Activer la connexion par clé de sécurité sans mot de passe à des appareils Windows 10 à l’aide d’Azure Active Directory (préversion)Enable passwordless security key sign-in to Windows 10 devices with Azure Active Directory (preview)

Ce document met l’accent sur l’activation de l’authentification sans mot de passe, basée sur une clé de sécurité FIDO2, avec des appareils Windows 10.This document focuses on enabling FIDO2 security key based passwordless authentication with Windows 10 devices. À la fin de cet article, vous serez en mesure de vous connecter à vos appareils Windows 10 joints à Azure AD et à ceux joints à Azure AD Hybride avec votre compte Azure AD, à l’aide d’une clé de sécurité FIDO2.At the end of this article, you will be able to sign in to both your Azure AD and hybrid Azure AD joined Windows 10 devices with your Azure AD account using a FIDO2 security key.

Notes

Les clés de sécurité FIDO2 sont une fonctionnalité d’évaluation publique d’Azure Active Directory.FIDO2 security keys are a public preview feature of Azure Active Directory. Pour plus d’informations sur les préversions, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews.

SpécificationsRequirements

Type d’appareilDevice Type Appareil joints Azure ADAzure AD joined Appareils joints Azure AD hybridesHybrid Azure AD joined
Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication XX XX
Inscription d’informations de sécurité combinée – PréversionCombined security information registration preview XX XX
Clés de sécurité FIDO2 compatiblesCompatible FIDO2 security keys XX XX
WebAuthN nécessite Windows 10 version 1903 ou plusWebAuthN requires Windows 10 version 1903 or higher XX XX
Les appareils joints à Azure AD nécessitent Windows 10 version 1909 ou ultérieureAzure AD joined devices require Windows 10 version 1909 or higher XX
Les appareils de jointure Azure AD Hybride nécessitent Windows 10 version 2004 ou ultérieureHybrid Azure AD joined devices require Windows 10 version 2004 or higher XX
Contrôleurs de domaine Windows Server 2016/2019 entièrement corrigésFully patched Windows Server 2016/2019 Domain Controllers. XX
Azure AD Connect version 1.4.32.0 ou ultérieureAzure AD Connect version 1.4.32.0 or later XX
Microsoft Intune (facultatif)Microsoft Intune (Optional) XX XX
Package d’approvisionnement (facultatif)Provisioning package (Optional) XX XX
Stratégie de groupe (facultatif)Group Policy (Optional) XX

Scénarios non pris en chargeUnsupported scenarios

Les scénarios suivants ne sont pas pris en charge :The following scenarios aren't supported:

  • Déploiement de Windows Server joint à un domaine Active Directory Domain Services (AD DS) (appareils locaux uniquement).Windows Server Active Directory Domain Services (AD DS) domain-joined (on-premises only devices) deployment.
  • Scénarios RDP, VDI et Citrix utilisant une clé de sécurité.RDP, VDI, and Citrix scenarios using a security key.
  • S/MIME utilisant une clé de sécurité.S/MIME using a security key.
  • Identification utilisant une clé de sécurité."Run as" using a security key.
  • Connexion à un serveur à l’aide d’une clé de sécurité.Log in to a server using a security key.
  • Si vous n’avez pas utilisé votre clé de sécurité pour vous connecter à votre appareil lorsqu’il est en ligne, vous ne pouvez pas l’utiliser pour vous connecter ou le déverrouiller hors connexion.If you haven't used your security key to sign in to your device while online, you can't use it to sign in or unlock offline.
  • Connexion ou déverrouillage d’un appareil Windows 10 avec une clé de sécurité contenant plusieurs comptes Azure AD.Signing in or unlocking a Windows 10 device with a security key containing multiple Azure AD accounts. Ce scénario utilise le dernier compte ajouté à la clé de sécurité.This scenario utilizes the last account added to the security key. WebAuthN permet aux utilisateurs de choisir le compte qu’ils souhaitent utiliser.WebAuthN allows users to choose the account they wish to use.
  • Déverrouillez un appareil exécutant Windows 10 version 1809.Unlock a device running Windows 10 version 1809. Vous bénéficierez d’une expérience optimale sur Windows 10 version 1903 ou ultérieure.For the best experience, use Windows 10 version 1903 or higher.

Préparer les appareils pour la préversionPrepare devices for preview

Les appareils joints à Azure AD avec lesquels vous exécutez des pilotes pendant l’évaluation des fonctionnalités doivent exécuter Windows 10 version 1909 ou ultérieure.Azure AD joined devices that you are piloting during the feature preview with must run Windows 10 version 1909 or higher.

Les appareils de jointure Azure AD Hybride doivent exécuter Windows 10 version 2004 ou ultérieure.Hybrid Azure AD joined devices must run Windows 10 version 2004 or newer.

Activer les clés de sécurité pour la connexion WindowsEnable security keys for Windows sign-in

Les organisations peuvent choisir d’utiliser une ou plusieurs des méthodes suivantes pour activer l’utilisation de clés de sécurité pour la connexion Windows sur la base des exigences de l’organisation :Organizations may choose to use one or more of the following methods to enable the use of security keys for Windows sign-in based on their organization's requirements:

Important

Les organisations disposant d’appareils joints à Azure AD Hybride doivent également suivre les étapes décrites dans l’article Activer l’authentification FIDO2 pour les ressources locales avant que l’authentification par clé de sécurité FIDO2 ne fonctionne sous Windows 10.Organizations with hybrid Azure AD joined devices must also complete the steps in the article, Enable FIDO2 authentication to on-premises resources before Windows 10 FIDO2 security key authentication works.

Les organisations disposant d’appareils joints à Azure AD doivent effectuer cette opération avant que leurs appareils puissent s’authentifier auprès des ressources locales avec des clés de sécurité FIDO2.Organizations with Azure AD joined devices must do this before their devices can authenticate to on-premises resources with FIDO2 security keys.

Activer avec IntuneEnable with Intune

Pour activer l’utilisation des clés de sécurité à l’aide d’Intune, procédez comme suit :To enable the use of security keys using Intune, complete the following steps:

  1. Connectez-vous au portail Azure.Sign in to the Azure portal.
  2. Accédez à Microsoft Intune > Inscription d’appareils > Inscription Windows > Windows Hello Entreprise > Propriétés.Browse to Microsoft Intune > Device enrollment > Windows enrollment > Windows Hello for Business > Properties.
  3. Sous Paramètres, définissez Utiliser des clés de sécurité pour la connexion sur Activé.Under Settings, set Use security keys for sign-in to Enabled.

La configuration de clés de sécurité pour la connexion ne dépend pas de la configuration de Windows Hello Entreprise.Configuration of security keys for sign-in isn't dependent on configuring Windows Hello for Business.

Déploiement Intune cibléTargeted Intune deployment

Pour cibler des groupes d’appareils spécifiques pour activer le fournisseur d’informations d’identification, utilisez les paramètres personnalisés suivants via Intune :To target specific device groups to enable the credential provider, use the following custom settings via Intune:

  1. Connectez-vous au portail Azure.Sign in to the Azure portal.
  2. Accédez à Microsoft Intune > Configuration de l’appareil > Profils > Créer un profil.Browse to Microsoft Intune > Device configuration > Profiles > Create profile.
  3. Configurez le nouveau profil avec les paramètres suivants :Configure the new profile with the following settings:
    • Nom : Clés de sécurité pour la connexion WindowsName: Security Keys for Windows Sign-In
    • Description : Permet d’utiliser des clés de sécurité FIDO lors de la connexion à WindowsDescription: Enables FIDO Security Keys to be used during Windows Sign In
    • Platform : Windows 10 et versions ultérieuresPlatform: Windows 10 and later
    • Type de profil : CustomProfile type: Custom
    • Paramètres OMA-URI personnalisés :Custom OMA-URI Settings:
      • Nom : Activer les clés de sécurité FIDO pour la connexion à WindowsName: Turn on FIDO Security Keys for Windows Sign-In
      • OMA-URI : ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSigninOMA-URI: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
      • Type de données : IntegerData Type: Integer
      • Valeur : 1Value: 1
  4. Cette stratégie peut être attribuée à des utilisateurs, des appareils ou des groupes spécifiques.This policy can be assigned to specific users, devices, or groups. Pour plus d’informations, consultez Attribuer des profils d’utilisateur et d’appareil dans Microsoft Intune.For more information, see Assign user and device profiles in Microsoft Intune.

Création de stratégies de configuration d’appareil Intune personnalisées

Activer avec un package d’approvisionnementEnable with a provisioning package

Pour les appareils non gérés par Intune, un package d’approvisionnement peut être installé pour activer la fonctionnalité.For devices not managed by Intune, a provisioning package can be installed to enable the functionality. L’application Windows Configuration Designer peut être installée à partir du Microsoft Store.The Windows Configuration Designer app can be installed from the Microsoft Store. Pour créer un package d’approvisionnement, procédez comme suit :Complete the following steps to create a provisioning package:

  1. Lancez Windows Configuration Designer.Launch the Windows Configuration Designer.
  2. Sélectionnez Fichier > Nouveau projet.Select File > New project.
  3. Donnez un nom à votre projet et notez le chemin d’accès à l’emplacement où votre projet a été créé, puis sélectionnez Suivant.Give your project a name and take note of the path where your project is created, then select Next.
  4. Laissez Package d’approvisionnement sélectionné comme Flux de travail de projet sélectionné et sélectionnez Suivant.Leave Provisioning package selected as the Selected project workflow and select Next.
  5. Sélectionnez Toutes les éditions de bureau de Windows sous Choisir les paramètres à afficher et configurer, puis sélectionnez Suivant.Select All Windows desktop editions under Choose which settings to view and configure, then select Next.
  6. Sélectionnez Terminer.Select Finish.
  7. Dans votre projet nouvellement créé, accédez à Paramètres d’exécution > WindowsHelloForBusiness > SecurityKeys > UseSecurityKeyForSignIn.In your newly created project, browse to Runtime settings > WindowsHelloForBusiness > SecurityKeys > UseSecurityKeyForSignIn.
  8. Définissez UseSecurityKeyForSignIn sur Activé.Set UseSecurityKeyForSignIn to Enabled.
  9. Sélectionnez Exporter > Package d’approvisionnementSelect Export > Provisioning package
  10. Laissez les valeurs par défaut dans la fenêtre Générer sous Décrire le package d’approvisionnement, puis sélectionnez Suivant.Leave the defaults in the Build window under Describe the provisioning package, then select Next.
  11. Laissez les valeurs par défaut dans la fenêtre Générer sous Sélectionner les détails de sécurité pour le package d’approvisionnement, et sélectionnez Suivant.Leave the defaults in the Build window under Select security details for the provisioning package and select Next.
  12. Prenez note du chemin d’accès (ou modifiez-le) dans la fenêtre Générer sous Sélectionnez l’emplacement d’enregistrement du package d’approvisionnement, et sélectionnez Suivant.Take note of or change the path in the Build windows under Select where to save the provisioning package and select Next.
  13. Sélectionnez Générer sur la page Générer le package d’approvisionnement.Select Build on the Build the provisioning package page.
  14. Enregistrez les deux fichiers créés (ppkg et cat) dans un emplacement où vous pourrez les appliquer aux machines plus tard.Save the two files created (ppkg and cat) to a location where you can apply them to machines later.
  15. Pour appliquer le package d’approvisionnement que vous avez créé, consultez Appliquer un package d’approvisionnement.To apply the provisioning package you created, see Apply a provisioning package.

Notes

Les appareils exécutant Windows 10 version 1903 doivent également activer le mode PC partagé (EnableSharedPCMode).Devices running Windows 10 Version 1903 must also enable shared PC mode (EnableSharedPCMode). Pour en savoir plus sur l’activation de cette fonctionnalité, consultez Configurer un PC partagé ou invité avec Windows 10.For more information about enabling this functionality, see Set up a shared or guest PC with Windows 10.

Activer avec la stratégie de groupeEnable with Group Policy

Pour les appareils joints à Azure AD Hybride, les organisations peuvent configurer le paramètre de stratégie de groupe suivant pour activer la connexion par clé de sécurité FIDO.For hybrid Azure AD joined devices, organizations can configure the following Group Policy setting to enable FIDO security key sign-in. Le paramètre est accessible sous Configuration ordinateur > Modèles d’administration > Système > Ouverture de session > Activer la connexion par clé de sécurité :The setting can be found under Computer Configuration > Administrative Templates > System > Logon > Turn on security key sign-in:

  • La définition de cette stratégie sur Activée permet aux utilisateurs de se connecter avec des clés de sécurité.Setting this policy to Enabled allows users to sign in with security keys.
  • La définition de cette stratégie sur Désactivée ou Non configurée empêche les utilisateurs de se connecter avec des clés de sécurité.Setting this policy to Disabled or Not Configured stops users from signing in with security keys.

Ce paramètre de stratégie de groupe requiert une version mise à jour du modèle de stratégie de groupe credentialprovider.admx.This Group Policy setting requires an updated version of the credentialprovider.admx Group Policy template. Ce nouveau modèle est disponible avec la prochaine version de Windows Server et avec Windows 10 20H1.This new template is available with the next version of Windows Server and with Windows 10 20H1. Ce paramètre peut être géré à l’aide d’un appareil exécutant une de ces versions plus récentes de Windows ou de manière centralisée en suivant les instructions de la rubrique de support Comment créer et gérer le magasin central pour les modèles d’administration de stratégie de groupe dans Windows.This setting can be managed with a device running one of these newer versions of Windows or centrally by following the guidance in the support topic, How to create and manage the Central Store for Group Policy Administrative Templates in Windows.

Se connecter avec une clé de sécurité FIDO2Sign in with FIDO2 security key

Dans l’exemple ci-dessous, un utilisateur appelé Bala Sandhu a déjà approvisionné sa clé de sécurité FIDO2 en suivant les étapes décrites dans l’article précédent, portant sur l’activation de la connexion par clé de sécurité sans mot de passe.In the example below, a user named Bala Sandhu has already provisioned their FIDO2 security key using the steps in the previous article, Enable passwordless security key sign in. Pour les appareils joints à Azure AD Hybride, assurez-vous que vous avez également activé la connexion par clé de sécurité sans mot de passe pour les ressources locales.For hybrid Azure AD joined devices, make sure you have also enabled passwordless security key sign-in to on-premises resources. Bala peut choisir le fournisseur d’informations d’identification de clé de sécurité à partir de l’écran de verrouillage Windows 10, et insérer la clé de sécurité pour se connecter à Windows.Bala can choose the security key credential provider from the Windows 10 lock screen and insert the security key to sign into Windows.

Connexion par clé de sécurité sur l’écran de verrouillage Windows 10

Gérer la clé de sécurité biométrique, le code confidentiel, ou réinitialiser la clé de sécuritéManage security key biometric, PIN, or reset security key

  • Windows 10 version 1903 ou ultérieureWindows 10 version 1903 or higher
    • Les utilisateurs peuvent ouvrir les Paramètres Windows sur leur appareil > Comptes > Clé de sécuritéUsers can open Windows Settings on their device > Accounts > Security Key
    • Les utilisateurs peuvent modifier leur code confidentiel, mettre à jour les informations biométriques ou réinitialiser leur clé de sécuritéUsers can change their PIN, update biometrics, or reset their security key

Résolution des problèmes de commentairesTroubleshooting and feedback

Si vous souhaitez partager des commentaires ou si vous rencontrez des problèmes lors de l’évaluation de cette fonctionnalité, partagez vos remarques via l’application Hub de commentaires Windows en procédant comme suit :If you'd like to share feedback or encounter issues while previewing this feature, share via the Windows Feedback Hub app using the following steps:

  1. Lancez le concentrateur de commentaires et assurez-vous que vous êtes connecté.Launch Feedback Hub and make sure you're signed in.
  2. Classez vos commentaires dans les catégories suivantes avant de les envoyer :Submit feedback under the following categorization:
    • Catégorie : Sécurité et confidentialitéCategory: Security and Privacy
    • Sous-catégorie : FIDOSubcategory: FIDO
  3. Pour capturer des journaux, utilisez l’option Recréer mon problèmeTo capture logs, use the option to Recreate my Problem

Étapes suivantesNext steps

Activer l’accès aux ressources locales pour les appareils joints à Azure AD et à Azure AD HybrideEnable access to on-premises resources for Azure AD and hybrid Azure AD joined devices

En savoir plus sur l’inscription des appareilsLearn more about device registration

En savoir plus sur Azure Multi-Factor AuthenticationLearn more about Azure Multi-Factor Authentication