Approvisionnement d’approbation de certificat Windows Hello Entreprise joint à Azure AD hybride

Approvisionnement

L’approvisionnement de Windows Hello Entreprise commence immédiatement après la connexion de l’utilisateur, après le chargement du profil utilisateur, mais avant que l’utilisateur reçoive son bureau. Windows ne lance l’expérience d’approvisionnement que si les vérifications des prérequis ont été effectuées avec succès. Vous pouvez déterminer l’état des vérifications des prérequis en affichant User Device Registration dans l’observateur d’événements sous Journaux des applications et des services\Microsoft\Windows.

Événement358 du journal d’inscription de l’appareil utilisateur montrant Windows Hello Entreprise résultat de la vérification des prérequis.

Le premier point à valider est que l’ordinateur a traité l’inscription de l’appareil. Vous pouvez l’afficher à partir des journaux d’inscription de l’appareil utilisateur où la case Appareil est joint à Azure Active Directory (AADJ ou DJ++) : Oui s’affiche. Vous pouvez également le vérifier à l’aide de la commande dsregcmd /status à partir d’une invite de console où la valeur de AzureADJoined indique Oui.

L’approvisionnement de Windows Hello Entreprise commence par une page en plein écran qui affiche le titre Configurer un code confidentiel et un bouton du même nom. L’utilisateur clique sur Configurer un code confidentiel.

Configurer un approvisionnement de code confidentiel.

Le flux de l'approvisionnement passe à la partie de l'authentification multifacteur de l’inscription. L'approvisionnement informe l’utilisateur qu’il tente activement de contacter l’utilisateur par le biais de son formulaire d’authentification multifacteur configuré. Le processus d'approvisionnement ne se poursuit qu'après la réussite de l’authentification, son échec ou l'expiration de son délai d'attente. Une authentification multifacteur ayant échoué ou expiré génère une erreur et invite l’utilisateur à réessayer.

Invite MFA lors de l’approvisionnement.

Après une authentification multifacteur réussie, le flux d’approvisionnement demande à l’utilisateur à créer et de valider un code confidentiel. Ce code confidentiel doit respecter toutes les exigences de complexité de code confidentiel que vous avez déployées dans l’environnement.

Créez un code confidentiel pendant l’approvisionnement.

Le flux d’approvisionnement dispose de toutes les informations nécessaires pour effectuer l’inscription à Windows Hello Entreprise.

  • Une authentification à un seul facteur réussie (nom d’utilisateur et mot de passe lors de la connexion)
  • Un appareil qui a effectué correctement l’inscription de l’appareil
  • Une nouvelle authentification multifacteur réussie
  • Un code confidentiel validé qui respecte les exigences de complexité de code confidentiel

Le reste de l’approvisionnement inclut la demande, par Windows Hello Entreprise, d'une paire de clés asymétriques pour l’utilisateur, de préférence à partir du module TPM (ou requis si définie explicitement via la stratégie). Une fois la paire de clés acquise, Windows communique avec Azure ActiveDirectory pour inscrire la clé publique. Azure Active Directory Connect synchronise la clé de l’utilisateur avec la Active Directory local.

Important

Voici le comportement à l’inscription avant la mise à jour de Windows Server2016 KB4088889 (14393.2155).

Le temps minimal nécessaire pour synchroniser la clé publique de l’utilisateur à partir d’Azure ActiveDirectory avec le service ActiveDirectory local est de 30minutes. Le planificateur Azure AD Connect contrôle l’intervalle de synchronisation. Cette latence de synchronisation retarde la capacité de l’utilisateur à s’authentifier et à utiliser les ressources locales jusqu’à ce que la clé publique de l’utilisateur soit synchronisée avec Active Directory. Une fois la synchronisation terminée, l’utilisateur peut s’authentifier et utiliser les ressources locales. Lisez l’article Planificateur Azure AD Connect Sync pour afficher et ajuster le cycle de synchronisation de votre organisation.

Notes

La mise à jour de Windows Server2016 KB4088889 (14393.2155) assure l’inscription de certificat synchrone lors de la configuration de l’approbation de certificat hybride. Avec cette mise à jour, les utilisateurs n’ont plus besoin d’attendre qu’Azure ADConnect synchronise leur clé publique localement. Les utilisateurs inscrivent leur certificat pendant l’approvisionnement et peuvent utiliser le certificat pour la connexion immédiatement après l’approvisionnement. La mise à jour doit être installée sur les serveurs de fédération.

Après une inscription de clé réussie, Windows crée une demande de certificat à l’aide de la même paire de clés pour demander un certificat. Windows envoie la demande de certificat au serveur ADFS pour une inscription de certificat.

L’autorité d’inscription ADFS vérifie que la clé utilisée dans la demande de certificat correspond à la clé précédemment inscrite. En cas de correspondance, l’autorité d’inscription ADFS signe la demande de certificat à l’aide de son certificat d’agent d’inscription et l’envoie à l’autorité de certification.

Notes

Pour qu’AD FS puisse vérifier la clé utilisée dans la demande de certificat, il doit pouvoir accéder au point de https://enterpriseregistration.windows.net terminaison.

L’autorité de certification valide que le certificat a été signé par l’autorité d’inscription. Quand la signature est validée, elle émet un certificat basé sur la demande et retourne le certificat à l’autorité d’inscription ADFS. L’autorité de certification retourne le certificat à Windows, où elle installe ensuite le certificat dans le magasin de certificats de l’utilisateur. Une fois ce processus terminé, le flux de travail d’approvisionnement Windows Hello Entreprise informe l’utilisateur qu’il peut utiliser son code confidentiel pour se connecter via le Centre de notifications Windows.




Suivez le guide de déploiement d'approbation de certificat hybride WindowsHelloEntreprise

  1. Vue d'ensemble
  2. Prérequis
  3. Planning de référence d'une nouvelle installation
  4. Configurer Azure Device Registration
  5. Configurer les paramètres de stratégie WindowsHelloEntreprise
  6. Connexion et provisionnement (Vous êtes ici)