Partager via


Paramètres de stratégie Windows Hello Entreprise

Cet article de référence fournit une liste complète des paramètres de stratégie pour Windows Hello Entreprise. La liste des paramètres est triée par ordre alphabétique et organisée en quatre catégories :

  • Paramètres des fonctionnalités : utilisés pour activer Windows Hello Entreprise et configurer les options de base
  • Paramètre de code confidentiel : utilisé pour configurer l’authentification par code confidentiel, comme la complexité et la récupération du code confidentiel
  • Paramètre biométrique : utilisé pour configurer l’authentification biométrique
  • Paramètres de carte à puce : utilisés pour configurer l’authentification par carte à puce utilisée conjointement avec Windows Hello Entreprise

Pour plus d’informations sur la configuration de ces paramètres, consultez Configurer Windows Hello Entreprise.

Sélectionnez l’un des onglets pour afficher la liste des paramètres disponibles :

Nom du paramètre CSP GPO
Configurer les facteurs de déverrouillage de l’appareil
Configurer les facteurs de verrouillage dynamique
Utiliser un périphérique de sécurité matériel
Utiliser le certificat pour l’authentification locale
Utiliser l’approbation cloud (Kerberos) pour l’authentification locale
Utiliser Windows Hello Entreprise

Configurer les facteurs de déverrouillage de l’appareil

Configurez une liste séparée par des virgules des GUID des fournisseurs d’informations d’identification, tels que les GUID du fournisseur d’empreintes digitales et de visage, à utiliser comme premier et deuxième facteurs de déverrouillage. Si le fournisseur de signal approuvé est spécifié comme l’un des facteurs de déverrouillage, vous devez également configurer une liste de règles de signal séparées par des virgules sous la forme de xml pour chaque type de signal à vérifier.

Si vous activez ce paramètre de stratégie, l’utilisateur doit utiliser un facteur de chaque liste pour réussir le déverrouillage. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent continuer à déverrouiller avec les options existantes.

Chemin d'accès
CSP ./Device/Vendor/MSFT/PassportForWork/ DeviceUnlock
GPO Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsWindows Hello Entreprise

Pour plus d’informations, consultez Déverrouillage multifacteur.

Configurer les facteurs de verrouillage dynamique

Configurez une liste de règles de signal séparées par des virgules sous la forme de xml pour chaque type de signal.

  • Si vous activez ce paramètre de stratégie, les règles de signal sont évaluées pour détecter l’absence de l’utilisateur et verrouiller automatiquement l’appareil
  • Si vous désactivez ou ne configurez pas le paramètre, les utilisateurs peuvent continuer à verrouiller avec les options existantes
Chemin d'accès
CSP ./Device/Vendor/MSFT/PassportForWork/DynamicLock/ DynamicLock
GPO Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsWindows Hello Entreprise

Utiliser un périphérique de sécurité matériel

Un module de plateforme sécurisée (TPM) offre des avantages de sécurité supplémentaires par rapport aux logiciels, car les données qu’il protège ne peuvent pas être utilisées sur d’autres appareils.

  • Si vous activez ce paramètre de stratégie, l’approvisionnement de Windows Hello Entreprise se produit uniquement sur les appareils avec des TPM 1.2 ou 2.0 utilisables. Vous pouvez éventuellement exclure les modules TPM revision 1.2, ce qui empêche l’approvisionnement de Windows Hello Entreprise sur ces appareils

    Astuce

    La spécification TPM 1.2 autorise uniquement l’utilisation de RSA et de l’algorithme de hachage SHA-1. Les implémentations TPM 1.2 varient selon les paramètres de stratégie, ce qui peut entraîner des problèmes de prise en charge, car les stratégies de verrouillage varient. Il est recommandé d’exclure les appareils TPM 1.2 du provisionnement Windows Hello Entreprise. - Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le module de plateforme sécurisée est toujours recommandé, mais tous les appareils peuvent provisionner Windows Hello Entreprise à l’aide d’un logiciel si le module de plateforme sécurisée n’est pas fonctionnel ou non disponible.

Chemin d'accès
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ RequireSecurityDevice

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/ TPM12
GPO Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsWindows Hello Entreprise

Utiliser le certificat pour l’authentification locale

Utilisez ce paramètre de stratégie pour configurer Windows Hello Entreprise afin d’inscrire un certificat de connexion utilisé pour l’authentification locale.

  • Si vous activez ce paramètre de stratégie, Windows Hello Entreprise inscrit un certificat de connexion utilisé pour l’authentification locale
  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, Windows Hello Entreprise utilise une clé ou un ticket Kerberos (en fonction d’autres paramètres de stratégie) pour l’authentification locale
Chemin d'accès
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UseCertificateForOnPremAuth
GPO Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsWindows Hello Entreprise

Configuration> utilisateurModèles d’administration>Composants> WindowsWindows Hello Entreprise

Utiliser l’approbation cloud pour l’authentification locale

Utilisez ce paramètre de stratégie pour configurer Windows Hello Entreprise afin d’utiliser le modèle d’approbation Kerberos cloud.

  • Si vous activez ce paramètre de stratégie, Windows Hello Entreprise utilise un ticket Kerberos récupéré de l’authentification auprès de l’ID Microsoft Entra pour l’authentification locale
  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, Windows Hello Entreprise utilise une clé ou un certificat (en fonction d’autres paramètres de stratégie) pour l’authentification locale
Chemin d'accès
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UseCloudTrustForOnPremAuth
GPO Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsWindows Hello Entreprise

Remarque

L’approbation Kerberos cloud n’est pas compatible avec l’approbation de certificat. Si le paramètre de stratégie d’approbation de certificat est activé, il est prioritaire sur ce paramètre de stratégie.

Utiliser Windows Hello Entreprise

  • Si vous activez cette stratégie, l’appareil provisionne Windows Hello Entreprise à l’aide de clés ou de certificats pour tous les utilisateurs
  • Si vous désactivez ce paramètre de stratégie, l’appareil ne provisionne windows Hello Entreprise pour aucun utilisateur
  • Si vous ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent provisionner Windows Hello Entreprise

Sélectionnez l’option Ne pas démarrer l’approvisionnement de Windows Hello après la connexion lorsque vous utilisez une solution non-Microsoft pour provisionner Windows Hello Entreprise :

  • Si vous sélectionnez Ne pas démarrer l’approvisionnement de Windows Hello après la connexion, Windows Hello Entreprise ne démarre pas automatiquement l’approvisionnement une fois que l’utilisateur s’est connecté.
  • Si vous ne sélectionnez pas Ne pas démarrer l’approvisionnement de Windows Hello après la connexion, Windows Hello Entreprise démarre automatiquement l’approvisionnement une fois que l’utilisateur s’est connecté.
Chemin d'accès
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UsePassportForWork

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ DisablePostLogonProvisioning
GPO Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsWindows Hello Entreprise

Configuration> utilisateurModèles d’administration>Composants> WindowsWindows Hello Entreprise