareils>Inscrire des appareils>Inscription Windows>Windows Hello Entreprise. Le volet Windows Hello Entreprise s’ouvre.

  3. Sélectionnez l'une des options suivantes pour Configurer Windows Hello Entreprise :

    • Activée. Sélectionnez ce paramètre si vous souhaitez configurer les paramètres Windows Hello Entreprise. Quand vous sélectionnez Activé, des paramètres supplémentaires pour Windows Hello sont visibles et peuvent être configurés pour les appareils.

    • Désactivé. Si vous ne souhaitez pas activer Windows Hello Entreprise lors de l’inscription de l’appareil, sélectionnez cette option. Une fois désactivée, les utilisateurs peuvent configurer Windows Hello Entreprise. Quand cette stratégie est Désactivée, vous pouvez toujours configurer les paramètres suivants pour Windows Hello Entreprise même si cette stratégie n’active pas Windows Hello Entreprise.

    • Non configuré. Sélectionnez ce paramètre si vous ne souhaitez pas utiliser Intune pour contrôler les paramètres Windows Hello Entreprise. Les paramètres Windows Hello entreprise existants sur les appareils 10/11 ne sont pas modifiés. Tous les autres paramètres du volet sont indisponibles.

  4. Si vous avez sélectionné Activé à l’étape précédente, configurez les paramètres requis qui sont appliqués à tous les appareils Windows 10/11 inscrits. Une fois ces paramètres configurés, cliquez sur Enregistrer.

    • Utiliser un module de plateforme sécurisée (TPM) :

      Une puce TPM fournit une autre couche de sécurité des données. Choisissez une des valeurs suivantes :

      • Requis (par défaut). Seuls les appareils avec un module de plateforme sécurisée (TPM) accessible peuvent configurer Windows Hello Entreprise.
      • Préféré. Les appareils tentent d’abord d’utiliser un module de plateforme sécurisée. Si cette option n’est pas disponible, ils peuvent utiliser le chiffrement logiciel.
    • Longueur minimale du PIN et Longueur maximale du PIN :

      Ce paramètre configure les appareils pour qu’ils utilisent les longueurs minimale et maximale de code confidentiel que vous spécifiez, afin d’optimiser la sécurisation de la connexion. Le code PIN par défaut comporte six caractères, mais vous pouvez appliquer une longueur minimale de quatre caractères. La longueur maximale du code confidentiel est de 127 caractères.

    • Lettres minuscules dans le PIN, Lettres majuscules dans le PIN et Caractères spéciaux dans le PIN.

      Vous pouvez appliquer un code confidentiel plus puissant en exigeant l’utilisation de majuscules, de minuscules et de caractères spéciaux dans ce code. Pour chacun d’eux, sélectionnez parmi les options suivantes :

      • Autorisé. Les utilisateurs peuvent utiliser le type de caractère dans leur code confidentiel, mais cela n’est pas obligatoire.

      • Obligatoire. Les utilisateurs doivent inclure au moins l’un des types de caractères dans leur code confidentiel. Par exemple, il est courant d’exiger au moins une majuscule et un caractère spécial.

      • Non autorisé (par défaut). Les utilisateurs ne doivent pas utiliser ces types de caractères dans leur code confidentiel. (Il s’agit également du comportement appliqué si le paramètre n’est pas configuré.)

        Les caractères spéciaux sont les suivants : ! « # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~

    • Expiration du code PIN (en jours) :

      Nous vous conseillons de spécifier une période d’expiration pour un code confidentiel, après laquelle les utilisateurs finaux doivent le modifier. La valeur par défaut est 41 jours.

    • Conserver l’historique des codes PIN :

      Limite la réutilisation des codes confidentiels précédemment utilisés. Par défaut, les 5 derniers codes PIN ne peuvent pas être réutilisés.

    • Autoriser l’authentification biométrique :

      Permet d’utiliser l’authentification biométrique, telle que la reconnaissance faciale ou les empreintes digitales, à la place d’un code confidentiel pour Windows Hello Entreprise. Les utilisateurs doivent toujours configurer un code confidentiel professionnel en cas d’échec de l’authentification biométrique. Choisissez parmi les autorisations suivantes :

      • Oui. Windows Hello Entreprise autorise l’authentification biométrique.
      • Non. Windows Hello Entreprise empêche l’authentification biométrique (pour tous les types de compte).
    • Utiliser la détection d’usurpation avancée, si disponible :

      Détermine si les fonctionnalités de détection d’usurpation de Windows Hello sont utilisées sur les appareils qui les prennent en charge. Vous pouvez ainsi détecter si un visage est réel ou s’il provient d’une photo.

      Si cette option est définie sur Oui, Windows nécessite que tous les utilisateurs utilisent la détection d’usurpation pour les fonctions de reconnaissance faciale, si disponible.

    • Autoriser la connexion par téléphone :

      Si cette option est définie sur Oui, les utilisateurs peuvent utiliser un appareil Remote Passport comme appareil mobile pour l’authentification d’ordinateur du bureau. L’ordinateur de bureau doit être Microsoft Entra joint et l’appareil complémentaire doit être configuré avec un code confidentiel Windows Hello Entreprise.

    • Activer la sécurité de connexion améliorée :

      Configurez Windows Hello sécurité de connexion améliorée sur les appareils dotés d’un matériel compatible. Les options disponibles sont les suivantes :

      • Valeur par défaut. Une sécurité de connexion améliorée sera activée sur les systèmes dotés d’un matériel compatible. Les utilisateurs d’appareils ne peuvent pas utiliser de périphériques externes pour se connecter à leur appareil avec Windows Hello.
      • La sécurité de connexion renforcée sera désactivée sur tous les systèmes. Les utilisateurs d’appareils peuvent utiliser des périphériques externes compatibles avec Windows Hello pour se connecter à leur appareil.
    • Utilisez des clés de sécurité pour la connexion :

      Quand cette option est définie sur Activer, elle permet d’activer ou de désactiver à distance les clés de sécurité Windows Hello de tous les ordinateurs de l’organisation d’un client.

Prise en charge de Windows Holographic for Business

Windows Holographic for Business prend en charge les paramètres Windows Hello Entreprise suivants :

  • Utiliser un module de plateforme sécurisée (TPM)
  • Longueur minimale du code confidentiel
  • Longueur maximale du code PIN
  • Lettres minuscules dans le code PIN
  • Lettres majuscules dans le code PIN
  • Caractères spéciaux dans le code PIN
  • Expiration du code confidentiel (jours)
  • Mémoriser l’historique des codes confidentiels

Prochaines étapes

Pour plus d’informations sur les Windows Hello, consultez les sujets suivants dans la documentation Windows :