Déverrouillage multifacteur

Windows Hello Entreprise prend en charge l’utilisation d’informations d’identification uniques (code confidentiel et biométrie) pour déverrouiller un appareil. Par conséquent, si l’une de ces informations d’identification est compromise (clonage par distraction), une personne malveillante pourrait accéder au système.

Windows Hello Entreprise peut être configuré avec le déverrouillage multifacteur, en étendant Windows Hello avec des signaux approuvés. Les administrateurs peuvent configurer des appareils pour demander une combinaison de facteurs et de signaux approuvés pour les déverrouiller.

Le déverrouillage multifacteur est idéal pour les organisations qui :

  • Avoir exprimé que les codes confidentiels seuls ne répondent pas à leurs besoins de sécurité
  • Voulez empêcher les travailleurs de l’information de partager des informations d’identification
  • Souhaitent que leurs organisations se conforment à la stratégie réglementaire d’authentification à deux facteurs
  • Vous souhaitez conserver l’expérience utilisateur de connexion Windows familière et ne pas vous contenter d’une solution personnalisée

Fonctionnement

Le fournisseur d’informations d’identification du premier facteur de déverrouillage et le deuxième fournisseur d’informations d’identification de déverrouillage sont responsables de la majeure partie de la configuration. Chacun de ces composants contient un identificateur global unique (GUID) qui représente un fournisseur d’informations d’identification Windows différent. Une fois le paramètre de stratégie activé, les utilisateurs déverrouillent l’appareil à l’aide d’au moins un fournisseur d’informations d’identification de chaque catégorie avant que Windows ne permette à l’utilisateur de passer à son bureau.

Le paramètre de stratégie comporte trois composants :

  • Fournisseur d’informations d’identification pour le premier facteur de déverrouillage
  • Fournisseur d’informations d’identification pour le second facteur de déverrouillage
  • Règles de signal pour le déverrouillage de l’appareil

Configurer les facteurs de déverrouillage

Attention

Lorsque la stratégie de sécurité DontDisplayLastUserName est activée, elle est connue pour interférer avec la possibilité d’utiliser le déverrouillage multifacteur.

Les parties Fournisseur d’informations d’identification pour le premier facteur de déverrouillage et Fournisseur d’informations d’identification pour le second facteur de déverrouillage de la stratégie contiennent chacune une liste séparée par des virgules de fournisseurs d’informations d’identification.

Les fournisseurs d’informations d’identification pris en charge sont notamment :

Fournisseur d’informations d’identification GUID
Code confidentiel {D6886603-9D2F-4EB2-B667-1971041FA96B}
Empreinte digitale {BEC09223-B018-416D-A0AC-523971B639F5}
Reconnaissance faciale {8AF662BF-65A0-4D0A-A540-A338A999D36F}
Signal approuvé
(Proximité téléphonique, emplacement réseau)
{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD}

Remarque

Le déverrouillage multifacteur ne prend pas en charge les fournisseurs d’informations d’identification non-Microsoft ou les fournisseurs d’informations d’identification non répertoriés dans le tableau ci-dessus.

Les fournisseurs d’informations d’identification par défaut pour le Fournisseur d’informations d’identification pour le premier facteur de déverrouillage incluent :

  • Code confidentiel
  • Empreinte digitale
  • Reconnaissance faciale

Les fournisseurs d’informations d’identification par défaut pour le Fournisseur d’informations d’identification pour le second facteur de déverrouillage incluent :

  • Signal approuvé
  • Code PIN

Configurez une liste séparée par des virgules des GUID des fournisseurs d’informations d’identification que vous souhaitez utiliser comme premier et deuxième facteurs de déverrouillage. Bien qu’un fournisseur d’informations d’identification puisse apparaître dans les deux listes, les informations d’identification prises en charge par ce fournisseur ne peuvent satisfaire qu’à l’un des facteurs de déverrouillage. Les fournisseurs d’informations d’identification répertoriés n’ont pas besoin d’être dans un ordre spécifique.

Par exemple, si vous incluez les fournisseurs d’informations d’identification de code PIN et d’empreinte digitale dans les deux listes du premier et du deuxième facteur, un utilisateur peut utiliser ses empreintes digitales ou un code PIN comme premier facteur de déverrouillage. Le facteur que vous utilisez pour satisfaire le premier facteur de déverrouillage ne peut pas être utilisé pour satisfaire le deuxième facteur de déverrouillage. Chaque facteur peut donc servir une seule fois. Le fournisseur de Signal approuvé peut uniquement être indiqué dans la liste de fournisseurs d’informations d’identification du deuxième facteur de déverrouillage.

Configurer des règles de signal pour le fournisseur d’informations d’identification Signal approuvé

Le paramètre Règles de signal pour le déverrouillage de l’appareil contient les règles utilisées par le fournisseur d’informations d’identification Signal approuvé pour satisfaire le déverrouillage de l’appareil.

Élément de règle

Vous représentez les règles de signal au format XML. Chaque règle de signal a un élément de début et de fin rule qui contient l’attribut et la schemaVersion valeur. La version actuelle du schéma pris en charge est 1.0.

Exemple

<rule schemaVersion="1.0">
</rule>

Élément de signal

Chaque élément de règle a un signal élément . Tous les éléments de signal ont un type élément et value. Les valeurs prises en charge sont les suivantes :

  • bluetooth
  • Ipconfig
  • wi-fi

Bluetooth

Vous définissez le signal Bluetooth avec d’autres attributs dans l’élément signal. La configuration Bluetooth n’utilise aucun autre élément. Vous pouvez mettre fin à l’élément signal avec la balise />de fin courte .

Attribut Valeur Obligatoire
type bluetooth oui
scénario Authentication oui
classOfDevice « number » non
rssiMin « number » non
rssiMaxDelta « number » non

Par exemple :

<rule schemaVersion="1.0">
    <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>

L’attribut classofDevice est défini par défaut sur Phone et utilise les valeurs du tableau suivant :

Description Valeur
Divers 0
Ordinateur 256
Téléphone 512
Réseau local/Point d'accès réseau 768
Audio/Vidéo 1024
Périphérique 1280
Imagerie 1536
Portable 1792
Jouet 2048
Intégrité 2304
Sans catégorie 7936

Le signal de valeur d'attribut rssiMin indique la force nécessaire pour que l'appareil soit considéré comme « à portée ». La valeur par défaut -10 permet à un utilisateur de se déplacer dans un bureau ou un espace de travail de taille moyenne sans que Windows ne verrouille l’appareil. RssiMaxDelta a une valeur par défaut de -10, qui indique à Windows de verrouiller l’appareil une fois que la force du signal s’affaiblit de plus de 10.

Les mesures RSSI sont relatives et inférieures à mesure que les signaux Bluetooth entre les deux appareils jumelés diminuent. Une mesure de 0 est plus forte que -10. Une mesure de -10 est plus forte que -60 et indique que les appareils sont éloignés les uns des autres.

Important

Microsoft recommande d’utiliser les valeurs par défaut pour ce paramètre de stratégie. Les mesures sont relatives, basées sur les différentes conditions de chaque environnement. Par conséquent, les mêmes valeurs peuvent produire des résultats différents. Testez les paramètres de stratégie dans chaque environnement avant le déploiement à grande échelle du paramètre. Utilisez les valeurs rssiMIN et rssiMaxDelta provenant du fichier XML créé par l’Éditeur de gestion des stratégies de groupe ou supprimez les deux attributs pour utiliser le valeurs par défaut.

Configuration IP

Vous définissez les signaux de configuration IP à l’aide d’un ou plusieurs éléments ipConfiguration. Chaque élément possède une valeur de chaîne. Les éléments IpConfiguration n’ont pas d’attributs ni d’éléments imbriqués.

IPv4Prefix

Le préfixe réseau IPv4 représenté dans la notation Internet standard à point décimal. Un préfixe réseau qui utilise la notation CIDR (Classless Interdomain Routing) est requis dans le cadre de la chaîne de réseau. Un port réseau ne doit pas être présent dans la chaîne de réseau. Un élément signal ne peut contenir qu’un seul élément ipv4Prefix. Exemple :

<ipv4Prefix>192.168.100.0/24</ipv4Prefix>

Les adresses IPv4 attribuées dans la plage 192.168.100.1 à 192.168.100.254 correspondent à cette configuration de signal.

IPv4Gateway

La passerelle réseau IPv4 représentée dans la notation Internet standard à point décimal. Un port ou un préfixe réseau ne doit pas être présent dans la chaîne de réseau. Un élément signal ne peut contenir qu’un seul élément ipv4Gateway. Exemple :

<ipv4Gateway>192.168.100.10</ipv4Gateway>
IPv4DhcpServer

Le serveur DHCP IPv4 représenté dans la notation Internet standard à point décimal. Un port ou un préfixe réseau ne doit pas être présent dans la chaîne de réseau. Un élément signal ne peut contenir qu’un seul élément ipv4DhcpServer. Par exemple :

<ipv4DhcpServer>192.168.100.10</ipv4DhcpServer>
IPv4DnsServer

Le serveur DNS IPv4 représenté dans la notation Internet standard à point décimal. Un port ou un préfixe réseau ne doit pas être présent dans la chaîne de réseau.L’élément signal élément peut contenir un ou plusieurs éléments ipv4DnsServer.

Exemple :

<ipv4DnsServer>192.168.100.10</ipv4DnsServer>
IPv6Prefix

Le préfixe réseau IPv6 représenté dans un réseau IPv6 à l’aide de codage Internet hexadécimal standard. Un préfixe réseau en notation CIDR est requis dans la chaîne de réseau. Un port ou un ID d’étendue réseau ne doit pas être présent dans la chaîne de réseau. Un élément signal ne peut contenir qu’un seul élément ipv6Prefix. Exemple :

<ipv6Prefix>21DA:D3::/48</ipv6Prefix>
IPv6Gateway

La passerelle réseau IPv6 représentée en encodage Internet hexadécimal standard. Un ID d’étendue IPv6 peut être présent dans la chaîne de réseau. Un port ou un préfixe réseau ne doit pas être présent dans la chaîne de réseau. Un élément signal ne peut contenir qu’un seul élément ipv6Gateway. Par exemple :

<ipv6Gateway>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6Gateway>
IPv6DhcpServer

Le serveur DNS IPv6 représenté en encodage Internet hexadécimal standard. Un ID d’étendue IPv6 peut être présent dans la chaîne de réseau. Un port ou un préfixe réseau ne doit pas être présent dans la chaîne de réseau. Un élément signal ne peut contenir qu’un seul élément ipv6DhcpServer. Par exemple :

<ipv6DhcpServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DhcpServer
IPv6DnsServer

Le serveur DNS IPv6 représenté en encodage Internet hexadécimal standard. Un ID d’étendue IPv6 peut être présent dans la chaîne de réseau. Un port ou un préfixe réseau ne doit pas être présent dans la chaîne de réseau. L’élément signal peut contenir un ou plusieurs éléments ipv6DnsServer. Par exemple :

<ipv6DnsServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DnsServer>
dnsSuffix

Nom de domaine complet du suffixe DNS interne de votre organization où une partie du nom de domaine complet dans ce paramètre se trouve dans le suffixe DNS principal de l’ordinateur. L’élément signal peut contenir un ou plusieurs éléments dnsSuffix. Par exemple :

<dnsSuffix>corp.contoso.com</dnsSuffix>

Wi-Fi

Vous définissez Wi-Fi signaux à l’aide d’un ou plusieurs éléments Wifi. Chaque élément possède une valeur de chaîne. Les éléments Wifi n’ont pas d’attributs ou d’éléments imbriqués.

SSID

Contient l’identificateur de jeu de services (SSID) d’un réseau sans fil. Le SSID est le nom du réseau sans fil. L’élément SSID est obligatoire. Par exemple :

<ssid>corpnetwifi</ssid>
BSSID

Contient l’identificateur de jeu de services de base (BSSID) d’un point d’accès sans fil. le BSSID est l’adresse mac du point d’accès sans fil. L’élément BSSID est facultatif. Par exemple :

<bssid>12-ab-34-ff-e5-46</bssid>
Sécurité

Contient le type de sécurité utilisé par le client lors de la connexion au réseau sans fil. L’élément de sécurité est obligatoire et doit contenir l’une des valeurs suivantes :

Valeur Description
Open Le réseau sans fil est un réseau ouvert qui ne nécessite aucune authentification ou chiffrement.
WEP Le réseau sans fil est protégé à l’aide de la confidentialité équivalente câblée.
WPA-Personal Le réseau sans fil est protégé à l’aide de Wi-Fi'accès protégé.
WPA-Enterprise Le réseau sans fil est protégé à l’aide de Wi-Fi Protected Access-Enterprise.
WPA2-Personal Le réseau sans fil est protégé à l’aide de Wi-Fi l’accès protégé 2, qui utilise généralement une clé pré-partagée.
WPA2-Enterprise Le réseau sans fil est protégé à l’aide de Wi-Fi'accès protégé 2-Enterprise.

Par exemple :

<security>WPA2-Enterprise</security>

TrustedRootCA

Contient l’empreinte numérique du certificat racine approuvé du réseau sans fil. Vous pouvez utiliser n’importe quel certificat racine approuvé valide. La valeur est représentée sous forme de chaîne hexadécimale, où chaque octet de la chaîne est séparé par un espace unique. L’élément est facultatif. Exemple :

<trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>

Sig_quality

Contient une valeur numérique comprise entre 0 et 100 pour représenter la puissance du signal du réseau sans fil qui doit être considérée comme un signal approuvé.

Exemple :

<sig_quality>80</sig_quality>

Exemples de configurations de signal approuvé

Important

Ces exemples sont renvoyés à la ligne par souci de lisibilité. Une fois correctement mise en forme, l’intégralité du contenu XML doit se trouver sur une seule ligne.

Exemple 1

L’exemple suivant configure un type de signal IPConfig à l’aide des éléments Ipv4Prefix, Ipv4DnsServer et DnsSuffix .

<rule schemaVersion="1.0">
    <signal type="ipConfig">
        <ipv4Prefix>10.10.10.0/24</ipv4Prefix>
        <ipv4DnsServer>10.10.0.1</ipv4DnsServer>
        <ipv4DnsServer>10.10.0.2</ipv4DnsServer>
        <dnsSuffix>corp.contoso.com</dnsSuffix>
    </signal>
</rule>

Exemple 2

L’exemple suivant configure un type de signal IpConfig à l’aide d’un élément dnsSuffix et d’un signal Bluetooth pour les téléphones. L’exemple implique que la règle IpConfig ou Bluetooth doit avoir la valeur true pour que l’évaluation du signal obtenue soit vraie.

Remarque

Séparez chaque élément de règle par une virgule.

<rule schemaVersion="1.0">
    <signal type="ipConfig">
        <dnsSuffix>corp.contoso.com</dnsSuffix>
    </signal>
</rule>,
<rule schemaVersion="1.0">
    <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>

Exemple 3

L’exemple suivant configure la même chose que l’exemple 2 à l’aide d’éléments composés and . L’exemple implique que les règles IpConfig et Bluetooth doivent avoir la valeur true, pour que l’évaluation du signal obtenue soit vraie.

<rule schemaVersion="1.0">
<and>
  <signal type="ipConfig">
   <dnsSuffix>corp.microsoft.com</dnsSuffix>
  </signal>
  <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</and>
</rule>

Exemple 4

L’exemple suivant configure le Wi-Fi en tant que signal approuvé.

<rule schemaVersion="1.0">
  <signal type="wifi">
    <ssid>contoso</ssid>
    <bssid>12-ab-34-ff-e5-46</bssid>
    <security>WPA2-Enterprise</security>
    <trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>
    <sig_quality>80</sig_quality>
  </signal>
</rule>

Configurer le déverrouillage multifacteur

Pour configurer le déverrouillage multifacteur, vous pouvez utiliser :

  • Microsoft Intune/CSP
  • Stratégie de groupe

Important

  • Le code PIN doit se trouver dans au moins l’un des groupes.
  • Les signaux approuvés doivent être combinés avec un autre fournisseur d’informations d’identification.
  • Vous ne pouvez pas utiliser le même facteur de déverrouillage pour satisfaire les deux catégories. Par conséquent, si vous incluez un fournisseur d’informations d’identification dans les deux catégories, cela signifie qu’il peut satisfaire l’une ou l’autre catégorie, mais pas les deux

Les instructions suivantes fournissent des détails sur la configuration de vos appareils. Sélectionnez l’option qui convient le mieux à vos besoins.

Pour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue Paramètres et utilisez les paramètres suivants :

Catégorie Nom du paramètre
Modèles d’administration>Windows Hello Entreprise Plug-ins de déverrouillage d'
  1. Configurer les premier et deuxième facteurs de déverrouillage à l’aide des informations fournies dans Configurer les facteurs de déverrouillage
  2. Si vous utilisez des signaux approuvés, configurez les signaux approuvés utilisés par le facteur de déverrouillage à l’aide des informations fournies dans Configurer les règles de signal pour le fournisseur d’informations d’identification de signal de confiance

Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.

Vous pouvez également configurer des appareils à l’aide d’une stratégie personnalisée avec le csp PassportForWork.

Paramètre
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock

Important

Vous devez supprimer tous les fournisseurs d’informations d’identification non-Microsoft pour vous assurer que les utilisateurs ne peuvent pas déverrouiller leurs appareils s’ils ne disposent pas des facteurs requis. Les options de secours consistent à utiliser des mots de passe ou des cartes à puce (lesquels peuvent être désactivés en fonction des besoins).

Expérience de l'utilisateur

Voici une brève vidéo montrant l’expérience utilisateur lorsque le déverrouillage multifacteur est activé :

  1. L’utilisateur se connecte d’abord avec une empreinte digitale + un téléphone bluetooth
  2. L’utilisateur se connecte ensuite avec une empreinte digitale + un code confidentiel

Résoudre les problèmes

Le déverrouillage multifacteur écrit des événements dans le journal des événements sous Journaux des applications et des services\Microsoft\Windows\HelloForBusiness avec le nom de catégorie Déverrouillage de l’appareil.

Événements

ID d’événement Détails
3520 Tentative de déverrouillage lancée
5520 Stratégie de déverrouillage non configurée
6520 Événement d’avertissement
7520 Événement d’erreur
8520 Événement de succès