Conditions préalables Azure AD hybrides Windows Hello pour entreprise

S'applique à

  • Windows10, version1703 ou ultérieure
  • Windows 11
  • Déploiement hybride
  • Approbation de certificat

Les environnements hybrides sont des systèmes distribués qui permettent aux organisations d’utiliser des ressources et des identités locales et Azure. Windows Hello Entreprise utilise le système distribué existant comme base sur laquelle les organisations peuvent fournir une authentification à 2facteurs qui offre aux ressources modernes une expérience de type connexion unique.

Les systèmes distribués sur lesquels ces technologies ont été conçues impliquaient différents éléments d'infrastructure locale et cloud. Les principaux éléments de l’infrastructure sont les suivants:

Annuaires

Un déploiement Windows Hello Entreprise hybride a besoin de deux annuaires: un annuaire ActiveDirectory local et un annuaire Azure ActiveDirectory de cloud. Le niveau fonctionnel minimal exigé du contrôleur de domaine, du domaine et de la forêt pour un déploiement Windows Hello Entreprise est Windows Server2008R2.

Un déploiement Windows Hello entreprise hybride nécessite un abonnement Azure Active Directory entreprise. Différentes configurations de déploiement sont prises en charge par les différents abonnements Azure. Le déploiement d'approbation de certificat hybride nécessite un abonnement Azure ActiveDirectory Premium, car il utilise la fonctionnalité de synchronisation en écriture différée de l'appareil. D'autres déploiements, tels que le déploiement d'approbation de clé, ne nécessitent pas d’abonnement Azure ActiveDirectory Premium.

Windows Hello Entreprise peut être déployé dans tout environnement avec des contrôleurs de domaine Windows Server2008R2 ou version ultérieure. L’inscription d’appareil Azure Windows Hello entreprise nécessite le Windows Server 2016 Active Directory ou un schéma ultérieur.

Passez en revue ces exigences, ainsi que celles du guide de planification et de la feuille de planification Windows Hello Entreprise. En fonction de vos décisions de déploiement, vous devrez peut-être mettre à niveau votre abonnement ActiveDirectory local ou votre abonnement Azure ActiveDirectory pour répondre à vos besoins.

Révision de la section

  • Niveau fonctionnel du domaine ActiveDirectory
  • Niveau fonctionnel de la forêt ActiveDirectory
  • Version du contrôleur de domaine
  • Windows Server 2016 schéma ou ultérieur
  • Abonnement à Azure ActiveDirectory
  • Abonnement approprié pour les fonctionnalités et résultats souhaités

Infrastructure à clé publique

Le déploiement Windows Hello Entreprise dépend d'une infrastructure à clé publique d'entreprise comme ancre d’approbation pour l’authentification. Les contrôleurs de domaine pour les déploiements hybrides ont besoin d’un certificat pour que les Windows d’confiance du contrôleur de domaine.

Les déploiements d’approbation de certificat ont besoin d'une infrastructure à clé publique d'entreprise et d'une autorité d’inscription de certificat pour émettre des certificats d’authentification pour les utilisateurs. Lors de l’utilisation de la stratégie de groupe, le déploiement d’autorisation de certificat hybride utilise Windows Server 2016 active Directory Federation Server (AD FS) comme autorité d’inscription de certificat.

L'autorité de certification d'entreprise minimale exigée qui peut être utilisée avec Windows Hello Entreprise est Windows Server2012.

Révision de la section

  • Autorité de certificat émettrice Windows Server2012
  • Services de fédération Active Directory (ADFS) Windows Server2016

Synchronisation d'annuaires

Les deux annuaires utilisés dans les déploiements hybrides doivent être synchronisées. Azure ActiveDirectory Connect doit synchroniser les comptes d’utilisateur dans ActiveDirectory local avec Azure ActiveDirectory.

Les organisations qui utilisent des technologies de synchronisation d’annuaires plus anciennes, telles que DirSync ou Azure AD synchronisation, doivent mettre à niveau vers Azure AD Connecter. Si le schéma de votre AD DS local a été modifié depuis la dernière synchronisation d’annuaires, vous devrez peut-être actualiser le schéma d’annuaire.

Notes

Les comptes d’utilisateurs qui s’inscrivent pour Windows Hello Entreprise dans un scénario d’autorisation de certificat hybride doivent avoir un UPN correspondant à un nom de domaine vérifié dans Azure AD. Pour plus d’informations, voir Troubleshoot Post-Join issues.

Notes

Windows Hello entreprise est lié entre un utilisateur et un appareil. L’utilisateur et l’appareil doivent être synchronisés entre Azure Active Directory et Active Directory.

Révision de la section


Fédération

Windows Hello’autorisation de certificat hybride pour les entreprises nécessite qu’Active Directory soit fédéré avec Azure Active Directory et nécessite Windows Server 2016 services AD FS (Active Directory Federation Services) ou une version plus nouvelle. Windows Hello certificat hybride entreprise ne prend pas en charge les certificats gérés Azure Active Directory l’authentification directe ou la synchronisation de hachage de mot de passe. Tous les serveurs AD FS doivent exécuter la même version d’AD FS. En outre, vous devez configurer votre batterie de serveurs ADFS pour prendre en charge les appareils inscrits auprès d'Azure.

La batterie de serveurs ADFS utilisée avec Windows Hello Entreprise doit être Windows Server2016 avec la mise à jour minimale de KB4088889 (14393.2155). Si votre batterie de serveurs ADFS n’exécute pas le rôle ADFS avec les mises à jour à partir de Windows Server2016, puis lisez Mise à niveau vers ADFS dans Windows Server2016.

Révision de la section

  • Services de fédération Active Directory (ADFS) Windows Server2016
  • Mise à jour minimale de KB4088889 (14393.2155)

Authentification multifacteur

Windows Hello Entreprise est une fonctionnalité d’informations d’identification forte à 2facteurs qui permet aux organisations de réduire leur dépendance vis-à-vis des mots de passe. Le processus d'approvisionnement permet à un utilisateur de s’inscrire à Windows Hello Entreprise en utilisant son nom d’utilisateur et son mot de passe comme facteur unique mais nécessite un second facteur d'authentification.

Les déploiements Windows Hello pour entreprise hybrides peuvent utiliser le service d’authentification multifacteur d’Azure, ou utiliser l’authentification multifacteur des services de fédération Active Directory Windows Server 2016, qui inclut un modèle d’adaptateur qui permet à des tiers d’intégrer leur authentification multifacteur dans AD FS.

Révision de la section

  • Service AzureMFA
  • ADFS Windows Server2016 et Azure
  • ADFS Windows Server2016 et adaptateur MFA tiers

Inscription de l’appareil

Les organisations souhaitant déployer une confiance de certificat hybride ont besoin que leurs appareils joints à un domaine s’inscrivent Azure Active Directory. À l’instar d’un ordinateur qui dispose d’une identité dans ActiveDirectory, ce même ordinateur dispose d’une identité dans le cloud. Cela garantit que seuls les ordinateurs approuvés sont utilisées avec cet Azure ActiveDirectory. Chaque ordinateur inscrit son identité dans Azure ActiveDirectory.

Les déploiements d'approbation de certificat hybrides nécessitent la fonctionnalité d’écriture différée des appareils. L’authentification auprès des services de fédération Active Directory (ADFS) Windows Server2016 a besoin de l’utilisateur et l’ordinateur pour s'effectuer. En général, les utilisateurs sont synchronisées, mais pas les appareils. Cela empêche les services ADFS d’authentifier l’ordinateur et les résultats dans les échecs d’inscription de certificat Windows Hello Entreprise. C'est pourquoi les déploiements Windows Hello Entreprise ont besoin de l'écriture différée des appareils, qui est une fonctionnalité d'Azure ActiveDirectory Premium.

Notes

Windows Hello entreprise est lié entre un utilisateur et un appareil. L’utilisateur et l’appareil doivent être synchronisés entre Azure Active Directory et Active Directory. Par conséquent, l’écriture d’écriture sur l’appareil est utilisée pour mettre à jour msDS-KeyCredentialLink sur l’objet ordinateur.

Approvisionnement

Vous devez autoriser l’accès à l’URL account.microsoft.com pour lancer la mise en service Windows Hello entreprise. Cette URL lance les étapes suivantes du processus d’approvisionnement et est nécessaire pour effectuer correctement la mise en service Windows Hello entreprise. Cette URL ne nécessite aucune authentification et, en tant que telle, ne collecte aucune donnée utilisateur.

Liste de vérification de la section

  • Écriture différée des appareils d'Azure Active Directory
  • Abonnement à Azure Active Directory Premium

Étapes suivantes

Suivez le guide de déploiement d'approbation de certificat hybride WindowsHelloEntreprise. Pour la preuve de concepts, les ateliers et les nouvelles installations, choisissez la ligne de base nouvelle installation.

Si votre environnement est déjà fédéré, mais n’inclut pas l’inscription d’appareil Azure, choisissez Configurer Azure Device Registration.

Si votre environnement est déjà fédéré et prend en charge l’inscription d’appareil Azure, choisissez Configurer les paramètres Windows Hello Entreprise.




Suivez le guide de déploiement d'approbation de certificat hybride WindowsHelloEntreprise

  1. Vue d’ensemble
  2. Conditions préalables (vous en êtes à cette étape)
  3. Planning de référence d'une nouvelle installation
  4. Configurer Azure Device Registration
  5. Configurer les paramètres Windows Hello Entreprise
  6. Se connecter et effectuer l'approvisionnement