Configurer et inscrire des Windows Hello Entreprise dans un modèle d’approbation de clé hybride

• S’applique à:

  ✅ Windows 11, ✅ Windows 10

Cet article décrit Windows Hello Entreprise fonctionnalités ou scénarios qui s’appliquent à :

• Type de déploiement :hybride
• Type d’approbation :
• Type de jointure : Microsoft Entra rejoindre , Microsoft Entra la jointure hybride

---

Une fois que les conditions préalables sont remplies et que la configuration de l’infrastructure à clé publique est validée, le déploiement de Windows Hello Entreprise consiste en les étapes suivantes :

• Configurer les paramètres de stratégie Windows Hello Entreprise
• S’inscrire à Windows Hello Entreprise

Configurer les paramètres de stratégie Windows Hello Entreprise

Un paramètre de stratégie est requis pour activer Windows Hello Entreprise dans un modèle d’approbation de clé :

• Utiliser Windows Hello Entreprise

Un autre paramètre de stratégie facultatif, mais recommandé, est :

• Utiliser un périphérique de sécurité matériel

Les instructions suivantes décrivent comment configurer vos appareils à l’aide de Microsoft Intune ou d’une stratégie de groupe (GPO).

Intune/CSP

Remarque

Consultez l’article Configurer Windows Hello Entreprise à l’aide de Microsoft Intune pour en savoir plus sur les différentes options offertes par Microsoft Intune pour configurer Windows Hello Entreprise.

Si la stratégie Intune à l’échelle du locataire est activée et configurée en fonction de vos besoins, vous pouvez passer directement à s’inscrire dans Windows Hello Entreprise.

Pour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue Paramètres et utilisez les paramètres suivants :

Catégorie	Nom du paramètre	Valeur
Windows Hello Entreprise	Utiliser Passport For Work	true
Windows Hello Entreprise	Exiger un appareil de sécurité	true

Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.

Vous pouvez également configurer des appareils à l’aide d’une stratégie personnalisée avec le csp PassportForWork.

Paramètre
- OMA-URI :./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork - Type de données :bool - Valeur:True
- OMA-URI :./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice - Type de données :bool - Valeur:True

GPO

Vous pouvez configurer le paramètre de stratégie Utiliser Windows Hello Entreprise dans le nœud ordinateur ou utilisateur d’un objet de stratégie de groupe :

• Le déploiement du paramètre de stratégie de nœud d’ordinateur permet à tous les utilisateurs qui se connectent aux appareils ciblés de tenter une inscription Windows Hello Entreprise
• Le déploiement du paramètre de stratégie de nœud utilisateur permet uniquement aux utilisateurs ciblés de tenter une inscription Windows Hello Entreprise

Si les paramètres de stratégie d’utilisateur et d’ordinateur sont tous les deux déployés, le paramètre de stratégie d’utilisateur a la priorité.

Pour configurer un appareil avec une stratégie de groupe, utilisez la stratégie de groupe Rédacteur locale. Pour configurer plusieurs appareils joints à Active Directory, créez ou modifiez un objet de stratégie de groupe (GPO) et utilisez les paramètres suivants :

Chemin d’accès à la stratégie de groupe	Paramètre de stratégie de groupe	Valeur
Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Hello Entreprise or Configuration utilisateur\Modèles d’administration\Composants Windows\Windows Hello Entreprise	Utiliser Windows Hello Entreprise	Activé
Configuration ordinateur\Modèles d’administration\Composants Windows\Windows Hello Entreprise	Utiliser un périphérique de sécurité matériel	Activé

Les stratégies de groupe peuvent être liées à des domaines ou à des unités organisationnelles, filtrées à l’aide de groupes de sécurité ou filtrées à l’aide de filtres WMI.

Astuce

La meilleure façon de déployer l’objet de stratégie de groupe Windows Hello Entreprise consiste à utiliser le filtrage des groupes de sécurité. Seuls les membres du groupe de sécurité ciblé approvisionnent Windows Hello Entreprise, ce qui permet un déploiement progressif. Cette solution permet de lier l’objet de stratégie de groupe au domaine, ce qui garantit que l’objet de stratégie de groupe est étendu à tous les principaux de sécurité. Le filtrage des groupes de sécurité garantit que seuls les membres du groupe global reçoivent et appliquent l’objet de stratégie de groupe, ce qui entraîne l’approvisionnement de Windows Hello Entreprise.

Si vous déployez Windows Hello Entreprise configuration à l’aide de stratégie de groupe et de Intune, les paramètres de stratégie de groupe sont prioritaires et les paramètres Intune sont ignorés. Pour plus d’informations sur les conflits de stratégie, consultez Conflits de stratégie à partir de plusieurs sources de stratégie

D’autres paramètres de stratégie peuvent être configurés pour contrôler le comportement de Windows Hello Entreprise. Pour plus d’informations, consultez paramètres de stratégie Windows Hello Entreprise.

S’inscrire à Windows Hello Entreprise

Le processus d’approvisionnement Windows Hello Entreprise commence immédiatement après le chargement du profil utilisateur et avant que l’utilisateur ne reçoive son bureau. Pour que le processus d’approvisionnement commence, toutes les vérifications des prérequis doivent réussir.

Vous pouvez déterminer la status des vérifications des prérequis en consultant le journal d’administration De l’inscription des appareils utilisateur sous Journaux > des applications et des services Microsoft > Windows.
Ces informations sont également disponibles à l’aide de la dsregcmd.exe /status commande à partir d’une console. Pour plus d’informations, consultez dsregcmd.

Expérience de l'utilisateur

Une fois qu’un utilisateur s’est connecté, le processus d’inscription Windows Hello Entreprise commence :

1. Si l’appareil prend en charge l’authentification biométrique, l’utilisateur est invité à configurer un mouvement biométrique. Ce mouvement peut être utilisé pour déverrouiller l’appareil et s’authentifier auprès des ressources qui nécessitent Windows Hello Entreprise. L’utilisateur peut ignorer cette étape s’il ne souhaite pas configurer un mouvement biométrique
2. L’utilisateur est invité à utiliser Windows Hello avec le compte organization. L’utilisateur sélectionne OK
3. Le flux d’approvisionnement passe à la partie d’authentification multifacteur de l’inscription. L’approvisionnement informe l’utilisateur qu’il tente activement de contacter l’utilisateur via sa forme configurée d’authentification multifacteur. Le processus d’approvisionnement ne se poursuit pas tant que l’authentification n’a pas réussi, échoué ou expiré. Un échec ou un délai d’expiration de l’authentification multifacteur entraîne une erreur et demande à l’utilisateur de réessayer
4. Après une authentification multifacteur réussie, le flux d’approvisionnement demande à l’utilisateur à créer et de valider un code confidentiel. Ce code confidentiel doit respecter toutes les stratégies de complexité du code confidentiel configurées sur l’appareil
5. Le reste de l’approvisionnement inclut la demande, par Windows Hello Entreprise, d'une paire de clés asymétriques pour l’utilisateur, de préférence à partir du module TPM (ou requis si définie explicitement via la stratégie). Une fois la paire de clés acquise, Windows communique avec le fournisseur d’identité pour inscrire la clé publique. Une fois l’inscription de clé terminée, Windows Hello Entreprise provisionnement informe l’utilisateur qu’il peut utiliser son code confidentiel pour se connecter. L’utilisateur peut fermer l’application d’approvisionnement et accéder à son bureau

Après l’inscription, Microsoft Entra Connect synchronise la clé de l’utilisateur entre Microsoft Entra ID et Active Directory.

Important

La durée minimale nécessaire pour synchroniser la clé publique de l’utilisateur entre Microsoft Entra ID et le Active Directory local est de 30 minutes. Le planificateur Microsoft Entra Connect contrôle l’intervalle de synchronisation. Cette latence de synchronisation retarde la capacité de l’utilisateur à s’authentifier et à utiliser les ressources locales jusqu’à ce que la clé publique de l’utilisateur soit synchronisée avec Active Directory. Une fois synchronisé, l’utilisateur peut s’authentifier et accéder aux ressources locales. Lisez Microsoft Entra Connect Sync : Scheduler pour afficher et ajuster le cycle de synchronisation de votre organization.

Diagrammes de séquence

Pour mieux comprendre les flux d’approvisionnement, passez en revue les diagrammes de séquence suivants en fonction du type de jointure d’appareil et d’authentification :

• Provisionnement pour les appareils joints Microsoft Entra avec l’authentification managée
• Approvisionnement d’appareils joints Microsoft Entra avec authentification fédérée
• Provisionnement dans un modèle de déploiement d’approbation de clé hybride avec authentification managée

Pour mieux comprendre les flux d’authentification, consultez le diagramme de séquence suivant :

• Microsoft Entra l’authentification de jointure hybride à l’aide d’une clé
• Microsoft Entra joindre l’authentification à Active Directory à l’aide d’une clé