Vue d’ensemble de Windows Hello Entreprise

Windows Hello Entreprise remplace les mots de passe par une authentification à deux facteurs forte sur les appareils. Cette authentification se compose d’un type d’informations d’identification d’utilisateur qui est lié à un appareil et qui utilise une biométrie ou un code confidentiel.

Remarque

La première livraison de Windows 10 incluait Microsoft Passport et Windows Hello, qui fonctionnaient ensemble pour fournir l’authentification multifacteur. Pour simplifier le déploiement et améliorer la capacité de prise en charge, Microsoft a combiné ces technologies au sein d’une seule solution sous le nom Windows Hello. Les clients qui ont déjà déployé ces technologies ne remarqueront aucun changement de fonctionnalité. Les clients qui n’ont pas encore évalué Windows Hello trouveront le déploiement plus facile en raison de stratégies, de documentation et de sémantique simplifiées.

Windows Hello résout les problèmes suivants liés aux mots de passe :

  • Les mots de passe forts peuvent être difficilement mémorisables, et les utilisateurs les réutilisent souvent sur plusieurs sites.
  • Les violations de serveur peuvent exposer les informations d’identification de réseau symétrique (mots de passe).
  • Les mots de passe sont sujets à des attaques par relecture.
  • Les utilisateurs peuvent exposer par inadvertance leur mot de passe en raison des attaques par hameçonnage.

Windows Hello permet aux utilisateurs de s’authentifier auprès des éléments suivants :

  • Un compte Microsoft.
  • Un compte Active Directory.
  • Un compte Microsoft Azure Active Directory (Azure AD).
  • Services de fournisseur d’identité ou services de partie de confiance qui prennent en charge l’authentification FIDO (Fast ID Online) v2.0 .

Après une vérification initiale en deux étapes de l’utilisateur lors de l’inscription, Windows Hello est configuré sur l’appareil de l’utilisateur, et Windows doit définir un mouvement, qui peut être biométrique, par exemple une empreinte digitale, ou qui peut être un code confidentiel. L’utilisateur fournit le mouvement pour vérifier son identité. Windows utilise ensuite Windows Hello pour authentifier les utilisateurs.

En tant qu’administrateur dans une entreprise ou un établissement d’enseignement, vous pouvez créer des stratégies pour gérer l’utilisation de Windows Hello Entreprise sur les appareils Windows 10 qui se connectent à votre organisation.

Connexion biométrique

Windows Hello offre une authentification biométrique fiable et totalement intégrée basée sur la reconnaissance faciale ou la correspondance d’empreintes digitales. Windows Hello combine des caméras (IR) spéciales et des logiciels pour optimiser la précision et protéger contre l’usurpation d’identité. Les principaux fournisseurs de matériel livrent des appareils qui intègrent des caméras compatibles avec Windows Hello. Le matériel de lecteur d’empreintes digitales peut être utilisé ou ajouté aux appareils qui ne l’ont pas actuellement. Sur les appareils qui prennent en charge Windows Hello, un mouvement biométrique simple déverrouille les informations d’identification des utilisateurs.

  • Reconnaissance faciale. Ce type de reconnaissance biométrique utilise des caméras spéciales qui voient une lumière infrarouge, leur permettant ainsi de faire la différence entre une photographie ou une numérisation et une personne vivante. Plusieurs fournisseurs fournissent des caméras externes intégrant cette technologie, et les principaux fabricants d’ordinateurs portables l’intègrent également à leurs appareils.
  • Reconnaissance par empreinte digitale. Ce type de reconnaissance biométrique utilise un capteur capacitif d’empreintes digitales pour analyser votre empreinte digitale. Les lecteurs d’empreintes digitales sont disponibles pour les ordinateurs Windows depuis des années, mais la génération actuelle de capteurs est plus fiable et moins sujette aux erreurs. La plupart des lecteurs d’empreintes digitales existants fonctionnent avec Windows 10 et Windows 11, qu’ils soient externes ou intégrés à des ordinateurs portables ou des claviers USB.
  • Reconnaissance de l’iris. Ce type de reconnaissance biométrique utilise des caméras pour effectuer une analyse de votre iris. HoloLens 2 est le premier appareil Microsoft à introduire un scanneur Iris. Ces scanneurs d’iris sont identiques sur tous les appareils HoloLens 2.

Windows stocke des données biométriques qui sont utilisées pour mettre en œuvre Windows Hello en toute sécurité sur l’appareil local uniquement. Les données biométriques ne sont pas itinérantes et ne sont jamais envoyées à des appareils ou serveurs externes. Étant donné que Windows Hello stocke uniquement les données d’identification biométriques sur l’appareil, il n’existe aucun point de collecte unique qu’un attaquant peut compromettre pour voler des données biométriques. Pour plus d’informations sur l’authentification biométrique avec Windows Hello Entreprise, consultez Windows Hello biométrie dans l’entreprise.

Différences entre Windows Hello et Windows Hello Entreprise

  • Pour une connexion pratique, les utilisateurs peuvent créer un code confidentiel ou un mouvement biométrique sur leurs appareils personnels. Cette utilisation de Windows Hello est propre à l’appareil sur lequel elle est configurée, mais peut utiliser un hachage de mot de passe en fonction du type de compte d’une personne. Cette configuration est appelée Windows Hello code pin pratique et n’est pas soutenue par une authentification asymétrique (clé publique/privée) ou basée sur un certificat.

  • Windows Hello Entreprise, qui est configuré par la stratégie de groupe ou la stratégie de gestion des appareils mobiles (GPM), utilise toujours l’authentification basée sur une clé ou sur un certificat. Ce comportement le rend plus sécurisé que Windows Hello code confidentiel pratique.

Avantages de Windows Hello

Les rapports d’usurpation d’identité et de piratage à grande échelle font souvent les gros titres. Personne ne souhaite être informé de l’exposition de son nom d’utilisateur et de son mot de passe.

Vous pouvez vous demander de quelle manière un code PIN peut aider à protéger un appareil mieux qu’un mot de passe. Les mots de passe sont des secrets partagés ; ils sont entrés sur un appareil et transmis sur le réseau au serveur. Un nom de compte et un mot de passe interceptés peuvent être utilisés par n’importe qui, n’importe où. Comme ils sont stockés sur le serveur, une violation du serveur peut révéler ces informations d’identification stockées.

Dans Windows 10 et versions ultérieures, Windows Hello remplace les mots de passe. Lorsqu’un fournisseur d’identité prend en charge les clés, le processus d’approvisionnement Windows Hello crée une paire de clés de chiffrement liée au module de plateforme sécurisée (TPM), si un appareil dispose d’un module TPM 2.0 ou dans un logiciel. L’accès à ces clés et l’obtention d’une signature pour valider la possession de la clé privée par l’utilisateur sont permis uniquement par le code confidentiel ou le mouvement biométrique. La vérification en deux étapes qui a lieu lors de l’inscription à Windows Hello crée une relation d’approbation entre le fournisseur d’identité et l’utilisateur lorsque la partie publique de la paire de clés publique/privée est envoyée à un fournisseur d’identité et associée à un compte d’utilisateur. Lorsqu’un utilisateur entre le mouvement sur l’appareil, le fournisseur d’identité sait qu’il s’agit d’une identité vérifiée, en raison de la combinaison de touches Windows Hello et de mouvements. Il fournit ensuite un jeton d’authentification qui permet à Windows d’accéder aux ressources et services.

Remarque

Windows Hello par commodité, la connexion utilise l’authentification régulière par nom d’utilisateur et mot de passe, sans que l’utilisateur entre le mot de passe.

Fonctionnement de l’authentification dans Windows Hello.

Imaginez que quelqu’un regarde par-dessus votre épaule lorsque vous retirez de l’argent à un distributeur automatique de billets, et voit le code confidentiel que vous entrez. Disposer de ce code PIN ne permettra pas à cette personne d’accéder à votre compte, car elle ne possède pas votre carte bancaire. De la même manière, si elle apprend le code confidentiel que vous utilisez pour votre appareil, cette personne malveillante ne pourra pas accéder à votre compte, car le code confidentiel est propre à votre appareil et ne permet aucun type d’authentification depuis les autres appareils.

Windows Hello contribue à protéger l’identité de l’utilisateur et ses informations d’identification. Le fait que l’utilisateur n’entre pas de mot de passe (sauf lors de l’allocation) permet de contourner les attaques d’hameçonnage et en force brute. Cela permet également d’empêcher les violations de serveur, car les informations d’identification Windows Hello sont une paire de clés asymétriques, ce qui empêche les attaques par relecture lorsque ces clés sont protégées par les modules TPM.

Conditions requises pour l’édition et les licences Windows

Le tableau suivant répertorie les éditions de Windows qui prennent en charge Windows Hello Entreprise :

Windows Pro Windows Entreprise Windows Pro Éducation/SE Windows Éducation
Oui Oui Oui Oui

Windows Hello Entreprise droits de licence sont accordés par les licences suivantes :

Windows Pro/Professionnel Éducation/SE Windows Entreprise E3 Windows Entreprise E5 Windows Éducation A3 Windows Éducation A5
Oui Oui Oui Oui Oui

Pour plus d’informations sur les licences Windows, consultez Vue d’ensemble des licences Windows.

Fonctionnement de Windows Hello Entreprise : Points clés

  • Les informations d’identification Windows Hello sont basées sur un certificat ou une paire de clés asymétriques. Les informations d’identification Windows Hello peuvent être liées à l’appareil, et le jeton qui est obtenu par leur biais est également lié à l’appareil.

  • Un fournisseur d’identité valide l’identité de l’utilisateur et mappe la clé publique Windows Hello à un compte d’utilisateur pendant l’étape d’inscription. Les exemples de fournisseurs sont Active Directory, Azure AD ou un compte Microsoft.

  • Des clés peuvent être générées dans le matériel (TPM 1.2 ou 2.0 pour les entreprises, et TPM 2.0 pour les consommateurs) ou dans le logiciel, en fonction de la stratégie. Pour garantir que les clés sont générées dans le matériel, vous devez définir une stratégie.

  • L’authentification est l’authentification à deux facteurs avec la combinaison d’une clé ou d’un certificat lié à un appareil et d’un élément que la personne connaît (un code confidentiel) ou quelque chose que la personne est (biométrie). Le mouvement Windows Hello n’est pas itinérant entre les appareils et n’est pas partagé avec le serveur. Les modèles de biométrie sont stockés localement sur un appareil. Le code confidentiel n’est jamais stocké ou partagé.

  • La clé privée ne quitte jamais un appareil lors de l’utilisation du module TPM. Le serveur d’authentification dispose d’une clé publique mappée au compte d’utilisateur lors de la procédure d’inscription.

  • L’entrée de code confidentiel et le mouvement biométrique déclenchent Windows 10 et versions ultérieures pour utiliser la clé privée pour signer par chiffrement les données envoyées au fournisseur d’identité. Le fournisseur d’identité vérifie l’identité de l’utilisateur et authentifie ce dernier.

  • Les comptes personnels (compte Microsoft) et d’entreprise (Active Directory ou Azure AD) utilisent un conteneur unique pour les clés. Toutes les clés sont séparées par les domaines des fournisseurs d’identité pour assurer la confidentialité des utilisateurs.

  • Les clés privées des certificats peuvent être protégées par le conteneur Windows Hello et par le mouvement Windows Hello.

Pour plus d’informations, voir Fonctionnement de Windows Hello Entreprise.

Comparaison des authentifications basées sur les clés et les certificats

Windows Hello Entreprise peut utiliser des clés (matérielles ou logicielles) ou des certificats dans le matériel ou les logiciels. Les entreprises qui disposent d’une infrastructure à clé publique (PKI) pour émettre et gérer des certificats d’utilisateur final peuvent continuer à utiliser l’infrastructure à clé publique (PKI) en combinaison avec Windows Hello Entreprise. Les entreprises qui n’utilisent pas l’infrastructure à clé publique ou qui souhaitent réduire les efforts associés à la gestion des certificats utilisateur peuvent s’appuyer sur des informations d’identification basées sur des clés pour Windows Hello. Cette fonctionnalité utilise toujours des certificats sur les contrôleurs de domaine comme racine de confiance. À compter de Windows 10 version 21H2, il existe une fonctionnalité appelée confiance Kerberos cloud pour les déploiements hybrides, qui utilise Azure AD comme racine de confiance. L’approbation Kerberos cloud utilise des informations d’identification basées sur une clé pour Windows Hello, mais ne nécessite pas de certificats sur le contrôleur de domaine.

Windows Hello Entreprise avec une clé, y compris l’approbation Kerberos cloud, ne prend pas en charge les informations d’identification fournies pour RDP. RDP ne prend pas en charge l’authentification avec une clé ou un certificat auto-signé. RDP avec Windows Hello Entreprise est pris en charge avec les déploiements basés sur des certificats en tant qu’informations d’identification fournies. Windows Hello Entreprise avec des informations d’identification de clé peuvent être utilisées avec Windows Defender Remote Credential Guard.

En savoir plus

Implémentation d’une authentification utilisateur forte avec Windows Hello Entreprise

Implémentation de Windows Hello Entreprise chez Microsoft

Windows Hello Entreprise : Authentification : dans cette vidéo, découvrez Windows Hello Entreprise et comment il est utilisé pour se connecter et accéder aux ressources.

Authentification faciale Windows Hello