Planification d'un déploiement WindowsHelloEntreprise

S’applique à

  • Windows 10

Félicitations! Vous commencez la procédure permettant d'aider vos organisations à passer des mots de passe à une authentification pratique à deux facteurs pour Windows: WindowsHelloEntreprise. Ce guide de planification vous permet de comprendre les différentes topologies, les différentes architectures et les différents composants qui englobent une infrastructure Windows Hello Entreprise.

Ce guide explique le rôle de chaque composant dans Windows Hello Entreprise et l’impact de certaines décisions de déploiement sur les autres aspects de l’infrastructure. Grâce à votre feuille de planification, vous utiliserez ces informations pour sélectionner le guide de déploiement correct pour vos besoins.

Notes

Si vous avez un client Azure, vous pouvez utiliser notre Assistant sans mot de passe interactif en ligne qui vous guide dans les mêmes choix au lieu d’utiliser notre guide manuel ci-dessous. L’Assistant Sans mot de passe est disponible dans le Centre d’administration Microsoft 365.

Utilisation de ce guide

Vous avez le choix entre de nombreuses options lors du déploiement de WindowsHelloEntreprise. Le fait de fournir plusieurs options garantit que presque toutes les organisations peuvent déployer Windows Hello Entreprise. Le fait de fournir de nombreuses options rend le déploiement complexe, mais la plupart des organisations réaliseront qu’elles ont déjà implémenté la plupart de l’infrastructure dont dépend le déploiement Windows Hello Entreprise. Il est important de comprendre que Windows Hello Entreprise est un système distribué et qu'il ne peut pas prendre des décisions appropriées en matière de planification pour plusieurs équipes d’une organisation.

Ce guide supprime l’apparence de complexité en vous aidant à prendre des décisions sur chaque aspect de votre déploiement Windows Hello Entreprise et sur les options à prendre en compte. Ce guide permet également d'identifier les informations nécessaires pour vous aider à prendre des décisions concernant le déploiement le mieux adapté à votre environnement. Téléchargez la feuille de planification Windows Hello Entreprise à partir du Centre de téléchargementMicrosoft afin de suivre votre progression et de simplifier votre planification.

Comment procéder

Lisez ce document et enregistrez vos décisions sur la feuille. Lorsque vous avez terminé, votre feuille contient toutes les informations nécessaires à votre déploiement Windows Hello Entreprise.

Six catégories principales sont à prendre en compte pour un déploiement Windows Hello Entreprise. Cescatégories sont les suivantes:

  • Options de déploiement
  • Client
  • Gestion
  • Active Directory
  • Infrastructure à clé publique
  • Cloud

Conditions préalables du planning de référence

Windows Hello Entreprise comprend quelques conditions préalables de planning de référence avec lesquelles vous pouvez commencer. Ces conditions préalables de planning de référence sont fournies dans la feuille.

Options de déploiement

L’objectif de Windows Hello Entreprise est de permettre des déploiements pour toutes les organisations, quelle que soit leur taille ou leur situation. Pour fournir ce type de déploiement granulaire, Windows Hello Entreprise propose un choix varié d'options de déploiement.

Modèles de déploiement

Vous avez le choix entre trois modèles de déploiement: cloud uniquement, hybride et local.

Cloud uniquement

Le modèle de déploiement cloud uniquement est destiné aux organisations qui ont uniquement des identités de cloud et qui n’accèdent pas à des ressources locales. Ces organisations joignent généralement leurs appareils au cloud et utilisent exclusivement des ressources du cloud, telles que SharePoint, OneDrive, etc. De plus, étant donné que ces utilisateurs n’utilisent pas de ressources locales, ils n’ont pas besoin de certificats pour des éléments tels qu'un VPN, car tout ce dont ils ont besoin est hébergé dans Azure.

Hybride

Le modèle de déploiement hybride est destiné aux organisations qui:

  • sont fédérées avec Azure Active Directory
  • ont des identités synchronisées avec Azure ActiveDirectory à l’aide d’Azure ActiveDirectory Connect
  • utilisent des applications hébergées dans Azure ActiveDirectory et veulent une expérience utilisateur d'authentification unique à la fois pour les ressources locales et les ressources Azure ActiveDirectory

Important

Les déploiements hybrides prisent en charge la réinitialisation non destructive du code confidentiel qui fonctionne à la fois avec l’autorisation de certificat et les modèles d’autorisation de clé.
Configuration requise:
Service de réinitialisation du code confidentiel Microsoft - Windows 10, versions 1709 à 1809, Enterprise Edition. Il n’existe aucune exigence de licence pour ce service depuis la version 1903
Réinitialiser au-dessus de l’écran de verrouillage (j’ai oublié mon lien de code confidentiel) - Windows 10, version 1903

Local

Le modèle de déploiement local est destiné aux organisations qui n'ont pas d'identités de cloud ou qui utilisent des applications hébergées dans Azure ActiveDirectory.

Important

Les déploiements locaux prisent en charge la réinitialisation destructive du code confidentiel qui fonctionne avec l’autorisation de certificat et les modèles d’confiance clés.
Configuration requise:
Réinitialiser à partir des paramètres - Windows 10, version 1703, Professionnel
Réinitialiser au-dessus de l’écran de verrouillage - Windows 10, version 1709, Professionnel
Réinitialiser au-dessus de l’écran de verrouillage (j’ai oublié mon lien de code confidentiel) - Windows 10, version 1903

Il est fondamentalement important de comprendre le modèle de déploiement à utiliser pour un déploiement réussi. Certains aspects du déploiement ont peut-être déjà été décidés pour vous en fonction de votre infrastructure actuelle.

Typesd’approbations

Un type d’approbation de déploiement définit la manière dont chaque client Windows Hello Entreprise s’authentifie auprès d’ActiveDirectory local. Il existe deux types d’approbations: l’approbation de clé et l’approbation de certificat.

Le type d’approbation de clé ne nécessite pas l’émission de certificats d’authentification aux utilisateurs finaux. Les utilisateurs s’authentifier à l’aide d’une clé liée au matériel créée pendant l’expérience d’approvisionnement intégrée. Cela nécessite une distribution adéquate des contrôleurs de domaine Windows Server 2016 ou ultérieur par rapport à votre authentification existante et au nombre d’utilisateurs inclus dans votre déploiement Windows Hello Entreprise. Pour en savoir plus, consultez la planification d’un nombre adéquat de contrôleurs de domaine Windows Server 2016 ou ultérieur pour les déploiements Windows Hello Entreprise.

Le type d’approbation de certificat émet des certificats d’authentification aux utilisateurs finaux. Les utilisateurs s’authentifier à l’aide d’un certificat demandé à l’aide d’une clé liée au matériel créée pendant l’expérience d’approvisionnement intégrée. Contrairement à l’autorisation de clé, l’autorisation de certificat ne nécessite pas de contrôleurs de domaine Windows Server 2016 (mais nécessite toujours le schéma Active Directory Windows Server 2016ou ultérieur). Les utilisateurs peuvent utiliser leur certificat pour s’authentifier sur n’importe quel contrôleur de domaine Windows Server 2008 R2 ou ultérieur.

Notes

RDP ne prend pas en charge l’authentification avec les déploiements d’confiance de clé Windows Hello Entreprise en tant qu’informations d’identification fournies. La RDP est uniquement prise en charge avec les déploiements d’autorisation de certificat en tant qu’informations d’identification fournies pour le moment. L’confiance de clé Windows Hello Entreprise peut être utilisée avec Windows Defender Credential Guard à distance.

Inscription de l’appareil

Tous les appareils inclus dans le déploiement Windows Hello Entreprise doivent passer par l’inscription de l’appareil. L'inscription de l’appareil permet aux appareils de s’authentifier auprès des fournisseurs d’identité. Pour un déploiement cloud uniquement et hybride, le fournisseur d’identité est Azure ActiveDirectory. Pour les déploiements locaux, le fournisseur d’identité est le serveur local exécutant le rôle Services de fédération Active Directory (ADFS) Windows Server2016.

Inscription de clé

L’expérience intégrée de mise en service de Windows Hello Entreprise crée une paire de clés asymétriques liées au matériel en tant qu’informations d’identification de l’utilisateur. La clé privée est protégée par les modules de sécurité de l’appareil . toutefois, les informations d’identification sont une clé utilisateur (et non une clé d’appareil). L’expérience d’approvisionnement inscrit la clé publique de l’utilisateur auprès du fournisseur d’identité. Pour les déploiements cloud uniquement et hybrides, le fournisseur d’identité est Azure ActiveDirectory. Pour les déploiements locaux, le fournisseur d’identité est le serveur local exécutant le rôle Services de fédération Active Directory (ADFS) Windows Server2016.

Authentification multifacteur

Important

À compter du 1er juillet 2019, Microsoft ne proposera plus de serveur MFA pour les nouveaux déploiements. Les nouveaux clients qui ont besoin d’une authentification multifacteur pour leurs utilisateurs doivent utiliser l’authentification multifacteur Azure AD basée sur le cloud. Les clients existants qui ont activé le serveur MFA avant le 1er juillet 2019 pourront télécharger la dernière version, les mises à jour futures et générer les informations d’identification d’activation comme d’habitude. Pour plus d’informations, voir La mise en place du serveur Azure AD Multi-Factor Authentication.

L’objectif de Windows Hello Entreprise est de permettre aux organisations de se passer des mots de passe en leur fournissant des informations d’identification fortes qui offrent une authentification à 2facteurs simple. L’expérience d’approvisionnement intégrée accepte les informations d’identification faibles de l’utilisateur (nom d’utilisateur et mot de passe) comme premier facteur d’authentification . Toutefois, l’utilisateur doit fournir un second facteur d’authentification avant que Windows ne fournisse des informations d’identification fortes.

Les déploiements cloud uniquement et hybrides offrent de nombreux choix pour l’authentification multifacteur. Les déploiements locaux doivent utiliser une authentification multifacteur qui fournit une carte multifacteur AD FS à utiliser conjointement avec le rôle serveur AD FS Windows Server 2016 local. Les organisations peuvent utiliser le serveur Azure AD Multi-Factor Authentication local ou choisir parmi plusieurs tiers (pour plus d’informations, lisez microsoft et d’autres méthodes d’authentification tierces).

Notes

L’authentification multifacteur Azure AD est disponible via :

  • Accord Entreprise Microsoft
  • Programme de licence en volume Open
  • Programme des fournisseurs de solutions Cloud
  • Fourni avec
    • Azure Active Directory Premium
    • Enterprise Mobility Suite
    • Enterprise Cloud Suite

Synchronisation d'annuaires

Les déploiements hybrides et locaux utilisent la synchronisation d’annuaires. Chacun le fait toutefois dans un but différent. Les déploiements hybrides utilisent Azure ActiveDirectory Connect pour synchroniser les identités ou informations d’identification ActiveDirectory entre lui-même et Azure ActiveDirectory. Cela permet d’activer l’authentification unique auprès d'Azure ActiveDirectory et de ses composants fédérés. Les déploiements locaux utilisent la synchronisation d’annuaires pour importer des utilisateurs d’Active Directory vers le serveur Azure MFA, qui envoie des données au service cloud Azure MFA pour effectuer la vérification.

Gestion

Windows Hello Entreprise fournit aux organisations un ensemble complet de paramètres de stratégie granulaire qu’elles peuvent utiliser pour gérer leurs appareils et leurs utilisateurs. Il existe trois façons de gérer Windows Hello Entreprise: stratégie de groupe, gestion moderne et en mode mixte.

Stratégie de groupe

La stratégie de groupe est la façon la plus simple et la plus courante de gérer Windows Hello Entreprise sur des appareils joints à un domaine. Créez simplement un objet de stratégie de groupe avec les paramètres de votre choix. Liez l’objet de stratégie de groupe à une place élevée dans ActiveDirectory et utilisez le filtrage des groupes de sécurité pour cibler des ensembles d’ordinateurs ou d'utilisateurs spécifiques. Ou bien, liez l’objet de stratégie de groupe directement aux unités d’organisation.

Gestion moderne

La gestion moderne est un paradigme de gestion des appareils émergent qui s’appuie sur le cloud pour la gestion d'appareils joints à un domaine et sur ceux nonjoints à un domaine. Les organisations peuvent unifier la gestion de leurs appareils en une seule plateforme et appliquer des paramètres de stratégie à l’aide d’une seule et même plateforme.

Client

WindowsHelloEntreprise est une fonctionnalité Windows10 exclusive. Dans le cadre de la stratégie WaaS (Windows as a Service), Microsoft a amélioré le déploiement, la gestion et l’expérience utilisateur avec chaque nouvelle version de Windows10, et a introduit la prise en charge de nouveaux scénarios.

La plupart des scénarios de déploiement nécessitent au minimum Windows10, version1511, également appelé Mise à jour de novembre. Les conditions préalables pour le client peuvent changer en fonction de différents composants de votre infrastructure existante ou d’autres choix d’infrastructure effectués ultérieurement dans la planification de votre déploiement. Ces composants et choix peut nécessiter au minimum un client exécutant Windows10, version1703, également appelé CreatorsUpdate.

Active Directory

Les déploiements hybrides et locaux incluent ActiveDirectory dans le cadre de leur infrastructure. La plupart des conditions requises pour Active Directory, telles que le schéma et les niveaux fonctionnels de domaine et de forêt, sont prédéterminées. Toutefois, votre choix de type d’approbation pour l’authentification détermine la version du contrôleur de domaine nécessaire pour le déploiement.

Infrastructure à clé publique

Le déploiement Windows Hello Entreprise dépend d’une infrastructure à clé publique d’entreprise comme ancre d’approbation pour l’authentification. Les contrôleurs de domaine pour les déploiements hybrides et locaux ont besoin d’un certificat pour que les appareils Windows 10 font confiance au contrôleur de domaine comme légitime. Les déploiements utilisant le type d’approbation de certificat ont besoin d'une infrastructure à clé publique d'entreprise et d'une autorité d’inscription de certificat pour émettre des certificats d’authentification pour les utilisateurs. Il est possible que les déploiements hybrides doivent émettre des certificats VPN aux utilisateurs pour activer la connectivité aux ressources locales.

Cloud

Certaines combinaisons de déploiement nécessitent un compte Azure et d’autres nécessitent Azure Active Directory pour les identités des utilisateurs. Ces exigences du cloud peuvent nécessiter uniquement un compte Azure tandis que d’autres fonctionnalités nécessitent un abonnement à Azure ActiveDirectory Premium. Le processus de planification identifie et différencie les composants nécessaires de ceux qui sont facultatifs.

Planification d'un déploiement

La planification de votre déploiement Windows Hello Entreprise commence par le choix d’un type de déploiement. Comme tous les systèmes distribués, Windows Hello Entreprise dépend de plusieurs composants au sein de l’infrastructure de votre organisation.

Utilisez le reste de ce guide pour faciliter la planification de votre déploiement. À mesure que vous prenez des décisions, écrivez les résultats de ces décisions dans votre feuille de planification. Lorsque vous avez terminé, vous aurez toutes les informations nécessaires pour terminer le processus de planification et le guide de déploiement approprié qui vous aidera le mieux dans votre déploiement.

Modèle de déploiement

Choisissez le modèle de déploiement en fonction des ressources auxquelles accèdent vos utilisateurs. Utilisez les instructions suivantes pour prendre votre décision.

Si votre organisation ne dispose pas des ressources locales, écrivez Cloud uniquement dans la zone 1a de votre feuille de planification.

Si votre organisation est fédérée avec Azure ou utilise un service, tel qu’AD Connect, Office365 **** ou OneDrive, ou si vos utilisateurs accèdent aux ressources cloud et sur site, écrivez Hybride dans la zone 1a de votre feuille de planification.

Si votre organisation ne dispose pas de ressources cloud, écrivez Local dans la zone 1a de votre feuille de planification.

Notes

  • Le cas d’utilisation principal du déploiement local concerne les « environnements d’administration de sécurité renforcée » également appelés « forêts rouges ».
  • La migration d’un déploiement local vers un déploiement hybride nécessite un redéploiement.

Type d’approbation

Les appareils joints à AzureAD hybride gérés par la stratégie de groupe ont besoin du rôle ADFS Windows Server2016 pour émettre des certificats. Les appareils joints à AzureAD hybride et les appareils joints à AzureAD gérés par Intune ou par un systèmeGPM compatible ont besoin du rôle serveur NDES WindowsServer pour émettre des certificats.

Choisissez le type d’approbation correspondant le mieux à vos organisations. N’oubliez pas que le type d’approbation détermine deux points: si vous émettez des certificats d’authentification à vos utilisateurs et si votre déploiement a besoin de contrôleurs de domaine Windows Server2016.

Un modèle d’approbation n’est pas plus sécurisé que l’autre. La principale différence est basée sur la satisfaction de l’organisation à déployer des contrôleurs de domaine Windows Server2016 et à ne pas inscrire les utilisateurs avec des certificats d’entité finale (approbation de clé) par rapport à l’utilisation de contrôleurs de domaine existants (Windows Server2008R2 ou version ultérieure) et la nécessité d'inscrire des certificats pour tous les utilisateurs (approbation de certificat).

Étant donné que les types d’autorisation de certificats émissionent des certificats, il existe davantage de configuration et d’infrastructure nécessaires pour prendre en charge l’inscription des certificats utilisateur, ce qui peut également être un facteur à prendre en compte dans votre décision. L’infrastructure supplémentaire nécessaire pour les déploiements d’autorisation de certificat inclut une autorité d’inscription de certificat. Dans un environnement fédéré, vous devez activer l’option d’écriture écriture sur appareil dans Azure AD Connect.

Si votre organisation veut utiliser le type d’approbation de clé, écrivez approbation de clé dans la zone 1b de votre feuille de planification. Écrivez Windows Server2016 dans la zone 4d. Écrivez N/A dans la zone 5b.

Si votre organisation veut utiliser le type d’approbation de certificat, écrivez approbation de certificat dans la zone 1b de votre feuille de planification. Écrivez Windows Server2008R2 ou version ultérieure dans la zone 4d. Dans la zone 5c, écrivez ouverture de session par carte à puce sous la colonne Nom du modèle et écrivez utilisateurs sous la colonne émispour de votre feuille de planification.

Inscription de l’appareil

Un développement Windows Hello Entreprise réussi exige que tous les appareils s’inscrivent auprès du fournisseur d’identité. Le fournisseur d’identité dépend du modèle de déploiement.

Si la zone 1a de votre feuille de planification indique cloud uniquement ou hybride, écrivez Azure dans la zone 1c.

Si la zone 1a de votre feuille de planification indique local, écrivez ADFS dans la zone 1c.

Inscription declé

Tous les utilisateurs qui approvisionnent Windows Hello Entreprise ont leur clé publique inscrite auprès du fournisseur d’identité. Le fournisseur d’identité dépend du modèle de déploiement.

Si la zone 1a de votre feuille de planification indique cloud uniquement ou hybride, écrivez Azure dans la zone 1d.

Si la zone 1a de votre feuille de planification indique local, écrivez ADFS dans la zone 1d.

Synchronisation d’annuaires

Windows Hello Entreprise utilise une authentification utilisateur forte, ce qui signifie généralement qu’il existe une identité (un utilisateur ou un nom d’utilisateur) et des informations d’identification (généralement une paire de clés). Certaines opérations nécessitent l'écriture ou la lecture des données utilisateur ou à partir de l'annuaire. Par exemple, la lecture du numéro de téléphone de l’utilisateur pour effectuer une authentification multifacteur lors de l’approvisionnement ou de l’écriture de la clé publique de l’utilisateur.

Si la zone 1a de votre feuille de planification indique cloud uniquement, écrivez N/A dans la zone 1e. Les informations utilisateur sont écrites directement dans Azure ActiveDirectory et aucun autre annuaire n'a besoin d'être synchronisé avec ces informations.

Si la zone 1a de votre feuille de planification indique hybride, écrivez Azure AD Connect dans la zone 1e.

Si la zone 1a de votre feuille de planification indique local, écrivez serveur Azure MFA. Ce déploiement utilise exclusivement Active Directory pour les informations utilisateur, à l’exception de l’authentification multifacteur. Le serveur Azure MFA local synchronise un sous-ensemble des informations utilisateur, telles que le numéro de téléphone, pour fournir une authentification multifacteur pendant que les informations d’identification de l’utilisateur restent sur le réseau local.

Authentification multifacteur

L’objectif de Windows Hello Entreprise est de faire passer l’authentification utilisateur des mots de passe à une authentification des utilisateurs forte basée sur une clé. Les mots de passe sont des informations d’identification faibles et ne peut pas être approuvés par eux-mêmes. En effet, un attaquant disposant d'un mot de passe volé pourrait tenter de s’inscrire auprès de Windows Hello Entreprise. Pour préserver la transition d’une identité faible à une sécurité renforcée des informations d’identification, Windows Hello Entreprise s’appuie sur l’authentification multifacteur lors de l’approvisionnement pour garantir que l’identité de l’utilisateur qui approvisionnement des informations d’identification Windows Hello Entreprise est l’identité appropriée.

Si la zone 1a de votre feuille de planification indique cloud uniquement, la seule option disponible consiste à utiliser le service cloud AzureMFA. Écrive Azure MFA dans la zone 1f de votre feuille de planification.

Si la zone 1a de votre feuille de planification indique hybride, plusieurs options s’offrent à vous, dont certaines dépendent de votre configuration de la synchronisation d’annuaires. Vous pouvez choisir parmi les options suivantes:

  • Utiliser directement le service cloud AzureMFA
  • Utiliser ADFS avec l’adaptateur de service cloud AzureMFA
  • Utiliser ADFS avec l'adaptateur de serveur Azure MFA
  • Utiliser ADFS avec un adaptateur MFA tiers

Vous pouvez utiliser directement le service cloud AzureMFA pour le second facteur de l’authentification. Les utilisateurs qui contactent le service doivent s’authentifier auprès d'Azure avant de l’utiliser.

Si votre service AzureAD Connect est configuré pour synchroniser des identités (noms d’utilisateurs uniquement), vos utilisateurs sont redirigés vers votre serveur de fédération local pour authentification, puis ils sont redirigés vers le service cloud AzureMFA. Dans le cas contraire, votre service AzureAD Connect est configuré pour synchroniser des informations d’identification (noms d’utilisateur et mots de passe), ce qui permet à vos utilisateurs de s’authentifier auprès d’Azure ActiveDirectory et d'utiliser le service cloud AzureMFA. Si vous choisissez d’utiliser le service cloud AzureMFA directement, écrivez AzureMFA dans la zone 1f de votre feuille de planification.

Vous pouvez configurer votre rôle ADFS Windows Server2016 local pour utiliser l’adaptateur de service AzureMFA. Dans cette configuration, les utilisateurs sont redirigés vers le serveur ADFS local (synchronisation d'identités uniquement). Le serveur ADFS utilise l'adaptateur MFA pour communiquer avec le service AzureMFA afin d'effectuer le second facteur de l’authentification. Si vous choisissez d’utiliser ADFS avec l’adaptateur de service cloud AzureMFA, écrivez ADFS avec adaptateur cloud AzureMFA dans la zone 1f de votre feuille de planification.

Vous pouvez également utiliser ADFS avec un adaptateur de serveur Azure MFA local. Au lieu de communiquer directement avec le service cloud AzureMFA, ADFS communique avec un serveur Azure MFA local qui synchronise les informations utilisateur avec ActiveDirectory local. Le serveur Azure MFA communique avec les services cloud Azure MFA afin d'effectuer le second facteur de l’authentification. Si vous choisissez d’utiliser ADFS avec l’adaptateur de serveur AzureMFA, écrivez ADFS avec adaptateur de serveur AzureMFA dans la zone 1f de votre feuille de planification.

La dernière option consiste à utiliser ADFS avec un adaptateur tiers comme second facteur d’authentification. Si vous choisissez d’utiliser ADFS avec un adaptateur MFA tiers, écrivez ADFS avec un tiers dans la zone 1f de votre feuille de planification.

Si la zone 1 a de votre feuille de planification indique local, deux options d’authentification de second facteur s'offrent à vous. Vous devez utiliser ADFS Windows Server2016 avec votre choix du serveur AzureMFA local ou avec un adaptateur MFA tiers.

Si vous choisissez d’utiliser ADFS avec l’adaptateur de serveur AzureMFA, écrivez ADFS avec adaptateur de serveur AzureMFA dans la zone 1f de votre feuille de planification. Si vous choisissez d’utiliser ADFS avec un adaptateur MFA tiers, écrivez ADFS avec un tiers dans la zone 1f de votre feuille de planification.

Gestion

Windows Hello Entreprise fournit aux organisations de nombreux paramètres de stratégie et un contrôle minutieux sur la façon dont ces paramètres peuvent être appliqués aux ordinateurs et aux utilisateurs. Le type de gestion des stratégies que vous pouvez utiliser dépend du déploiement et des modèles d’approbation que vous avez sélectionnés.

Si la zone 1a de votre feuille de planification indique cloud uniquement, écrivez N/A dans la zone 2a. Vous avez la possibilité de gérer des appareils nonjoints à un domaine. Si vous choisissez de gérer des appareils joints à Azure ActiveDirectory, écrivez gestion moderne dans la zone 2b de votre feuille de planification. Sinon, écrivez ** N/A** dans la zone 2b.

Notes

Les appareils joints à Azure ActiveDirectory sans la gestion moderne s'inscrivent automatiquement auprès de Windows Hello Entreprise en utilisant les paramètres de stratégie par défaut. Utilisez la gestion moderne pour ajuster les paramètres de stratégie afin qu'ils correspondent aux besoins professionnels de votre organisation.

Si la zone 1a de votre feuille de planification indique local, écrivez GP dans la zone 2a. Écrivez N/A dans la zone 2b de votre feuille.

La gestion des déploiements hybrides inclut deux catégories d’appareils à prendre en compte pour votre déploiement Windows Hello Entreprise: joint à un domaine et nonjoint à un domaine. Tous les appareils sont inscrits. Toutefois, tous les appareils ne sont pas joints à un domaine. Vous avez la possibilité d’utiliser la stratégie de groupe pour les appareils joints à un domaine et la gestion moderne pour les appareils nonjoints à un domaine. Ou bien, vous pouvez utiliser la gestion moderne à la fois pour les appareils joints à un domaine et ceux nonjoints à un domaine.

Si vous utilisez une stratégie de groupe pour gérer les appareils joints à votre domaine, écrivez GP dans la zone 2a de votre feuille de planification. Écrivez gestion moderne dans la zone 2b si vous décidez de gérer les appareils non joints au domaine; dans le cas contraire, écrivez **non applicable **.

Si vous utilisez la gestion moderne à la fois pour les appareils joints à un domaine et pour ceux nonjoints à un domaine, écrivez gestion moderne dans les zones 2a et 2b de votre feuille de planification.

Client

WindowsHelloEntreprise est une fonctionnalité exclusive de Windows10. Certains déploiements et certaines fonctionnalités sont disponibles via des versions antérieures de Windows10. D’autres nécessitent les dernières versions.

Si la zone 1a de votre feuille de planification indique cloud uniquement, écrivez N/A dans la zone 3a. Si vous le souhaitez, vous pouvez écrire 1511 ou ultérieure dans la zone 3b de votre feuille de planification si vous envisagez de gérer des appareils non-joints à un domaine.

Notes

Les appareils joints à Azure ActiveDirectory sans la gestion moderne s'inscrivent automatiquement auprès de Windows Hello Entreprise en utilisant les paramètres de stratégie par défaut. Utilisez la gestion moderne pour ajuster les paramètres de stratégie afin qu'ils correspondent aux besoins professionnels de votre organisation.

Écrivez 1511 ou ultérieure dans la zone 3a de votre feuille de planification si lune des affirmations suivantes est vérifiée.

  • La zone 2a de votre feuille de planification indique gestion moderne.
    • Si vous le souhaitez, vous pouvez écrire 1511 ou ultérieure dans la zone 3b de votre feuille de planification si vous envisagez de gérer des appareils non-joints à un domaine.
  • La zone 1a de votre feuille de planification indique hybride, la zone 1b indique approbation de clé et la zone 2a indique GP. Si vous le souhaitez, vous pouvez écrire **1511 * ou une ultérieure dans la zone 3b de votre feuille de planification si vous envisagez de gérer les appareils non joints à un domaine.

Écrivez 1703 ou ultérieure dans la zone 3a de votre feuille de planification si lune des affirmations suivantes est vérifiée.

  • La zone 1a de votre feuille de planification indique local.
    Écrivez N/A dans la zone 3b de votre feuille de planification.
  • La zone 1a de votre feuille de planification indique hybride, la zone 1b indique approbation de certificat et la zone 2a indique GP.
    • Si vous le souhaitez, vous pouvez écrire 1511 ou ultérieure dans la zone 3b de votre feuille de planification si vous envisagez de gérer des appareils non-joints à un domaine.

Active Directory

La partie ActiveDirectory du guide de planification doit être complète. La plupart des conditions sont des conditions préalables de planning de référence excepté concernant vos contrôleurs de domaine. Les contrôleurs de domaine utilisés dans votre déploiement sont déterminés par le type d’approbation choisi.

Passez en revue la partie relative au type d’approbation de cette section si la zone 4d de votre feuille de planification reste vide.

Infrastructure à clé publique

Les conditions préalables d’infrastructure à clé publique existent déjà dans votre feuille de planification. Ces conditions constituent la configuration minimale requise pour tout déploiement hybride ou local. Des conditions supplémentaires peuvent être nécessaires en fonction de votre type d’approbation.

Si la zone 1a de votre feuille de planification indique cloud uniquement, ignorez la section relative à l’infrastructure à clé publique de votre feuille de planification. Les déploiements cloud uniquement n’utilisent pas d'infrastructure à clé publique.

Si la zone 1b de votre feuille de planification indique approbation de clé, écrivez N/A dans la zone 5b. L’confiance de clé ne nécessite aucune modification de l’infrastructure à clé publique, ignorez cette partie et passez à la section Cloud.

L’autorité d’inscription concerne uniquement les déploiements d’approbation de certificat et la gestion utilisés pour les appareils joints à un domaine et nonjoints à un domaine. Les appareils joints à AzureAD hybride gérés par la stratégie de groupe ont besoin du rôle ADFS Windows Server2016 pour émettre des certificats. Les appareils joints à AzureAD hybride et les appareils joints à AzureAD gérés par Intune ou par un systèmeGPM compatible ont besoin du rôle serveur NDES WindowsServer pour émettre des certificats.

Si la zone 2a indique GP et que la zone 2b indique gestion moderne, écrivez RA ADFS et NDES dans la zone 5b de votre feuille de planification. Dans la zone 5c, écrivez les noms et émissions de modèles de certificat suivants:

Nom du modèle de certificat Émis pour
Agent d'inscription Exchange RA ADFS
Serveur web RA ADFS
Agent d'inscription Exchange NDES
Serveur web NDES
Chiffrement CEP NDES

Si la zone 2a lit la gp et la zone 2b lit N/A, écrivez la ra AD FS dans la zone 5b et écrivez les noms et les émission de modèles de certificat suivants dans la zone 5c de votre feuille de planification. ****

Nom du modèle de certificat Émis pour
Agent d'inscription Exchange RA ADFS
Serveur web RA ADFS

Si la zone 2a ou 2b indique gestion moderne, écrivez NDES dans la zone 5b, et écrivez les noms de modèle de certificat et émissions suivants dans la zone 5c de votre feuille de planification.

Nom du modèle de certificat Émis pour
Agent d'inscription Exchange NDES
Serveur web NDES
Chiffrement CEP NDES

Cloud

Presque tous les déploiements de Windows Hello Entreprise exigent un compte Azure.

Si la zone 1a de votre feuille de planification indique cloud uniquement ou hybride, écrivez Oui dans les zones 6a et 6b.

Si la zone 1a de votre feuille de planification indique local et que la zone 1f indique ADFS avec un tiers, écrivez Non dans la zone 6a de votre feuille de planification. Dans le cas contraire, écrivez Oui dans la zone 6a car vous avez besoin d’un compte Azure pour la facturation MFA par consommation. Écrivez Non dans la zone 6b de votre feuille de planification: les déploiements locaux n’utilisent pas l’annuaire de cloud.

Windows Hello Entreprise ne nécessite pas d'abonnement Azure AD Premium. Toutefois, certaines dépendances, telles que l’inscription automatique de la gestion des données de gestion des données (MDM) et l’accès conditionnel le font.

Si la zone 1a de votre feuille de planification indique local, écrivez Non dans la zone 6c.

Si la zone 1a de votre feuille de planification indique hybride et que la zone 1b indique approbation de clé, écrivez Non dans la zone 6c. Vous pouvez déployer Windows Hello Entreprise à l’aide du niveau gratuit Azure Active Directory. Tous les comptes gratuits Azure Active Directory peuvent utiliser l’authentification multifacteur Azure AD via l’utilisation des paramètres de sécurité par défaut. Certaines fonctionnalités Azure AD Multi-Factor Authentication nécessitent une licence. Pour plus d’informations, voir Fonctionnalités et licences pour l’authentification multifacteur Azure AD.

Si la zone 5b de votre feuille de planification indique RA ADFS, écrivez Oui dans la zone 6c. L’inscription d’un certificat à l’aide de l’autorité d’inscription AD FS nécessite que les appareils s’authentifier auprès du serveur AD FS, ce qui nécessite l’écriture en écriture arrière de l’appareil, une fonctionnalité Azure AD Premium.

Les appareils soumis à la gestion moderne ne nécessitent pas d'abonnement AzureAD Premium. En renonçant à l’abonnement, vos utilisateurs doivent inscrire manuellement les appareils dans le logiciel de gestion moderne, tel qu'Intune ou un système GPM tiers pris en charge.

Si les zones 2a ou 2b indiquent gestion moderne et que vous voulez que les appareils s’inscrivent automatiquement dans votre logiciel de gestion moderne, écrivez Oui dans la zone 6c de votre planification feuille de calcul. Sinon, écrivez Non dans la zone 6c.

Félicitations, vous avez terminé

Votre feuille de planification Windows Hello Entreprise doit être complète. Ce guide a présenté les composants utilisés dans l’infrastructure Windows Hello Entreprise et la rationalisation de leur utilisation. La feuille vous donne une vue d’ensemble des conditions préalables requises pour passer à la phase suivante du déploiement. Avec cette feuille de calcul, vous serez en mesure d’identifier les éléments clés de votre déploiement Windows Hello Entreprise.