Authentification par clé publique d’appareil joint au domaine

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10

Kerberos a ajouté la prise en charge des appareils joints à un domaine qui se connectent avec un certificat, à compter de Windows Server 2012 et Windows 8. Ce changement permet aux fournisseurs tiers de créer des solutions pour provisionner et initialiser des certificats que les appareils joints à un domaine peuvent utiliser pour l’authentification de domaine.

Provisionnement automatique de clé publique

À compter de Windows 10 version 1507 et de Windows Server 2016, les appareils joints à un domaine provisionnent automatiquement une clé publique liée sur un contrôleur de domaine Windows Server 2016. Dès qu’une clé est provisionnée, Windows peut utiliser l’authentification par clé publique sur le domaine.

Génération de la clé

Si l’appareil exécute Credential Guard, une paire de clés publique/privée est créée, protégée par Credential Guard.

Si Credential Guard n’est pas disponible, mais qu’il y a un TPM, la paire de clés publique/privée créée est protégée par le TPM.

Si aucun des deux n’est disponible, aucune paire de clés n’est générée et l’appareil peut s’authentifier uniquement avec un mot de passe.

Provisionnement d’une clé publique de compte d’ordinateur

Quand Windows démarre, il vérifie si une clé publique est provisionnée pour son compte d’ordinateur. Si ce n’est pas le cas, il génère une clé publique liée et la configure pour son compte dans AD en utilisant un contrôleur de domaine Windows Server 2016 ou supérieur. Si tous les contrôleurs de domaine sont de niveau inférieur, aucune clé n’est provisionnée.

Configuration de l’appareil pour utiliser uniquement une clé publique

Si le paramètre de stratégie de groupe Prise en charge de l’authentification de l’appareil avec un certificat est défini sur Forcer, l’appareil doit trouver un contrôleur de domaine qui exécute Windows Server 2016 ou version ultérieure pour s’authentifier. Le paramètre se trouve sous Modèles d’administration > Système > Kerberos.

Configuration de l’appareil pour utiliser uniquement un mot de passe

Si le paramètre de stratégie de groupe Prise en charge de l’authentification de l’appareil avec un certificat est désactivé, le mot de passe est toujours utilisé. Le paramètre se trouve sous Modèles d’administration > Système > Kerberos.

Authentification des appareils joints à un domaine avec une clé publique

Quand Windows a un certificat pour l’appareil joint au domaine, Kerberos authentifie d’abord en utilisant le certificat et, en cas d’échec, effectue de nouvelles tentatives avec le mot de passe. Cela permet à l’appareil de s’authentifier sur les contrôleurs de domaine de niveau inférieur.

Comme les clés publiques provisionnées automatiquement ont un certificat auto-signé, la validation du certificat échoue sur les contrôleurs de domaine qui ne prennent pas en charge le mappage des comptes d’approbation de clé. Par défaut, Windows retente l’authentification avec le mot de passe de domaine de l’appareil.