WindowsHelloEntrepriseWindows Hello for Business

Dans Windows 10, Windows Hello entreprise remplace les mots de passe par une authentification forte à deux facteurs sur les PC et appareils mobiles.In Windows10, Windows Hello for Business replaces passwords with strong two-factor authentication on PCs and mobile devices. Cette authentification se compose d’un nouveau type d’informations d’identification utilisateur qui est lié à un appareil et utilise un identificateur biométrique ou un code confidentiel.This authentication consists of a new type of user credential that is tied to a device and uses a biometric or PIN.
WindowsHelloEntreprise permet à l’utilisateur de s’authentifier auprès d’un compte ActiveDirectory ou Azure ActiveDirectory.Windows Hello for Business lets user authenticate to an Active Directory or Azure Active Directory account.

WindowsHello résout les problèmes suivants liés aux mots de passe:Windows Hello addresses the following problems with passwords:

  • Les mots de passe forts peuvent être difficilement mémorisables, et les utilisateurs les réutilisent souvent sur plusieurs sites.Strong passwords can be difficult to remember, and users often reuse passwords on multiple sites.
  • Les violations de serveur peuvent exposer les informations d’identification de réseau symétrique (mots de passe).Server breaches can expose symmetric network credentials (passwords).
  • Les mots de passe sont sujets à des attaques par relecture.Passwords are subject to replay attacks.
  • Les utilisateurs peuvent exposer par inadvertance leur mot de passe en raison des attaques par hameçonnage.Users can inadvertently expose their passwords due to phishing attacks.
Icône Vue d’ensemble
Vue d’ensembleOverview
Pourquoi un code confidentiel est-il préférable à une icône de mot de passe?
Pourquoi un code confidentiel est-il préférable à un mot de passe?Why PIN is better than a password
Icône Gérer Hello
Gérer WindowsHelloEntreprise au sein de votre organisationManage Windows Hello in your Organization

PrérequisPrerequisites

Déploiement cloud uniquementCloud Only Deployment

  • Windows10, version1511 ou ultérieureWindows 10, version 1511 or later
  • Compte MicrosoftAzureMicrosoft Azure Account
  • Azure Active DirectoryAzure Active Directory
  • Authentification multifacteur AzureAzure Multi-factor authentication
  • Gestion moderne (Intune ou système GPM tiers pris en charge), facultatifModern Management (Intune or supported third-party MDM), optional
  • Abonnement Azure AD Premium, facultatif, nécessaires pour l’inscription GPM automatique quand l’appareil est joint à Azure ActiveDirectoryAzure AD Premium subscription - optional, needed for automatic MDM enrollment when the device joins Azure Active Directory

Déploiements hybridesHybrid Deployments

Le tableau suivant indique la configuration minimale requise pour chaque déploiement.The table shows the minimum requirements for each deployment. Dans le cas d’une confiance de clé dans le cas d’un déploiement de plusieurs domaines/de forêts, les conditions suivantes s’appliquent à chaque domaine/forêt qui héberge les composants Windows Hello entreprise ou qui est impliqué dans le processus de redirection Kerberos.For key trust in a multi-domain/multi-forest deployment, the following requirements are applicable for each domain/forest that hosts Windows Hello for business components or is involved in the Kerberos referral process.

Approbation de cléKey trust
Gestion par stratégie de groupeGroup Policy managed
Approbation de certificatCertificate trust
Gestion mixteMixed managed
Approbation de cléKey trust
Gestion moderneModern managed
Approbation de certificatCertificate trust
Gestion moderneModern managed
Windows10, version1511 ou ultérieureWindows 10, version 1511 or later Joint à AzureAD hybride:Hybrid Azure AD Joined:
Minimum: Windows10, version1703Minimum: Windows 10, version 1703
Meilleure expérience: Windows10, version1709 ou ultérieure (prend en charge l’inscription de certificats synchrone).Best experience: Windows 10, version 1709 or later (supports synchronous certificate enrollment).
Joint à AzureAD:Azure AD Joined:
Windows10, version1511 ou ultérieureWindows 10, version 1511 or later
Windows10, version1511 ou ultérieureWindows 10, version 1511 or later Windows10, version1511 ou ultérieureWindows 10, version 1511 or later
Schéma Windows Server 2016 ou version ultérieureWindows Server 2016 or later Schema Schéma Windows Server 2016 ou version ultérieureWindows Server 2016 or later Schema Schéma Windows Server 2016 ou version ultérieureWindows Server 2016 or later Schema Schéma Windows Server 2016 ou version ultérieureWindows Server 2016 or later Schema
Niveau fonctionnel de domaine/forêt Windows Server2008R2Windows Server 2008 R2 Domain/Forest functional level Niveau fonctionnel de domaine/forêt Windows Server2008R2Windows Server 2008 R2 Domain/Forest functional level Niveau fonctionnel de domaine/forêt Windows Server2008R2Windows Server 2008 R2 Domain/Forest functional level Niveau fonctionnel de domaine/forêt Windows Server2008R2Windows Server 2008 R2 Domain/Forest functional level
Contrôleurs de domaine Windows Server 2016 ou version ultérieureWindows Server 2016 or later Domain Controllers Contrôleurs de domaine Windows Server2008 R2 ou version ultérieureWindows Server 2008 R2 or later Domain Controllers Contrôleurs de domaine Windows Server 2016 ou version ultérieureWindows Server 2016 or later Domain Controllers Contrôleurs de domaine Windows Server2008 R2 ou version ultérieureWindows Server 2008 R2 or later Domain Controllers
Autorité de certification Windows Server2012 ou version ultérieureWindows Server 2012 or later Certificate Authority Autorité de certification Windows Server2012 ou version ultérieureWindows Server 2012 or later Certificate Authority Autorité de certification Windows Server2012 ou version ultérieureWindows Server 2012 or later Certificate Authority Autorité de certification Windows Server2012 ou version ultérieureWindows Server 2012 or later Certificate Authority
N/AN/A Windows Server2016 ADFS avec mise à jour KB4088889 (clients joints à AzureADhybride)Windows Server 2016 AD FS with KB4088889 update (hybrid Azure AD joined clients),
etand
service d’inscription de périphériques réseau WindowsServer2012 ou version ultérieure (joint à AzureAD)Windows Server 2012 or later Network Device Enrollment Service (Azure AD joined)
N/AN/A Service d’inscription de périphériques réseau Windows Server2012 ou version ultérieureWindows Server 2012 or later Network Device Enrollment Service
Client Azure MFA, ouAzure MFA tenant, or
ADFS avec adaptateur Azure MFA, ouAD FS w/Azure MFA adapter, or
ADFS avec adaptateur de serveur Azure MFA, ouAD FS w/Azure MFA Server adapter, or
ADFS avec adaptateur MFA tiersAD FS w/3rd Party MFA Adapter
Client Azure MFA, ouAzure MFA tenant, or
ADFS avec adaptateur Azure MFA, ouAD FS w/Azure MFA adapter, or
ADFS avec adaptateur de serveur Azure MFA, ouAD FS w/Azure MFA Server adapter, or
ADFS avec adaptateur MFA tiersAD FS w/3rd Party MFA Adapter
Client Azure MFA, ouAzure MFA tenant, or
ADFS avec adaptateur Azure MFA, ouAD FS w/Azure MFA adapter, or
ADFS avec adaptateur de serveur Azure MFA, ouAD FS w/Azure MFA Server adapter, or
ADFS avec adaptateur MFA tiersAD FS w/3rd Party MFA Adapter
Client Azure MFA, ouAzure MFA tenant, or
ADFS avec adaptateur Azure MFA, ouAD FS w/Azure MFA adapter, or
ADFS avec adaptateur de serveur Azure MFA, ouAD FS w/Azure MFA Server adapter, or
ADFS avec adaptateur MFA tiersAD FS w/3rd Party MFA Adapter
Compte AzureAzure Account Compte AzureAzure Account Compte AzureAzure Account Compte AzureAzure Account
Azure Active DirectoryAzure Active Directory Azure Active DirectoryAzure Active Directory Azure Active DirectoryAzure Active Directory Azure Active DirectoryAzure Active Directory
Azure AD ConnectAzure AD Connect Azure AD ConnectAzure AD Connect Azure AD ConnectAzure AD Connect Azure AD ConnectAzure AD Connect
AzureAD Premium, facultatifAzure AD Premium, optional Azure AD Premium, nécessaire pour la réécriture d’appareilAzure AD Premium, needed for device write-back AzureAD Premium, facultatif pour l’inscription GPM automatiqueAzure AD Premium, optional for automatic MDM enrollment AzureAD Premium, facultatif pour l’inscription GPM automatiqueAzure AD Premium, optional for automatic MDM enrollment

Important

  1. Les déploiements hybrides prennent en charge la réinitialisation du code confidentiel non destructrice qui fonctionne avec les modèles de confiance et de certification.Hybrid deployments support non-destructive PIN reset that works with both the certificate trust and key trust models.
    Configuration requise:Requirements:
    Service de réinitialisation du code PIN Microsoft-Windows 10, version 1709 à 1809, édition entreprise.Microsoft PIN Reset Service - Windows 10, versions 1709 to 1809, Enterprise Edition. Il n’existe aucune exigence de licence pour ce service depuis la version 1903There is no licensing requirement for this service since version 1903
    Réinitialiser au-dessus de l’écran de verrouillage (j’ai oublié mon lien code confidentiel )-Windows 10, version 1903Reset above lock screen (I forgot my PIN link) - Windows 10, version 1903

  2. Les déploiements sur site prennent en charge la réinitialisation du code PIN qui fonctionne avec les modèles de confiance et de certification.On-premises deployments support destructive PIN reset that works with both the certificate trust and the key trust models.
    Configuration requise:Requirements:
    Reset from Settings-Windows 10, version 1703, professionnelReset from settings - Windows 10, version 1703, Professional
    Réinitialiser au-dessus de l’écran de verrouillage-Windows 10, version 1709, professionnelReset above lock screen - Windows 10, version 1709, Professional
    Réinitialiser au-dessus de l’écran de verrouillage (j’ai oublié mon lien code confidentiel )-Windows 10, version 1903Reset above lock screen (I forgot my PIN link) - Windows 10, version 1903

Déploiements locauxOn-premises Deployments

Le tableau suivant indique la configuration minimale requise pour chaque déploiement.The table shows the minimum requirements for each deployment.

Approbation de cléKey trust
Gestion par stratégie de groupeGroup Policy managed
Approbation de certificatCertificate trust
Gestion par stratégie de groupeGroup Policy managed
Windows10, version1703 ou ultérieureWindows 10, version 1703 or later Windows10, version1703 ou ultérieureWindows 10, version 1703 or later
Schéma Windows Server2016Windows Server 2016 Schema Schéma Windows Server2016Windows Server 2016 Schema
Niveau fonctionnel de domaine/forêt Windows Server2008R2Windows Server 2008 R2 Domain/Forest functional level Niveau fonctionnel de domaine/forêt Windows Server2008R2Windows Server 2008 R2 Domain/Forest functional level
Contrôleurs de domaine Windows Server 2016 ou version ultérieureWindows Server 2016 or later Domain Controllers Contrôleurs de domaine Windows Server2008 R2 ou version ultérieureWindows Server 2008 R2 or later Domain Controllers
Autorité de certification Windows Server2012 ou version ultérieureWindows Server 2012 or later Certificate Authority Autorité de certification Windows Server2012 ou version ultérieureWindows Server 2012 or later Certificate Authority
ADFS Windows Server2016 avec la mise à jourKB4088889Windows Server 2016 AD FS with KB4088889 update ADFS Windows Server2016 avec la mise à jourKB4088889Windows Server 2016 AD FS with KB4088889 update
ADFS avec adaptateurMFA tiersAD FS with 3rd Party MFA Adapter ADFS avec adaptateurMFA tiersAD FS with 3rd Party MFA Adapter
Compte Azure, facultatif pour la facturation Azure MFAAzure Account, optional for Azure MFA billing Compte Azure, facultatif pour la facturation Azure MFAAzure Account, optional for Azure MFA billing

Important

Pour les déploiements de l’approbation clé Windows Hello entreprise, si vous avez plusieurs domaines, au moins un contrôleur de domaine Windows Server 2016 ou une version ultérieure est requis pour chaque domaine.For Windows Hello for Business key trust deployments, if you have several domains, at least one Windows Server Domain Controller 2016 or newer is required for each domain. Pour plus d’informations, voir le Guide de planification.For more information, see the planning guide.