Contrôler les paramètres Windows Hello Entreprise sur des appareils avec Microsoft IntuneControl Windows Hello for Business settings on devices with Microsoft Intune

S’applique à : Intune dans le portail ClassicApplies to: Intune in the classic portal
Vous recherchez de la documentation sur Intune dans le portail Azure ?Looking for documentation about Intune in the Azure portal? Cliquez ici.Go here.

Microsoft Intune s’intègre à Windows Hello Entreprise (anciennement Microsoft Passport for Work), autre méthode de connexion qui utilise Active Directory ou un compte Azure Active Directory pour remplacer un mot de passe, une carte à puce ou une carte à puce virtuelle.Microsoft Intune integrates with Windows Hello for Business (formerly Microsoft Passport for Work), an alternative sign-in method that uses Active Directory or an Azure Active Directory account to replace a password, smart card, or a virtual smart card.

Hello Entreprise vous permet d’utiliser un mouvement utilisateur, au lieu d’un mot de passe, pour vous connecter.Hello for Business lets you use a user gesture to sign in, instead of a password. Un mouvement utilisateur peut être un simple code confidentiel, une authentification biométrique telle que Windows Hello ou un appareil externe tel qu’un lecteur d’empreintes digitales.A user gesture might be a simple PIN, biometric authentication such as Windows Hello, or an external device such as a fingerprint reader.

Intune s’intègre à Hello Entreprise de deux manières :Intune integrates with Hello for Business in two ways:

Important

Dans les versions Windows 10 Desktop et Mobile antérieures à la mise à jour anniversaire, vous pouviez définir deux différents codes confidentiels pour l’authentification auprès de ressources :In Windows 10 desktop and mobile versions prior to the Anniversary Update, you could set two different PINS that could be used to authenticate to resources:

  • Le code confidentiel de l’appareil pouvait être utilisé pour déverrouiller l’appareil et se connecter aux ressources de cloud.The device PIN could be used to unlock the device and connect to cloud resources.
  • Le code confidentiel professionnel servait à accéder aux ressources Azure AD sur les appareils personnels de l’utilisateur (BYOD).The work PIN was used to access Azure AD resources on user’s personal devices (BYOD).

Dans la mise à jour anniversaire, ces deux codes confidentiels ont été fusionnés dans un même code confidentiel d’appareil.In the Anniversary Update, these two PINS were merged into one single device PIN. Les stratégies de configuration Intune que vous définissez pour contrôler le code confidentiel de l’appareil, ainsi que toutes les stratégies Windows Hello Entreprise que vous avez configurées, définissent à présent la valeur de ce nouveau code confidentiel.Any Intune configuration policies you set to control the device PIN, and additionally, any Windows Hello for Business policies you configured, now both set this new PIN value. Si vous avez défini ces deux types de stratégie pour contrôler le code confidentiel, la stratégie Windows Hello Entreprise sera appliquée aux appareils Windows 10 Desktop et Mobile.If you have set both policy types to control the PIN, the Windows Hello for Business policy will be applied on both Windows 10 desktop and mobile devices. Pour garantir la résolution des conflits de stratégie et l’application de la stratégie de code confidentiel, mettez à jour votre stratégie Windows Hello Entreprise en fonction des paramètres de votre stratégie de configuration, puis demandez à vos utilisateurs de synchroniser leurs appareils dans l’application Portail d’entreprise.To ensure policy conflicts are resolved and that the PIN policy is applied correctly, update your Windows Hello for Business Policy to match the settings in your configuration policy, and ask your users to sync their devices in the Company Portal app.

Créer une stratégie Windows Hello EntrepriseCreate a Windows Hello for Business policy

  1. Dans la console d’administration Microsoft Intune, choisissez Administration > Gestion des appareils mobiles > Windows > Windows Hello Entreprise pour ouvrir la page Windows Hello Entreprise.In the Microsoft Intune administration console, choose Admin > Mobile Device Management > Windows > Windows Hello for Business to open the Windows Hello for Business page.

    Page Windows Hello Entreprise

  2. Choisissez l’un des paramètres suivants :Choose one of the following settings:

    • Désactiver Windows Hello Entreprise sur les appareils inscrits.Disable Windows Hello for Business on enrolled devices. Si vous ne souhaitez pas utiliser Windows Hello Entreprise, sélectionnez ce paramètre.If you don't want to use Windows Hello for Business, select this setting. Tous les autres paramètres affichés à l’écran cessent d’être disponibles.All other settings on the screen are then unavailable.
    • Activer Windows Hello Entreprise sur les appareils inscrits.Enable Windows Hello for Business on enrolled devices. Sélectionnez ce paramètre si vous souhaitez configurer les paramètres Windows Hello Entreprise.Select this setting if you want to configure Windows Hello for Business settings.
    • Non configuré.Not configured. Sélectionnez ce paramètre si vous ne souhaitez pas utiliser Intune pour contrôler les paramètres Windows Hello Entreprise.Select this setting if you don't want to use Intune to control Windows Hello for Business settings. Les paramètres existants de Windows Hello Entreprise sur les appareils Windows 10 ne seront pas modifiés.Any existing Windows Hello for Business settings on Windows 10 devices will not be changed. Tous les autres paramètres affichés à l’écran sont indisponibles.All other settings on the screen are unavailable.
  3. Si vous avez sélectionné Activer Windows Hello Entreprise sur les appareils inscrits, configurez les paramètres obligatoires qui seront appliqués à tous les appareils Windows 10 et Windows 10 Mobile inscrits.If you selected Enable Windows Hello for Business on enrolled devices, configure the required settings that will be applied to all enrolled Windows 10 and Windows 10 Mobile devices.
  4. Lorsque vous avez terminé, choisissez Enregistrer.When you are finished, choose Save.

Paramètres pour la stratégie Windows Hello EntrepriseSettings for the Windows Hello for Business policy

  • Utiliser un module de plateforme sécurisée (TPM).Use a Trusted Platform Module (TPM). Une puce TPM fournit une couche supplémentaire de sécurité des données.A TPM chip provides an additional layer of data security.
    Choisissez l'une des valeurs suivantes :Choose one of the following values:
    • Requis (par défaut).Required (default). Seuls les appareils avec un module de plateforme sécurisée (TPM) accessible peuvent configurer Windows Hello Entreprise.Only devices with an accessible TPM can provision Windows Hello for Business.
    • Préféré.Preferred. Les appareils tentent d’abord d’utiliser un module de plateforme sécurisée.Devices first attempt to use a TPM. Si ce n’est pas possible, ils peuvent utiliser le chiffrement logiciel.If this is not available, they can use software encryption.
  • Exiger une longueur minimale du code confidentiel/Exiger une longueur maximale du code confidentiel.Require minimum PIN length/Require maximum PIN length. Ce paramètre configure les appareils pour qu’ils utilisent les longueurs minimale et maximale de code confidentiel que vous spécifiez, afin d’optimiser la sécurisation de la connexion.Configures devices to use the minimum and maximum PIN lengths that you specify to help ensure secure sign-in. Le code confidentiel par défaut comporte six caractères, mais vous pouvez appliquer une longueur minimale de quatre caractères.The default PIN length is 6 characters, but you can enforce a minimum length of 4 characters. La longueur maximale du code confidentiel est de 127 caractères.The maximum PIN length is 127 characters.
  • Exiger des minuscules dans le code confidentiel/Exiger des majuscules dans le code confidentiel/Exiger des caractères spéciaux dans le code confidentiel.Require lowercase letters in PIN/Require uppercase letters in PIN/Require special characters in PIN. Vous pouvez appliquer un code confidentiel plus puissant en exigeant l’utilisation de majuscules, de minuscules et de caractères spéciaux dans ce code.You can enforce a stronger PIN by requiring the use of uppercase letters, lowercase letters, and special characters in the PIN. Choisissez parmi :Choose from:
    • Autorisé.Allowed. Les utilisateurs peuvent utiliser le type de caractère dans leur code confidentiel, mais cela n’est pas obligatoire.Users can use the character type in their PIN, but it is not mandatory.
    • Requis.Required. Les utilisateurs doivent inclure au moins l’un des types de caractères dans leur code confidentiel.Users must include at least one of the character types in their PIN. Par exemple, il est courant d’exiger au moins une majuscule et un caractère spécial.For example, it's common practice to require at least one uppercase letter and one special character.
    • Non autorisé (par défaut).Not allowed (default). Les utilisateurs ne doivent pas utiliser ces types de caractères dans leur code confidentiel.Users must not use these character types in their PIN. (Il s’agit également du comportement appliqué si le paramètre n’est pas configuré.)(This is also the behavior if the setting is not configured.)
      Les caractères spéciaux comprennent : ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~.Special characters include: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~.
  • Expiration du code confidentiel (en jours).PIN expiration (days). Nous vous conseillons de spécifier une période d’expiration pour un code confidentiel, après laquelle les utilisateurs finaux doivent le modifier.It's a good practice to specify an expiration period for a PIN, after which users must change it. La valeur par défaut est 41 jours.The default is 41 days.
  • Conserver l’historique des codes confidentiels.Remember PIN history. Limite la réutilisation des codes confidentiels précédemment utilisés.Restricts the reuse of previously used PINs. Par défaut, les 5 derniers codes confidentiels ne peuvent pas être réutilisés.By default, the last 5 PINs cannot be reused.
  • Autoriser l’authentification biométrique.Allow biometric authentication. Permet d’utiliser l’authentification biométrique, telle que la reconnaissance faciale ou les empreintes digitales, à la place d’un code confidentiel pour Windows Hello Entreprise.Enables biometric authentication, such as facial recognition or fingerprint, as an alternative to a PIN for Windows Hello for Business. Les utilisateurs doivent toujours configurer un code confidentiel professionnel en cas d’échec de l’authentification biométrique.Users must still configure a work PIN in case biometric authentication fails. Choisissez parmi :Choose from:
    • Oui.Yes. Windows Hello Entreprise autorise l’authentification biométrique.Windows Hello for Business allows biometric authentication.
    • Non.No. Windows Hello Entreprise empêche l’authentification biométrique (pour tous les types de compte).Windows Hello for Business prevents biometric authentication (for all account types).
  • Utiliser la détection d’usurpation avancée, si disponible.Use enhanced anti-spoofing, when available. Détermine si les fonctionnalités d’anti-usurpation d’identité de Windows Hello sont utilisées sur les appareils qui les prennent en charge (par exemple, la détection d’une photo de visage au lieu d’un visage réel).Configures whether the anti-spoofing features of Windows Hello are used on devices that support it (for example, detecting a photograph of a face instead of a real face).
    Si cette option est définie sur Oui, Windows nécessite que tous les utilisateurs utilisent la détection d’usurpation pour les fonctions de reconnaissance faciale, si disponible.If this is set to Yes, Windows requires all users to use anti-spoofing for facial features when that is supported.
  • Utiliser la connexion par téléphone.Use phone sign-in. Si cette option est définie sur Oui, les utilisateurs peuvent utiliser un appareil Remote Passport comme appareil mobile pour l’authentification d’ordinateur du bureau.If this option is set to Yes, users can use a remote passport to serve as a portable companion device for desktop computer authentication. L’ordinateur de bureau doit être joint à Azure Active Directory, et l’appareil mobile doit être configuré avec un code confidentiel Windows Hello Entreprise.The desktop computer must be Azure Active Directory joined, and the companion device must be configured with a Windows Hello for Business PIN.

Informations supplémentairesFurther information

Pour plus d’informations sur Microsoft Passport, consultez le guide dans la documentation de Windows 10.For more information about Microsoft Passport, see the guide in the Windows 10 documentation.