Configurer l’authentification unique pour Microsoft Entra appareils joints

Cet article décrit Windows Hello Entreprise fonctionnalités ou scénarios qui s’appliquent à :

Windows Hello Entreprise combinée à Microsoft Entra appareils joints permet aux utilisateurs d’accéder en toute sécurité aux ressources cloud à l’aide d’informations d’identification fortes à deux facteurs. À mesure que les organisations effectuent la transition des ressources vers le cloud, certaines ressources peuvent rester locales et Microsoft Entra appareils joints peuvent avoir besoin d’y accéder. Avec des configurations supplémentaires pour le déploiement hybride, vous pouvez fournir l’authentification unique aux ressources locales pour Microsoft Entra appareils joints à l’aide de Windows Hello Entreprise, à l’aide d’une clé ou d’un certificat.

Remarque

Ces étapes ne sont pas nécessaires lors de l’utilisation du modèle d’approbation Kerberos cloud.

Conditions préalables

Contrairement à Microsoft Entra appareils joints hybrides, Microsoft Entra appareils joints n’ont pas de relation avec votre domaine Active Directory. Ce facteur change la façon dont les utilisateurs s’authentifient auprès d’Active Directory. Validez les configurations suivantes pour vous assurer qu’elles prennent en charge Microsoft Entra appareils joints :

  • Point de distribution de liste de révocation de certificats (CRL)
  • Certificats de contrôleur de domaine
  • Infrastructure réseau en place pour atteindre les contrôleurs de domaine locaux. Si les machines sont externes, vous pouvez utiliser n’importe quelle solution VPN

Point de distribution CRL (CDP)

Les certificats émis par une autorité de certification peuvent être révoqués. Lorsqu’une autorité de certification révoque un certificat, elle écrit des informations sur le certificat dans une liste de révocation de certificats (CRL).
Lors de la validation du certificat, Windows compare le certificat actuel avec les informations contenues dans la liste de révocation de certificats pour déterminer si le certificat est valide.

Capture d’écran de la propriété CDP d’un certificat.

Dans la capture d’écran, la propriété CDP du certificat de contrôleur de domaine montre un chemin LDAP. L’utilisation d’Active Directory pour les appareils joints au domaine fournit un point de distribution hautement disponible. Toutefois, Microsoft Entra appareils joints ne peuvent pas lire les données à partir d’Active Directory, et la validation de certificat ne permet pas de s’authentifier avant de lire la liste de révocation de certificats. L’authentification devient un problème circulaire : l’utilisateur tente de s’authentifier, mais doit lire Active Directory pour terminer l’authentification, mais l’utilisateur ne peut pas lire Active Directory car il ne s’est pas authentifié.

Pour résoudre ce problème, le point de distribution de liste de révocation de certificats doit être un emplacement accessible par Microsoft Entra appareils joints qui ne nécessitent pas d’authentification. La solution la plus simple consiste à publier le point de distribution de liste de révocation de certificats sur un serveur web qui utilise HTTP (et non HTTPs).

Si votre point de distribution de liste de révocation de certificats ne répertorie pas de point de distribution HTTP, vous devez reconfigurer l’autorité de certification émettrice pour inclure un point de distribution de liste de révocation de certificats HTTP, de préférence en premier, dans la liste des points de distribution.

Remarque

Si votre autorité de certification a publié à la fois la liste de révocation de certificats de base et la liste de révocation de certificats Delta, veillez à publier la liste de révocation de certificats Delta dans le chemin HTTP. Incluez le serveur web pour récupérer la liste de révocation de certificats Delta en autorisant la double échappement dans le serveur web (IIS).

Certificats de contrôleur de domaine

Les autorités de certification écrivent les informations CDP dans les certificats au fur et à mesure qu’elles sont émises. Si le point de distribution change, les certificats précédemment émis doivent être réédités pour que l’autorité de certification inclue le nouveau CDP. Le certificat de contrôleur de domaine est l’un des composants critiques des appareils joints Microsoft Entra qui s’authentifient auprès d’Active Directory.

Pourquoi Windows a-t-il besoin de valider le certificat du contrôleur de domaine ?

Windows Hello Entreprise applique la fonctionnalité de sécurité de validation KDC stricte lors de l’authentification d’un appareil Microsoft Entra joint à un domaine. Cette application impose des critères plus restrictifs qui doivent être remplis par le centre de distribution de clés (KDC). Lors de l’authentification à l’aide de Windows Hello Entreprise sur un appareil joint Microsoft Entra, le client Windows valide la réponse du contrôleur de domaine en s’assurant que toutes les conditions suivantes sont remplies :

  • Le contrôleur de domaine dispose de la clé privée pour le certificat fourni
  • L’autorité de certification racine qui a émis le certificat du contrôleur de domaine se trouve dans les autorités de certification racines de confiance de l’appareil
  • Utiliser le modèle de certificat d’authentification Kerberos au lieu d’un autre modèle plus ancien
  • Le certificat du contrôleur de domaine a l’utilisation étendue de la clé (EKU) de l’authentification KDC
  • L’autre nom d’objet du certificat du contrôleur de domaine a un nom DNS qui correspond au nom du domaine
  • L’algorithme de hachage de signature du certificat du contrôleur de domaine est sha256
  • La clé publique du certificat du contrôleur de domaine est RSA (2 048 bits)

Important

L’authentification à partir d’un Microsoft Entra appareil joint hybride à un domaine à l’aide de Windows Hello Entreprise n’impose pas que le certificat de contrôleur de domaine inclut la référence EKU d’authentification KDC. Si vous ajoutez Microsoft Entra appareils joints à un environnement de domaine existant, veillez à vérifier que votre certificat de contrôleur de domaine a été mis à jour pour inclure la référence EKU d’authentification KDC.

Configurer un point de distribution de liste de révocation de certificats pour une autorité de certification émettrice

Utilisez cet ensemble de procédures pour mettre à jour l’autorité de certification qui émet des certificats de contrôleur de domaine afin d’inclure un point de distribution de liste de révocation de certificats http.

Configurer Internet Information Services pour héberger le point de distribution de liste de révocation de certificats

Vous devez héberger votre nouvelle liste de révocation de certificats sur un serveur web afin que Microsoft Entra appareils joints puissent facilement valider les certificats sans authentification. Vous pouvez héberger ces fichiers sur des serveurs web de plusieurs manières. Les étapes suivantes ne sont qu’une et peuvent être utiles pour les administrateurs qui ne connaissent pas l’ajout d’un nouveau point de distribution de liste de révocation de certificats.

Important

Ne configurez pas le serveur IIS hébergeant votre point de distribution de liste de révocation de certificats pour utiliser HTTPS ou un certificat d’authentification serveur. Les clients doivent accéder au point de distribution à l’aide de http.

Installer le serveur web

  1. Connectez-vous à votre serveur en tant qu’administrateur local et démarrez Gestionnaire de serveur s’il n’a pas démarré pendant votre connexion
  2. Sélectionnez le nœud Serveur local dans le volet de navigation. Sélectionnez Gérer, puis Ajouter des rôles et des fonctionnalités.
  3. Dans l’Assistant Ajout d’un rôle et de fonctionnalités, sélectionnez Sélection du serveur. Vérifiez que le serveur sélectionné est bien le serveur local. Sélectionnez Rôles de serveur. Sélectionnez la zone case activée en regard de Serveur web (IIS)
  4. Sélectionnez Suivant dans les options restantes de l’Assistant, en acceptant les valeurs par défaut, puis installez le rôle Serveur web.

Configurer le serveur web

  1. À partir des Outils d’administration Windows, ouvrez le Gestionnaire des services Internet (IIS)

  2. Développer le volet de navigation pour afficher Site web par défaut. Sélectionnez, puis cliquez avec le bouton droit sur Site web par défaut , puis sélectionnez Ajouter un répertoire virtuel...

  3. Dans la boîte de dialogue Ajouter un répertoire virtuel, tapez cdp dans alias. Pour le chemin d’accès physique, tapez ou recherchez l’emplacement du fichier physique où vous allez héberger la liste de révocation de certificats. Pour cet exemple, le chemin d’accès c:\cdp est utilisé. Sélectionnez OKAjouter un répertoire virtuel.

    Remarque

    Prenez note de ce chemin d’accès, car vous utiliserez celui-ci ultérieurement pour configurer les autorisations de partage et de fichier.

  4. Sélectionnez CDP sous Site web par défaut dans le volet de navigation. Ouvrez La navigation dans l’annuaire dans le volet de contenu. Sélectionnez Activer dans le volet d’informations.

  5. Sélectionnez CDP sous Site web par défaut dans le volet de navigation. Ouvrir le Rédacteur de configuration

  6. Dans la liste Section, accédez à system.webServer/security/requestFilteringIIS Configuration Rédacteur requestFiltering.

  7. Dans la liste des paires de valeurs nommées du volet de contenu, configurez allowDoubleEscaping sur True. Sélectionnez Appliquer dans le volet Actions Configuration IIS Rédacteur double échappement.

  8. Fermer le Gestionnaire des services Internet (IIS)

Créer un enregistrement de ressource DNS pour l’URL du point de distribution de liste de révocation de certificats

  1. Sur votre serveur DNS ou à partir d’une station de travail d’administration, ouvrez le Gestionnaire DNS à partir des outils d’administration
  2. Développez ls Zones de recherche directe pour afficher la zone DNS de votre domaine. Cliquez avec le bouton droit sur votre nom de domaine dans le volet de navigation, puis sélectionnez Nouvel hôte (A ou AAAA)...
  3. Dans la boîte de dialogue Nouvel hôte, tapez crl dans Nom. Tapez l’adresse IP du serveur web que vous avez configuré dans Adresse IP. Sélectionnez Ajouter un hôte. Sélectionnez OK pour fermer la boîte de dialogue DNS . Sélectionnez TerminéCreate’enregistrement de l’hôte DNS.
  4. Fermer le Gestionnaire DNS

Préparer un partage de fichiers pour héberger la liste de révocation de certificats

Ces procédures configurent NTFS et les autorisations de partage sur le serveur web afin de permettre aux autorités de certification de publier automatiquement la liste de révocation de certificats.

Configurez le partage de fichiers point de distribution de la liste de révocation de certificats.

  1. Sur le serveur web, ouvrez Windows Explorer et accédez au dossier cdp que vous avez créé à l’étape 3 de Configurer le serveur web.
  2. Cliquez avec le bouton droit sur le dossier cdp et sélectionnez Propriétés. Sélectionnez l’onglet Partage . Sélectionnez Partage avancé
  3. Sélectionnez l'option Partager ce dossier. Tapez cdp$ dans Nom de partage. Sélectionnez Autorisationspartage cdp.
  4. Dans la boîte de dialogue Autorisations pour cdp$ , sélectionnez Ajouter
  5. Dans la boîte de dialogue Sélectionner des utilisateurs, des ordinateurs, des comptes de service ou des groupes , sélectionnez Types d’objets. Dans la boîte de dialogue Types d’objets, sélectionnez Ordinateurs, puis OK
  6. Dans la boîte de dialogue Sélectionner des utilisateurs, des ordinateurs, des comptes de service ou des groupes , dans Entrez les noms d’objets à sélectionner, tapez le nom du serveur exécutant l’autorité de certification émettrice de la liste de révocation de certificats, puis sélectionnez Vérifier les noms. Sélectionnez OK.
  7. Dans la boîte de dialogue Autorisations pour cdp$, sélectionnez l’autorité de certification dans la liste de noms d’utilisateurs ou de groupes. Dans la section Autorisations pour cdp$, sélectionnez Autoriser pour Contrôle total. Sélectionnez OKCDP Share Permissions( Autorisations de partage CDP).
  8. Dans la boîte de dialogue Partage avancé, sélectionnez OK.

Astuce

Assurez-vous que les utilisateurs peuvent accéder à \\Server FQDN\sharename.

Désactiver la mise en cache

  1. Sur le serveur web, ouvrez Windows Explorer et accédez au dossier cdp que vous avez créé à l’étape 3 de Configurer le serveur web.
  2. Cliquez avec le bouton droit sur le dossier cdp et sélectionnez Propriétés. Sélectionnez l’onglet Partage . Sélectionnez Partage avancé
  3. Sélectionnez Mise en cache. Sélectionnez Aucun fichier ou programme du dossier partagé n’est disponible hors connexiondésactiver la mise en cache CDP.
  4. Sélectionnez OK.

Configurer l’autorisation NTFS pour le dossier CDP

  1. Sur le serveur web, ouvrez Windows Explorer et accédez au dossier cdp que vous avez créé à l’étape 3 de Configurer le serveur web.
  2. Cliquez avec le bouton droit sur le dossier cdp et sélectionnez Propriétés. Sélectionnez l’onglet Sécurité
  3. Sous l’onglet Sécurité , sélectionnez Modifier
  4. Dans la boîte de dialogue Autorisations pour cdp , sélectionnez Ajouter desautorisations NTFS CDP.
  5. Dans la boîte de dialogue Sélectionner des utilisateurs, des ordinateurs, des comptes de service ou des groupes , sélectionnez Types d’objets. Dans la boîte de dialogue Types d’objets, sélectionnez Ordinateurs. Sélectionnez OK.
  6. Dans la boîte de dialogue Sélectionner des utilisateurs, des ordinateurs, des comptes de service ou des groupes , dans Entrez les noms d’objets à sélectionner, tapez le nom de l’autorité de certification, puis sélectionnez Vérifier les noms. Sélectionnez OK.
  7. Dans la boîte de dialogue Autorisations pour cdp, sélectionnez le nom de l’autorité de certification dans la liste de noms d’utilisateurs ou de groupes. Dans la section Autorisations pour cdp$, sélectionnez Autoriser pour Contrôle total. Sélectionnez OK.
  8. Sélectionnez Fermer dans la boîte de dialogue Propriétés cdp

Configurer le nouveau CDP et l’emplacement de publication dans l’autorité de certification émettrice

Le serveur web est prêt à héberger le point de distribution de la liste de révocation de certificats. À présent, configurez l’autorité de certification émettrice pour publier la liste de révocation de certificats au nouvel emplacement et inclure le nouveau point de distribution de la liste de révocation de certificats.

Configurer le point de distribution de liste de révocation de certificats

  1. Sur l’autorité de certification émettrice, connectez-vous en tant qu’administrateur local. Démarrer la console autorité de certification à partir des outils d’administration
  2. Dans le volet de navigation, cliquez avec le bouton droit sur le nom de l’autorité de certification, puis sélectionnez Propriétés.
  3. Sélectionnez Extensions. Sous l’onglet Extensions, sélectionnez Point de distribution CRL (CDP) dans la liste Sélectionner une extension
  4. Sous l’onglet Extensions , sélectionnez Ajouter. Tapez http://crl.[domainname]/cdp/ à l’emplacement. Par exemple, <http://crl.corp.contoso.com/cdp/> ou <http://crl.contoso.com/cdp/> (n’oubliez pas la barre oblique de fin) boîte de dialogue Nouvel emplacement CDP.
  5. Sélectionnez <CaName> dans la liste Variable, puis Insérer. Sélectionnez <CRLNameSuffix> dans la liste Variable, puis insérer. Sélectionnez <DeltaCRLAllowed> dans la liste Variable , puis insérer .
  6. Tapez .crl à la fin du texte dans Emplacement. Sélectionnez OK.
  7. Sélectionnez le CDP que vous venez de créer CDP complet http.
  8. Sélectionnez Inclure dans les listes de révocation de certificats. Les clients l’utilisent pour rechercher les emplacements des listes de révocation de certificats Delta
  9. Sélectionnez Inclure dans l’extension CDP des certificats émis
  10. Sélectionnez Appliquer enregistrer vos sélections. Sélectionnez Non lorsque vous demandez à redémarrer le service.

Remarque

Vous pouvez également supprimer les points de distribution de liste de révocation de certificats inutilisés et les emplacements de publication.

Configurer l’emplacement de publication des listes de révocation de certificats

  1. Sur l’autorité de certification émettrice, connectez-vous en tant qu’administrateur local. Démarrer la console de l’autorité de certification à partir des outils d’administration
  2. Dans le volet de navigation, cliquez avec le bouton droit sur le nom de l’autorité de certification, puis sélectionnez Propriétés.
  3. Sélectionnez Extensions. Sous l’onglet Extensions, sélectionnez Point de distribution CRL (CDP) dans la liste Sélectionner une extension
  4. Sous l’onglet Extensions , sélectionnez Ajouter. Tapez le nom de l’ordinateur et de partage que vous créez pour votre point de distribution de liste de révocation de certificats dans Configurez le partage de fichier de point de distribution de la liste de révocation de certificats. Par exemple, \\app\cdp$\ (n’oubliez pas la barre oblique descendante)
  5. Sélectionnez <CaName> dans la liste Variable, puis Insérer. Sélectionnez <CRLNameSuffix> dans la liste Variable, puis insérer. Sélectionnez <DeltaCRLAllowed> dans la liste Variable , puis insérer .
  6. Tapez .crl à la fin du texte dans Emplacement. Sélectionnez OK.
  7. Sélectionnez l’emplacement de publication CDP que vous venez de créer.
  8. Sélectionnez Publier des listes de révocation de certificats à cet emplacement.
  9. Sélectionnez Publier des listes de révocation de certificats delta à cet emplacement
  10. Sélectionnez Appliquer enregistrer vos sélections. Sélectionnez Oui quand demandez à redémarrer le service. Sélectionnez OK pour fermer la boîte de dialogue propriétés

Publier une nouvelle liste de révocation de certificats

  1. Sur l’autorité de certification émettrice, connectez-vous en tant qu’administrateur local. Démarrer la console de l’autorité de certification à partir des outils d’administration
  2. Dans le volet de navigation, cliquez avec le bouton droit sur Certificats révoqués, pointez sur Toutes les tâches, puis sélectionnez PublierPublier une nouvelle liste de révocation de certificats.
  3. Dans la boîte de dialogue Publier la liste de révocation de certificats, sélectionnez Nouvelle liste de révocation de certificats , puis OK

Valider la publication du point de distribution de la liste de révocation de certificats

Vérifiez que le nouveau point de distribution de liste de révocation de certificats fonctionne.

  1. Ouvrez un navigateur web. Naviguez vershttp://crl.[yourdomain].com/cdp . Vous devez voir deux fichiers créés à partir de la publication de la nouvelle liste de révocation de certificats Valider la nouvelle liste de révocation de certificats.

Réémettre les certificats de contrôleur de domaine

Avec l’autorité de certification correctement configurée avec un point de distribution de liste de révocation de certificats basé sur HTTP valide, vous devez réémettre des certificats aux contrôleurs de domaine, car l’ancien certificat n’a pas le point de distribution de liste de révocation de certificats mis à jour.

  1. Connecter un contrôleur de domaine à l’aide d’informations d’identification d’administration
  2. Ouvre la boîte de dialogue Exécuter. Tapez certlm.msc pour ouvrir le Gestionnaire de certificats pour l’ordinateur local
  3. Dans le volet de navigation, développez Personel. Sélectionnez Certificats. Dans le volet d’informations, sélectionnez le certificat de contrôleur de domaine existant qui inclut l’authentification KDC dans la liste du magasin personnel du Gestionnaire de certificatsà usage prévu.
  4. Cliquez avec le bouton droit sur le certificat sélectionné. Pointez sur Toutes les tâches , puis sélectionnez Renouveler le certificat avec une nouvelle clé.... Dans l’Assistant Inscription de certificat , sélectionnez Renouvellement suivantavec nouvelle clé.
  5. Dans la page Demander des certificats de l’Assistant, vérifiez que le certificat sélectionné possède le modèle de certificat correct et que l’état est disponible. Sélectionnez Inscrire.
  6. Une fois l’inscription terminée, sélectionnez Terminer pour fermer l’Assistant
  7. Répétez cette procédure sur tous vos contrôleurs de domaine

Remarque

Vous pouvez configurer les contrôleurs de domaine de façon à inscrire et renouveler automatiquement leurs certificats. L’inscription automatique de certificats permet d’éviter les problèmes d’indisponibilité dus aux certificats arrivés à expiration. Pour savoir comment déployer l’inscription automatique de certificats pour les contrôleurs de domaine, voir les Guides de déploiement de Windows Hello.

Important

Si vous n’utilisez pas l’inscription automatique des certificats, créez un rappel de calendrier pour vous alerter deux mois avant la date d’expiration du certificat. Envoyez le rappel à plusieurs personnes au sein de l’organisation afin de vous assurer que plusieurs personnes sont informées de l’expiration de ces certificats.

Valider le point de distribution de la liste de révocation de certificats dans le nouveau certificat

  1. Connecter un contrôleur de domaine à l’aide d’informations d’identification d’administration

  2. Ouvre la boîte de dialogue Exécuter. Tapez certlm.msc pour ouvrir le Gestionnaire de certificats pour l’ordinateur local

  3. Dans le volet de navigation, développez Personel. Sélectionnez Certificats. Dans le volet d’informations, double-cliquez sur le certificat de contrôleur de domaine existant incluant l’authentification KDC dans la liste des objectifs prévus

  4. Sélectionnez l’onglet Détails . Faites défiler la liste jusqu’à ce que les points de distribution de liste de révocation de certificats soient visibles dans la colonne Champ de la liste. Sélectionner un point de distribution de liste de révocation de certificats

  5. Examinez les informations sous la liste des champs pour confirmer que la nouvelle URL du point de distribution liste de révocation de certificats est présente dans le certificat. Sélectionnez OK.

    Nouveau certificat avec CDP mis à jour.

Déployer le certificat d’autorité de certification racine sur Microsoft Entra appareils joints

Les contrôleurs de domaine ont un certificat qui inclut le nouveau point de distribution de liste de révocation de certificats. Ensuite, vous avez besoin du certificat racine d’entreprise pour pouvoir le déployer sur Microsoft Entra appareils joints. Lorsque vous déployez les certificats racine d’entreprise sur un appareil, cela garantit que l’appareil approuve tous les certificats émis par l’autorité de certification. Sans le certificat, Microsoft Entra appareils joints n’approuvent pas les certificats de contrôleur de domaine et l’authentification échoue.

Exporter le certificat racine d’entreprise

  1. Connecter un contrôleur de domaine à l’aide d’informations d’identification d’administration
  2. Ouvre la boîte de dialogue Exécuter. Tapez certlm.msc pour ouvrir le Gestionnaire de certificats pour l’ordinateur local
  3. Dans le volet de navigation, développez Personel. Sélectionnez Certificats. Dans le volet d’informations, double-cliquez sur le certificat de contrôleur de domaine existant incluant l’authentification KDC dans la liste des objectifs prévus
  4. Sélectionnez l’onglet Chemin de certification. Dans la vue Chemin d’accès de certification, sélectionnez le nœud le plus élevé, puis sélectionnez Afficher le chemin du certificat.
  5. Dans la nouvelle boîte de dialogue Certificat, sélectionnez l’onglet Détails. Sélectionnez l’onglet Détails de la copie dans le fichier et copiez dans le fichier.
  6. Dans l’Assistant Exportation de certificat, sélectionnez Suivant.
  7. Dans la page Exporter le format de fichier de l’Assistant, sélectionnez Suivant.
  8. Dans la page Fichier à exporter de l’Assistant, tapez le nom et l’emplacement du certificat racine, puis sélectionnez Suivant. Sélectionnez Terminer , puis OK pour fermer la boîte de dialogue Réussite Exporter le certificat racine.
  9. Sélectionnez OK deux fois pour revenir au Gestionnaire de certificats de l’ordinateur local. Fermer le Gestionnaire de certificats

Déployer le certificat via Intune

Pour configurer des appareils avec Microsoft Intune, utilisez une stratégie personnalisée :

  1. Accédez au Centre d’administration Microsoft Intune
  2. Sélectionnez Appareils > Profils de configuration > Create profil
  3. Sélectionnez Plateforme > Windows 8.1 et versions ultérieures etType de > profil Certificat approuvé
  4. Sélectionner Create
  5. Dans Paramètres de configuration, sélectionnez l’icône de dossier et recherchez le fichier de certificat racine d’entreprise. Une fois le fichier sélectionné, sélectionnez Ouvrir pour le charger dans Intune
  6. Sous la liste déroulante Magasin de destination, sélectionnez Magasin de certificats d’ordinateur - Racine
  7. Sélectionnez Suivant.
  8. Sous Affectation, sélectionnez un groupe de sécurité qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer >Suivant
  9. Passez en revue la configuration de la stratégie et sélectionnez Create

Si vous envisagez d’utiliser des certificats pour une connexion unique locale, effectuez les étapes supplémentaires décrites dans Utilisation de certificats pour connexion unique local. Sinon, vous pouvez vous connecter à un appareil Microsoft Entra joint avec Windows Hello Entreprise et tester l’authentification unique sur une ressource locale.