Prise en main des cartes à puce virtuelles : Guide pas à pas

• S’applique à:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Warning

les clés de sécurité Windows Hello Entreprise et FIDO2 sont des méthodes d’authentification à deux facteurs modernes pour Windows. Les clients qui utilisent des cartes à puce virtuelles sont encouragés à passer à Windows Hello Entreprise ou FIDO2. Pour les nouvelles installations Windows, nous vous recommandons d’Windows Hello Entreprise ou de clés de sécurité FIDO2.

Cette rubrique destinée aux professionnels de l’informatique explique comment configurer un environnement de test de base pour l’utilisation de cartes à puce virtuelles TPM.

Les cartes à puce virtuelles sont une technologie de Microsoft qui offre des avantages de sécurité comparables en matière d’authentification à deux facteurs aux cartes à puce physiques. Ils offrent également plus de commodité pour les utilisateurs et des coûts de déploiement réduits pour les organisations. En utilisant des appareils de module de plateforme sécurisée (TPM) qui fournissent les mêmes fonctionnalités de chiffrement que les cartes à puce physiques, les cartes à puce virtuelles accomplissent les trois propriétés clés souhaitées par les cartes à puce : non-exportation, chiffrement isolé et anti-marteau.

Cette procédure pas à pas vous montre comment configurer un environnement de test de base pour l’utilisation de cartes à puce virtuelles TPM. Une fois cette procédure pas à pas terminée, un carte intelligent virtuel fonctionnel est installé sur l’ordinateur Windows.

Vous devriez être en mesure d’effectuer cette procédure pas à pas en moins d’une heure, à l’exception de l’installation du logiciel et de la configuration du domaine de test.

Procédure pas à pas

• Conditions préalables
• Étape 1 : Créer le modèle de certificat
• Étape 2 : Créer le carte intelligent virtuel du module de plateforme sécurisée (TPM)
• Étape 3 : Inscrire le certificat sur la carte à puce virtuelle TPM

Important

Cette configuration de base est à des fins de test uniquement. Il n’est pas destiné à être utilisé dans un environnement de production.

Conditions préalables

Éléments requis :

• Un ordinateur exécutant Windows 10 avec un module TPM installé et entièrement fonctionnel (version 1.2 ou version 2.0)
• Domaine de test auquel l’ordinateur répertorié ci-dessus peut être joint
• Accès à un serveur dans ce domaine avec une autorité de certification (CA) entièrement installée et en cours d’exécution

Étape 1 : Créer le modèle de certificat

Sur votre serveur de domaine, vous devez créer un modèle pour le certificat que vous demandez pour le carte intelligent virtuel.

Pour créer le modèle de certificat

1. Sur votre serveur, ouvrez la console MMC (Microsoft Management Console). Pour ce faire, vous pouvez taper mmc.exe dans le menu Démarrer , cliquer avec le bouton droit surmmc.exe, puis sélectionner Exécuter en tant qu’administrateur
2. SélectionnerAjouter/supprimer un composant logiciel enfichablefichier>
3. Dans la liste des composants logiciels enfichables disponibles, sélectionnez Modèles de certificat, puis Ajouter
4. Les modèles de certificat se trouvent désormais sous Racine de la console dans la console MMC. Double-cliquez dessus pour afficher tous les modèles de certificat disponibles
5. Cliquez avec le bouton droit sur le modèle d’ouverture de session par carte à puce , puis sélectionnez Dupliquer le modèle
6. Sous l’onglet Compatibilité , sous Autorité de certification, passez en revue la sélection et modifiez-la si nécessaire.
7. Sous l’onglet Général :
   1. Spécifiez un nom, tel que Connexion par carte à puce virtuelle TPM
   2. Définir la période de validité sur la valeur souhaitée
8. Sous l’onglet Gestion des demandes :
   1. Définir l’objectif sur Signature et connexion par carte à puce
   2. Sélectionnez Inviter l’utilisateur lors de l’inscription.
9. Sous l’onglet Chiffrement :
   1. Définissez la taille de clé minimale sur 2048
   2. Sélectionnez Les demandes doivent utiliser l’un des fournisseurs suivants, puis sélectionnez Fournisseur de chiffrement de carte à puce De base Microsoft
10. Sous l’onglet Sécurité , ajoutez le groupe de sécurité auquel vous souhaitez accorder l’accès Inscrire . Par exemple, si vous souhaitez accorder l’accès à tous les utilisateurs, sélectionnez le groupe Utilisateurs authentifiés , puis inscrire des autorisations pour eux
11. Sélectionnez OK pour finaliser vos modifications et créer le modèle. Votre nouveau modèle doit maintenant apparaître dans la liste des modèles de certificats
12. Sélectionnez Fichier, puis Ajouter/Supprimer un composant logiciel enfichable pour ajouter le composant logiciel enfichable Autorité de certification à votre console MMC. Lorsque vous êtes invité à choisir l’ordinateur que vous souhaitez gérer, sélectionnez l’ordinateur sur lequel se trouve l’autorité de certification, probablement Ordinateur local
13. Dans le volet gauche de la console MMC, développez Autorité de certification (local), puis développez votre autorité de certification dans la liste Autorité de certification
14. Cliquez avec le bouton droit sur Modèles de certificat, sélectionnez Nouveau, puis modèle de certificat à émettre
15. Dans la liste, sélectionnez le nouveau modèle que vous avez créé (connexion par carte à puce virtuelle TPM), puis sélectionnez OK

Remarque

La réplication de votre modèle sur tous les serveurs peut prendre un certain temps et devenir disponible dans cette liste.

1. Une fois le modèle répliqué, dans la console MMC, cliquez avec le bouton droit dans la liste Autorité de certification, sélectionnez Toutes les tâches, puis Arrêter le service. Ensuite, cliquez de nouveau avec le bouton droit sur le nom de l’autorité de certification, sélectionnez Toutes les tâches, puis sélectionnez Démarrer le service.

Étape 2 : Créer le carte intelligent virtuel du module de plateforme sécurisée (TPM)

Dans cette étape, vous créez le carte intelligent virtuel sur l’ordinateur client à l’aide de l’outil en ligne de commande ,Tpmvscmgr.exe.

Pour créer le carte intelligent virtuel du module de plateforme sécurisée (TPM)

1. Sur un ordinateur joint à un domaine, ouvrez une fenêtre d’invite de commandes avec les informations d’identification d’administration.
2. À l’invite de commandes, tapez ce qui suit, puis appuyez sur Entrée :

tpmvscmgr.exe create /name TestVSC /pin default /adminkey random /generate

Cela crée un carte intelligent virtuel nommé TestVSC, omettez la clé de déverrouillage et générez le système de fichiers sur le carte. Le code pin est défini sur la valeur par défaut, 12345678. Pour être invité à entrer un code confidentiel, au lieu de /pin par défaut , vous pouvez taper /pin prompt.
Pour plus d’informations sur l’outil en ligne de commande Tpmvscmgr, consultez Utiliser des cartes à puce virtuelles et Tpmvscmgr.

1. Attendez plusieurs secondes que le processus se termine. Une fois l’opération terminée, Tpmvscmgr.exe vous fournit l’ID de instance de l’appareil pour la carte à puce virtuelle TPM. Stockez cet ID pour référence ultérieure, car vous en avez besoin pour gérer ou supprimer le carte intelligent virtuel.

Étape 3 : Inscrire le certificat sur la carte à puce virtuelle TPM

Le carte intelligent virtuel doit être approvisionné avec un certificat de connexion pour qu’il soit entièrement fonctionnel.

Pour inscrire le certificat

1. Ouvrez la console Certificats en tapant certmgr.msc dans le menu Démarrer
2. Cliquez avec le bouton droit sur Personnel, sélectionnez Toutes les tâches, puis sélectionnez Demander un nouveau certificat
3. Suivez les invites et lorsque vous proposez une liste de modèles, sélectionnez la zone Connexion de carte à puce virtuelle TPM case activée (ou tout ce que vous avez nommé le modèle à l’étape 1)
4. Si vous êtes invité à entrer un appareil, sélectionnez le carte intelligent virtuel Microsoft qui correspond à celui que vous avez créé dans la section précédente. Il s’affiche en tant qu’appareil d’identité (profil Microsoft)
5. Entrez le code confidentiel qui a été établi lors de la création du carte intelligent virtuel TPM, puis sélectionnez OK
6. Attendez la fin de l’inscription, puis sélectionnez Terminer

Les carte intelligentes virtuelles peuvent désormais être utilisées comme informations d’identification alternatives pour vous connecter à votre domaine. Pour vérifier que votre configuration de carte intelligente virtuelle et l’inscription de certificat ont réussi, déconnectez-vous de votre session actuelle, puis connectez-vous. Lorsque vous vous connectez, l’icône du nouveau carte intelligent virtuel TPM s’affiche sur l’écran Secure Desktop (connexion) ou vous êtes automatiquement dirigé vers la boîte de dialogue de connexion au TPM smart carte. Sélectionnez l’icône, entrez votre code confidentiel (si nécessaire), puis sélectionnez OK. Vous devez être connecté à votre compte de domaine.

Voir également

• Présentation et évaluation des cartes à puce virtuelles
• Utiliser des cartes à puce virtuelles
• Déployer des cartes à puce virtuelles