Configurer Windows Hello Entreprise

• S’applique à:

  ✅ Windows 11, ✅ Windows 10

Cet article décrit les options permettant de configurer Windows Hello Entreprise dans un organization et comment les implémenter.

Options de configuration

Vous pouvez configurer Windows Hello Entreprise à l’aide des options suivantes :

• Fournisseur de services de configuration (CSP) : couramment utilisé pour les appareils gérés par une solution mobile Gestion des appareils (GPM), comme Microsoft Intune. Les fournisseurs de services cloud peuvent également être configurés avec des packages d’approvisionnement, qui sont généralement utilisés au moment du déploiement ou pour les appareils non gérés. Pour configurer Windows Hello Entreprise, utilisez le fournisseur de services de configuration PassportForWork
• Stratégie de groupe (GPO) : utilisée pour les appareils joints ou Microsoft Entra joints hybrides à Active Directory et qui ne sont pas gérés par une solution de gestion des appareils

Priorité de la stratégie

Certaines stratégies Windows Hello Entreprise sont disponibles pour la configuration de l’ordinateur et de l’utilisateur. La liste suivante décrit la priorité de la stratégie pour Windows Hello Entreprise :

• Les stratégies utilisateur sont prioritaires sur les stratégies d’ordinateur. Si une stratégie utilisateur est définie, la stratégie d’ordinateur correspondant est ignorée. Si aucune stratégie utilisateur n’est définie, la stratégie de l’ordinateur est utilisée
• Windows Hello Entreprise paramètres de stratégie sont appliqués à l’aide de la hiérarchie suivante :
  • Utilisateur - Objet de stratégie de groupe
  • Ordinateur - Objet de stratégie de groupe
  • Utilisateur - Fournisseur de services de configuration PassportForWork
  • Appareil - Fournisseur de services de configuration PassportForWork
  • Exchange Active Sync - Fournisseur de services de configuration DeviceLock

Important

Si vous configurez les paramètres de longueur et de complexité du mot de passe définis par le csp DeviceLock, ainsi que les paramètres de longueur et de complexité du code confidentiel définis par le csp PassportForWork, Windows applique la stratégie la plus stricte en dehors de l’ensemble des stratégies de gouvernance.

Le fournisseur de services de configuration DeviceLock utilise le moteur EAS (Exchange ActiveSync Policy). Pour plus d’informations, consultez vue d’ensemble du moteur de stratégie Exchange ActiveSync.

Remarque

Si une stratégie n’est pas explicitement configurée pour exiger des lettres ou des caractères spéciaux, les utilisateurs peuvent éventuellement définir un code confidentiel alphanumérique.

Récupérer l’ID de locataire Microsoft Entra

La configuration via csp ou le registre de différents paramètres de stratégie de Windows Hello Entreprise nécessite de spécifier l’ID de locataire Microsoft Entra où l’appareil est inscrit.

Pour rechercher votre ID de locataire, consultez Comment trouver votre ID de locataire Microsoft Entra ou essayez ce qui suit, en veillant à vous connecter avec le compte de votre organization :

GET https://graph.microsoft.com/v1.0/organization?$select=id

Par exemple, la documentation csp PassportForWork explique comment configurer Windows Hello Entreprise options à l’aide d’OMA-URI :

./Device/Vendor/MSFT/PassportForWork/{TenantId}

Lors de la configuration des appareils, remplacez par TenantID votre ID de locataire Microsoft Entra. Par exemple, si votre ID de locataire Microsoft Entra est dcd219dd-bc68-4b9b-bf0b-4a33a796be35, l’URI OMA est :

./Device/Vendor/MSFT/PassportForWork/{dcd219dd-bc68-4b9b-bf0b-4a33a796be35}

Configurer Windows Hello Entreprise à l’aide de Microsoft Intune

Pour Microsoft Entra appareils joints et Microsoft Entra appareils joints hybrides inscrits dans Intune, vous pouvez utiliser des stratégies de Intune pour gérer les Windows Hello Entreprise.

Il existe différentes façons d’activer et de configurer Windows Hello Entreprise dans Intune :

• Utilisation d’une stratégie appliquée au niveau du locataire. La stratégie de locataire :
  • Est appliqué uniquement au moment de l’inscription, et les modifications apportées à sa configuration ne s’appliquent pas aux appareils déjà inscrits dans Intune
  • Elle s’applique à tous les appareils inscrits dans Intune. Pour cette raison, la stratégie est généralement désactivée et Windows Hello Entreprise est activée à l’aide d’une stratégie ciblée sur un groupe de sécurité
• Stratégie de configuration d’appareil appliquée après l’inscription de l’appareil. Toutes les modifications apportées à la stratégie sont appliquées aux appareils pendant les intervalles d’actualisation réguliers de la stratégie. Vous pouvez choisir parmi différents types de stratégies :
  • Catalogue de paramètres
  • Bases de référence de sécurité
  • Stratégie personnalisée, via le csp PassportForWork
  • Stratégie de protection du compte
  • Modèle de stratégie De protection des identités

Vérifier la stratégie à l’échelle du locataire

Pour case activée les paramètres de stratégie Windows Hello Entreprise appliqués au moment de l’inscription :

1. Connectez-vous au Centre d’administration Microsoft Intune
2. Sélectionner Appareils Inscription>Windows Windows>
3. Sélectionner Windows Hello Entreprise
4. Vérifiez la status de Configurer Windows Hello Entreprise et tous les paramètres qui peuvent être configurés

Conflits de stratégie à partir de plusieurs sources de stratégie

Windows Hello Entreprise peuvent être configurés par un objet de stratégie de groupe ou un fournisseur de solutions Cloud, mais pas une combinaison des deux. Évitez de mélanger les paramètres de stratégie de groupe et de stratégie CSP pour Windows Hello Entreprise, car cela peut entraîner des résultats inattendus. Si vous combinez des paramètres de stratégie de groupe et de stratégie CSP, les paramètres CSP en conflit ne sont pas appliqués tant que les paramètres de stratégie de groupe n’ont pas été effacés.

Important

Le paramètre de stratégie MDMWinsOverGP ne s’applique pas à Windows Hello Entreprise. MDMWinsOverGP s’applique uniquement aux stratégies du csp Policy, tandis que les stratégies de Windows Hello Entreprise se trouvent dans le csp PassportForWork.

Remarque

Pour plus d’informations sur le déploiement de la configuration Windows Hello Entreprise à l’aide de Microsoft Intune, consultez Paramètres d’appareil Windows pour activer Windows Hello Entreprise dans Intune et passportForWork CSP.

Désactiver l’inscription Windows Hello Entreprise

Windows Hello Entreprise est activé par défaut pour les appareils qui sont Microsoft Entra joints. Si vous devez désactiver l’activation automatique, il existe différentes options, notamment :

• Désactiver Windows Hello à l’aide de la stratégie à l’échelle du locataire
• Désactivez-la à l’aide de l’un des types de stratégies disponibles dans Intune, tout en activant la page d’état d’inscription (ESP). L’ESP peut être configuré pour empêcher un utilisateur d’accéder au bureau jusqu’à ce que l’appareil reçoive toutes les stratégies requises. Pour plus d’informations, consultez Configurer la page d’état de l’inscription. Le paramètre de stratégie à configurer est Utiliser Windows Hello Entreprise
• Provisionnez les appareils à l’aide d’un package d’approvisionnement qui désactive Windows Hello Entreprise. Pour plus d’informations, consultez Mise en service de packages pour Windows
• Solutions scriptées qui peuvent modifier les paramètres du Registre pour désactiver les Windows Hello Entreprise pendant le déploiement du système d’exploitation

Type de configuration	Détails
CSP (utilisateur)	Chemin de la clé : HHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\UserSid\Policies Nom de la clé : UsePassportForWork Type : REG_DWORD Valeur :  1 pour activer  0 pour désactiver
CSP (appareil)	Chemin de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\Device\Policies Nom de la clé : UsePassportForWork Type : REG_DWORD Valeur :  1 pour activer  0 pour désactiver
Objet de stratégie de groupe (utilisateur)	Chemin de la clé : HKEY_USERS\<UserSID>\SOFTWARE\Policies\Microsoft\PassportForWork Nom de la clé : Enabled Type : REG_DWORD Valeur :  1 pour activer  0 pour désactiver
Objet de stratégie de groupe (utilisateur)	Chemin de la clé : KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork Nom de la clé : Enabled Type : REG_DWORD Valeur :  1 pour activer  0 pour désactiver

Remarque

S’il existe une stratégie d’appareil et une stratégie utilisateur en conflit, la stratégie utilisateur est prioritaire. Il n’est pas recommandé de créer des paramètres d’objet de stratégie de groupe ou de Registre locaux susceptibles d’entrer en conflit avec une stratégie GPM. Ce conflit peut entraîner des résultats inattendus.

Étapes suivantes

Pour obtenir la liste des paramètres de stratégie Windows Hello Entreprise, consultez Windows Hello Entreprise paramètres de stratégie.

Pour en savoir plus sur les fonctionnalités Windows Hello Entreprise et sur leur configuration, consultez :

• Réinitialisation du code confidentiel
• Double inscription
• Verrouillage dynamique
• Déverrouillage multi-facteur
• Connexion bureau à distance (RDP)