Mise en service Azure AD certificats Windows Hello pour entreprise

S'applique à

  • Windows10, version1703 ou ultérieure
  • Windows 11
  • Déploiement hybride
  • Approbation de certificat

Approvisionnement

L’approvisionnement de Windows Hello Entreprise commence immédiatement après la connexion de l’utilisateur, après le chargement du profil utilisateur, mais avant que l’utilisateur reçoive son bureau. Windows ne lance l’expérience d’approvisionnement que si les vérifications des prérequis ont été effectuées avec succès. Vous pouvez déterminer l’état des vérifications des prérequis en affichant User Device Registration dans l’observateur d’événements sous Journaux des applications et des services\Microsoft\Windows.

Événement358 à partir du journal d’inscription de l’appareil utilisateur affichant Windows Hello de vérification préalable pour Entreprise.

Le premier point à valider est que l’ordinateur a traité l’inscription de l’appareil. Vous pouvez le vérifier à partir des journaux d'inscription des appareils utilisateur où figure la coche L'appareil est joint à AAD (AADJ ou DJ++): Oui. Vous pouvez également le vérifier à l’aide de la commande dsregcmd /status à partir d’une invite de console où la valeur de AzureADJoined indique Oui.

L’approvisionnement de Windows Hello Entreprise commence par une page en plein écran qui affiche le titre Configurer un code confidentiel et un bouton du même nom. L’utilisateur clique sur Configurer un code confidentiel.

Configurer un approvisionnement de code confidentiel.

Le flux de l'approvisionnement passe à la partie de l'authentification multifacteur de l’inscription. L'approvisionnement informe l’utilisateur qu’il tente activement de contacter l’utilisateur par le biais de son formulaire d’authentification multifacteur configuré. Le processus d'approvisionnement ne se poursuit qu'après la réussite de l’authentification, son échec ou l'expiration de son délai d'attente. Une authentification multifacteur ayant échoué ou expiré génère une erreur et invite l’utilisateur à réessayer.

Invite mfa lors de l’approvisionnement.

Après une authentification multifacteur réussie, le flux d’approvisionnement demande à l’utilisateur à créer et de valider un code confidentiel. Ce code confidentiel doit respecter toutes les exigences de complexité de code confidentiel que vous avez déployées dans l’environnement.

Créez un code confidentiel lors de l’approvisionnement.

Le flux d’approvisionnement dispose de toutes les informations nécessaires pour effectuer l’inscription à Windows Hello Entreprise.

  • Une authentification à un seul facteur réussie (nom d’utilisateur et mot de passe lors de la connexion)
  • Un appareil qui a effectué correctement l’inscription de l’appareil
  • Une nouvelle authentification multifacteur réussie
  • Un code confidentiel validé qui respecte les exigences de complexité de code confidentiel

Le reste de l’approvisionnement inclut la demande, par Windows Hello Entreprise, d'une paire de clés asymétriques pour l’utilisateur, de préférence à partir du module TPM (ou requis si définie explicitement via la stratégie). Une fois la paire de clés acquise, Windows communique avec Azure ActiveDirectory pour inscrire la clé publique. AAD Connecter synchronise la clé de l’utilisateur avec l’annuaire Active Directory local.

Important

Voici le comportement à l’inscription avant la mise à jour de Windows Server2016 KB4088889 (14393.2155).

Le temps minimal nécessaire pour synchroniser la clé publique de l’utilisateur à partir d’Azure ActiveDirectory avec le service ActiveDirectory local est de 30minutes. Le planificateur Azure AD Connect contrôle l’intervalle de synchronisation. Cette latence de synchronisation retarde la capacité de l’utilisateur à s’authentifier et à utiliser des ressources sur site jusqu’à ce que la clé publique de l’utilisateur soit synchronisée avec Active Directory. Une fois la synchronisation terminée, l’utilisateur peut s’authentifier et utiliser les ressources locales. Lisez l’article Planificateur Azure AD Connect Sync pour afficher et ajuster le cycle de synchronisation de votre organisation.

Notes

La mise à jour de Windows Server2016 KB4088889 (14393.2155) assure l’inscription de certificat synchrone lors de la configuration de l’approbation de certificat hybride. Avec cette mise à jour, les utilisateurs n’ont plus besoin d’attendre qu’Azure ADConnect synchronise leur clé publique localement. Les utilisateurs inscrivent leur certificat lors de l’approvisionnement et peuvent l’utiliser pour se connecter immédiatement après avoir terminé l’approvisionnement. La mise à jour doit être installée sur les serveurs de fédération.

Après une inscription de clé réussie, Windows crée une demande de certificat à l’aide de la même paire de clés pour demander un certificat. Windows envoie la demande de certificat au serveur ADFS pour une inscription de certificat.

L’autorité d’inscription ADFS vérifie que la clé utilisée dans la demande de certificat correspond à la clé précédemment inscrite. En cas de correspondance, l’autorité d’inscription ADFS signe la demande de certificat à l’aide de son certificat d’agent d’inscription et l’envoie à l’autorité de certification.

Notes

Pour qu’AD FS vérifie la clé utilisée dans la demande de certificat, il doit pouvoir accéder au https://enterpriseregistration.windows.net point de terminaison.

L’autorité de certification valide que le certificat a été signé par l’autorité d’inscription. Quand la signature est validée, elle émet un certificat basé sur la demande et retourne le certificat à l’autorité d’inscription ADFS. L’autorité de certification retourne le certificat à Windows, où elle installe ensuite le certificat dans le magasin de certificats de l’utilisateur. Une fois ce processus terminé, le flux de travail d’approvisionnement Windows Hello entreprise informe l’utilisateur qu’il peut utiliser son code confidentiel pour se connecter via le centre de Windows actions.




Suivez le guide de déploiement d'approbation de certificat hybride WindowsHelloEntreprise

  1. Vue d'ensemble
  2. Prérequis
  3. Planning de référence d'une nouvelle installation
  4. Configurer Azure Device Registration
  5. Configurer les paramètres de stratégie WindowsHelloEntreprise
  6. Se connectez et provisionnez (vous êtes ici)