Guide de déploiement cloud uniquement

• S’applique à:

  ✅ Windows 11, ✅ Windows 10

Cet article décrit les fonctionnalités ou scénarios windows Hello Entreprise qui s’appliquent à :

• Type de déploiement :cloud uniquement
• Type de jointure :Microsoft Entra Join

---

Conditions préalables

Avant de commencer le déploiement, passez en revue les exigences décrites dans l’article Planifier un déploiement Windows Hello Entreprise .

Vérifiez que les conditions suivantes sont remplies avant de commencer :

• Authentication
• Configuration d’appareil
• Gestion des licences pour les services cloud
• Préparer les utilisateurs à utiliser Windows Hello

Étapes de déploiement

Une fois les conditions préalables remplies, le déploiement de Windows Hello Entreprise comprend les étapes suivantes :

• Configurer les paramètres de stratégie Windows Hello Entreprise
• S’inscrire à Windows Hello Entreprise

Configurer les paramètres de stratégie Windows Hello Entreprise

Lorsque vous rejoignez un appareil Microsoft Entra, le système tente de vous inscrire automatiquement dans Windows Hello Entreprise. Si vous souhaitez utiliser Windows Hello Entreprise dans un environnement cloud uniquement avec ses paramètres par défaut, aucune configuration supplémentaire n’est nécessaire.

Les déploiements cloud uniquement utilisent l’authentification multifacteur Microsoft Entra (MFA) lors de l’inscription à Windows Hello Entreprise, et aucune autre configuration MFA n’est nécessaire. Si vous n’êtes pas déjà inscrit dans l’authentification multifacteur, vous êtes guidé par l’inscription MFA dans le cadre du processus d’inscription de Windows Hello Entreprise.

Les paramètres de stratégie peuvent être configurés pour contrôler le comportement de Windows Hello Entreprise, via le fournisseur de services de configuration (CSP) ou la stratégie de groupe (GPO). Dans les déploiements cloud uniquement, les appareils sont généralement configurés via une solution GPM telle que Microsoft Intune, à l’aide du csp PassportForWork.

Remarque

Consultez l’article Configurer Windows Hello Entreprise à l’aide de Microsoft Intune pour en savoir plus sur les différentes options offertes par Microsoft Intune pour configurer Windows Hello Entreprise.

Si la stratégie à l’échelle du locataire Intune est configurée pour désactiver Windows Hello Entreprise, ou si les appareils sont déployés avec Windows Hello désactivé, vous devez configurer un paramètre de stratégie pour activer Windows Hello Entreprise :

• Utiliser Windows Hello Entreprise

Un autre paramètre de stratégie facultatif, mais recommandé, est :

• Utiliser un périphérique de sécurité matériel

Suivez les instructions ci-dessous pour configurer vos appareils à l’aide de Microsoft Intune ou d’une stratégie de groupe (GPO).

Intune/CSP

Pour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue paramètres et utilisez les paramètres suivants :

Catégorie	Nom du paramètre	Valeur
Windows Hello Entreprise	Utiliser Passport For Work	true
Windows Hello Entreprise	Exiger un appareil de sécurité	true

Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.

Vous pouvez également configurer des appareils à l’aide d’une stratégie personnalisée avec le csp PassportForWork.

Paramètre
- OMA-URI :./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork - Type de données:bool - Valeur:True
- OMA-URI :./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice - Type de données:bool - Valeur:True

GPO

Pour configurer un appareil avec une stratégie de groupe, utilisez l’Éditeur de stratégie de groupe local.

Chemin d’accès à la stratégie de groupe	Paramètre de stratégie de groupe	Valeur
Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Hello Entreprise or Configuration utilisateur\Modèles d’administration\Composants Windows\Windows Hello Entreprise	Utiliser Windows Hello Entreprise	Activé
Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Hello Entreprise	Utiliser un périphérique de sécurité matériel	Activé

Astuce

Si vous utilisez Microsoft Intune et que vous n’utilisez pas la stratégie à l’échelle du locataire, activez la page d’état d’inscription (ESP) pour vous assurer que les appareils reçoivent les paramètres de stratégie Windows Hello Entreprise avant que les utilisateurs puissent accéder à leur bureau. Pour plus d’informations sur ESP, consultez Configurer la page d’état de l’inscription.

D’autres paramètres de stratégie peuvent être configurés pour contrôler le comportement de Windows Hello Entreprise. Pour plus d’informations, consultez Paramètres de stratégie Windows Hello Entreprise.

S’inscrire à Windows Hello Entreprise

Le processus d’approvisionnement de Windows Hello Entreprise commence immédiatement après la connexion d’un utilisateur, si certaines vérifications préalables sont réussies.

Expérience de l'utilisateur

Une fois qu’un utilisateur s’est connecté, le processus d’inscription à Windows Hello Entreprise commence :

1. Si l’appareil prend en charge l’authentification biométrique, l’utilisateur est invité à configurer un mouvement biométrique. Ce mouvement peut être utilisé pour déverrouiller l’appareil et s’authentifier auprès des ressources qui nécessitent Windows Hello Entreprise. L’utilisateur peut ignorer cette étape s’il ne souhaite pas configurer un mouvement biométrique
2. L’utilisateur est invité à utiliser Windows Hello avec le compte d’organisation. L’utilisateur sélectionne OK
3. Le flux d’approvisionnement passe à la partie d’authentification multifacteur de l’inscription. L’approvisionnement informe l’utilisateur qu’il tente activement de contacter l’utilisateur via sa forme configurée d’authentification multifacteur. Le processus d’approvisionnement ne se poursuit pas tant que l’authentification n’a pas réussi, échoué ou expiré. Un échec ou un délai d’expiration de l’authentification multifacteur entraîne une erreur et demande à l’utilisateur de réessayer
4. Après une authentification multifacteur réussie, le flux d’approvisionnement demande à l’utilisateur à créer et de valider un code confidentiel. Ce code confidentiel doit respecter toutes les stratégies de complexité du code confidentiel configurées sur l’appareil
5. Le reste de l’approvisionnement inclut la demande, par Windows Hello Entreprise, d'une paire de clés asymétriques pour l’utilisateur, de préférence à partir du module TPM (ou requis si définie explicitement via la stratégie). Une fois la paire de clés acquise, Windows communique avec le fournisseur d’identité pour inscrire la clé publique. Une fois l’inscription de clé terminée, l’approvisionnement de Windows Hello Entreprise informe l’utilisateur qu’il peut utiliser son code confidentiel pour se connecter. L’utilisateur peut fermer l’application d’approvisionnement et accéder à son bureau

Diagrammes de séquence

Pour mieux comprendre les flux d’approvisionnement, passez en revue les diagrammes de séquence suivants en fonction du type d’authentification :

• Provisionnement d’appareils joints à Microsoft Entra avec authentification managée
• Provisionnement d’appareils joints à Microsoft Entra avec authentification fédérée

Pour mieux comprendre les flux d’authentification, consultez le diagramme de séquence suivant :

• Joindre l’authentification Microsoft Entra à l’ID Microsoft Entra

Désactiver l’inscription automatique

Si vous souhaitez désactiver l’inscription automatique de Windows Hello Entreprise, vous pouvez configurer vos appareils avec un paramètre de stratégie ou une clé de Registre. Pour plus d’informations, consultez Désactiver l’inscription à Windows Hello Entreprise.

Remarque

Pendant le flux OOBE (out-of-box experience) d’une jointure Microsoft Entra, vous êtes guidé pour vous inscrire à Windows Hello Entreprise quand vous n’avez pas Intune. Vous pouvez annuler l’écran du code confidentiel et accéder au bureau sans vous inscrire dans Windows Hello Entreprise.