Activer la connexion par clé de sécurité sans mot de passe à des appareils Windows 10 à l’aide d’Azure Active Directory

Ce document met l’accent sur l’activation de l’authentification sans mot de passe, basée sur une clé de sécurité FIDO2, avec des appareils Windows 10. À la fin de cet article, vous serez en mesure de vous connecter à vos appareils Windows 10 joints à Azure AD et à ceux joints à Azure AD Hybride avec votre compte Azure AD, à l’aide d’une clé de sécurité FIDO2.

Spécifications

Type d’appareil Appareil joints Azure AD Appareils joints Azure AD hybrides
Azure AD Multi-Factor Authentication X X
Inscription d’informations de sécurité combinée X X
Clés de sécurité FIDO2 compatibles X X
WebAuthN nécessite Windows 10 version 1903 ou plus X X
Les appareils joints à Azure AD nécessitent Windows 10 version 1909 ou ultérieure X
Les appareils de jointure Azure AD Hybride nécessitent Windows 10 version 2004 ou ultérieure X
Contrôleurs de domaine Windows Server 2016/2019 entièrement corrigés X
Azure AD Connect version 1.4.32.0 ou ultérieure X
Microsoft Intune (facultatif) X X
Package d’approvisionnement (facultatif) X X
Stratégie de groupe (facultatif) X

Scénarios non pris en charge

Les scénarios suivants ne sont pas pris en charge :

  • Déploiement de Windows Server joint à un domaine Active Directory Domain Services (AD DS) (appareils locaux uniquement).
  • Scénarios RDP, VDI et Citrix utilisant une clé de sécurité.
  • S/MIME utilisant une clé de sécurité.
  • Identification utilisant une clé de sécurité.
  • Connexion à un serveur à l’aide d’une clé de sécurité.
  • Si vous n’avez pas utilisé votre clé de sécurité pour vous connecter à votre appareil lorsqu’il est en ligne, vous ne pouvez pas l’utiliser pour vous connecter ou le déverrouiller hors connexion.
  • Connexion ou déverrouillage d’un appareil Windows 10 avec une clé de sécurité contenant plusieurs comptes Azure AD. Ce scénario utilise le dernier compte ajouté à la clé de sécurité. WebAuthN permet aux utilisateurs de choisir le compte qu’ils souhaitent utiliser.
  • Déverrouillez un appareil exécutant Windows 10 version 1809. Vous bénéficierez d’une expérience optimale sur Windows 10 version 1903 ou ultérieure.

Préparer les appareils

Les appareils de jointure Azure AD doivent exécuter Windows 10 version 1909 ou ultérieure.

Les appareils de jointure Azure AD Hybride doivent exécuter Windows 10 version 2004 ou ultérieure.

Activer les clés de sécurité pour la connexion Windows

Les organisations peuvent choisir d’utiliser une ou plusieurs des méthodes suivantes pour activer l’utilisation de clés de sécurité pour la connexion Windows sur la base des exigences de l’organisation :

Important

Les organisations disposant d’appareils joints à Azure AD Hybride doivent également suivre les étapes décrites dans l’article Activer l’authentification FIDO2 pour les ressources locales avant que l’authentification par clé de sécurité FIDO2 ne fonctionne sous Windows 10.

Les organisations disposant d’appareils joints à Azure AD doivent effectuer cette opération avant que leurs appareils puissent s’authentifier auprès des ressources locales avec des clés de sécurité FIDO2.

Activer avec Intune

Pour activer l’utilisation des clés de sécurité à l’aide d’Intune, procédez comme suit :

  1. Connectez-vous au portail Azure.
  2. Accédez à Microsoft Intune > Inscription d’appareils > Inscription Windows > Windows Hello Entreprise > Propriétés.
  3. Sous Paramètres, définissez Utiliser des clés de sécurité pour la connexion sur Activé.

La configuration de clés de sécurité pour la connexion ne dépend pas de la configuration de Windows Hello Entreprise.

Déploiement Intune ciblé

Pour cibler des groupes d’appareils spécifiques pour activer le fournisseur d’informations d’identification, utilisez les paramètres personnalisés suivants via Intune :

  1. Connectez-vous au portail Azure.
  2. Accédez à Microsoft Intune > Configuration de l’appareil > Profils > Créer un profil.
  3. Configurez le nouveau profil avec les paramètres suivants :
    • Nom : Clés de sécurité pour la connexion Windows
    • Description : Permet d’utiliser des clés de sécurité FIDO lors de la connexion à Windows
    • Platform : Windows 10 et versions ultérieures
    • Type de profil : Custom
    • Paramètres OMA-URI personnalisés :
      • Nom : Activer les clés de sécurité FIDO pour la connexion à Windows
      • OMA-URI : ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
      • Type de données : Integer
      • Valeur : 1
  4. Cette stratégie peut être attribuée à des utilisateurs, des appareils ou des groupes spécifiques. Pour plus d’informations, consultez Attribuer des profils d’utilisateur et d’appareil dans Microsoft Intune.

Création de stratégies de configuration d’appareil Intune personnalisées

Activer avec un package d’approvisionnement

Pour les appareils non gérés par Intune, un package d’approvisionnement peut être installé pour activer la fonctionnalité. L’application Windows Configuration Designer peut être installée à partir du Microsoft Store. Pour créer un package d’approvisionnement, procédez comme suit :

  1. Lancez Windows Configuration Designer.
  2. Sélectionnez Fichier > Nouveau projet.
  3. Donnez un nom à votre projet et notez le chemin d’accès à l’emplacement où votre projet a été créé, puis sélectionnez Suivant.
  4. Laissez Package d’approvisionnement sélectionné comme Flux de travail de projet sélectionné et sélectionnez Suivant.
  5. Sélectionnez Toutes les éditions de bureau de Windows sous Choisir les paramètres à afficher et configurer, puis sélectionnez Suivant.
  6. Sélectionnez Terminer.
  7. Dans votre projet nouvellement créé, accédez à Paramètres d’exécution > WindowsHelloForBusiness > SecurityKeys > UseSecurityKeyForSignIn.
  8. Définissez UseSecurityKeyForSignIn sur Activé.
  9. Sélectionnez Exporter > Package d’approvisionnement
  10. Laissez les valeurs par défaut dans la fenêtre Générer sous Décrire le package d’approvisionnement, puis sélectionnez Suivant.
  11. Laissez les valeurs par défaut dans la fenêtre Générer sous Sélectionner les détails de sécurité pour le package d’approvisionnement, et sélectionnez Suivant.
  12. Prenez note du chemin d’accès (ou modifiez-le) dans la fenêtre Générer sous Sélectionnez l’emplacement d’enregistrement du package d’approvisionnement, et sélectionnez Suivant.
  13. Sélectionnez Générer sur la page Générer le package d’approvisionnement.
  14. Enregistrez les deux fichiers créés (ppkg et cat) dans un emplacement où vous pourrez les appliquer aux machines plus tard.
  15. Pour appliquer le package d’approvisionnement que vous avez créé, consultez Appliquer un package d’approvisionnement.

Notes

Les appareils exécutant Windows 10 version 1903 doivent également activer le mode PC partagé (EnableSharedPCMode). Pour en savoir plus sur l’activation de cette fonctionnalité, consultez Configurer un PC partagé ou invité avec Windows 10.

Activer avec la stratégie de groupe

Pour les appareils joints à Azure AD Hybride, les organisations peuvent configurer le paramètre de stratégie de groupe suivant pour activer la connexion par clé de sécurité FIDO. Le paramètre est accessible sous Configuration ordinateur > Modèles d’administration > Système > Ouverture de session > Activer la connexion par clé de sécurité :

  • La définition de cette stratégie sur Activée permet aux utilisateurs de se connecter avec des clés de sécurité.
  • La définition de cette stratégie sur Désactivée ou Non configurée empêche les utilisateurs de se connecter avec des clés de sécurité.

Ce paramètre de stratégie de groupe requiert une version mise à jour du modèle de stratégie de groupe CredentialProviders.admx. Ce nouveau modèle est disponible avec la prochaine version de Windows Server et avec Windows 10 20H1. Ce paramètre peut être géré à l’aide d’un appareil exécutant une de ces versions plus récentes de Windows ou de manière centralisée en suivant les instructions de la rubrique de support Comment créer et gérer le magasin central pour les modèles d’administration de stratégie de groupe dans Windows.

Se connecter avec une clé de sécurité FIDO2

Dans l’exemple ci-dessous, un utilisateur appelé Bala Sandhu a déjà approvisionné sa clé de sécurité FIDO2 en suivant les étapes décrites dans l’article précédent, portant sur l’activation de la connexion par clé de sécurité sans mot de passe. Pour les appareils joints à Azure AD Hybride, assurez-vous que vous avez également activé la connexion par clé de sécurité sans mot de passe pour les ressources locales. Bala peut choisir le fournisseur d’informations d’identification de clé de sécurité à partir de l’écran de verrouillage Windows 10, et insérer la clé de sécurité pour se connecter à Windows.

Connexion par clé de sécurité sur l’écran de verrouillage Windows 10

Gérer la clé de sécurité biométrique, le code confidentiel, ou réinitialiser la clé de sécurité

  • Windows 10 version 1903 ou ultérieure
    • Les utilisateurs peuvent ouvrir les Paramètres Windows sur leur appareil > Comptes > Clé de sécurité
    • Les utilisateurs peuvent modifier leur code confidentiel, mettre à jour les informations biométriques ou réinitialiser leur clé de sécurité

Résolution des problèmes de commentaires

Si vous souhaitez partager des commentaires ou si vous rencontrez des problèmes avec cette fonctionnalité, partagez vos remarques via l’application Hub de commentaires Windows en procédant comme suit :

  1. Lancez le concentrateur de commentaires et assurez-vous que vous êtes connecté.
  2. Classez vos commentaires dans les catégories suivantes avant de les envoyer :
    • Catégorie : Sécurité et confidentialité
    • Sous-catégorie : FIDO
  3. Pour capturer des journaux, utilisez l’option Recréer mon problème.

Étapes suivantes

Activer l’accès aux ressources locales pour les appareils joints à Azure AD et à Azure AD Hybride

En savoir plus sur l’inscription des appareils

En savoir plus sur Azure AD Multi-Factor Authentication