Configurer et s’inscrire dans Windows Hello Entreprise modèle d’approbation de certificat hybride

Cet article décrit Windows Hello Entreprise fonctionnalités ou scénarios qui s’appliquent à :

Une fois que les conditions préalables sont remplies et que les configurations PKI et AD FS sont validées, le déploiement de Windows Hello Entreprise se compose des étapes suivantes :

Configurer les paramètres de stratégie Windows Hello Entreprise

Deux paramètres de stratégie sont requis pour activer Windows Hello Entreprise dans un modèle d’approbation de certificat :

Un autre paramètre de stratégie facultatif, mais recommandé, est :

Utilisez les instructions suivantes pour configurer vos appareils à l’aide de Microsoft Intune ou de stratégie de groupe (GPO).

Vous pouvez configurer le paramètre de stratégie Utiliser Windows Hello Entreprise dans le nœud ordinateur ou utilisateur d’un objet de stratégie de groupe :

  • Le déploiement du paramètre de stratégie de nœud d’ordinateur permet à tous les utilisateurs qui se connectent aux appareils ciblés de tenter une inscription Windows Hello Entreprise
  • Le déploiement du paramètre de stratégie de nœud utilisateur permet uniquement aux utilisateurs ciblés de tenter une inscription Windows Hello Entreprise

Si les paramètres de stratégie d’utilisateur et d’ordinateur sont tous les deux déployés, le paramètre de stratégie d’utilisateur a la priorité.

Astuce

Utilisez le même groupe de sécurité Windows Hello Entreprise Utilisateurs pour attribuer des autorisations de modèle de certificat afin de vous assurer que les mêmes membres peuvent s’inscrire dans le certificat d’authentification Windows Hello Entreprise.

L’approvisionnement de Windows Hello Entreprise effectue l’inscription initiale du certificat d’authentification Windows Hello Entreprise. Ce certificat expire en fonction de la durée configurée dans le modèle de certificat d’authentification Windows Hello Entreprise.

Le processus ne nécessite aucune interaction de l’utilisateur, à condition que l’utilisateur se connecte à l’aide de Windows Hello Entreprise. Le certificat est renouvelé en arrière-plan avant qu’il n’expire.

Pour configurer un appareil avec une stratégie de groupe, utilisez la stratégie de groupe Rédacteur locale. Pour configurer plusieurs appareils joints à Active Directory, créez ou modifiez un objet de stratégie de groupe (GPO) et utilisez les paramètres suivants :

Chemin d’accès à la stratégie de groupe Paramètre de stratégie de groupe Valeur
Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Hello Entreprise
or
Configuration utilisateur\Modèles d’administration\Composants Windows\Windows Hello Entreprise		 Utiliser Windows Hello Entreprise Activé
Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Hello Entreprise
or
Configuration utilisateur\Modèles d’administration\Composants Windows\Windows Hello Entreprise		 Utiliser le certificat pour l’authentification locale Activé
Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de clé publique
or
Configuration utilisateur\Paramètres Windows\Paramètres de sécurité\Stratégies de clé publique		 Client des services de certificats - Inscription automatique - Sélectionnez Activé dans le modèle de configuration
- Sélectionnez renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués
- Sélectionnez Mettre à jour les certificats qui utilisent des modèles de certificat
Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Hello Entreprise Utiliser un périphérique de sécurité matériel Activé

Remarque

L’activation du paramètre de stratégie Utiliser un appareil de sécurité matériel est facultative, mais recommandée.

Les stratégies de groupe peuvent être liées à des domaines ou à des unités organisationnelles, filtrées à l’aide de groupes de sécurité ou filtrées à l’aide de filtres WMI.

Astuce

La meilleure façon de déployer l’objet de stratégie de groupe Windows Hello Entreprise consiste à utiliser le filtrage des groupes de sécurité. Seuls les membres du groupe de sécurité ciblé approvisionnent Windows Hello Entreprise, ce qui permet un déploiement progressif. Cette solution permet de lier l’objet de stratégie de groupe au domaine, ce qui garantit que l’objet de stratégie de groupe est étendu à tous les principaux de sécurité. Le filtrage des groupes de sécurité garantit que seuls les membres du groupe global reçoivent et appliquent l’objet de stratégie de groupe, ce qui entraîne l’approvisionnement de Windows Hello Entreprise.

Si vous déployez Windows Hello Entreprise configuration à l’aide de stratégie de groupe et de Intune, les paramètres de stratégie de groupe sont prioritaires et les paramètres Intune sont ignorés. Pour plus d’informations sur les conflits de stratégie, consultez Conflits de stratégie à partir de plusieurs sources de stratégie

D’autres paramètres de stratégie peuvent être configurés pour contrôler le comportement de Windows Hello Entreprise. Pour plus d’informations, consultez paramètres de stratégie Windows Hello Entreprise.

S’inscrire à Windows Hello Entreprise

Le processus d’approvisionnement Windows Hello Entreprise commence immédiatement après le chargement du profil utilisateur et avant que l’utilisateur ne reçoive son bureau. Pour que le processus d’approvisionnement commence, toutes les vérifications des prérequis doivent réussir.

Vous pouvez déterminer la status des vérifications des prérequis en consultant le journal d’administration De l’inscription des appareils utilisateur sous Journaux > des applications et des services Microsoft > Windows.
Ces informations sont également disponibles à l’aide de la dsregcmd.exe /status commande à partir d’une console. Pour plus d’informations, consultez dsregcmd.

Expérience de l'utilisateur

Une fois qu’un utilisateur s’est connecté, le processus d’inscription Windows Hello Entreprise commence :

  1. Si l’appareil prend en charge l’authentification biométrique, l’utilisateur est invité à configurer un mouvement biométrique. Ce mouvement peut être utilisé pour déverrouiller l’appareil et s’authentifier auprès des ressources qui nécessitent Windows Hello Entreprise. L’utilisateur peut ignorer cette étape s’il ne souhaite pas configurer un mouvement biométrique
  2. L’utilisateur est invité à utiliser Windows Hello avec le compte organization. L’utilisateur sélectionne OK
  3. Le flux d’approvisionnement passe à la partie d’authentification multifacteur de l’inscription. L’approvisionnement informe l’utilisateur qu’il tente activement de contacter l’utilisateur via sa forme configurée d’authentification multifacteur. Le processus d’approvisionnement ne se poursuit pas tant que l’authentification n’a pas réussi, échoué ou expiré. Un échec ou un délai d’expiration de l’authentification multifacteur entraîne une erreur et demande à l’utilisateur de réessayer
  4. Après une authentification multifacteur réussie, le flux d’approvisionnement demande à l’utilisateur à créer et de valider un code confidentiel. Ce code confidentiel doit respecter toutes les stratégies de complexité du code confidentiel configurées sur l’appareil
  5. Le reste de l’approvisionnement inclut la demande, par Windows Hello Entreprise, d'une paire de clés asymétriques pour l’utilisateur, de préférence à partir du module TPM (ou requis si définie explicitement via la stratégie). Une fois la paire de clés acquise, Windows communique avec le fournisseur d’identité pour inscrire la clé publique. Une fois l’inscription de clé terminée, Windows Hello Entreprise provisionnement informe l’utilisateur qu’il peut utiliser son code confidentiel pour se connecter. L’utilisateur peut fermer l’application d’approvisionnement et accéder à son bureau

Après une inscription de clé réussie, Windows crée une demande de certificat à l’aide de la même paire de clés pour demander un certificat. Windows envoie la demande de certificat au serveur AD FS pour l’inscription de certificat.

L’autorité d’inscription AD FS vérifie que la clé utilisée dans la demande de certificat correspond à la clé précédemment inscrite. En cas de correspondance, l’autorité d’inscription AD FS signe la demande de certificat à l’aide de son certificat d’agent d’inscription et l’envoie à l’autorité de certification.

Remarque

Pour qu’AD FS vérifie la clé utilisée dans la demande de certificat, il doit pouvoir accéder au point de https://enterpriseregistration.windows.net terminaison.

L’autorité de certification vérifie que le certificat est signé par l’autorité d’inscription. En cas de validation réussie, il émet un certificat basé sur la demande et retourne le certificat à l’autorité d’inscription AD FS. L’autorité d’inscription retourne le certificat à Windows, où elle installe ensuite le certificat dans le magasin de certificats de l’utilisateur actuel. Une fois ce processus terminé, le flux de travail d’approvisionnement Windows Hello Entreprise informe l’utilisateur qu’il peut utiliser son code confidentiel pour se connecter via le Centre de notifications.

Remarque

La mise à jour de Windows Server 2016 KB4088889 (14393.2155) assure l’inscription de certificat synchrone lors de la configuration de l’approbation de certificat hybride. Avec cette mise à jour, les utilisateurs n’ont pas besoin d’attendre Microsoft Entra Connect pour synchroniser leur clé publique localement. Les utilisateurs inscrivent leur certificat pendant l’approvisionnement et peuvent utiliser le certificat pour la connexion immédiatement après l’approvisionnement. La mise à jour doit être installée sur les serveurs de fédération.

Diagrammes de séquence

Pour mieux comprendre les flux d’approvisionnement, passez en revue les diagrammes de séquence suivants en fonction du type de jointure d’appareil et d’authentification :

Pour mieux comprendre les flux d’authentification, consultez le diagramme de séquence suivant :