Windows Hello vue d’ensemble des conditions préalables au déploiement d’entreprise

Cet article répertorie les exigences d’infrastructure pour les différents modèles de déploiement Windows Hello entreprise.

Azure AD déploiement cloud uniquement

  • Windows 10, version 1511 ou ultérieure, ou Windows 11
  • Compte MicrosoftAzure
  • Azure Active Directory
  • Azure AD’authentification multifacteur
  • Gestion moderne (Intune ou système GPM tiers pris en charge), facultatif
  • Abonnement Azure AD Premium, facultatif, nécessaires pour l’inscription GPM automatique quand l’appareil est joint à Azure ActiveDirectory

Déploiements hybrides

Le tableau suivant indique la configuration minimale requise pour chaque déploiement. Pour une confiance clé dans un déploiement à plusieurs domaines/forêts, les exigences suivantes s’appliquent à chaque domaine/forêt qui héberge Windows Hello pour les composants d’entreprise ou qui est impliquée dans le processus de référence Kerberos.

Notes

Windows Hello entreprise introduit un nouveau modèle d’confiance appelé « confiance cloud » début 2022. Ce modèle d’confiance permet le déploiement de Windows Hello entreprise à l’aide de l’infrastructure introduite pour la prise en charge de la signature de clé de sécurité sur les appareils joints au Azure AD hybride et de l’accès aux ressources locales sur les appareils joints à Azure AD. Plus d’informations seront disponibles sur Windows Hello d’entreprise une fois qu’elle sera généralement disponible.

Approbation de clé
Gestion par stratégie de groupe
Approbation de certificat
Gestion mixte
Approbation de clé
Gestion moderne
Approbation de certificat
Gestion moderne
Windows10, version1511 ou ultérieure Joint à AzureAD hybride:
Minimum: Windows10, version1703
Meilleure expérience: Windows10, version1709 ou ultérieure (prend en charge l’inscription de certificats synchrone).
Joint à AzureAD:
Windows10, version1511 ou ultérieure
Windows10, version1511 ou ultérieure Windows10, version1511 ou ultérieure
Windows Server 2016 schéma ou ultérieur Windows Server 2016 schéma ou ultérieur Windows Server 2016 schéma ou ultérieur Windows Server 2016 schéma ou ultérieur
Niveau fonctionnel de domaine/forêt Windows Server2008R2 Niveau fonctionnel de domaine/forêt Windows Server2008R2 Niveau fonctionnel de domaine/forêt Windows Server2008R2 Niveau fonctionnel de domaine/forêt Windows Server2008R2
Windows Server 2016 contrôleurs de domaine ou ultérieurs Contrôleurs de domaine Windows Server2008 R2 ou version ultérieure Windows Server 2016 contrôleurs de domaine ou ultérieurs Contrôleurs de domaine Windows Server2008 R2 ou version ultérieure
Autorité de certification Windows Server2012 ou version ultérieure Autorité de certification Windows Server2012 ou version ultérieure Autorité de certification Windows Server2012 ou version ultérieure Autorité de certification Windows Server2012 ou version ultérieure
N/A Windows Server2016 ADFS avec mise à jour KB4088889 (clients joints à AzureADhybride)
et
service d’inscription de périphériques réseau WindowsServer2012 ou version ultérieure (joint à AzureAD)
N/A Service d’inscription de périphériques réseau Windows Server2012 ou version ultérieure
Client Azure MFA, ou
ADFS avec adaptateur Azure MFA, ou
ADFS avec adaptateur de serveur Azure MFA, ou
ADFS avec adaptateur MFA tiers
Client Azure MFA, ou
ADFS avec adaptateur Azure MFA, ou
ADFS avec adaptateur de serveur Azure MFA, ou
ADFS avec adaptateur MFA tiers
Client Azure MFA, ou
ADFS avec adaptateur Azure MFA, ou
ADFS avec adaptateur de serveur Azure MFA, ou
ADFS avec adaptateur MFA tiers
Client Azure MFA, ou
ADFS avec adaptateur Azure MFA, ou
ADFS avec adaptateur de serveur Azure MFA, ou
ADFS avec adaptateur MFA tiers
Compte Azure Compte Azure Compte Azure Compte Azure
Azure Active Directory Azure Active Directory Azure Active Directory Azure Active Directory
Azure AD Connect Azure AD Connect Azure AD Connect Azure AD Connect
AzureAD Premium, facultatif Azure AD Premium, nécessaire pour l’écriture en écriture arrière de l’appareil AzureAD Premium, facultatif pour l’inscription GPM automatique AzureAD Premium, facultatif pour l’inscription GPM automatique

Important

  • Les déploiements hybrides sont en charge de la réinitialisation non destructive du code confidentiel qui fonctionne à la fois avec l’autorisation de certificat et les modèles d’autorisation de clé.

    Configuration requise:

    • Service de réinitialisation du code confidentiel Microsoft : Windows 10, versions 1709 à 1809, Êdition Entreprise. Il n’existe aucune exigence de licence pour ce service depuis la version 1903
    • Réinitialiser au-dessus de l’écran de verrouillage (j’ai oublié mon lien de code confidentiel) - Windows 10, version 1903
  • Les déploiements locaux prisent en charge la réinitialisation destructive du code confidentiel qui fonctionne avec l’autorisation de certificat et les modèles d’confiance clés.

    Configuration requise:

    • Réinitialiser à partir des paramètres - Windows 10, version 1703, Professional
    • Réinitialiser au-dessus de l’écran de verrouillage - Windows 10, version 1709, Professional
    • Réinitialiser au-dessus de l’écran de verrouillage (j’ai oublié mon lien de code confidentiel) - Windows 10, version 1903

Déploiements locaux

Le tableau suivant indique la configuration minimale requise pour chaque déploiement.

Approbation de clé
Gestion par stratégie de groupe
Approbation de certificat
Gestion par stratégie de groupe
Windows10, version1703 ou ultérieure Windows10, version1703 ou ultérieure
Schéma Windows Server2016 Schéma Windows Server2016
Niveau fonctionnel de domaine/forêt Windows Server2008R2 Niveau fonctionnel de domaine/forêt Windows Server2008R2
Windows Server 2016 contrôleurs de domaine ou ultérieurs Contrôleurs de domaine Windows Server2008 R2 ou version ultérieure
Autorité de certification Windows Server2012 ou version ultérieure Autorité de certification Windows Server2012 ou version ultérieure
ADFS Windows Server2016 avec la mise à jourKB4088889 ADFS Windows Server2016 avec la mise à jourKB4088889
ADFS avec adaptateurMFA tiers ADFS avec adaptateurMFA tiers
Compte Azure, facultatif pour la facturation Azure MFA Compte Azure, facultatif pour la facturation Azure MFA

Important

Pour les déploiements d’Windows Hello pour entreprise, si vous avez plusieurs domaines, au moins un contrôleur de domaine Windows Server 2016 ou plus nouveau est requis pour chaque domaine. Pour plus d’informations, voir le guide de planification.