Planifier un déploiement Windows Hello Entreprise

Ce guide de planification vous permet de comprendre les différentes topologies, les différentes architectures et les différents composants qui englobent une infrastructure Windows Hello Entreprise.

Ce guide explique le rôle de chaque composant dans Windows Hello Entreprise et l’impact de certaines décisions de déploiement sur les autres aspects de l’infrastructure.

Astuce

Si vous avez un locataire Microsoft Entra ID, vous pouvez utiliser notre Assistant sans mot de passe interactif en ligne, qui présente les mêmes choix au lieu d’utiliser notre guide manuel ci-dessous. L’Assistant sans mot de passe est disponible dans le Centre d'administration Microsoft 365.

Utilisation de ce guide

De nombreuses options sont disponibles pour déployer Windows Hello Entreprise, garantissant ainsi la compatibilité avec différentes infrastructures organisationnelles. Bien que le processus de déploiement puisse sembler complexe, la plupart des organisations constatent qu’elles ont déjà implémenté l’infrastructure nécessaire. Il est important de noter que Windows Hello Entreprise est un système distribué qui nécessite une planification appropriée au sein de plusieurs équipes au sein d’un organization.

Ce guide vise à simplifier le processus de déploiement en vous aidant à prendre des décisions éclairées sur chaque aspect de votre déploiement Windows Hello Entreprise. Il fournit des informations sur les options disponibles et vous aide à sélectionner l’approche de déploiement qui convient le mieux à votre environnement.

Procédure à suivre

Lisez ce document et enregistrez vos décisions. Lorsque vous avez terminé, vous devez disposer de toutes les informations nécessaires pour évaluer les options disponibles et déterminer les exigences pour votre déploiement Windows Hello Entreprise.

Il existe sept domaines main à prendre en compte lors de la planification d’un déploiement Windows Hello Entreprise :

Options de déploiement

L’objectif de Windows Hello Entreprise est de permettre des déploiements pour toutes les organisations, quelle que soit leur taille ou leur situation. Pour fournir ce type de déploiement granulaire, Windows Hello Entreprise propose un choix varié d'options de déploiement.

Modèles de déploiement

Il est fondamentalement important de comprendre quel modèle de déploiement utiliser pour un déploiement réussi. Certains aspects du déploiement ont peut-être déjà été décidés pour vous en fonction de votre infrastructure actuelle.

Vous pouvez choisir trois modèles de déploiement :

Modèle de déploiement Description
🔲 Cloud uniquement Pour les organisations qui ont uniquement des identités cloud et n’accèdent pas aux ressources locales. Ces organisations joignent généralement leurs appareils au cloud et utilisent exclusivement des ressources dans le cloud telles que SharePoint Online, OneDrive et d’autres. En outre, étant donné que les utilisateurs n’utilisent pas de ressources locales, ils n’ont pas besoin de certificats pour des éléments tels que vpn, car tout ce dont ils ont besoin est hébergé dans des services cloud.
🔲 Hybride Pour les organisations dont les identités sont synchronisées entre Active Directory et Microsoft Entra ID. Ces organisations utilisent des applications inscrites dans Microsoft Entra ID et souhaitent une expérience d’authentification unique (SSO) pour les ressources locales et Microsoft Entra.
🔲 Local Pour les organisations qui n’ont pas d’identités cloud ou qui utilisent des applications hébergées dans Microsoft Entra ID. Ces organisations utilisent des applications locales, intégrées à Active Directory, et souhaitent une expérience utilisateur d’authentification unique lors de l’accès à celles-ci.

Remarque

  • Le principal cas d’utilisation du déploiement local concerne les « environnements administratifs de sécurité renforcée », également appelés « forêts rouges ».
  • La migration d’un déploiement local vers un déploiement hybride nécessite un redéploiement

Types d’approbations

Le type d’approbation d’un déploiement définit la façon dont Windows Hello Entreprise clients s’authentifient auprès d’Active Directory. Le type d’approbation n’affecte pas l’authentification à Microsoft Entra ID. Pour cette raison, le type d’approbation n’est pas applicable à un modèle de déploiement cloud uniquement.

Windows Hello Entreprise l’authentification à Microsoft Entra ID utilise toujours la clé, et non un certificat (à l’exception de l’authentification smart carte dans un environnement fédéré).

Le type d’approbation détermine si vous émettez des certificats d’authentification à vos utilisateurs. Un modèle d’approbation n’est pas plus sécurisé que l’autre.

Le déploiement de certificats pour les utilisateurs et les contrôleurs de domaine nécessite davantage de configuration et d’infrastructure, ce qui peut également être un facteur à prendre en compte dans votre décision. L’infrastructure supplémentaire nécessaire pour les déploiements d’approbation de certificats inclut une autorité d’enregistrement de certificat. Dans un environnement fédéré, vous devez activer l’option Réécriture de l’appareil dans Microsoft Entra Connect.

Vous pouvez choisir trois types d’approbation :

Type d’approbation Description
🔲 Cloud Kerberos Les utilisateurs s’authentifient auprès d’Active Directory en demandant un TGT à Microsoft Entra ID, à l’aide de Microsoft Entra Kerberos. Les contrôleurs de domaine locaux sont toujours responsables des tickets de service Kerberos et de l’autorisation. L’approbation Kerberos cloud utilise la même infrastructure requise pour la connexion par clé de sécurité FIDO2, et elle peut être utilisée pour les déploiements Windows Hello Entreprise nouveaux ou existants.
🔲 Clé Les utilisateurs s’authentifient auprès du Active Directory local à l’aide d’une clé liée à l’appareil (matériel ou logiciel) créée pendant l’expérience d’approvisionnement Windows Hello. Il nécessite de distribuer des certificats aux contrôleurs de domaine.
🔲 Certificat Le type d’approbation de certificat émet des certificats d’authentification pour les utilisateurs. Les utilisateurs s’authentifient à l’aide d’un certificat demandé à l’aide d’une clé liée à l’appareil (matériel ou logiciel) créée pendant l’expérience d’approvisionnement Windows Hello.

L’approbation de clé et l’approbation de certificat utilisent Kerberos basé sur l’authentification par certificat lors de la demande de tickets-granting-tickets Kerberos (TGT) pour l’authentification locale. Ce type d’authentification nécessite une infrastructure à clé publique pour les certificats DC et des certificats d’utilisateur final pour l’approbation de certificat.

L’objectif de Windows Hello Entreprise confiance Kerberos cloud est de fournir une expérience de déploiement plus simple, par rapport aux autres types d’approbation :

  • Il n’est pas nécessaire de déployer une infrastructure à clé publique (PKI) ou de modifier une infrastructure à clé publique existante
  • Il n’est pas nécessaire de synchroniser les clés publiques entre Microsoft Entra ID et Active Directory pour que les utilisateurs puissent accéder aux ressources locales. Il n’y a pas de délai entre l’approvisionnement Windows Hello Entreprise de l’utilisateur et la possibilité de s’authentifier auprès d’Active Directory
  • La connexion par clé de sécurité FIDO2 peut être déployée avec une configuration supplémentaire minimale

Astuce

Windows Hello Entreprise’approbation Kerberos cloud est le modèle de déploiement recommandé par rapport au modèle d’approbation de clé. Il s’agit également du modèle de déploiement préféré si vous n’avez pas besoin de prendre en charge les scénarios d’authentification par certificat.

L’approbation Kerberos cloud nécessite le déploiement de Microsoft Entra Kerberos. Pour plus d’informations sur la façon dont Microsoft Entra Kerberos permet l’accès aux ressources locales, consultez Activation de la connexion par clé de sécurité sans mot de passe aux ressources locales.

Configuration requise pour l’infrastructure à clé publique

L’approbation Kerberos cloud est la seule option de déploiement hybride qui ne nécessite pas le déploiement de certificats. Les autres modèles hybrides et locaux dépendent d’une infrastructure à clé publique d’entreprise comme ancre d’approbation pour l’authentification :

  • Les contrôleurs de domaine pour les déploiements hybrides et locaux ont besoin d’un certificat pour que les appareils Windows approuvent le contrôleur de domaine comme légitime
  • Les déploiements utilisant le type d’approbation de certificat nécessitent une infrastructure à clé publique d’entreprise et une autorité d’inscription de certificat (CRA) pour émettre des certificats d’authentification aux utilisateurs. AD FS est utilisé comme cra
  • Les déploiements hybrides peuvent avoir besoin d’émettre des certificats VPN aux utilisateurs pour activer la connectivité des ressources locales
Modèle de déploiement Type d’approbation PKI obligatoire ?
🔲 Cloud uniquement Non applicable non
🔲 Hybride Cloud Kerberos non
🔲 Hybride Clé oui
🔲 Hybride Certificat oui
🔲 Local Clé oui
🔲 Local Certificat oui

Authentification auprès de Microsoft Entra ID

Les utilisateurs peuvent s’authentifier auprès de Microsoft Entra ID à l’aide de l’authentification fédérée ou de l’authentification cloud (non fédérée). Les exigences varient en fonction du type d’approbation :

Modèle de déploiement Type d’approbation Authentification auprès de Microsoft Entra ID Conditions préalables
🔲 Cloud uniquement Non applicable Authentification cloud Non applicable
🔲 Cloud uniquement Non applicable Authentification fédérée Service de fédération non-Microsoft
🔲 Hybride Approbation Kerberos cloud Authentification cloud Synchronisation de hachage de mot de passe (PHS) ou authentification directe (PTA)
🔲 Hybride Approbation Kerberos cloud Authentification fédérée Service de fédération AD FS ou non-Microsoft
🔲 Hybride Approbation de clé Authentification cloud Synchronisation de hachage de mot de passe (PHS) ou authentification directe (PTA)
🔲 Hybride Approbation de clé Authentification fédérée Service de fédération AD FS ou non-Microsoft
🔲 Hybride Approbation de certificat Authentification fédérée Ce modèle de déploiement ne prend pas en charge pTA ou PHS. Active Directory doit être fédéré avec Microsoft Entra ID à l’aide d’AD FS

Pour en savoir plus :

Informations techniques de référence sur l’inscription de l’appareil

Pour les déploiements locaux, le serveur exécutant le rôle Services ADFS (AD FS) est responsable de l’inscription de l’appareil. Pour les déploiements cloud uniquement et hybrides, les appareils doivent s’inscrire dans Microsoft Entra ID.

Modèle de déploiement Type de jointure pris en charge Fournisseur de services d’inscription d’appareil
Cloud uniquement Microsoft Entra joint
Microsoft Entra inscrit
Microsoft Entra ID
Hybride Microsoft Entra joint
jointure hybride Microsoft Entra
Microsoft Entra inscrit
Microsoft Entra ID
Local Jointure à un domaine Active Directory Synchronisation complète AD

Important

Pour Microsoft Entra’aide jointe hybride, consultez Planifier votre implémentation de jointure hybride Microsoft Entra.

Authentification multifacteur

L’objectif de Windows Hello Entreprise est d’éloigner les organisations des mots de passe en leur fournissant des informations d’identification fortes qui facilitent l’authentification à deux facteurs. L’expérience d’approvisionnement intégrée accepte les informations d’identification faibles de l’utilisateur (nom d’utilisateur et mot de passe) comme première authentification factorielle. Toutefois, l’utilisateur doit fournir un deuxième facteur d’authentification avant que Windows provisionne des informations d’identification fortes :

  • Pour les déploiements cloud uniquement et hybrides, il existe différents choix pour l’authentification multifacteur, notamment Microsoft Entra mFA
  • Les déploiements locaux doivent utiliser une option multifacteur qui peut s’intégrer en tant qu’adaptateur multifacteur AD FS. Les organisations peuvent choisir parmi des options non-Microsoft qui offrent un adaptateur MFA AD FS. Pour plus d’informations, consultez Méthodes d’authentification supplémentaires Microsoft et non-Microsoft

Important

Depuis le 1er juillet 2019, Microsoft n’offre pas de serveur MFA pour les nouveaux déploiements. Les nouveaux déploiements qui nécessitent une authentification multifacteur doivent utiliser l’authentification multifacteur Microsoft Entra basée sur le cloud. Le déploiement existant dans lequel le serveur MFA a été activé avant le 1er juillet 2019 peut télécharger la dernière version, les mises à jour futures et générer des informations d’identification d’activation. Pour plus d’informations, consultez Prise en main du serveur Azure Multi-Factor Authentication.

Modèle de déploiement Options de l’authentification multifacteur
🔲 Cloud uniquement Microsoft Entra MFA
🔲 Cloud uniquement MFA non-Microsoft via Microsoft Entra ID contrôles personnalisés ou la fédération
🔲 Hybride Microsoft Entra MFA
🔲 Hybride MFA non-Microsoft via Microsoft Entra ID contrôles personnalisés ou la fédération
🔲 Local Adaptateur AD FS MFA

Pour plus d’informations sur la configuration de Microsoft Entra’authentification multifacteur, consultez Configurer Microsoft Entra paramètres d’authentification multifacteur.

Pour plus d’informations sur la configuration d’AD FS pour fournir une authentification multifacteur, consultez Configurer Azure MFA en tant que fournisseur d’authentification avec AD FS.

Authentification multifacteur et authentification fédérée

Il est possible pour les domaines fédérés de configurer l’indicateur FederatedIdpMfaBehavior . L’indicateur indique Microsoft Entra ID d’accepter, d’appliquer ou de rejeter le défi MFA du fournisseur d’identité fédéré. Pour plus d’informations, consultez Valeurs federatedIdpMfaBehavior. Pour case activée ce paramètre, utilisez la commande PowerShell suivante :

Connect-MgGraph
$DomainId = "<your federated domain name>"
Get-MgDomainFederationConfiguration -DomainId $DomainId |fl

Pour rejeter la revendication MFA du fournisseur d’identité fédéré, utilisez la commande suivante. Cette modification a un impact sur tous les scénarios d’authentification multifacteur pour le domaine fédéré :

Update-MgDomainFederationConfiguration -DomainId $DomainId -FederatedIdpMfaBehavior rejectMfaByFederatedIdp

Si vous configurez l’indicateur avec la valeur acceptIfMfaDoneByFederatedIdp (par défaut) ou enforceMfaByFederatedIdp, vous devez vérifier que votre fournisseur d’identité fédéré est correctement configuré et fonctionne avec l’adaptateur et le fournisseur MFA utilisés par votre fournisseur d’identité.

Inscription de clé

L’expérience d’approvisionnement Windows Hello Entreprise intégrée crée une paire de clés asymétriques liée à l’appareil en tant qu’informations d’identification de l’utilisateur. La clé privée est protégée par les modules de sécurité de l’appareil. Les informations d’identification sont une clé utilisateur, et non une clé d’appareil. L’expérience d’approvisionnement inscrit la clé publique de l’utilisateur auprès du fournisseur d’identité :

Modèle de déploiement Fournisseur de services d’inscription de clé
Cloud uniquement Microsoft Entra ID
Hybride Microsoft Entra ID
Local Synchronisation complète AD

Synchronisation d'annuaires

Toutefois, les déploiements hybrides et locaux utilisent la synchronisation d’annuaires, chacun à des fins différentes :

  • Les déploiements hybrides utilisent Microsoft Entra Connect Sync pour synchroniser les identités Active Directory (utilisateurs et appareils) ou les informations d’identification entre eux et Microsoft Entra ID. Pendant le processus d’approvisionnement de Windows Hello Entreprise, les utilisateurs inscrivent la partie publique de leurs informations d’identification Windows Hello Entreprise avec Microsoft Entra ID. Microsoft Entra Connect Sync synchronise la clé publique Windows Hello Entreprise avec Active Directory. Cette synchronisation permet à l’authentification unique de Microsoft Entra ID et ses composants fédérés.

    Important

    Windows Hello Entreprise est lié entre un utilisateur et un appareil. L’objet utilisateur et l’objet d’appareil doivent être synchronisés entre Microsoft Entra ID et Active Directory.

  • Les déploiements locaux utilisent la synchronisation d’annuaires pour importer des utilisateurs d’Active Directory vers le serveur Azure MFA, qui envoie des données au service cloud MFA pour effectuer la vérification
Modèle de déploiement Options de synchronisation d’annuaires
Cloud uniquement Non applicable
Hybride Microsoft Entra Connect Sync
Local Serveur Azure MFA

Options de configuration de l’appareil

Windows Hello Entreprise fournit un ensemble complet de paramètres de stratégie granulaires. Il existe deux options main pour configurer Windows Hello Entreprise : fournisseur de services de configuration (CSP) et stratégie de groupe (GPO).

  • L’option CSP est idéale pour les appareils gérés via une solution mobile Gestion des appareils (GPM), comme Microsoft Intune. Les fournisseurs de services de configuration peuvent également être configurés avec des packages d’approvisionnement
  • L’objet de stratégie de groupe peut être utilisé pour configurer des appareils joints à un domaine et où les appareils ne sont pas gérés via GPM
Modèle de déploiement Options de configuration de l’appareil
🔲 Cloud uniquement CSP
🔲 Cloud uniquement Objet de stratégie de groupe (local)
🔲 Hybride CSP
🔲 Hybride Objet de stratégie de groupe (Active Directory ou local)
🔲 Local CSP
🔲 Local Objet de stratégie de groupe (Active Directory ou local)

Exigences relatives aux licences pour les services cloud

Voici quelques considérations relatives aux exigences de licence pour les services cloud :

  • Windows Hello Entreprise ne nécessite pas d’abonnement Microsoft Entra ID P1 ou P2. Toutefois, certaines dépendances, telles que l’inscription automatique MDM et l’accès conditionnel ,
    • Les appareils gérés via GPM ne nécessitent pas d’abonnement Microsoft Entra ID P1 ou P2. En supprimant l’abonnement, les utilisateurs doivent inscrire manuellement des appareils dans la solution MDM, par exemple Microsoft Intune ou un GPM non-Microsoft pris en charge
  • Vous pouvez déployer Windows Hello Entreprise à l’aide du niveau Microsoft Entra ID Gratuit. Tous les comptes gratuits Microsoft Entra ID peuvent utiliser Microsoft Entra authentification multifacteur pour les fonctionnalités sans mot de passe Windows
  • L’inscription d’un certificat à l’aide de l’autorité d’inscription AD FS nécessite que les appareils s’authentifient auprès du serveur AD FS, ce qui nécessite l’écriture différée de l’appareil, une fonctionnalité Microsoft Entra ID P1 ou P2
Modèle de déploiement Type d’approbation Licences de services cloud (minimum)
🔲 Cloud uniquement Non applicable non obligatoire
🔲 Hybride Cloud Kerberos non obligatoire
🔲 Hybride Clé non obligatoire
🔲 Hybride Certificat Microsoft Entra ID P1
🔲 Local Clé Azure MFA, s’il est utilisé comme solution MFA
🔲 Local Certificat Azure MFA, s’il est utilisé comme solution MFA

Configuration requise pour le système d’exploitation

Configuration requise pour Windows

Toutes les versions de Windows prises en charge peuvent être utilisées avec Windows Hello Entreprise. Toutefois, l’approbation Kerberos cloud nécessite des versions minimales :

Modèle de déploiement Type d’approbation Version de Windows
🔲 Cloud uniquement Non applicable Toutes les versions prises en charge
🔲 Hybride Cloud Kerberos - Windows 10 21H2, avec KB5010415 et versions ultérieures
- Windows 11 21H2, avec KB5010414 et versions ultérieures
🔲 Hybride Clé Toutes les versions prises en charge
🔲 Hybride Certificat Toutes les versions prises en charge
🔲 Local Clé Toutes les versions prises en charge
🔲 Local Certificat Toutes les versions prises en charge

Configuration requise pour Windows Server

Toutes les versions de Windows Server prises en charge peuvent être utilisées avec Windows Hello Entreprise en tant que contrôleur de domaine. Toutefois, l’approbation Kerberos cloud nécessite des versions minimales :

Modèle de déploiement Type d’approbation Version du système d’exploitation du contrôleur de domaine
🔲 Cloud uniquement Non applicable Toutes les versions prises en charge
🔲 Hybride Cloud Kerberos - Windows Server 2016, avec KB3534307 et versions ultérieures
- Windows Server 2019, avec KB4534321 et versions ultérieures
- Windows Server 2022
🔲 Hybride Clé Toutes les versions prises en charge
🔲 Hybride Certificat Toutes les versions prises en charge
🔲 Local Clé Toutes les versions prises en charge
🔲 Local Certificat Toutes les versions prises en charge

Préparer les utilisateurs

Lorsque vous êtes prêt à activer Windows Hello Entreprise dans votre organization, veillez à préparer les utilisateurs en expliquant comment approvisionner et utiliser Windows Hello.

Pour en savoir plus, consultez Préparer les utilisateurs.

Étapes suivantes

Maintenant que vous avez lu les différentes options et exigences de déploiement, vous pouvez choisir l’implémentation qui convient le mieux à votre organization.

Pour en savoir plus sur le processus de déploiement, choisissez un modèle de déploiement et un type d’approbation dans les listes déroulantes suivantes :