Guide de déploiement d’approbation de certificat hybride

• S’applique à:

  ✅ Windows 11, ✅ Windows 10

Cet article décrit les fonctionnalités ou scénarios windows Hello Entreprise qui s’appliquent à :

• Type de déploiement :
• Type d’approbation :
• Type de jointure :microsoft Entra join , , jointure hybride Microsoft Entra

---

Important

L’approbation Kerberos cloud Windows Hello Entreprise est le modèle de déploiement recommandé par rapport au modèle d’approbation de clé. Il s’agit également du modèle de déploiement recommandé si vous n’avez pas besoin de déployer des certificats pour les utilisateurs finaux. Pour plus d’informations, consultez Déploiement d’approbation Kerberos cloud.

Conditions préalables

Avant de commencer le déploiement, passez en revue les exigences décrites dans l’article Planifier un déploiement Windows Hello Entreprise .

Vérifiez que les conditions suivantes sont remplies avant de commencer :

• Infrastructure à clé publique
• Authentication
• Configuration d’appareil
• Gestion des licences pour les services cloud
• Préparer les utilisateurs à utiliser Windows Hello

Étapes de déploiement

Une fois les conditions préalables remplies, le déploiement de Windows Hello Entreprise comprend les étapes suivantes :

• Configurer et valider l’infrastructure à clé publique
• Configurer les services de fédération Active Directory
• Configurer et s’inscrire dans Windows Hello Entreprise
• (facultatif) Configurer l’authentification unique pour les appareils joints à Microsoft Entra

Authentification fédérée auprès de l’ID Microsoft Entra

L’approbation de certificat hybride Windows Hello Entreprise nécessite qu’Active Directory soit fédéré avec l’ID Microsoft Entra à l’aide d’AD FS. Vous devez également configurer la batterie de serveurs AD FS pour prendre en charge les appareils inscrits à Microsoft Entra.

Si vous débutez avec AD FS et les services de fédération :

• Passez en revue les concepts clés d’AD FS avant de déployer la batterie de serveurs AD FS
• Consultez le guide de conception AD FS pour concevoir et planifier votre service de fédération

Une fois que votre conception AD FS est prête, passez en revue le déploiement d’une batterie de serveurs de fédération pour configurer AD FS dans votre environnement

La batterie de serveurs AD FS utilisée avec Windows Hello Entreprise doit être Windows Server 2016 avec la mise à jour minimale de KB4088889 (14393.2155).

Inscription de l’appareil et écriture différée de l’appareil

Les appareils Windows doivent être inscrits dans l’ID Microsoft Entra. Les appareils peuvent être inscrits dans l’ID Microsoft Entra à l’aide de la jointure Microsoft Entra ou de la jointure hybride Microsoft Entra.
Pour les appareils joints hybrides Microsoft Entra, passez en revue les conseils de la page d’implémentation du plan de votre jonction hybride Microsoft Entra .

Reportez-vous au guide Configurer la jonction hybride Microsoft Entra pour les domaines fédérés pour en savoir plus sur l’utilisation de Microsoft Entra Connect Sync pour configurer l’inscription des appareils Microsoft Entra.
Pour une configuration manuelle de votre batterie de serveurs AD FS afin de prendre en charge l’inscription des appareils, consultez le guide Configurer AD FS pour l’inscription des appareils Microsoft Entra .

Les déploiements d’approbation de certificat hybride nécessitent la fonctionnalité d’écriture différée de l’appareil . L’authentification auprès d’AD FS nécessite l’authentification de l’utilisateur et de l’appareil. En général, les utilisateurs sont synchronisées, mais pas les appareils. Cela empêche AD FS d’authentifier l’appareil et entraîne des échecs d’inscription de certificat Windows Hello Entreprise. Pour cette raison, les déploiements Windows Hello Entreprise nécessitent une écriture différée de l’appareil.

Remarque

Windows Hello Entreprise est lié entre un utilisateur et un appareil. L’utilisateur et l’appareil doivent être synchronisés entre l’ID Microsoft Entra et Active Directory. L’écriture différée de l’appareil est utilisée pour mettre à jour l’attribut msDS-KeyCredentialLink sur l’objet ordinateur.

Si vous avez configuré manuellement AD FS, ou si vous avez exécuté Microsoft Entra Connect Sync à l’aide des paramètres personnalisés, vous devez vous assurer de configurer l’écriture différée de l’appareil et l’authentification de l’appareil dans votre batterie de serveurs AD FS. Pour plus d’informations, consultez Configurer l’écriture différée de l’appareil et l’authentification de l’appareil.

Infrastructure à clé publique

Une infrastructure à clé publique d’entreprise (PKI) est requise comme ancre d’approbation pour l’authentification. Les contrôleurs de domaine ont besoin d’un certificat pour que les clients Windows les approuvent.
L’infrastructure à clé publique d’entreprise et une autorité d’inscription de certificats (CRA) sont requises pour émettre des certificats d’authentification aux utilisateurs. Le déploiement d’approbation de certificat hybride utilise AD FS comme cra.

Pendant l’approvisionnement de Windows Hello Entreprise, les utilisateurs reçoivent un certificat de connexion via l’ARC.

Étapes suivantes

Une fois les conditions préalables remplies, le déploiement de Windows Hello Entreprise avec un modèle d’approbation de clé hybride se compose des étapes suivantes :

• Configurer et valider l’infrastructure à clé publique
• Configurer AD FS
• Configurer les paramètres Windows Hello Entreprise
• Provisionner Windows Hello Entreprise sur les clients Windows
• Configurer l’authentification unique (SSO) pour les appareils joints à Microsoft Entra

Ensuite : configurer et valider l’infrastructure à clé publique >