Nouvelle installation d’approbation de certificat Windows Hello Entreprise jointe à Azure AD hybride

Windows Hello Entreprise implique la configuration des technologies distribuées qui peuvent, ou non, exister dans votre infrastructure actuelle. Les déploiements d’approbation de certificats hybrides de Windows Hello Entreprise s’appuient sur ces technologies

Les nouvelles installations sont nettement plus complexes que les implémentations existantes, car vous générez la totalité de l'infrastructure. Microsoft vous recommande de passer en revue la nouvelle base de référence d’installation pour vérifier que votre environnement existant dispose de toutes les configurations nécessaires pour prendre en charge votre approbation de certificat hybride Windows Hello Entreprise déploiement. Si votre environnement répond à ces besoins, vous pouvez lire la section Configurer Azure Device Registration pour préparer votre déploiement Windows Hello Entreprise en configurant l’inscription d’appareil Azure.

Le planning de référence d'une nouvelle installation commence avec un déploiement ActiveDirectory de base et une infrastructure à clé publique (PKI) d'entreprise. Ce document suppose qu'ActiveDirectory est déployé à l’aide de contrôleurs de domaine Windows Server2008R2 ou version ultérieure.

Active Directory

Les environnements de production doivent respecter les bonnes pratiques Active Directory concernant le nombre et l'emplacement des contrôleurs de domaine pour assurer une authentification appropriée dans toute l’organisation.

Les environnements lab et la preuve de concepts isolée peuvent limiter le nombre de contrôleurs de domaine. L’objectif de ces environnements est d'expérimenter et d'apprendre. Réduire le nombre de contrôleurs de domaine peut empêcher la résolution des problèmes, tels que la réplication ActiveDirectory, ce qui est sans relation avec l’objectif de l’activité.

Révision de la section

  • Contrôleurs de domaine Windows Server2008 R2 au minimum
  • Niveau fonctionnel du domaine et de la forêt Windows Server2008R2 au minimum
  • Mise en réseau, résolution de noms et réplication ActiveDirectory fonctionnelles

Infrastructure à clé publique

Windows Hello Entreprise doit avoir une infrastructure à clé publique, quel que soit le déploiement ou le modèle d'approbation. Tous les modèles d'approbation dépendent des contrôleurs de domaine ayant un certificat. Le certificat sert de racine de confiance aux clients afin de vérifier qu'ils ne communiquent pas avec un contrôleur de domaine non autorisé. Le modèle d'approbation de certificat étend l'émission de certificats aux ordinateurs clients. Lors de l'approvisionnement de Windows Hello Entreprise, l'utilisateur reçoit un certificat de connexion.

Ce guide suppose que laplupart des entreprises disposent déjà d'une infrastructure à clé publique. Windows Hello Entreprise dépend de l'infrastructure à clé publique de Windows Entreprise qui exécute le rôle Services de certificats Active Directory à partir de Windows Server2012 ou version ultérieure.

Pour plus d’informations sur la configuration d’une infrastructure à clé publique d’entreprise Windows et l’installation des services de certificats Active Directory, consultez Guide de déploiement d’approbation de clé hybride Windows Hello Entreprise et Installer l’autorité de certification.

Notes

N'installez jamais une autorité de certification sur un contrôleur de domaine dans un environnement de production.

Infrastructure à clé publique basée sur un laboratoire

Les instructions suivantes peuvent être utilisées pour déployer une infrastructure à clé publique simple adaptée à un environnement de laboratoire.

Connectez-vous à l'aide des informations d'identification correspondant à l'Administrateur d'entreprise sur Windows Server2012 ou version ultérieure où vous souhaitez installer l'autorité de certification.

  1. Ouvrez une invite Windows PowerShell avec élévation de privilèges.

  2. Utilisez la commande suivante pour installer le rôle Services de certificats ActiveDirectory.

    Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
    
  3. Utilisez la commande suivante pour configurer l'autorité de certification à l'aide d'une configuration d'autorité de certificat de base.

    Install-AdcsCertificationAuthority
    

Configurer une infrastructure à clé publique de production

Si vous disposez d'une infrastructure à clé publique existante, passez en revue le Guide de l'autorité de certification à partir de MicrosoftTechNet pour concevoir votre infrastructure. Ensuite, consultez le Guide de laboratoire de test: déploiement d'une hiérarchie PKI à deux couches ADCS pour obtenir des instructions sur la configuration de votre infrastructure à clé publique à l'aide des informations de votre session de conception.

Révision de la section

  • Minimum Windows Server 2012 Autorité de certification.
  • Autorité de certification d'entreprise.
  • Infrastructure à clé publique opérationnelle

Azure Active Directory

Vous avez préparé votre ActiveDirectory. Un déploiement Windows Hello Entreprise hybride a besoin d’Azure ActiveDirectory pour héberger vos identités basées sur le cloud.

L’étape suivante du déploiement consiste à suivre le processus de Création d’un client AzureAD pour approvisionner un client Azure pour votre organisation.

Révision de la section

  • Passez en revue les différentes façons d’établir un client Azure ActiveDirectory.
  • Créer un client Azure Active Directory.
  • Achetez l’abonnement ou les licences Azure ActiveDirectory appropriés, si nécessaire.

Services Multi-Factor Authentication.

Windows Hello Entreprise utilise l’authentification multifacteur lors de l’approvisionnement et pendant les scénarios de réinitialisation du code confidentiel initiés par l’utilisateur, par exemple lorsqu’un utilisateur oublie son code confidentiel. Il existe deux configurations d’authentification multifacteur préférées avec des déploiements hybrides : Azure MFA et AD FS avec Azure MFA

Consultez la rubrique Qu’est-ce qu’Azure AD Multi-Factor Authentication pour vous familiariser avec son objectif et son fonctionnement.

Azure AD Multi-Factor Authentication (MFA) Cloud

Important

Tant que vos utilisateurs disposent de licences qui incluent Azure AD Multi-Factor Authentication, vous n’avez rien à faire pour activer Azure MFA. Vous pouvez commencer à demander une vérification en deux étapes par utilisateur individuel. Les licences qui activent AzureMFA sont les suivantes:

  • Azure AD Multi-Factor Authentication
  • Azure Active Directory Premium
  • Enterprise Mobility + Security

Si vous disposez de l'un de ces abonnements ou de l'une de ces licences, ignorez la section relative à l'adaptateur AzureMFA.

Fournisseur Azure MFA

Si votre organisation utilise AzureMFA sur un modèle par consommation (et non pas sur des licences), consultez la section Créer un fournisseur Multi-Factor Authentication pour créer un fournisseur d’authentification AzureMFA et l’associer à votre client Azure.

Configurer les paramètres AzureMFA

Après avoir créé votre fournisseur d’authentification AzureMFA et l'avoir associé à un client Azure, vous devez configurer les paramètres d’authentification multifacteur. Consultez la section Configurer les paramètres d’Azure AD Multi-Factor Authentication pour configurer vos paramètres.

États utilisateur d'Azure MFA

Une fois la configuration de vos paramètres AzureMFA terminée, vous souhaitez vérifier les États utilisateur configurés pour comprendre les états utilisateur. Les états utilisateur déterminent la façon dont vous activez AzureMFA pour vos utilisateurs.

Azure MFA via ADFS2016

Vous pouvez également configurer les services de fédération Active Directory (ADFS) Windows Server2016 pour fournir une authentification multifacteur supplémentaire. Pour effectuer cette configuration, lisez la section configurer ADFS2016 et Azure MFA.

Révision de la section

  • Passez en revue la vue d’ensemble et les utilisations d’Azure AD Multi-Factor Authentication Authentication.
  • Passez en revue votre abonnement Azure Active Directory pour Azure AD Multi-Factor Authentication.
  • Si nécessaire, créez un fournisseur Azure AD Multi-Factor Authentication.
  • Configurez les fonctionnalités et les paramètres d’Azure AD Multi-Factor Authentication.
  • Comprendre les différents états utilisateur et leur effet sur Azure AD Multi-Factor Authentication.
  • Envisagez d’utiliser Azure AD Multi-Factor Authentication ou un fournisseur d’authentification multifacteur tiers avec Windows Server 2016 Services ADFS, si nécessaire.




Suivez le guide de déploiement d'approbation de certificat hybride WindowsHelloEntreprise

  1. Vue d'ensemble
  2. Conditions préalables
  3. Planning de référence d'une nouvelle installation (Vous en êtes à cette étape)
  4. Configurer Azure Device Registration
  5. Configurer les paramètres Windows Hello Entreprise
  6. Se connecter et effectuer l'approvisionnement