Questions courantes sur Windows Hello Entreprise

Windows Hello Entreprise remplace la connexion par mot de passe par une authentification forte, à l’aide d’une paire de clés asymétriques. Cet article forum aux questions (FAQ) est destiné à vous aider à en savoir plus sur Windows Hello Entreprise.

Concepts

Quelle est la différence entre Windows Hello et Windows Hello Entreprise ?

Windows Hello représente l’infrastructure biométrique fournie dans Windows. Windows Hello permet aux utilisateurs d’utiliser la biométrie pour se connecter à leurs appareils en stockant en toute sécurité leur nom d’utilisateur et leur mot de passe et en les libérant à des fins d’authentification lorsque l’utilisateur s’identifie correctement à l’aide de la biométrie. Windows Hello Entreprise utilise des clés asymétriques protégées par le module de sécurité de l’appareil qui exige un mouvement de l’utilisateur (code confidentiel ou biométrie) pour l’authentification.

Pourquoi un code pin est préférable à un mot de passe en ligne

Trois raisons main :

  1. Un code confidentiel est lié à un appareil : une différence importante entre un mot de passe en ligne et un code CONFIDENTIEL Hello est que le code confidentiel est lié à l’appareil spécifique sur lequel il est configuré. Ce code confidentiel est parfaitement inutile sans ce matériel spécifique. Une personne qui obtient votre mot de passe en ligne peut se connecter à votre compte à partir de n’importe où, mais si elle obtient votre code confidentiel, elle doit également accéder à votre appareil. Le code pin ne peut pas être utilisé n’importe où, sauf sur cet appareil spécifique. Si vous souhaitez vous connecter sur plusieurs appareils, vous devez configurer Hello sur chaque appareil
  2. Un code pin est local sur l’appareil : un mot de passe en ligne est transmis au serveur. Le mot de passe peut être intercepté lors de la transmission ou obtenu à partir d’un serveur. Un code confidentiel est local sur l’appareil, il n’est jamais transmis n’importe où et il n’est pas stocké sur le serveur. Quand le code confidentiel est créé, il établit une relation de confiance avec le fournisseur d’identité et crée une paire de clés asymétriques utilisée pour l’authentification. Lorsque vous entrez votre code confidentiel, vous déverrouillez la clé d’authentification, qui est utilisée pour signer la demande envoyée au serveur d’authentification. Avec Windows Hello Entreprise, le code pin est une entropie fournie par l’utilisateur, utilisée pour charger la clé privée dans le module de plateforme sécurisée (TPM). Le serveur n’a pas de copie du code confidentiel. D’ailleurs, le client Windows n’a pas non plus de copie du code confidentiel actuel. L’utilisateur doit fournir l’entropie, la clé protégée par TPM et le module de plateforme sécurisée qui a généré cette clé pour pouvoir accéder correctement à la clé privée
  3. Un code confidentiel est soutenu par du matériel : le code pin Hello est soutenu par une puce de module de plateforme sécurisée (TPM), qui est un processeur de chiffrement sécurisé conçu pour effectuer des opérations de chiffrement. La puce comprend plusieurs mécanismes de sécurité physique qui la protègent contre la falsification, et les logiciels malveillants ne peuvent pas falsifier les fonctions de sécurité du TPM. Windows ne lie pas les mots de passe locaux au TPM. Par conséquent, les codes confidentiels sont considérés comme plus sécurisés que les mots de passe locaux. Le matériel de clé utilisateur est généré et disponible dans le module de plateforme sécurisée de l’appareil. Le module de plateforme sécurisée protège le matériel clé contre les attaquants qui souhaitent le capturer et le réutiliser. Étant donné que Hello utilise des paires de clés asymétriques, les informations d’identification des utilisateurs ne peuvent pas être volées dans les cas où le fournisseur d’identité ou les sites web auxquels l’utilisateur accède ont été compromis. Le module de plateforme sécurisée (TPM) protège contre diverses attaques connues et potentielles, notamment les attaques par force brute par code confidentiel. Après trop de suppositions incorrectes, l’appareil est verrouillé

L’instruction Un code pin est plus fort qu’un mot de passe n’est pas dirigé vers la puissance de l’entropie utilisée par le code confidentiel. Il s’agit de la différence entre fournir l’entropie et continuer l’utilisation d’une clé symétrique (le mot de passe). Le module de plateforme sécurisée (TPM) comporte des fonctionnalités anti-marteau qui contrecarrent les attaques par force brute (tentative continue d’un attaquant d’essayer toutes les combinaisons de codes confidentiels). Certaines organisations peuvent s’inquiéter du surf à l’épaule. Pour ces organisations, au lieu d’augmenter la complexité du code confidentiel, implémentez la fonctionnalité Déverrouillage multifacteur .

Que se passe-t-il si quelqu’un vole l’appareil ?

Pour compromettre un Windows Hello informations d’identification que le module TPM protège, un attaquant doit avoir accès à l’appareil physique. Ensuite, l’attaquant doit trouver un moyen d’usurper la biométrie de l’utilisateur ou de deviner le code confidentiel. Toutes ces actions doivent être effectuées avant que la protection anti-marteau TPM verrouille l’appareil.

Pourquoi un code confidentiel est-il nécessaire pour utiliser la biométrie ?

Windows Hello permet une connexion biométrique avec une empreinte digitale, un iris ou une reconnaissance faciale. Lorsque vous configurez Windows Hello, vous êtes invité à créer un code confidentiel après la configuration biométrique. Le code confidentiel vous permet de vous connecter lorsque vous ne pouvez pas utiliser vos données biométriques préférées en raison d’une blessure ou d’un capteur indisponible ou ne fonctionne pas correctement. Si vous aviez uniquement une connexion biométrique configurée et que, pour une raison quelconque, vous ne parvenez pas à utiliser cette méthode pour vous connecter, vous devrez vous connecter à l’aide de votre compte et de votre mot de passe, ce qui ne vous offre pas le même niveau de protection que Hello.

Comment les clés sont-elles protégées ?

Chaque fois que du matériel clé est généré, il doit être protégé contre les attaques. La meilleure façon de procéder consiste à utiliser un matériel dédié. Il existe une longue histoire d’utilisation de modules de sécurité matériels (HSM) pour générer, stocker et traiter des clés pour les applications critiques de sécurité. Les cartes à puce constituent un type spécial de HSM, comme les appareils compatibles avec la norme TPM de Trusted Computing Group. Dans la mesure du possible, l’implémentation Windows Hello Entreprise tire parti du matériel TPM intégré pour générer et protéger des clés. Les administrateurs peuvent choisir d’autoriser les opérations de clé dans les logiciels, mais il est recommandé d’utiliser du matériel TPM. Le module de plateforme sécurisée (TPM) protège contre diverses attaques connues et potentielles, notamment les attaques de force brute du code PIN. Le module de plateforme sécurisée (TPM) offre également une couche de protection supplémentaire après le verrouillage du compte. Lorsque le TPM a verrouillé le matériel de clé, l’utilisateur doit réinitialiser le code confidentiel (ce qui signifie que l’utilisateur devra utiliser l’authentification MFA pour se réauthentifier auprès du fournisseur d’identité avant que le fournisseur d’identité autorise la réinscription). La réinitialisation du code PIN suppose que toutes les clés et tous les certificats chiffrés avec l’ancien document de clé seront supprimés.

Comment la mise en cache des codes confidentiels fonctionne-t-elle avec Windows Hello Entreprise ?

Windows Hello Entreprise fournit une expérience utilisateur de mise en cache de code confidentiel à l’aide d’un système de tickets. Au lieu de mettre en cache un code confidentiel, les processus mettent en cache un ticket qu'ils peuvent utiliser pour demander des opérations de clé privée. Microsoft Entra ID et les clés de connexion Active Directory sont mises en cache sous verrouillage. Cela signifie que les clés restent disponibles pour une utilisation sans invite, tant que l’utilisateur est connecté de manière interactive. Les clés de connexion de compte Microsoft sont des clés transactionnelles, ce qui signifie que l’utilisateur est toujours invité lors de l’accès à la clé.

Windows Hello Entreprise utilisée en tant que carte intelligente (émulation intelligente carte activée par défaut) offre la même expérience utilisateur que la mise en cache des codes confidentiels smart carte par défaut. Chaque processus demandant une opération de clé privée invite l’utilisateur à entrer le code confidentiel lors de la première utilisation. Les opérations de clé privée suivantes n’invitent pas l’utilisateur à entrer le code confidentiel.

La fonctionnalité d’émulation de carte à puce de Windows Hello Entreprise vérifie le code confidentiel, puis annule le code confidentiel en échange d’un ticket. Le processus ne reçoit pas le code pin, mais plutôt le ticket qui lui accorde des opérations de clé privée. Il n’existe pas de paramètre de stratégie pour ajuster la mise en cache.

Où sont stockées Windows Hello données biométriques ?

Lorsque vous vous inscrivez dans Windows Hello, une représentation de votre biométrie, appelée profil d’inscription, est créée pour obtenir plus d’informations sur Windows Hello’authentification faciale. Ces données biométriques de profil d’inscription sont spécifiques à l’appareil, sont stockées localement sur l’appareil et ne quittent pas l’appareil ou ne sont pas itinérantes avec l’utilisateur. Certains capteurs d’empreintes digitales externes stockent des données biométriques sur le module d’empreinte digitale lui-même plutôt que sur un appareil Windows. Même dans ce cas, les données biométriques sont stockées localement sur ces modules, sont spécifiques à l’appareil, ne sont pas itinérantes, ne quittent jamais le module et ne sont jamais envoyées au cloud Microsoft ou au serveur externe. Pour plus d’informations, consultez Windows Hello biométrie dans l’entreprise.

Quel est le format utilisé pour stocker Windows Hello données biométriques sur l’appareil ?

Windows Hello données biométriques sont stockées sur l’appareil en tant que base de données de modèle chiffrée. Les données du capteur biométrique (comme l’appareil photo ou le lecteur d’empreintes digitales) créent une représentation des données (ou graphe) qui est ensuite chiffrée avant d’être stockée sur l’appareil. Chaque capteur biométrique sur l’appareil utilisé par Windows Hello (visage ou empreinte digitale) aura son propre fichier de base de données biométrique où sont stockées les données du modèle. Chaque fichier de base de données biométrique est chiffré avec une clé unique générée de manière aléatoire qui est chiffrée sur le système à l’aide du chiffrement AES produisant un hachage SHA256.

Qui a accès aux données biométriques Windows Hello ?

Étant donné que Windows Hello données biométriques sont stockées dans un format chiffré, aucun utilisateur ou processus autre que Windows Hello n’y a accès.

Quand Windows Hello fichier de base de données biométrique est-il créé ? Comment un utilisateur est-il inscrit à Windows Hello’authentification par visage ou par empreinte digitale ?

Windows Hello fichier de base de données de modèle de biométrie est créé sur l’appareil uniquement lorsqu’un utilisateur est inscrit à Windows Hello’authentification biométrique. Un administrateur informatique peut configurer des paramètres de stratégie, mais c’est toujours le choix d’un utilisateur s’il souhaite utiliser la biométrie ou le code confidentiel. Les utilisateurs peuvent case activée leur inscription actuelle dans Windows Hello biométrie en accédant aux options de connexion sur leur appareil. Accédez à Démarrer > paramètres Comptes >> Options de connexion . Si vous ne voyez pas Windows Hello dans les options de connexion, il est possible qu’il ne soit pas disponible pour votre appareil ou bloqué par l’administrateur via une stratégie. Les administrateurs peuvent demander aux utilisateurs de s’inscrire à Windows Hello pendant Autopilot ou pendant la configuration initiale de l’appareil. Les administrateurs peuvent interdire aux utilisateurs de s’inscrire à la biométrie via des configurations de stratégie Windows Hello Entreprise. Toutefois, lorsqu’elle est autorisée via des configurations de stratégie, l’inscription à Windows Hello biométrie est toujours facultative pour les utilisateurs.

Quand Windows Hello fichier de base de données biométrique est-il supprimé ? Comment un utilisateur peut-il être désinscrit de Windows Hello’authentification par visage ou par empreinte digitale ?

Pour supprimer Windows Hello et toutes les données d’identification biométrique associées de l’appareil, ouvrez les options de connexion des paramètres > de démarrage > comptes>. Sélectionnez la méthode d’authentification biométrique Windows Hello que vous souhaitez supprimer, puis sélectionnez Supprimer. L’action annule l’inscription de Windows Hello l’authentification biométrique et supprime le fichier de base de données de modèle de biométrie associé. Pour plus d’informations, consultez Options de connexion Windows et protection des comptes (microsoft.com).

Gestion et opérations

Puis-je déployer et gérer Windows Hello Entreprise à l’aide de Microsoft Configuration Manager ?

À compter de Configuration Manager, version 2203, les déploiements Windows Hello Entreprise à l’aide de Configuration Manager ne sont plus pris en charge.

Comment faire supprimer un conteneur Windows Hello Entreprise sur un appareil ?

Vous pouvez supprimer le conteneur Windows Hello Entreprise en exécutant la commande certutil.exe -deleteHelloContainer.

Que se passe-t-il lorsqu’un utilisateur oublie son code confidentiel ?

Si l’utilisateur peut se connecter avec un mot de passe, il peut réinitialiser son code confidentiel en sélectionnant le lien J’ai oublié mon code confidentiel dans l’application Paramètres ou à partir de l’écran de verrouillage, en sélectionnant le lien J’ai oublié mon code confidentiel sur le fournisseur d’informations d’identification du code confidentiel.

Pour les déploiements locaux, les appareils doivent être connectés à leur réseau local (contrôleurs de domaine et/ou autorité de certification) pour réinitialiser leurs codes confidentiels. Les déploiements hybrides peuvent intégrer leur locataire Microsoft Entra pour utiliser le service de réinitialisation du code confidentiel Windows Hello Entreprise pour réinitialiser leurs codes confidentiels. La réinitialisation non destructrice du code confidentiel fonctionne sans accès au réseau d’entreprise. La réinitialisation destructrice du code confidentiel nécessite l’accès au réseau d’entreprise. Pour plus d’informations sur la réinitialisation destructrice et non destructrice du code pin, consultez Réinitialisation du code confidentiel.

Windows Hello Entreprise empêche-t-il l'utilisation de codes confidentiels simples ?

Oui. Notre algorithme de code confidentiel simple recherche et interdit tout code confidentiel ayant un delta constant d'un chiffre à l'autre. L’algorithme compte le nombre d’étapes nécessaires pour atteindre le chiffre suivant, en débordant à 10 (« zéro »). Par exemple :

  • Le code PIN 1111 a un delta constant de (0,0,0), il n’est donc pas autorisé
  • Le code PIN 1234 a un delta constant de (1,1,1), il n’est donc pas autorisé
  • Le code PIN 1357 a un delta constant de (2,2,2), il n’est donc pas autorisé
  • Le code PIN 9630 a un delta constant de (7,7,7), il n’est donc pas autorisé
  • Le code PIN 1593 a un delta constant de (4,4,4), il n’est donc pas autorisé
  • Le code PIN 7036 a un delta constant de (3,3,3), il n’est donc pas autorisé
  • Le code CONFIDENTIEL 1231 n’a pas de delta constant (1,1,2), il est donc autorisé
  • Le code PIN 1872 n’a pas de delta constant (7,9,5), il est donc autorisé

Cette case activée empêche les nombres répétés, les nombres séquentiels et les modèles simples. Il en résulte toujours une liste de 100 codes confidentiels non autorisés (indépendamment de la longueur du code confidentiel). Cet algorithme ne s’applique pas aux codes confidentiels alphanumériques.

Quelles données de diagnostic sont collectées lorsque Windows Hello Entreprise est activé ?

Pour aider Microsoft à maintenir le bon fonctionnement, pour aider à détecter et prévenir la fraude, et pour continuer à améliorer Windows Hello, les données de diagnostic sur la façon dont les utilisateurs utilisent Windows Hello sont collectées. Par exemple :

  • Données indiquant si les personnes se connectent avec leur visage, leur iris, leur empreinte digitale ou leur code confidentiel
  • Nombre de fois où ils l’utilisent
  • Que cela fonctionne ou non Tout cela est une information précieuse qui aide Microsoft à créer un meilleur produit. Les données sont pseudonymes, n’incluent pas d’informations biométriques et sont chiffrées avant d’être transmises à Microsoft. Vous pouvez choisir d’arrêter d’envoyer des données de diagnostic à Microsoft à tout moment. En savoir plus sur les données de diagnostic dans Windows.

Puis-je désactiver le code confidentiel pendant l’utilisation de Windows Hello Entreprise ?

Non. L'abandon des mots de passe s’effectue en réduisant progressivement l’utilisation du mot de passe. Dans les situations où vous ne pouvez pas vous authentifier à l’aide de la biométrie, vous avez besoin d’un mécanisme de secours qui n’est pas un mot de passe. Le code pin est le mécanisme de secours. La désactivation ou le masquage du fournisseur d’informations d’identification pin désactive l’utilisation de la biométrie.

Que se passe-t-il lorsqu’un utilisateur non autorisé prend possession d’un appareil inscrit dans Windows Hello Entreprise ?

L’utilisateur non autorisé ne pourra pas utiliser d’options biométriques et aura la seule option pour entrer un code confidentiel.

Si l’utilisateur tente de déverrouiller l’appareil en entrant des codes confidentiels aléatoires, après trois tentatives infructueuses, le fournisseur d’informations d’identification affiche le message suivant : Vous avez entré un code confidentiel incorrect plusieurs fois. Pour réessayer, entrez A1B2C3 ci-dessous. Lors de la saisie de l’expression de défi A1B2C3, l’utilisateur aura une occasion supplémentaire d’entrer le code confidentiel. En cas d’échec, le fournisseur est désactivé, laissant à l’utilisateur la seule option de redémarrer l’appareil. Après le redémarrage, le modèle ci-dessus se répète.

Si les tentatives infructueuses se poursuivent, l’appareil entre dans un état de verrouillage, qui dure 1 minute après le premier redémarrage, 2 minutes après le quatrième redémarrage et 10 minutes après le cinquième redémarrage. La durée de chaque verrouillage augmente en conséquence. Ce comportement est le résultat de la fonctionnalité anti-marteau de TPM 2.0. Pour plus d’informations sur la fonctionnalité anti-marteau TPM, consultez Anti-hammering TPM 2.0.

Conception et planification

Les Windows Hello Entreprise peuvent-elles fonctionner dans des environnements aérés ?

Oui. Vous pouvez utiliser le déploiement Windows Hello Entreprise local et le combiner avec un fournisseur d’authentification multifacteur tiers qui ne nécessite pas de connectivité Internet pour obtenir un déploiement Windows Hello Entreprise avec air-gapped.

Combien d’utilisateurs peuvent s’inscrire pour Windows Hello Entreprise sur un seul appareil Windows ?

Le nombre maximal d’inscriptions prises en charge sur un seul appareil est de 10. Cela permet à 10 utilisateurs d’inscrire chacun leur visage et jusqu’à 10 empreintes digitales. Pour les appareils avec plus de 10 utilisateurs ou pour les utilisateurs qui se connectent à de nombreux appareils (par exemple, un technicien de support), il est recommandé d’utiliser des clés de sécurité FIDO2.

J’ai étendu Active Directory à Microsoft Entra ID. Puis-je utiliser le modèle de déploiement local ?

Non. Si votre organization utilise des services cloud Microsoft, vous devez utiliser un modèle de déploiement hybride. Les déploiements locaux sont exclusifs aux organisations qui ont besoin de plus de temps avant de passer au cloud et d’utiliser exclusivement Active Directory.

Quels attributs sont synchronisés par Microsoft Entra Connect avec Windows Hello Entreprise ?

Consultez Microsoft Entra Connect Sync : Attributs synchronisés avec Microsoft Entra ID pour obtenir la liste des attributs qui se synchronisent en fonction de scénarios. Les scénarios de base qui incluent Windows Hello Entreprise sont le scénario Windows 10 et le scénario d’écriture différée de l’appareil. Votre environnement peut inclure d’autres attributs.

Puis-je utiliser des fournisseurs MFA tiers avec Windows Hello Entreprise ?

Oui, si vous utilisez un déploiement hybride fédéré, vous pouvez utiliser n’importe quel tiers qui fournit un adaptateur MFA AD FS. Vous trouverez ici la liste des adaptateurs MFA tiers.

Est-ce que Windows Hello Entreprise fonctionne avec des serveurs de fédération tiers ?

Windows Hello Entreprise fonctionne avec tous les serveurs de fédération tiers qui prennent en charge les protocoles utilisés pendant l’expérience d’approvisionnement.

Protocole Description
[MS-KPP] : Protocole d’approvisionnement de clé Spécifie le protocole d’approvisionnement de clé, lequel définit un mécanisme permettant à un client d’inscrire un ensemble de clés de chiffrement sur une paire utilisateur/appareil.
[MS-OAPX] : Extensions du protocole OAuth 2.0 Spécifie les extensions du protocole OAuth 2.0, lesquelles sont utilisées pour étendre l’infrastructure d’autorisation OAuth 2.0. Ces extensions activent des fonctionnalités d’autorisation telles que la spécification des ressources, les identificateurs de requête et les indicateurs de connexion.
[MS-OAPXBC] : Extensions du protocole OAuth 2.0 pour les clients du service Broker Spécifie les extensions de protocole OAuth 2.0 pour les clients Broker, extensions pour RFC6749 (l’infrastructure d’autorisation OAuth 2.0) qui permettent à un client broker d’obtenir des jetons d’accès pour le compte des clients appelants.
[MS-OIDCE] : Extensions du protocole OpenID Connect 1.0 Spécifie les extensions du protocole OpenID Connect 1.0. Ces extensions définissent d’autres revendications pour contenir des informations sur l’utilisateur, notamment le nom d’utilisateur principal, un identificateur unique localement, une heure d’expiration du mot de passe et une URL pour la modification du mot de passe. Ces extensions définissent également davantage de métadonnées de fournisseur qui permettent la découverte de l’émetteur des jetons d’accès et fournissent des informations supplémentaires sur les fonctionnalités du fournisseur.

Puis-je inscrire des comptes Windows locaux dans Windows Hello Entreprise ?

Windows Hello Entreprise n’est pas conçu pour fonctionner avec des comptes locaux.

Quelles sont les exigences biométriques pour Windows Hello Entreprise ?

Puis-je porter un masque pour m’inscrire ou le déverrouiller à l’aide de l’authentification Windows Hello visage ?

Le port d’un masque à inscrire est un problème de sécurité, car d’autres utilisateurs portant un masque similaire peuvent être en mesure de déverrouiller votre appareil. Supprimez un masque si vous en portez un lors de l’inscription ou du déverrouillage avec Windows Hello’authentification faciale. Si votre environnement de travail ne vous permet pas de supprimer temporairement un masque, envisagez de vous désinscrire de l’authentification faciale et d’utiliser uniquement un code confidentiel ou une empreinte digitale.

Comment fonctionne Windows Hello Entreprise avec Microsoft Entra appareils inscrits ?

Un utilisateur est invité à configurer une clé Windows Hello Entreprise sur un Microsoft Entra appareils inscrits si la fonctionnalité est activée par la stratégie. Si l’utilisateur dispose d’un conteneur Windows Hello existant, la clé Windows Hello Entreprise est inscrite dans ce conteneur et protégée à l’aide de mouvements existants.

Si un utilisateur s’est connecté à son appareil Microsoft Entra inscrit avec Windows Hello, sa clé de Windows Hello Entreprise est utilisée pour authentifier l’identité professionnelle de l’utilisateur lorsqu’il tente d’utiliser Microsoft Entra ressources. La clé Windows Hello Entreprise répond à Microsoft Entra exigences de l’authentification multifacteur (MFA) et réduit le nombre d’invites MFA que les utilisateurs verront lors de l’accès aux ressources.

Il est possible d’inscrire Microsoft Entra un appareil joint à un domaine. Si l’appareil joint au domaine a un code confidentiel pratique, la connexion avec le code confidentiel pratique ne fonctionnera plus. Cette configuration n’est pas prise en charge par Windows Hello Entreprise.

Pour plus d’informations, consultez Microsoft Entra appareils inscrits.

Est-ce que Windows Hello Entreprise fonctionne avec des systèmes d’exploitation autres que Windows ?

Windows Hello Entreprise est une fonctionnalité de la plateforme Windows.

Est-ce que Windows Hello Entreprise fonctionne avec Microsoft Entra Domain Services clients ?

Non, Microsoft Entra Domain Services est un environnement géré séparément dans Azure, et l’inscription d’appareils hybrides avec des Microsoft Entra ID cloud n’est pas disponible via Microsoft Entra Connect. Par conséquent, Windows Hello Entreprise ne fonctionne pas avec Microsoft Entra Domain Services.

Est-Windows Hello Entreprise considérée comme une authentification multifacteur ?

Windows Hello Entreprise est l’authentification à deux facteurs basée sur les facteurs d’authentification observés de : quelque chose que vous avez, quelque chose que vous connaissez et quelque chose qui fait partie de vous. Windows Hello Entreprise intègre deux de ces facteurs : « élément dont vous disposez (la clé privée de l’utilisateur protégée par le module de sécurité de l’appareil) et « informations que vous connaissez » (votre code confidentiel). Avec le matériel approprié, vous pouvez améliorer l’expérience utilisateur en introduisant la biométrie. En utilisant la biométrie, vous pouvez remplacer le facteur d’authentification « quelque chose que vous connaissez » par le facteur « quelque chose qui fait partie de vous », avec l’assurance que les utilisateurs peuvent revenir au facteur « quelque chose que vous connaissez ».

Remarque

La clé Windows Hello Entreprise répond à Microsoft Entra exigences de l’authentification multifacteur (MFA) et réduit le nombre d’invites MFA que les utilisateurs verront lors de l’accès aux ressources. Pour plus d’informations, consultez Qu’est-ce qu’un jeton d’actualisation principal ?

Quel est le meilleur ou le plus sécurisé pour l’authentification, la clé ou le certificat ?

Les deux types d’authentification offrent la même sécurité ; l’un n’est pas plus sûr que l’autre. Les modèles d’approbation de votre déploiement déterminent la façon dont vous vous authentifiez auprès d’Active Directory. L’approbation de clé et l’approbation de certificat utilisent les mêmes informations d’identification matérielles à deux facteurs. La différence entre les deux types d’approbation est l’émission de certificats d’entité finale :

  • Le modèle d’approbation de clé s’authentifie auprès d’Active Directory à l’aide d’une clé brute. L’approbation de clé ne nécessite pas de certificat émis par l’entreprise. Par conséquent, vous n’avez pas besoin d’émettre de certificats aux utilisateurs (les certificats de contrôleur de domaine sont toujours nécessaires)
  • Le modèle d’approbation de certificat s’authentifie auprès d’Active Directory à l’aide d’un certificat. Par conséquent, vous devez émettre des certificats aux utilisateurs. Le certificat utilisé dans l’approbation de certificat utilise la clé privée protégée par TPM pour demander un certificat à l’autorité de certification émettrice de votre entreprise

Qu’est-ce que le code pin pratique ?

Le code PIN pratique offre un moyen plus simple de se connecter à Windows que les mots de passe, mais il utilise toujours un mot de passe pour l’authentification. Lorsque le code confidentiel pratique approprié est fourni à Windows, les informations de mot de passe sont chargées à partir de son cache et authentifient l’utilisateur. Les organisations qui utilisent des codes confidentiels pratiques doivent passer à Windows Hello Entreprise. Les nouveaux déploiements Windows doivent déployer des codes confidentiels Windows Hello Entreprise et non pratiques.

Puis-je utiliser un code confidentiel pratique avec Microsoft Entra ID ?

Non. Bien qu’il soit possible de définir un code confidentiel pratique sur Microsoft Entra appareils joints et Microsoft Entra joints hybrides, le code pin pratique n’est pas pris en charge pour les comptes d’utilisateur Microsoft Entra (y compris les identités synchronisées). Le code CONFIDENTIEL pratique est pris en charge uniquement pour les utilisateurs Active Directory local et les utilisateurs de compte local.

Qu’en est-il des cartes à puce virtuelles ?

Windows Hello Entreprise est l’authentification à deux facteurs moderne pour Windows. Les clients qui utilisent des cartes à puce virtuelles sont vivement encouragés à passer à Windows Hello Entreprise.

Quelles URL dois-je autoriser pour un déploiement hybride ?

Pour obtenir la liste des URL requises, voir Microsoft 365 Common et Office Online.

Si votre environnement utilise Microsoft Intune, consultez Points de terminaison réseau pour Microsoft Intune.

Fonctionnalités

Puis-je utiliser une caméra externe Windows Hello compatible lorsque mon ordinateur dispose d’une caméra intégrée Windows Hello compatible ?

Oui, vous pouvez utiliser une caméra externe Windows Hello compatible si un appareil dispose d’une caméra Windows Hello interne. Lorsque les deux caméras sont présentes, la caméra externe est utilisée pour l’authentification des visages. Pour plus d’informations, consultez l’articleOutils informatiques pour prendre en charge la version 21H1 de Windows 10. Si ESS est activé, consultez Windows Hello sécurité de connexion renforcée.

Puis-je utiliser un appareil photo externe Windows Hello compatible ou un autre accessoire compatible Windows Hello lorsque le couvercle de mon ordinateur portable est fermé ou ancré ?

Certains ordinateurs portables et tablettes avec claviers qui se ferment peuvent ne pas utiliser un appareil photo externe Windows Hello compatible ou d’autres Windows Hello accessoire compatible lorsque l’ordinateur est ancré avec le couvercle fermé. Le problème a été résolu dans Windows 11, version 22H2.

Puis-je utiliser les informations d’identification Windows Hello Entreprise en mode navigateur privé ou « incognito » ?

Windows Hello Entreprise informations d’identification doivent accéder à l’état de l’appareil, qui n’est pas disponible en mode navigateur privé ou en mode incognito. Par conséquent, il ne peut pas être utilisé dans un navigateur privé ou en mode incognito.

Puis-je utiliser à la fois un code confidentiel et des données biométriques pour déverrouiller mon appareil ?

Vous pouvez utiliser le déverrouillage multifacteur pour demander aux utilisateurs de fournir un facteur supplémentaire pour déverrouiller leur appareil. L’authentification reste à deux facteurs, mais un autre facteur est requis avant que Windows ne permette à l’utilisateur d’accéder au bureau. Pour plus d’informations, consultez Déverrouillage multifacteur.

Approbation Kerberos cloud

Qu’est-ce que Windows Hello Entreprise’approbation Kerberos cloud ?

Windows Hello Entreprise confiance Kerberos cloud est un modèle d’approbation qui permet Windows Hello Entreprise déploiement à l’aide de l’infrastructure introduite pour prendre en charge la connexion par clé de sécurité sur Microsoft Entra appareils joints hybrides et l’accès aux ressources locales sur Microsoft Entra appareils joints. L’approbation Kerberos cloud est le modèle de déploiement préféré si vous n’avez pas besoin de prendre en charge les scénarios d’authentification par certificat. Pour plus d’informations, consultez Déploiement d’approbation Kerberos cloud.

L’approbation Kerberos Windows Hello Entreprise cloud fonctionne-t-elle dans mon environnement local ?

Cette fonctionnalité ne fonctionne pas dans un environnement de services de domaine AD local pur.

L’approbation Kerberos Windows Hello Entreprise cloud fonctionne-t-elle dans une connexion Windows avec rodc présent dans l’environnement hybride ?

Windows Hello Entreprise’approbation Kerberos cloud recherche un contrôleur de domaine accessible en écriture pour échanger le TGT partiel. Tant que vous disposez d’au moins un contrôleur de domaine accessible en écriture par site, la connexion avec l’approbation Kerberos cloud fonctionne.

Ai-je besoin d’une visibilité directe sur un contrôleur de domaine pour utiliser Windows Hello Entreprise confiance Kerberos cloud ?

Windows Hello Entreprise’approbation Kerberos cloud nécessite une visibilité directe sur un contrôleur de domaine dans les cas suivants :

  • un utilisateur se connecte pour la première fois ou se déverrouille avec Windows Hello Entreprise après l’approvisionnement
  • tentative d’accès aux ressources locales sécurisées par Active Directory

Puis-je utiliser RDP/VDI avec Windows Hello Entreprise confiance Kerberos cloud ?

Windows Hello Entreprise confiance Kerberos cloud ne peut pas être utilisée comme informations d’identification fournies avec RDP/VDI. Comme pour l’approbation de clé, l’approbation Kerberos cloud peut être utilisée pour RDP si un certificat est inscrit dans Windows Hello Entreprise à cet effet. En guise d’alternative, envisagez d’utiliser Remote Credential Guard , qui n’a pas besoin de déployer des certificats.

Tous mes contrôleurs de domaine doivent-ils être entièrement corrigés conformément aux conditions préalables pour que j’utilise Windows Hello Entreprise confiance Kerberos cloud ?

Non, uniquement le nombre nécessaire pour gérer la charge à partir de tous les appareils d’approbation Kerberos cloud.

Approbation de clé

Pourquoi l’authentification échoue-t-elle immédiatement après l’approvisionnement de l’approbation de clé hybride ?

Dans un déploiement hybride, la clé publique d’un utilisateur doit être synchronisée entre Microsoft Entra ID et Active Directory avant de pouvoir être utilisée pour s’authentifier auprès d’un contrôleur de domaine. Cette synchronisation est gérée par Microsoft Entra Connect et se produit pendant un cycle de synchronisation normal.

Puis-je utiliser Windows Hello Entreprise’approbation de clé et RDP ?

Le protocole RDP (Remote Desktop Protocol) ne prend pas en charge l’utilisation de l’authentification par clé comme informations d’identification fournies. Toutefois, vous pouvez déployer des certificats dans le modèle d’approbation de clé pour activer le protocole RDP. Pour plus d’informations, consultez Déploiement de certificats sur des utilisateurs d’approbation de clé pour activer RDP. En guise d’alternative, envisagez d’utiliser Remote Credential Guard , qui n’a pas besoin de déployer des certificats.