Cet article de référence fournit une liste complète des paramètres de stratégie pour Windows Hello Entreprise. La liste des paramètres est triée par ordre alphabétique et organisée en quatre catégories :
Sélectionnez l’un des onglets pour afficher la liste des paramètres disponibles :
Configurez une liste séparée par des virgules des GUID des fournisseurs d’informations d’identification, tels que les GUID du fournisseur d’empreintes digitales et de visage, à utiliser comme premier et deuxième facteurs de déverrouillage. Si le fournisseur de signal approuvé est spécifié comme l’un des facteurs de déverrouillage, vous devez également configurer une liste de règles de signal séparées par des virgules sous la forme de xml pour chaque type de signal à vérifier.
Si vous activez ce paramètre de stratégie, l’utilisateur doit utiliser un facteur de chaque liste pour réussir le déverrouillage. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent continuer à déverrouiller avec les options existantes.
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsWindows Hello Entreprise |
Pour plus d’informations, consultez Déverrouillage multifacteur.
Configurez une liste de règles de signal séparées par des virgules sous la forme de xml pour chaque type de signal.
- Si vous activez ce paramètre de stratégie, les règles de signal sont évaluées pour détecter l’absence de l’utilisateur et verrouiller automatiquement l’appareil
- Si vous désactivez ou ne configurez pas le paramètre, les utilisateurs peuvent continuer à verrouiller avec les options existantes
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/PassportForWork/DynamicLock/DynamicLock |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsWindows Hello Entreprise |
Utiliser un périphérique de sécurité matériel
Un module de plateforme sécurisée (TPM) offre des avantages de sécurité supplémentaires par rapport aux logiciels, car les données qu’il protège ne peuvent pas être utilisées sur d’autres appareils.
- Si vous activez ce paramètre de stratégie, Windows Hello Entreprise provisionnement se produit uniquement sur les appareils avec des TPM 1.2 ou 2.0 utilisables. Vous pouvez éventuellement exclure les modules TPM revision 1.2, ce qui empêche Windows Hello Entreprise provisionnement sur ces appareils
Astuce
La spécification TPM 1.2 autorise uniquement l’utilisation de RSA et de l’algorithme de hachage SHA-1. Les implémentations TPM 1.2 varient selon les paramètres de stratégie, ce qui peut entraîner des problèmes de prise en charge, car les stratégies de verrouillage varient. Il est recommandé d’exclure les appareils TPM 1.2 de Windows Hello Entreprise provisionnement.
- Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le module de plateforme sécurisée est toujours recommandé, mais tous les appareils peuvent provisionner Windows Hello Entreprise à l’aide d’un logiciel si le module de plateforme sécurisée n’est pas fonctionnel ou non disponible.
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/TPM12 |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsWindows Hello Entreprise |
Utiliser le certificat pour l’authentification locale
Utilisez ce paramètre de stratégie pour configurer Windows Hello Entreprise afin d’inscrire un certificat de connexion utilisé pour l’authentification locale.
- Si vous activez ce paramètre de stratégie, Windows Hello Entreprise inscrit un certificat de connexion utilisé pour l’authentification locale
- Si vous désactivez ou ne configurez pas ce paramètre de stratégie, Windows Hello Entreprise utiliserez une clé ou un ticket Kerberos (en fonction d’autres paramètres de stratégie) pour l’authentification locale
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCertificateForOnPremAuth |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsWindows Hello Entreprise
Configuration> utilisateurModèles d’administration>Composants> WindowsWindows Hello Entreprise |
Utiliser l’approbation cloud pour l’authentification locale
Utilisez ce paramètre de stratégie pour configurer Windows Hello Entreprise pour utiliser le modèle d’approbation Kerberos cloud.
- Si vous activez ce paramètre de stratégie, Windows Hello Entreprise utilise un ticket Kerberos récupéré de l’authentification à Microsoft Entra ID pour l’authentification locale
- Si vous désactivez ou ne configurez pas ce paramètre de stratégie, Windows Hello Entreprise utilise une clé ou un certificat (en fonction d’autres paramètres de stratégie) pour l’authentification locale
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsWindows Hello Entreprise |
Remarque
L’approbation Kerberos cloud n’est pas compatible avec l’approbation de certificat. Si le paramètre de stratégie d’approbation de certificat est activé, il est prioritaire sur ce paramètre de stratégie.
Utiliser Windows Hello Entreprise
- Si vous activez cette stratégie, l’appareil provisionne Windows Hello Entreprise à l’aide de clés ou de certificats pour tous les utilisateurs
- Si vous désactivez ce paramètre de stratégie, l’appareil ne provisionne pas de Windows Hello Entreprise pour un utilisateur
- Si vous ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent provisionner Windows Hello Entreprise
Sélectionnez l’option Ne pas démarrer Windows Hello provisionnement après la connexion lorsque vous utilisez une solution non-Microsoft pour approvisionner Windows Hello Entreprise :
- Si vous sélectionnez Ne pas démarrer Windows Hello provisionnement après la connexion, Windows Hello Entreprise ne démarre pas automatiquement l’approvisionnement une fois que l’utilisateur s’est connecté.
- Si vous ne sélectionnez pas Ne pas démarrer l’approvisionnement Windows Hello après la connexion, Windows Hello Entreprise démarre automatiquement l’approvisionnement une fois que l’utilisateur s’est connecté.
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/DisablePostLogonProvisioning |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsWindows Hello Entreprise
Configuration> utilisateurModèles d’administration>Composants> WindowsWindows Hello Entreprise |
Expiration
Ce paramètre spécifie la période (en jours) pendant laquelle un code confidentiel peut être utilisé avant que le système n’oblige l’utilisateur à le modifier. Le code pin peut être défini pour expirer après n’importe quel nombre de jours compris entre 1 et 730, ou les codes confidentiels peuvent être définis pour n’expirer jamais si la stratégie est définie sur 0.
La valeur par défaut est 0.
Historique
Ce paramètre spécifie le nombre de codes confidentiels antérieurs qui peuvent être associés à un compte d’utilisateur qui ne peut pas être réutilisé. Cette stratégie améliore la sécurité en garantissant que les anciens codes confidentiels ne sont pas réutilisés en continu. La valeur doit être comprise entre 0 et 50 codes confidentiels. Si cette stratégie est définie sur 0, le stockage des codes confidentiels précédents n’est pas requis.
La valeur par défaut est 0.
Remarque
L’historique des codes confidentiels n’est pas conservé via la réinitialisation du code confidentiel.
Longueur maximale du code confidentiel
La longueur maximale du code confidentiel configure le nombre maximal de caractères autorisés pour le code confidentiel. Le plus grand nombre que vous pouvez configurer pour ce paramètre de stratégie est 127. Le nombre le plus bas que vous pouvez configurer doit être supérieur au nombre configuré dans le paramètre de stratégie Longueur minimale du code confidentiel ou au nombre 4, selon la valeur la plus élevée. Si vous configurez ce paramètre de stratégie, la longueur du code confidentiel doit être inférieure ou égale à ce nombre.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, la longueur du code confidentiel doit être inférieure ou égale à 127.
Remarque
Si les conditions spécifiées ci-dessus pour la longueur maximale du code confidentiel ne sont pas remplies, les valeurs par défaut sont utilisées pour les longueurs maximale et minimale du code confidentiel.
Longueur minimale du code confidentiel
La longueur minimale du code confidentiel configure le nombre minimal de caractères requis pour le code confidentiel. Le nombre le plus bas que vous pouvez configurer pour ce paramètre de stratégie est 4. Le plus grand nombre que vous pouvez configurer doit être inférieur au nombre configuré dans le paramètre de stratégie Longueur maximale du code confidentiel ou au nombre 127, selon la valeur la plus faible.
Si vous configurez ce paramètre de stratégie, la longueur du code confidentiel doit être supérieure ou égale à ce nombre.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, la longueur du code confidentiel doit être supérieure ou égale à 6.
Remarque
Si les conditions spécifiées ci-dessus pour la longueur minimale du code confidentiel ne sont pas remplies, les valeurs par défaut sont utilisées pour les longueurs maximale et minimale du code confidentiel.
Exiger des chiffres
Utilisez ce paramètre de stratégie pour configurer l’utilisation de chiffres dans le code confidentiel :
- Si vous activez ce paramètre de stratégie, Windows exige que l’utilisateur inclue au moins un chiffre dans son code confidentiel
- Si vous désactivez ce paramètre de stratégie, Windows n’autorise pas l’utilisateur à inclure des chiffres dans ses codes confidentiels
- Si vous ne configurez pas ce paramètre de stratégie, Windows autorise, mais n’exige pas, les chiffres dans le code confidentiel
Exiger des lettres minuscules
Utilisez ce paramètre de stratégie pour configurer l’utilisation de lettres minuscules dans le code confidentiel :
- Si vous activez ce paramètre de stratégie, Windows exige que l’utilisateur inclue au moins une lettre minuscule dans son code confidentiel
- Si vous désactivez ce paramètre de stratégie, Windows n’autorise pas l’utilisateur à inclure des lettres minuscules dans son code confidentiel
- Si vous ne configurez pas ce paramètre de stratégie, Windows autorise, mais n’exige pas, les lettres minuscules dans le code confidentiel
Exiger des caractères spéciaux
Étendue : Machine
Utilisez ce paramètre de stratégie pour configurer l’utilisation de caractères spéciaux dans le code confidentiel. Les caractères spéciaux incluent l’ensemble suivant :
! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
- Si vous activez ce paramètre de stratégie, Windows exige que l’utilisateur inclue au moins un caractère spécial dans son code confidentiel
- Si vous désactivez ce paramètre de stratégie, Windows n’autorise pas l’utilisateur à inclure des caractères spéciaux dans son code confidentiel
- Si vous ne configurez pas ce paramètre de stratégie, Windows autorise, mais n’exige pas, les caractères spéciaux dans le code confidentiel
Exiger des lettres majuscules
Utilisez ce paramètre de stratégie pour configurer l’utilisation de lettres majuscules dans le code confidentiel :
- Si vous activez ce paramètre de stratégie, Windows exige que l’utilisateur inclue au moins une lettre majuscule dans son code confidentiel
- Si vous désactivez ce paramètre de stratégie, Windows n’autorise pas l’utilisateur à inclure des lettres majuscules dans son code confidentiel
- Si vous ne configurez pas ce paramètre de stratégie, Windows autorise, mais n’exige pas, les lettres majuscules dans le code confidentiel
Utiliser la récupération de code confidentiel
La récupération de code confidentiel permet à un utilisateur de modifier un code confidentiel oublié à l’aide du service de récupération de code confidentiel Windows Hello Entreprise, sans perdre les informations d’identification ou les certificats associés, y compris les clés associées aux comptes personnels de l’utilisateur sur l’appareil.
Pour ce faire, le service de récupération de code confidentiel chiffre un secret de récupération, qui est stocké sur l’appareil et nécessite à la fois le service de récupération de code confidentiel et l’appareil à déchiffrer.
La récupération de code confidentiel nécessite que l’utilisateur effectue une authentification multifacteur pour Microsoft Entra ID.
- Si vous activez ce paramètre de stratégie, Windows Hello Entreprise utilise le service de récupération de code confidentiel
- Si vous désactivez ou ne configurez pas ce paramètre de stratégie, Windows ne crée ni ne stocke le secret de récupération du code confidentiel. Si l’utilisateur oublie son code confidentiel, il doit supprimer son code confidentiel existant et en créer un nouveau, et il doit se réinscrire auprès des services auxquels l’ancien code confidentiel a fourni accès
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsWindows Hello Entreprise |
Pour plus d’informations, consultez Réinitialisation du code confidentiel.
Ce paramètre de stratégie détermine si l’anti-usurpation améliorée est requise pour Windows Hello’authentification faciale.
- Si vous activez ce paramètre, Windows nécessite l’utilisation de l’anti-usurpation améliorée pour l’authentification des visages
Important
Cela désactive l’authentification faciale sur les appareils qui ne prennent pas en charge l’anti-usurpation améliorée.
- Si vous désactivez ou ne configurez pas ce paramètre, Windows ne nécessite pas d’usurpation d’identité améliorée pour l’authentification des visages
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/PassportForWork/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsWindows Hello Entreprise |
Activer ESS avec les périphériques pris en charge
La sécurité de connexion améliorée (ESS) ajoute une couche de sécurité aux données biométriques à l’aide de composants matériels et logiciels spécialisés, par exemple vbS (Virtual Based Security) et Trusted Platform Module 2.0.
Avec ESS, Windows Hello données de modèle biométrique (visage et empreinte digitale) et les opérations de correspondance sont isolées du matériel approuvé ou des régions de mémoire spécifiées, et le reste du système d’exploitation ne peut pas y accéder ou les falsifier. Étant donné que le canal de communication entre les capteurs et l’algorithme est également sécurisé, il est impossible pour un programme malveillant d’injecter ou de relire des données afin de simuler la connexion d’un utilisateur ou de verrouiller un utilisateur hors de son ordinateur.
Si vous activez cette stratégie, vous pouvez configurer les valeurs suivantes :
0: ESS est activé avec des capteurs périphériques ou intégrés non-ESS. Les opérations d’authentification des appareils compatibles Windows Hello périphériques sont autorisées, sous réserve des limitations actuelles des fonctionnalités. ESS est activé sur les appareils avec un mélange d’appareils biométriques, tels qu’un lecteur d’empreintes digitales compatible ESS et un appareil photo non compatible ESS. Par conséquent, ce paramètre n’est pas recommandé1: ESS est activé sans capteurs périphériques ou non-ESS intégrés. Les opérations d’authentification d’un appareil biométrique périphérique sont bloquées et ne sont pas disponibles pour Windows Hello. Ce paramètre est recommandé pour une sécurité maximale
Si vous désactivez ou ne configurez pas ce paramètre, les capteurs non-ESS sont bloqués sur l’appareil ESS.
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsWindows Hello Entreprise |
Pour plus d’informations, consultez Comment la sécurité de connexion améliorée protège-t-elle les données biométriques.
Utiliser la biométrie
Windows Hello Entreprise permet aux utilisateurs d’utiliser des mouvements biométriques, tels que le visage et les empreintes digitales, comme alternative au mouvement de code confidentiel. Toutefois, les utilisateurs doivent toujours configurer un code confidentiel à utiliser en cas de défaillance.
- Si vous activez ou ne configurez pas ce paramètre de stratégie, Windows Hello Entreprise autorise l’utilisation de mouvements biométriques
- Si vous désactivez ce paramètre de stratégie, Windows Hello Entreprise empêche l’utilisation de mouvements biométriques
Remarque
La désactivation de cette stratégie empêche l’utilisateur de faire des mouvements biométriques sur l’appareil pour tous les types de comptes.
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/PassportForWork/Biometrics/UtiliserBiometrics |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsWindows Hello Entreprise |
Autoriser l’énumération des carte intelligentes émulées pour tous les utilisateurs
Windows empêche les utilisateurs sur le même appareil d’énumérer les informations d’identification de Windows Hello Entreprise approvisionnées pour d’autres utilisateurs. Si vous activez ce paramètre de stratégie, Windows permet à tous les utilisateurs de l’appareil d’énumérer toutes les informations d’identification Windows Hello Entreprise, tout en exigeant que chaque utilisateur fournisse ses propres facteurs d’authentification. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, Windows n’autorise pas l’énumération des informations d’identification Windows Hello Entreprise approvisionnées pour d’autres utilisateurs sur le même appareil.
Ce paramètre de stratégie est conçu pour un seul utilisateur qui inscrit des comptes privilégiés et non privilégiés sur un seul appareil. L’utilisateur possède les deux informations d’identification, ce qui lui permet de se connecter à l’aide d’informations d’identification non privilégiées, mais peut effectuer des tâches avec élévation de privilèges sans se déconnecter. Ce paramètre de stratégie n’est pas compatible avec les informations d’identification Windows Hello Entreprise approvisionnées lorsque le paramètre de stratégie Désactiver l’émulation carte intelligente est activé.
|
Chemin d'accès |
| CSP |
Non disponible |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsWindows Hello Entreprise |
Désactiver l’émulation carte intelligente
Windows Hello Entreprise fournit automatiquement l’émulation carte intelligente pour la compatibilité avec les applications carte intelligentes.
- Si vous activez ce paramètre de stratégie, Windows Hello Entreprise provisionne les informations d’identification Windows Hello Entreprise qui ne sont pas compatibles avec les applications smart carte
- Si vous désactivez ou ne configurez pas ce paramètre de stratégie, Windows Hello Entreprise provisionne Windows Hello Entreprise informations d’identification compatibles avec les applications smart carte
Important
Cette stratégie affecte Windows Hello Entreprise informations d’identification au moment de la création. Les informations d’identification créées avant l’application de cette stratégie continuent de fournir une émulation intelligente carte. Pour modifier des informations d’identification existantes, activez ce paramètre de stratégie et sélectionnez J’ai oublié mon code confidentiel dans Paramètres.
|
Chemin d'accès |
| CSP |
Non disponible |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsWindows Hello Entreprise |
Utiliser des certificats Windows Hello Entreprise comme certificats de carte intelligents
Ce paramètre de stratégie est conçu pour permettre la compatibilité avec les applications qui s’appuient exclusivement sur des certificats smart carte.
- Si vous activez ce paramètre de stratégie, les applications utilisent des certificats Windows Hello Entreprise comme certificats de carte intelligents. Les facteurs biométriques ne sont pas disponibles lorsqu’un utilisateur est invité à autoriser l’utilisation de la clé privée du certificat
- Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les applications n’utilisent pas Windows Hello Entreprise certificats en tant que certificats carte intelligents, et des facteurs biométriques sont disponibles lorsqu’un utilisateur est invité à autoriser l’utilisation de la clé privée du certificat
Ce paramètre de stratégie n’est pas compatible avec les informations d’identification Windows Hello Entreprise approvisionnées lorsque l’option Désactiver l’émulation carte intelligente est activée.
|
Chemin d'accès |
| CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates |
| GPO |
Configuration de l’ordinateur>Modèles d’administration>Composants> WindowsWindows Hello Entreprise |
Paramètres des fonctionnalités
Paramètres du code confidentiel
Paramètres biométriques
Paramètres smart carte
