Activer la connexion par clé de sécurité sans mot de passe à des appareils Windows 10 (préversion)Enable passwordless security key sign in to Windows 10 devices (preview)

Ce document met l’accent sur l’activation de l’authentification sans mot de passe, basée sur une clé de sécurité FIDO2, avec des appareils Windows 10.This document focuses on enabling FIDO2 security key based passwordless authentication with Windows 10 devices. À la fin de cet article, vous serez en mesure de vous connecter aux applications web et à vos appareils Windows 10 joints à Azure AD avec votre compte Azure AD, à l’aide d’une clé de sécurité FIDO2.At the end of this article, you will be able to sign in to both web-based applications and your Azure AD joined Windows 10 devices with your Azure AD account using a FIDO2 security key.

Les clés de sécurité FIDO2 sont une fonctionnalité d’évaluation publique d’Azure Active Directory.FIDO2 security keys are a public preview feature of Azure Active Directory. Pour plus d’informations sur les préversions, consultez Conditions d’utilisation supplémentaires pour les préversions de Microsoft AzureFor more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews

Configuration requiseRequirements

Scénarios non pris en chargeUnsupported scenarios

  • Le déploiement de Windows Server joint à un domaine Active Directory Domain Services (AD DS) (appareils locaux uniquement) n’est pas pris en charge.Windows Server Active Directory Domain Services (AD DS) domain-joined (on-premises only devices) deployment not supported.
  • Les scénarios RDP, VDI et Citrix ne sont pas pris en charge avec la clé de sécurité.RDP, VDI, and Citrix scenarios are not supported using security key.
  • S/MIME n’est pas pris en charge avec la clé de sécurité.S/MIME is not supported using security key.
  • L’opération « Run As» n’est pas prise en charge avec la clé de sécurité.“Run as“ is not supported using security key.
  • La connexion à un serveur à l’aide d’une clé de sécurité n’est pas prise en charge.Log in to a server using security key is not supported.
  • Si vous n’avez pas utilisé votre clé de sécurité pour vous connecter à votre appareil une fois en ligne, vous ne pouvez pas l’utiliser pour vous connecter ou le déverrouiller hors connexion.If you have not used your security key to sign in to your device while online, you will not be able to use it to sign in or unlock offline.
  • Connexion ou déverrouillage d’un appareil Windows 10 avec une clé de sécurité contenant plusieurs comptes Azure AD.Signing in or unlocking a Windows 10 device with a security key containing multiple Azure AD accounts. Ce scénario utilisera le dernier compte ajouté à la clé de sécurité.This scenario will utilize the last account added to the security key. WebAuthN permettra aux utilisateurs de choisir le compte qu’ils souhaitent utiliser.WebAuthN will allow users to choose the account they wish to use.

Préparer les appareils pour la préversionPrepare devices for preview

Les appareils joints à Azure AD que vous utiliserez doivent exécuter Windows 10 version 1809 ou plus.Azure AD joined devices that you will be piloting with must be running Windows 10 version 1809 or higher. Vous bénéficierez de la meilleure expérience sur Windows 10 version 1903 ou ultérieure.The best experience is on Windows 10 version 1903 or higher.

Activer les clés de sécurité pour la connexion WindowsEnable security keys for Windows sign-in

Les organisations peuvent choisir d’utiliser une ou plusieurs des méthodes suivantes pour activer l’utilisation de clés de sécurité pour la connexion Windows sur la base des exigences de l’organisation.Organizations may choose to use one or more of the following methods to enable the use of security keys for Windows sign-in based on their organization's requirements.

Activer avec IntuneEnable with Intune

  1. Connectez-vous au Portail Azure.Sign in to the Azure portal.
  2. Accédez à Microsoft Intune > Inscription d’appareils > Inscription Windows > Windows Hello Entreprise > Propriétés.Browse to Microsoft Intune > Device enrollment > Windows enrollment > Windows Hello for Business > Properties.
  3. Sous Paramètres définissez Utiliser des clés de sécurité pour la connexion sur Activé.Under Settings set Use security keys for sign-in to Enabled.

La configuration de clés de sécurité pour la connexion ne dépend pas de la configuration de Windows Hello Entreprise.Configuration of security keys for sign-in, is not dependent on configuring Windows Hello for Business.

Déploiement Intune cibléTargeted Intune deployment

Pour cibler des groupes d’appareils spécifiques pour activer le fournisseur d’informations d’identification, utilisez les paramètres personnalisés suivants via Intune.To target specific device groups to enable the credential provider, use the following custom settings via Intune.

  1. Connectez-vous au Portail Azure.Sign in to the Azure portal.
  2. Accédez à Microsoft Intune > Configuration de l’appareil > Profils > Créer un profil.Browse to Microsoft Intune > Device configuration > Profiles > Create profile.
  3. Configurez le nouveau profil avec les paramètres suivantsConfigure the new profile with the following settings
    1. Nom : Clés de sécurité pour la connexion WindowsName: Security Keys for Windows Sign-In
    2. Description : Permet d’utiliser des clés de sécurité FIDO lors de la connexion à WindowsDescription: Enables FIDO Security Keys to be used during Windows Sign In
    3. Plateforme : Windows 10 et versions ultérieuresPlatform: Windows 10 and later
    4. Type de profil : PersonnaliséeProfile type: Custom
    5. Paramètres OMA-URI personnalisés :Custom OMA-URI Settings:
      1. Nom : Activer les clés de sécurité FIDO pour la connexion à WindowsName: Turn on FIDO Security Keys for Windows Sign-In
      2. OMA-URI : ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSigninOMA-URI: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
      3. Type de données : IntegerData Type: Integer
      4. Valeur : 1Value: 1
  4. Cette stratégie peut être attribuée à des utilisateurs, appareils ou groupes spécifiques.This policy can be assigned to specific users, devices, or groups. Vous trouverez plus d’informations dans l’article Attribuer des profils d’utilisateur et d’appareil dans Microsoft Intune.More information can be found in the article Assign user and device profiles in Microsoft Intune.

Création de stratégies de configuration d’appareil Intune personnalisées

Activer avec un package d’approvisionnementEnable with a provisioning package

Pour les appareils non gérés par Intune, un package d’approvisionnement peut être installé pour activer la fonctionnalité.For devices not managed by Intune, a provisioning package can be installed to enable the functionality. L’application Windows Configuration Designer peut être installée à partir du Microsoft Store.The Windows Configuration Designer app can be installed from the Microsoft Store.

  1. Lancez Windows Configuration Designer.Launch the Windows Configuration Designer.
  2. Sélectionnez Fichier > Nouveau projet.Select File > New project.
  3. Donnez un nom à votre projet et notez le chemin d’accès auquel votre projet a été créé.Give your project a name and take note of the path where your project is created.
  4. Sélectionnez Suivant.Select Next.
  5. Laissez Package d’approvisionnement sélectionné comme Flux de travail de projet sélectionné et sélectionnez Suivant.Leave Provisioning package selected as the Selected project workflow and select Next.
  6. Sélectionnez Toutes les éditions de bureau de Windows sous Choisir les paramètres à afficher et configurer, et sélectionnez Suivant.Select All Windows desktop editions under Choose which settings to view and configure and select Next.
  7. Sélectionnez Terminer.Select Finish.
  8. Dans votre projet nouvellement créé, accédez à Paramètres d’exécution > WindowsHelloForBusiness > SecurityKeys > UseSecurityKeyForSignIn.In your newly created project, browse to Runtime settings > WindowsHelloForBusiness > SecurityKeys > UseSecurityKeyForSignIn.
  9. Définissez UseSecurityKeyForSignIn sur Activé.Set UseSecurityKeyForSignIn to Enabled.
  10. Sélectionnez Exporter > Package d’approvisionnementSelect Export > Provisioning package
  11. Laissez les valeurs par défaut dans la fenêtre Générer sous Décrire le package d’approvisionnement, et sélectionnez Suivant.Leave the defaults in the Build window under Describe the provisioning package and select Next.
  12. Laissez les valeurs par défaut dans la fenêtre Générer sous Sélectionner les détails de sécurité pour le package d’approvisionnement, et sélectionnez Suivant.Leave the defaults in the Build window under Select security details for the provisioning package and select Next.
  13. Prenez note du chemin d’accès (ou modifiez-le) dans la fenêtre Générer sous Sélectionnez l’emplacement d’enregistrement du package d’approvisionnement, et sélectionnez Suivant.Take note of or change the path in the Build windows under Select where to save the provisioning package and select Next.
  14. Sélectionnez Générer sur la page Générer le package d’approvisionnement.Select Build on the Build the provisioning package page.
  15. Enregistrez les deux fichiers créés (ppkg et cat) dans un emplacement où vous pourrez les appliquer aux machines plus tard.Save the two files created (ppkg and cat) to a location where you can apply them to machines later.
  16. Suivez les instructions dans l’article Appliquer un package d’approvisionnement pour appliquer le package d’approvisionnement que vous avez créé.Follow the guidance in the article Apply a provisioning package, to apply the provisioning package you created.

Notes

Les appareils exécutant Windows 10 version 1809 doivent également activer le mode de PC partagé (EnableSharedPCMode).Devices running Windows 10 Version 1809 must also enable shared PC mode (EnableSharedPCMode). Pour en savoir plus sur l’activation de ces fonctionnalités, consultez l’article Configurer un PC partagé ou invité avec Windows10.Information about enabling this funtionality can be found in the article, Set up a shared or guest PC with Windows 10.

Se connecter à Windows à l’aide d’une clé de sécurité FIDO2Sign in to Windows with a FIDO2 security key

Dans l’exemple ci-dessous, un utilisateur appelé Bala Sandhu a déjà approvisionné sa clé de sécurité FIDO2 en suivant les étapes décrites de l’article précédent, portant sur l’activation de la connexion par clé de sécurité sans mot de passe.In the example below a user Bala Sandhu has already provisioned their FIDO2 security key using the steps in the previous article, Enable passwordless security key sign in. Bala peut choisir le fournisseur d’informations d’identification de clé de sécurité à partir de l’écran de verrouillage Windows 10, et insérer la clé de sécurité pour se connecter à Windows.Bala can choose the security key credential provider from the Windows 10 lock screen and insert the security key to sign into Windows.

Connexion par clé de sécurité depuis l’écran de verrouillage Windows 10

Gérer la clé de sécurité biométrique, le code confidentiel, ou réinitialiser la clé de sécuritéManage security key biometric, PIN, or reset security key

  • Windows 10 version 1903 ou ultérieureWindows 10 version 1903 or higher
    • Les utilisateurs peuvent ouvrir les Paramètres Windows sur leur appareil > Comptes > Clé de sécuritéUsers can open Windows Settings on their device > Accounts > Security Key
    • Les utilisateurs peuvent modifier leur code confidentiel, mettre à jour les informations biométriques ou réinitialiser leur clé de sécuritéUsers can change their PIN, update biometrics, or reset their security key

Résolution des problèmes de commentairesTroubleshooting and feedback

Si vous avez des commentaires ou si vous rencontrez des problèmes lors de l’affichage de la préversion de cette fonctionnalité, partagez vos remarques via l’application de concentrateur de commentaires Windows.If you would like to share feedback or encounter issues while previewing this feature, please share via the Windows Feedback Hub app.

  1. Lancez le concentrateur de commentaires et assurez-vous que vous êtes connecté.Launch Feedback Hub and make sure you're signed in.
  2. Classez vos commentaires dans les catégories suivantes avant de les envoyer :Submit feedback under the following categorization:
    1. Catégorie : Sécurité et confidentialitéCategory: Security and Privacy
    2. Sous-catégorie : FIDOSubcategory: FIDO
  3. Pour capturer des journaux, utilisez l’option : Recréer mon problèmeTo capture logs, use the option: Recreate my Problem

Questions fréquentes (FAQ)Frequently asked questions

Cela fonctionne-t-il dans mon environnement local ?Does this work in my on-premises environment?

Cette fonctionnalité ne fonctionne pas pour un environnement Active Directory Domain Services (AD DS) entièrement local.This feature does not work for a pure on-premises Active Directory Domain Services (AD DS) environment.

Mon organisation requiert une authentification à deux facteurs pour accéder aux ressources. Que puis-je faire pour prendre en charge cette exigence ?My organization requires two factor authentication to access resources, what can I do to support this requirement?

Les clés de sécurité sont disponibles dans différents facteurs de forme.Security keys come in a variety of form factors. Contactez le fabricant de l’appareil pour savoir comment activer ses appareils à l’aide d’un code PIN ou biométrique en tant que deuxième facteur.Please contact the device manufacturer of interest to discuss how their devices can be enabled with a PIN or biometric as a second factor.

Les administrateurs peuvent-ils configurer des clés de sécurité ?Can admins set up security keys?

Nous nous efforçons actuellement d’assurer la disponibilité générale de cette fonctionnalité.We are working on this capability for general availability (GA) of this feature.

Où puis-je trouver des clés de sécurité conformes ?Where can I go to find compliant security keys?

Clés de sécurité FIDO2FIDO2 security keys

Que dois-je faire si je perds ma clé de sécurité ?What do I do if I lose my security key?

Vous pouvez supprimer des clés de sécurité à partir du Portail Microsoft Azure, en accédant à la page Informations relatives à la sécurité et en supprimant les clés.You can remove keys from the Azure portal, by navigating to the security info page and removing the security key.

Étapes suivantesNext steps

En savoir plus sur l’inscription des appareilsLearn more about device registration

En savoir plus sur Azure Multi-Factor AuthenticationLearn more about Azure Multi-Factor Authentication