Guide de déploiement de l’approbation de clé hybride

• S’applique à:

  ✅ Windows 11, ✅ Windows 10

Cet article décrit Windows Hello Entreprise fonctionnalités ou scénarios qui s’appliquent à :

• Type de déploiement :hybride
• Type d’approbation :
• Type de jointure : Microsoft Entra rejoindre , Microsoft Entra la jointure hybride

---

Important

Windows Hello Entreprise’approbation Kerberos cloud est le modèle de déploiement recommandé par rapport au modèle d’approbation de clé. Pour plus d’informations, consultez Déploiement d’approbation Kerberos cloud.

Conditions préalables

Avant de commencer le déploiement, passez en revue les exigences décrites dans l’article Planifier un déploiement Windows Hello Entreprise.

Vérifiez que les conditions suivantes sont remplies avant de commencer :

• Infrastructure à clé publique
• Authentication
• Configuration d’appareil
• Préparer les utilisateurs à utiliser Windows Hello

Étapes de déploiement

Une fois les conditions préalables remplies, le déploiement de Windows Hello Entreprise comprend les étapes suivantes :

• Configurer et valider l’infrastructure à clé publique
• Configurer et s’inscrire dans Windows Hello Entreprise
• (facultatif) Configurer l’authentification unique pour les appareils joints Microsoft Entra

Configurer et valider l’infrastructure à clé publique

Windows Hello Entreprise devez disposer d’une infrastructure à clé publique (PKI) lors de l’utilisation du modèle d’approbation de clé. Les contrôleurs de domaine doivent disposer d’un certificat, qui sert de racine de confiance pour les clients. Le certificat garantit que les clients ne communiquent pas avec les contrôleurs de domaine non autorisés.

Les déploiements d’approbation de clé n’ont pas besoin de certificats émis par le client pour l’authentification locale. Microsoft Entra Connect Sync configure les comptes d’utilisateur Active Directory pour le mappage de clé publique, en synchronisant la clé publique de l’Windows Hello Entreprise informations d’identification avec un attribut sur l’objet Active Directory de l’utilisateur (msDS-KeyCredentialLinkattribut).

Vous pouvez utiliser une infrastructure À clé publique Windows Server ou une autorité de certification d’entreprise non Microsoft. Pour plus d’informations, consultez Configuration requise pour les certificats de contrôleur de domaine provenant d’une autorité de certification non-Microsoft.

Déployer une autorité de certification d’entreprise

Ce guide suppose que la plupart des entreprises disposent déjà d'une infrastructure à clé publique. Windows Hello Entreprise dépend d’une infrastructure à clé publique d’entreprise exécutant le rôle Services de certificats Windows Server Active Directory.
Si vous n’avez pas d’infrastructure à clé publique existante, consultez Guide de l’autorité de certification pour concevoir correctement votre infrastructure. Ensuite, consultez le Guide du laboratoire de test : déploiement d’une hiérarchie d’infrastructure à clé publique ad CS Two-Tier pour obtenir des instructions sur la configuration de votre infrastructure à clé publique à l’aide des informations de votre session de conception.

Infrastructure à clé publique basée sur un laboratoire

Les instructions suivantes peuvent être utilisées pour déployer une infrastructure à clé publique simple qui convient à un environnement lab.

Connectez-vous à l’aide d’informations d’identification équivalentes administrateur d’entreprise sur un serveur Windows Server sur lequel vous souhaitez que l’autorité de certification (CA) soit installée.

Remarque

N’installez jamais d’autorité de certification sur un contrôleur de domaine dans un environnement de production.

1. Ouvrir une invite de Windows PowerShell avec élévation de privilèges
2. Utilisez la commande suivante pour installer le rôle Services de certificats Active Directory.

   Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
   

3. Utilisez la commande suivante pour configurer l’autorité de certification à l’aide d’une configuration d’autorité de certification de base

   Install-AdcsCertificationAuthority
   

Configurer l’infrastructure à clé publique d’entreprise

Configurer des certificats de contrôleur de domaine

Les clients doivent approuver les contrôleurs de domaine, et la meilleure façon d’activer l’approbation consiste à s’assurer que chaque contrôleur de domaine dispose d’un certificat d’authentification Kerberos . L’installation d’un certificat sur les contrôleurs de domaine permet au centre de distribution de clés (KDC) de prouver son identité à d’autres membres du domaine. Les certificats fournissent aux clients une racine de confiance externe au domaine, à savoir l’autorité de certification d’entreprise.

Les contrôleurs de domaine demandent automatiquement un certificat de contrôleur de domaine (s’il est publié) lorsqu’ils découvrent qu’une autorité de certification d’entreprise est ajoutée à Active Directory. Les certificats basés sur les modèles de certificat d’authentification de contrôleur de domaine et de contrôleur de domaine n’incluent pas l’identificateur d’objet d’authentification KDC (OID), qui a été ajouté ultérieurement à la RFC Kerberos. Par conséquent, les contrôleurs de domaine doivent demander un certificat basé sur le modèle de certificat d’authentification Kerberos .

Par défaut, l’autorité de certification Active Directory fournit et publie le modèle de certificat d’authentification Kerberos . La configuration de chiffrement incluse dans le modèle est basée sur des API de chiffrement plus anciennes et moins performantes. Pour vous assurer que les contrôleurs de domaine demandent le certificat approprié avec le meilleur chiffrement disponible, utilisez le modèle de certificat d’authentification Kerberos comme base de référence pour créer un modèle de certificat de contrôleur de domaine mis à jour.

Important

Les certificats émis aux contrôleurs de domaine doivent répondre aux exigences suivantes :

• L’extension de point de distribution de liste de révocation de certificats (CRL) doit pointer vers une liste de révocation de certificats valide ou une extension AIA (Authority Information Access) qui pointe vers un répondeur OCSP (Online Certificate Status Protocol)
• Si vous le souhaitez, la section Objet du certificat peut contenir le chemin d’accès au répertoire de l’objet serveur (nom unique)
• La section Utilisation de la clé de certificat doit contenir signature numérique et chiffrement de clé
• Si vous le souhaitez, la section Contraintes de base du certificat doit contenir : [Subject Type=End Entity, Path Length Constraint=None]
• La section Utilisation étendue de la clé du certificat doit contenir l’authentification du client (1.3.6.1.5.5.7.3.2), l’authentification du serveur (1.3.6.1.5.5.7.3.1) et l’authentification KDC (1.3.6.1.5.2.3.5)
• La section Autre nom de l’objet du certificat doit contenir le nom DNS (Domain Name System)
• Le modèle de certificat doit avoir une extension qui a la valeur DomainController, encodée en tant que BMPstring. Si vous utilisez l’autorité de certification Windows Server Enterprise, cette extension est déjà incluse dans le modèle de certificat de contrôleur de domaine
• Le certificat du contrôleur de domaine doit être installé dans le magasin de certificats de l’ordinateur local

Connectez-vous à une autorité de certification ou à des stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur de domaine .

1. Ouvrez le console de gestion autorité de certification

2. Cliquez avec le bouton droit sur Gérer les modèles de > certificats

3. Dans la console de modèle de certificat, cliquez avec le bouton droit sur le modèle d’authentification Kerberos dans le volet d’informations, puis sélectionnez Dupliquer le modèle

4. Utilisez le tableau suivant pour configurer le modèle :

   Nom de l’onglet	Configurations
   Compatibilité	Décochez la case Afficher les modifications résultantes case activée Sélectionnez Windows Server 2016 dans la liste Autorité de certification Sélectionnez Windows 10/ Windows Server 2016 dans la liste Destinataire de la certification
   Général	Spécifier un nom d’affichage de modèle, par exemple Authentification du contrôleur de domaine (Kerberos) Définir la période de validité sur la valeur souhaitée Notez le nom du modèle pour plus tard, qui doit être le même que le nom d’affichage du modèle moins les espaces
   Nom de l’objet	Sélectionnez Générer à partir de ces informations Active Directory. Sélectionnez Aucun dans la liste Format du nom de l’objet Sélectionnez le nom DNS dans la liste Inclure ces informations dans un autre objet Effacer tous les autres éléments
   Chiffrement	Définir la catégorie de fournisseur sur Fournisseur de stockage de clés Définir le nom de l’algorithme sur RSA Définissez la taille de clé minimale sur 2048 Définir le hachage de la demande sur SHA256

5. Sélectionnez OK pour finaliser vos modifications et créer le nouveau modèle

6. Fermer la console

Remarque

L’inclusion de l’OID d’authentification KDC dans le certificat de contrôleur de domaine n’est pas requise pour Microsoft Entra appareils joints hybrides. L’OID est nécessaire pour activer l’authentification avec Windows Hello Entreprise aux ressources locales par Microsoft Entra appareils joints.

Important

Pour Microsoft Entra appareils joints à s’authentifier auprès des ressources locales, veillez à :

• Installez le certificat d’autorité de certification racine dans le magasin de certificats racine approuvé de l’appareil. Découvrez comment déployer un profil de certificat approuvé via Intune
• Publier votre liste de révocation de certificats à un emplacement disponible pour Microsoft Entra appareils joints, tel qu’une URL web

Remplacer les certificats de contrôleur de domaine existants

Les contrôleurs de domaine peuvent avoir un certificat de contrôleur de domaine existant. Les services de certificats Active Directory fournissent un modèle de certificat par défaut pour les contrôleurs de domaine appelé certificat de contrôleur de domaine. Les versions ultérieures de Windows Server ont fourni un nouveau modèle de certificat appelé certificat d’authentification du contrôleur de domaine. Ces modèles de certificat ont été fournis avant la mise à jour de la spécification Kerberos qui indiquait que les centres de distribution de clés (KDC) effectuant l’authentification par certificat étaient nécessaires pour inclure l’extension KDC Authentication .

Le modèle de certificat d’authentification Kerberos est le modèle de certificat le plus actuel désigné pour les contrôleurs de domaine et doit être celui que vous déployez sur tous vos contrôleurs de domaine.
La fonctionnalité d’inscription automatique vous permet de remplacer les certificats de contrôleur de domaine. Utilisez la configuration suivante pour remplacer les anciens certificats de contrôleur de domaine par de nouveaux certificats, à l’aide du modèle de certificat d’authentification Kerberos .

Connectez-vous à une autorité de certification ou à des stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur d’entreprise .

1. Ouvrez le console de gestion autorité de certification
2. Cliquez avec le bouton droit sur Gérer les modèles de > certificats
3. Dans la console modèle de certificat, cliquez avec le bouton droit sur le modèle Authentification du contrôleur de domaine (Kerberos) (ou le nom du modèle de certificat que vous avez créé dans la section précédente) dans le volet d’informations, puis sélectionnez Propriétés.
4. Sélectionnez l’onglet Modèles remplacés . Sélectionnez Ajouter.
5. Dans la boîte de dialogue Ajouter un modèle remplacé , sélectionnez le modèle de certificat contrôleur de domaine , puis sélectionnez OK > Ajouter
6. Dans la boîte de dialogue Ajouter un modèle remplacé , sélectionnez le modèle de certificat d’authentification du contrôleur de domaine , puis sélectionnez OK
7. Dans la boîte de dialogue Ajouter un modèle remplacé , sélectionnez le modèle de certificat d’authentification Kerberos , puis sélectionnez OK
8. Ajoutez tous les autres modèles de certificat d’entreprise précédemment configurés pour les contrôleurs de domaine à l’onglet Modèles remplacés
9. Sélectionnez OK et fermez la console Modèles de certificats.

Le modèle de certificat est configuré pour remplacer tous les modèles de certificat fournis dans la liste des modèles remplacés .
Toutefois, le modèle de certificat et le remplacement des modèles de certificat ne sont pas actifs tant que le modèle n’est pas publié sur une ou plusieurs autorités de certification.

Remarque

Le certificat du contrôleur de domaine doit être chaîné à une racine dans le magasin NTAuth. Par défaut, le certificat racine de l’autorité de certification Active Directory est ajouté au magasin NTAuth. Si vous utilisez une autorité de certification non-Microsoft, cette opération peut ne pas être effectuée par défaut. Si le certificat du contrôleur de domaine n’est pas chaîné à une racine dans le magasin NTAuth, l’authentification utilisateur échoue. Pour afficher tous les certificats dans le magasin NTAuth, utilisez la commande suivante :

Certutil -viewstore -enterprise NTAuth

Annuler la publication de modèles de certificats remplacés

L’autorité de certification émet uniquement des certificats basés sur des modèles de certificat publiés. Pour des questions de sécurité, il est recommandé d’annuler la publication des modèles de certificat que l’autorité de certification n’est pas configurée pour émettre, y compris les modèles prépubliés de l’installation du rôle et tous les modèles remplacés.

Le modèle de certificat d’authentification du contrôleur de domaine nouvellement créé remplace les modèles de certificat de contrôleur de domaine précédents. Par conséquent, vous devez annuler la publication de ces modèles de certificat à partir de toutes les autorités de certification émettrices.

Connectez-vous à l’autorité de certification ou à la station de travail de gestion avec des informations d’identification équivalentes à l’administrateur d’entreprise .

1. Ouvrez le console de gestion autorité de certification
2. Développez le nœud parent à partir du volet >de navigation Modèles de certificats
3. Cliquez avec le bouton droit sur le modèle de certificat contrôleur de domaine , puis sélectionnez Supprimer. Sélectionnez Oui dans la fenêtre Désactiver les modèles de certificat .
4. Répétez l’étape 3 pour les modèles de certificat Authentification du contrôleur de domaine et Authentification Kerberos

Publier le modèle de certificat sur l’autorité de certification

Une autorité de certification peut uniquement émettre des certificats pour les modèles de certificats qui y sont publiés. Si vous disposez de plusieurs autorités de certification et que vous souhaitez que d’autres autorités de certification émettent des certificats basés sur le modèle de certificat, vous devez publier le modèle de certificat sur celles-ci.

Connectez-vous à l’autorité de certification ou aux stations de travail de gestion avec Enterprise Administration informations d’identification équivalentes.

1. Ouvrez le console de gestion autorité de certification
2. Développez le nœud parent à partir du volet de navigation
3. Sélectionnez Modèles de certificats dans le volet de navigation
4. Cliquez sur le nœud Modèles de certificats. Sélectionnez Nouveau > modèle de certificat à émettre
5. Dans la fenêtre Activer les modèles de certificats, sélectionnez le modèle Authentification du contrôleur de domaine (Kerberos) que vous avez créé dans les étapes > précédentes, sélectionnez OK.
6. Fermer la console

Important

Si vous envisagez de déployer Microsoft Entra appareils joints et que vous avez besoin de l’authentification unique (SSO) sur des ressources locales lors de la connexion avec Windows Hello Entreprise, suivez les procédures pour mettre à jour votre autorité de certification afin d’inclure un point de distribution de liste de révocation de certificats http.

Configurer et déployer des certificats sur des contrôleurs de domaine

Configurer l’inscription automatique des certificats pour les contrôleurs de domaine

Les contrôleurs de domaine demandent automatiquement un certificat à partir du modèle de certificat de contrôleur de domaine . Toutefois, les contrôleurs de domaine ne connaissent pas les modèles de certificat plus récents ou les configurations remplacées sur les modèles de certificat. Pour que les contrôleurs de domaine inscrivent et renouvellent automatiquement les certificats, configurez un objet de stratégie de groupe pour l’inscription automatique des certificats et liez-le à l’unité d’organisation contrôleurs de domaine .

1. Ouvrez la console de gestion stratégie de groupe (gpmc.msc)
2. Développez le domaine et sélectionnez le nœud Objet stratégie de groupe dans le volet de navigation
3. Cliquez avec le bouton droit sur Objets de stratégie de groupe, puis sélectionnez Nouveau
4. Tapez Inscription automatique du certificat de contrôleur de domaine dans la zone nom, puis sélectionnez OK.
5. Cliquez avec le bouton droit sur l’objet Inscription automatique du certificat de contrôleur de domaine stratégie de groupe, puis sélectionnez Modifier
6. Dans le volet de navigation, développez Stratégies sous Configuration de l’ordinateur
7. Développez Paramètres Windows Paramètres > De sécurité Stratégies > de clé publique
8. Dans le volet d’informations, cliquez avec le bouton droit sur Client Des services de certificats - Inscription automatique, puis sélectionnez Propriétés.
9. Sélectionnez Activé dans la liste Modèle de configuration .
10. Sélectionnez la zone Renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués case activée
11. Sélectionnez la zone Mettre à jour les certificats qui utilisent des modèles de certificats case activée
12. Sélectionnez OK.
13. Fermez le Rédacteur de gestion des stratégie de groupe

Déployer l’objet de stratégie de groupe d’inscription de certificat automatique du contrôleur de domaine

Connectez-vous aux stations de travail de contrôleur de domaine ou de gestion avec des informations d’identification équivalentes à l’administrateur de domaine .

1. Démarrez la Console de gestion des stratégies de groupe (gpmc.msc).
2. Dans le volet de navigation, développez le domaine et développez le nœud avec le nom de domaine Active Directory. Cliquez avec le bouton droit sur l’unité d’organisation Contrôleurs de domaine et sélectionnez Lier un objet de stratégie de groupe existant...
3. Dans la boîte de dialogue Sélectionner un objet de stratégie de groupe, sélectionnez Inscription automatique du certificat de contrôleur de domaine ou le nom de l’objet d’inscription de certificat de contrôleur de domaine stratégie de groupe que vous avez créé précédemment
4. Sélectionnez OK.

Valider la configuration

Windows Hello Entreprise est un système distribué qui, au premier abord, semble complexe et difficile. La clé d’un déploiement réussi consiste à valider les phases de travail avant de passer à la phase suivante.

Vérifiez que vos contrôleurs de domaine inscrivent les certificats corrects et aucun modèle de certificat remplacé. Vérifiez que chaque contrôleur de domaine a terminé l’inscription automatique du certificat.

Utiliser les journaux des événements

Connectez-vous aux stations de travail de contrôleur de domaine ou de gestion avec des informations d’identification équivalentes à l’administrateur de domaine .

1. À l’aide du observateur d'événements, accédez au journal des événements Application et services>Microsoft>Windows>CertificateServices-Lifecycles-System
2. Recherchez un événement indiquant une nouvelle inscription de certificat (inscription automatique) :
   • Les détails de l’événement incluent le modèle de certificat sur lequel le certificat a été émis
   • Le nom du modèle de certificat utilisé pour émettre le certificat doit correspondre au nom du modèle de certificat inclus dans l’événement
   • L’empreinte numérique du certificat et les EKUs pour le certificat sont également incluses dans l’événement
   • La référence EKU nécessaire pour une authentification Windows Hello Entreprise appropriée est l’authentification Kerberos, en plus des autres EKUs fournis par le modèle de certificat

Les certificats remplacés par votre nouveau certificat de contrôleur de domaine génèrent un événement d’archivage dans le journal des événements. L'événement d'archive contient le nom de modèle du certificat et l'empreinte numérique du certificat qui a été remplacé par le nouveau certificat.

Gestionnaire de certificats

Vous pouvez utiliser la console du Gestionnaire de certificats pour valider le contrôleur de domaine. Le certificat dûment inscrit est basé sur le modèle de certificat correct avec les EKU appropriées. Utilisez certlm.msc pour afficher le certificat dans les magasins de certificats d'ordinateurs locaux. Développez le magasin Personnel et afficher les certificats inscrits pour l'ordinateur. Les certificats archivés n’apparaissent pas dans le Gestionnaire de certificats.

Certutil.exe

Vous pouvez utiliser la certutil.exe commande pour afficher les certificats inscrits sur l’ordinateur local. Certutil affiche les certificats inscrits et archivés de l'ordinateur local. À partir d’une invite de commandes avec élévation de privilèges, exécutez la commande suivante :

certutil.exe -q -store my

Pour afficher des informations détaillées sur chaque certificat dans le magasin et valider l’inscription automatique des certificats inscrits avec les certificats appropriés, utilisez la commande suivante :

certutil.exe -q -v -store my

Résolution des problèmes

Windows déclenche l'inscription automatique des certificats pour l'ordinateur pendant le démarrage et la mise à jour de la stratégie de groupe. Vous pouvez actualiser la stratégie de groupe à partir d'une invite de commandes avec élévation de privilèges à l'aide gpupdate.exe /force.

Sinon, vous pouvez déclencher de force l'inscription automatique des certificats en utilisant certreq.exe -autoenroll -q à partir d'une invite de commandes avec élévation de privilèges.

Utilisez les journaux d'événements pour surveiller l'inscription et l'archivage de certificats. Passez en revue la configuration, par exemple la publication de modèles de certificat sur l’autorité de certification émettrice et l’autorisation d’inscription automatique.

Révision de la section et étapes suivantes

Avant de passer à la section suivante, vérifiez que les étapes suivantes sont effectuées :

• Configurer un modèle de certificat de contrôleur de domaine
• Remplacer les certificats de contrôleur de domaine existants
• Annuler la publication de modèles de certificats remplacés
• Publier le modèle de certificat sur l’autorité de certification
• Déployer des certificats sur les contrôleurs de domaine
• Valider la configuration des contrôleurs de domaine

Suivant : configurer et s’inscrire dans Windows Hello Entreprise >