Guide de déploiement d’approbation de certificat hybride

• S’applique à:

  ✅ Windows 11, ✅ Windows 10

Cet article décrit Windows Hello Entreprise fonctionnalités ou scénarios qui s’appliquent à :

• Type de déploiement :hybride
• Type d’approbation :
• Type de jointure : Microsoft Entra rejoindre , Microsoft Entra la jointure hybride

---

Important

Windows Hello Entreprise’approbation Kerberos cloud est le modèle de déploiement recommandé par rapport au modèle d’approbation de clé. Il s’agit également du modèle de déploiement recommandé si vous n’avez pas besoin de déployer des certificats pour les utilisateurs finaux. Pour plus d’informations, consultez Déploiement d’approbation Kerberos cloud.

Conditions préalables

Avant de commencer le déploiement, passez en revue les exigences décrites dans l’article Planifier un déploiement Windows Hello Entreprise.

Vérifiez que les conditions suivantes sont remplies avant de commencer :

• Infrastructure à clé publique
• Authentication
• Configuration d’appareil
• Gestion des licences pour les services cloud
• Préparer les utilisateurs à utiliser Windows Hello

Étapes de déploiement

Une fois les conditions préalables remplies, le déploiement de Windows Hello Entreprise comprend les étapes suivantes :

• Configurer et valider l’infrastructure à clé publique
• Configurer Services ADFS
• Configurer et s’inscrire dans Windows Hello Entreprise
• (facultatif) Configurer l’authentification unique pour les appareils joints Microsoft Entra

Authentification fédérée pour Microsoft Entra ID

Windows Hello Entreprise approbation de certificat hybride nécessite qu’Active Directory soit fédéré avec Microsoft Entra ID à l’aide d’AD FS. Vous devez également configurer la batterie de serveurs AD FS pour prendre en charge les appareils inscrits à Azure.

Si vous débutez avec AD FS et les services de fédération :

• Passez en revue les concepts clés d’AD FS avant de déployer la batterie de serveurs AD FS
• Consultez le guide de conception AD FS pour concevoir et planifier votre service de fédération

Une fois que votre conception AD FS est prête, passez en revue le déploiement d’une batterie de serveurs de fédération pour configurer AD FS dans votre environnement

La batterie de serveurs AD FS utilisée avec Windows Hello Entreprise doit être Windows Server 2016 avec la mise à jour minimale de KB4088889 (14393.2155).

Inscription de l’appareil et écriture différée de l’appareil

Les appareils Windows doivent être inscrits dans Microsoft Entra ID. Les appareils peuvent être inscrits dans Microsoft Entra ID à l’aide d’une jointure Microsoft Entra ou d’une jointure hybride Microsoft Entra.
Pour Microsoft Entra appareils joints hybrides, consultez les instructions de la page d’implémentation de la jonction hybride de votre Microsoft Entra.

Reportez-vous au guide Configurer Microsoft Entra jointure hybride pour les domaines fédérés pour en savoir plus sur l’utilisation de Microsoft Entra Connect Sync pour configurer Microsoft Entra’inscription des appareils.
Pour une configuration manuelle de votre batterie de serveurs AD FS afin de prendre en charge l’inscription des appareils, consultez le guide Configurer AD FS pour Microsoft Entra’inscription des appareils.

Les déploiements d’approbation de certificat hybride nécessitent la fonctionnalité d’écriture différée de l’appareil . L’authentification auprès d’AD FS nécessite l’authentification de l’utilisateur et de l’appareil. En général, les utilisateurs sont synchronisées, mais pas les appareils. Cela empêche AD FS d’authentifier l’appareil et entraîne Windows Hello Entreprise échecs d’inscription de certificat. Pour cette raison, les déploiements Windows Hello Entreprise nécessitent une écriture différée de l’appareil.

Remarque

Windows Hello Entreprise est lié entre un utilisateur et un appareil. L’utilisateur et l’appareil doivent être synchronisés entre Microsoft Entra ID et Active Directory. L’écriture différée de l’appareil est utilisée pour mettre à jour l’attribut msDS-KeyCredentialLink sur l’objet ordinateur.

Si vous avez configuré manuellement AD FS, ou si vous avez exécuté Microsoft Entra Connect Sync à l’aide des paramètres personnalisés, vous devez vous assurer de configurer l’écriture différée de l’appareil et l’authentification de l’appareil dans votre batterie de serveurs AD FS. Pour plus d’informations, consultez Configurer l’écriture différée de l’appareil et l’authentification de l’appareil.

Infrastructure à clé publique

Une infrastructure à clé publique d’entreprise (PKI) est requise comme ancre d’approbation pour l’authentification. Les contrôleurs de domaine ont besoin d’un certificat pour que les clients Windows les approuvent.
L’infrastructure à clé publique d’entreprise et une autorité d’inscription de certificats (CRA) sont requises pour émettre des certificats d’authentification aux utilisateurs. Le déploiement d’approbation de certificat hybride utilise AD FS comme cra.

Pendant Windows Hello Entreprise provisionnement, les utilisateurs reçoivent un certificat de connexion par le biais de l’ARC.

Étapes suivantes

Une fois les conditions préalables remplies, le déploiement de Windows Hello Entreprise avec un modèle d’approbation de clé hybride se compose des étapes suivantes :

• Configurer et valider l’infrastructure à clé publique
• Configurer AD FS
• Configurer les paramètres Windows Hello Entreprise
• Approvisionner Windows Hello Entreprise sur les clients Windows
• Configurer l’authentification unique (SSO) pour Microsoft Entra appareils joints

Ensuite : configurer et valider l’infrastructure à clé publique >