Implémenter Microsoft Passport dans votre organisation
Vous pouvez créer une stratégie de gestion des appareils mobiles (MDM) ou une stratégie de groupe qui implémente Microsoft Passport sur les appareils exécutant Windows 10
Important
Le paramètre de stratégie de groupe Activer la connexion par code confidentiel ne s’applique pas à Windows 10. Utilisez les paramètres de stratégie Microsoft Passport for Work pour gérer les codes confidentiels.
Paramètres de stratégie de groupe pour Passport
Le tableau suivant répertorie les paramètres de stratégie de groupe que vous pouvez configurer pour utiliser Passport dans votre espace de travail. Ces paramètres de stratégie sont disponibles dans Configuration ordinateur > Stratégies > Modèles d’administration > Composants Windows > Microsoft Passport for Work.
| Stratégie | Options | |
|---|---|---|
| Utiliser Microsoft Passport for Work |
Non configuré : les utilisateurs peuvent configurer Passport for Work qui chiffre leur mot de passe de domaine. Activé : l’appareil configure Passport for Work à l’aide des clés ou des certificats pour tous les utilisateurs. Désactivé : l’appareil ne configure pas Passport for Work pour n’importe quel utilisateur. | |
| Utiliser un périphérique de sécurité matériel |
Non configuré : Passport for Work est configuré à l’aide du module TPM s’il est disponible, et à l’aide du logiciel si le module TPM n’est pas disponible. Activé : Passport for Work est configuré uniquement à l’aide du module TPM. Désactivé : Passport for Work est configuré à l’aide du module TPM s’il est disponible, et à l’aide du logiciel si le module TPM n’est pas disponible. | |
| Utiliser la biométrie |
Non configuré : la biométrie peut être utilisée comme mouvement à la place d’un code confidentiel. Activé : la biométrie peut être utilisée comme mouvement à la place d’un code confidentiel. Désactivé : seul un code confidentiel peut être utilisé comme mouvement. | |
| Complexité du code confidentiel | Exiger des chiffres |
Non configuré : les utilisateurs doivent inclure un chiffre dans leur code confidentiel. Activé : les utilisateurs doivent inclure un chiffre dans leur code confidentiel. Désactivé : les utilisateurs ne peuvent pas utiliser de chiffres dans leur code confidentiel. |
| Exiger des lettres minuscules |
Non configuré : les utilisateurs ne peuvent pas utiliser de lettres minuscules dans leur code confidentiel. Activé : les utilisateurs doivent inclure au moins une lettre en minuscule dans leur code confidentiel. Désactivé : les utilisateurs ne peuvent pas utiliser de lettres minuscules dans leur code confidentiel. | |
| Longueur maximale du code confidentiel |
Non configuré : la longueur du code confidentiel doit être inférieure ou égale à 127. Activé : la longueur du code confidentiel doit être inférieure ou égale au nombre que vous spécifiez. Désactivé : la longueur du code confidentiel doit être inférieure ou égale à 127. | |
| Longueur minimale du code confidentiel |
Non configuré : la longueur du code confidentiel doit être supérieure ou égale à 4. Activé : la longueur du code confidentiel doit être supérieure ou égale au nombre que vous spécifiez. Désactivé : la longueur du code confidentiel doit être supérieure ou égale à 4. | |
| Expiration |
Non configuré : le code confidentiel n’expire pas. Activé : le code confidentiel est défini de manière à expirer après n’importe quel nombre de jours compris entre 1 et 730 ou peut être défini pour ne jamais expirer en définissant la stratégie sur 0. Désactivé : le code confidentiel n’expire pas. | |
| Historique |
Non configuré : les codes confidentiels précédents ne sont pas stockés. Activé : spécifier le nombre de codes confidentiels précédents qui peuvent être associés à un compte d’utilisateur et ne peuvent pas être réutilisés. Désactivé : les codes confidentiels précédents ne sont pas stockés. Remarque Le code confidentiel actuel est inclus dans l’historique du code confidentiel. | |
| Exiger des caractères spéciaux |
Non configuré : les utilisateurs ne peuvent pas inclure un caractère spécial dans leur code confidentiel. Activé : les utilisateurs doivent inclure au moins un caractère spécial dans leur code confidentiel. Désactivé : les utilisateurs ne peuvent pas inclure un caractère spécial dans leur code confidentiel. | |
| Exiger des lettres majuscules |
Non configuré : les utilisateurs ne peuvent pas inclure de lettre majuscule dans leur code confidentiel. Activé : les utilisateurs doivent inclure au moins une lettre en majuscule dans leur code confidentiel. Désactivé : les utilisateurs ne peuvent pas inclure de lettre majuscule dans leur code confidentiel. | |
| Remote Passport |
Utiliser Remote Passport Remarque S’applique aux ordinateurs de bureau uniquement. La connexion par téléphone est actuellement disponible pour un nombre limité de participants au programme TAP (Technology Adoption Program). |
Non configuré : Remote Passport est désactivé. Activé : les utilisateurs peuvent utiliser un appareil portable, inscrit comme appareil de complément pour l’authentification de bureau. Désactivé : Remote Passport est désactivé. |
Paramètres de stratégie GPM pour Passport
Le tableau suivant répertorie les paramètres de stratégie GPM que vous pouvez configurer pour utiliser Passport dans votre espace de travail. Ces paramètres de stratégie GPM utilisent le fournisseur de services de configuration (CSP) PassportForWork.
| Stratégie | Étendue | Valeur par défaut | Options | |
|---|---|---|---|---|
| UsePassportForWork | Appareil | True |
True : Passport est configuré pour tous les utilisateurs de l’appareil. False : les utilisateurs ne peuvent pas configurer Passport. Remarque Si Passport est activé et qu’ensuite la stratégie est modifiée et définie sur False, les utilisateurs qui ont configuré précédemment Passport peuvent continuer à l’utiliser, mais ne peuvent pas configurer Passport sur d’autres appareils. | |
| RequireSecurityDevice | Appareil | False |
True : Passport est configuré uniquement à l’aide du module TPM. False : Passport est configuré à l’aide du module TPM s’il est disponible, et à l’aide du logiciel si le module TPM n’est pas disponible. | |
| Biométrie |
UseBiometrics | Appareil | False |
True : la biométrie peut être utilisée comme mouvement à la place d’un code confidentiel pour la connexion au domaine. False : seul un code confidentiel peut être utilisé comme mouvement pour la connexion au domaine. |
|
FacialFeaturesUser EnhancedAntiSpoofing | Appareil | Non configuré |
Non configuré : les utilisateurs peuvent choisir d’activer la détection d’usurpation d’identité avancée. True : la détection d’usurpation d’identité avancée est requise sur les appareils la prenant en charge. False : les utilisateurs ne peuvent pas activer la détection d’usurpation d’identité avancée. | |
| PINComplexity | ||||
| Chiffres | Appareil ou utilisateur | 2 |
1 : chiffres non autorisés. 2 : un chiffre au moins est requis. | |
| Lettres minuscules | Appareil ou utilisateur | 1 |
1 : lettres minuscules non autorisées. 2 : une lettre minuscule au moins est obligatoire. | |
| Longueur maximale du code confidentiel | Appareil ou utilisateur | 127 |
La longueur maximale pouvant être définie est 127. La longueur maximale ne peut pas être inférieure au paramètre minimal. | |
| Longueur minimale du code confidentiel | Appareil ou utilisateur | 4 |
La longueur minimale pouvant être définie est 4. La longueur minimale ne peut pas être supérieure au paramètre maximal. | |
| Expiration | Appareil ou utilisateur | 0 |
Une valeur entière indique la durée (en jours) pendant laquelle un code confidentiel peut être utilisé avant que le système oblige l’utilisateur à le modifier. Le plus grand nombre pouvant être configuré pour ce paramètre de stratégie est 730. Le plus petit nombre pouvant être configuré pour ce paramètre de stratégie est 0. Si cette stratégie est définie sur 0, le code confidentiel de l’utilisateur n’expire jamais. | |
| Historique | Appareil ou utilisateur | 0 |
Valeur entière qui indique le nombre de codes confidentiels précédents qui peuvent être associés à un compte d’utilisateur et ne peuvent pas être réutilisés. Le plus grand nombre pouvant être configuré pour ce paramètre de stratégie est 50. Le plus petit nombre pouvant être configuré pour ce paramètre de stratégie est 0. Si cette stratégie est définie sur 0, le stockage des codes confidentiels précédents n’est pas requis. | |
| Caractères spéciaux | Appareil ou utilisateur | 1 |
1 : caractères spéciaux non autorisés. 2 : un caractère spécial au moins est obligatoire. | |
| Lettres majuscules | Appareil ou utilisateur | 1 |
1 : lettres majuscules non autorisées. 2 : une lettre majuscule au moins est obligatoire. | |
| Remote |
UseRemotePassport Remarque S’applique aux ordinateurs de bureau uniquement. La connexion par téléphone est actuellement disponible pour un nombre limité de participants au programme TAP (Technology Adoption Program). | Appareil ou utilisateur | False |
True : Remote Passport est activé. False : Remote Passport est désactivé. |
Remarque
Si aucune stratégie n’est configurée pour demander explicitement des lettres ou des caractères spéciaux, les utilisateurs sont cantonnés à la création d’un code confidentiel numérique.
Prérequis
Vous aurez besoin de ce logiciel pour définir les stratégies de Microsoft Passport dans votre entreprise.
| Mode Microsoft Passport | Azure AD | Active Directory (AD) sur site (disponible avec la version de production de Windows Server 2016 Technical Preview) | Azure AD/AD hybride (disponible avec la version de production de Windows Server 2016 Technical Preview) |
|---|---|---|---|
| Authentification basée sur une clé | Abonnement Azure AD |
|
|
| Authentification basée sur les certificats |
|
|
|
Configuration Manager et GPM permettent de gérer la stratégie Passport et de déployer et gérer des certificats protégés par Passport.
Azure AD permet d’inscrire des appareils auprès de votre entreprise et de configurer Passport pour les comptes d’organisation.
Active Directory permet d’autoriser les utilisateurs et les appareils à utiliser des clés protégées par Passport si les contrôleurs de domaine exécutent Windows 10 et le service d’approvisionnement de Microsoft Passport dans Windows 10 AD FS.
Passport pour BYOD
Passport peut être géré sur des appareils personnels utilisés par vos employés pour des besoins professionnels à l’aide de GPM. Sur les appareils personnels, les utilisateurs peuvent créer un code confidentiel Passport personnel pour déverrouiller l’appareil et un code confidentiel professionnel distinct pour accéder aux ressources de travail.
Le code confidentiel professionnel est géré à l’aide des mêmes stratégies Passport que celles que vous pouvez utiliser pour gérer Passport sur les appareils appartenant à l’organisation. Le code confidentiel personnel est géré séparément à l’aide de la stratégie DeviceLock. Cette stratégie peut être utilisée pour contrôler les exigences en termes de longueur, de complexité, d’historique et d’expiration et peut être configurée à l’aide du fournisseur de services de configuration de stratégie.
Rubriques associées
Biométrie Windows Hello dans l’entreprise
Pourquoi un code confidentiel est préférable à un mot de passe
Gérer la vérification d’identité à l’aide de Microsoft Passport
Préparer les collaborateurs à l’utilisation de Microsoft Passport
Microsoft Passport et changements de mot de passe
Erreurs Microsoft Passport lors de la création du code confidentiel