Comment configurer la confiance cloud Windows Hello Entreprise dans un environnement hybride

📅
🕑 6 minutes de lecture

Configurer Windows Hello Entreprise avec l’approbation Kerberos Cloud dans un environnement hybride peut s’avérer complexe, surtout en cas de problèmes. Vos appareils peuvent ne pas se connecter correctement, ou vos utilisateurs peuvent ne pas s’authentifier par code PIN ou biométrie. Parfois, la configuration semble simple, mais des difficultés peuvent surgir, comme l’option de code PIN grisée ou une synchronisation défectueuse de l’approbation. C’est assez étrange, mais ces problèmes peuvent être résolus, souvent en vérifiant quelques configurations ou en s’assurant que les niveaux de domaine sont à jour. Ce guide décrit les étapes clés, de la vérification des niveaux de domaine à la configuration des paramètres Azure AD, en passant par la définition des stratégies appropriées dans Intune, pour que Windows Hello et l’approbation Cloud fonctionnent parfaitement ensemble.

Comment résoudre les problèmes courants liés à l’approbation Kerberos dans le cloud et à Windows Hello Entreprise dans les configurations hybrides

Assurez-vous que les niveaux fonctionnels de votre domaine et de votre forêt sont « Windows Server 2012 R2 » ou une version ultérieure.

Si votre domaine ou forêt s’exécute sur une ancienne version de Windows Server, l’installation risque d’échouer sans message d’erreur ou de générer des messages d’erreur peu clairs. La première étape consiste à vérifier et à mettre à niveau les niveaux du domaine et de la forêt si nécessaire. Cela est important car l’approbation Kerberos dans le cloud repose sur des fonctionnalités introduites dans les versions plus récentes de Windows Server.

  • Ouvrir Utilisateurs et ordinateurs Active Directory
  • Faites un clic droit sur votre domaine, puis sélectionnez « Élever le niveau fonctionnel du domaine ».
  • Si votre système d’exploitation est antérieur à Windows Server 2012 R2, sélectionnez cette version ou une version ultérieure et appliquez les modifications.

Il en va de même pour les domaines et les approbations Active Directory au niveau de la forêt. Faites un clic droit sur la racine et sélectionnez « Élever le niveau fonctionnel de la forêt ». Sur certaines configurations, si ce niveau n’est pas mis à niveau, les fonctionnalités d’approbation du cloud ne s’activeront pas correctement.

Activez l’authentification de confiance Kerberos dans le cloud sur votre AD*

Pour que votre infrastructure locale fonctionne correctement avec Azure AD, vous devez installer le module de gestion de l’authentification hybride Azure AD. Bien entendu, des droits d’administrateur sont nécessaires, ainsi qu’un peu de patience, car l’installation du module peut parfois réserver quelques surprises.

  1. Ouvrir PowerShell en tant qu’administrateur
  2. Exécutez ces commandes :
  3. [Net. ServicePointManager]::SecurityProtocol = [Net. SecurityProtocolManager]::SecurityProtocol -bor [Net. SecurityProtocolType]::Tls12 $svcGA = Read-Host -Prompt "Enter the e-mail of your M365 Global Admin" Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber
  4. Saisissez votre adresse e-mail d’administrateur global lorsque vous y êtes invité. L’installation du module peut prendre quelques instants.

Ce module vous permet de créer l’ objet serveur Kerberos Microsoft Entra, qui est l’élément magique indiquant à votre AD local comment faire confiance à Azure AD pour les tickets Kerberos.

Enregistrez le serveur Microsoft Entra Kerberos dans Active Directory.

C’est là que la configuration devient plus « technique », mais croyez-moi, il s’agit simplement d’un script PowerShell classique avec quelques invites.

  1. Identifiez votre domaine :$domain = $env:USERDNSDOMAIN
  2. Utilisez votre UPN d’administrateur global :$userPrincipalName = $svcGA
  3. Obtenez les identifiants de votre administrateur de domaine :$domainCred = Get-Credential
  4. Créez l’objet serveur Kerberos et publiez-le :
  5. Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName

Vous recevrez une confirmation si l’opération réussit. Il est parfois nécessaire de vérifier l’existence de l’objet dans Utilisateurs et ordinateurs Active Directory, sous l’ unité d’organisation Contrôleurs de domaine.

Vérifiez la création de la confiance Kerberos

Exécutez cette commande en tant qu’administrateur pour vérifier que tout est correct :

Get-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential (Get-Credential)

Lorsque vous y êtes invité, utilisez vos identifiants d’administrateur. Si les éléments locaux et cloud correspondent (identifiants, noms DNS, versions de clés, etc.), tout devrait fonctionner. Dans le cas contraire, vérifiez les étapes précédentes ; parfois, patienter quelques instants le temps de la synchronisation résout le problème.

Créez une stratégie Windows Hello Entreprise dans Intune

Une fois l’approbation établie, vous devez configurer vos appareils pour qu’ils l’utilisent. Accédez au centre d’administration Intune > Appareils > Windows > Profils de configuration. Créez un profil, sélectionnez Windows 10 et versions ultérieures, puis le catalogue Paramètres.

  • Recherchez « Windows Hello Entreprise » dans le sélecteur de paramètres.
  • Sélectionnez les options pertinentes, comme l’activation de la biométrie, du code PIN et, surtout, « Utiliser Cloud Trust pour l’authentification sur site ».
  • Définissez les paramètres clés sur « vrai » et personnalisez la longueur/complexité du code PIN si nécessaire.
  • Attribuez ce profil à vos groupes d’appareils hybrides — je vous conseille de créer un groupe dédié pour plus de clarté.

En clair, cela déploie les nouvelles règles de confiance sur tous vos appareils, afin qu’ils soient prêts pour l’authentification par code PIN ou biométrie basée sur la confiance dans le cloud.

Inscription des utilisateurs et configuration des codes PIN Windows Hello

Une fois la stratégie déployée (cela peut prendre un certain temps), demandez à vos utilisateurs de redémarrer leurs appareils, puis de se connecter. Ils devraient voir les invites de configuration de Windows Hello ; sinon, ils peuvent accéder à Paramètres > Comptes > Options de connexion et le configurer manuellement.

Lorsqu’ils choisissent entre code PIN et empreinte digitale, ils devront peut-être d’abord compléter une demande d’authentification à plusieurs facteurs. Si tout se déroule correctement, l’expérience utilisateur sera fluide, notamment si la sécurité de l’appareil est assurée et que la configuration du code PIN s’effectue sans erreur.

Conseils de dépannage supplémentaires

Dans certains cas, la connexion par code PIN peut être bloquée et afficher une erreur du type « Cette option est actuellement indisponible ». Ce problème est généralement dû à une absence d’approbation entre la machine et le domaine ou à des synchronisations manquantes. Assurez-vous que l’appareil dispose d’une connexion Internet au contrôleur de domaine ou au VPN, et patientez quelques instants avant de pouvoir utiliser Azure AD Connect. L’exécution de cette commande gpupdate /forcesur l’appareil et sur le contrôleur de domaine peut accélérer le déploiement des stratégies. Vérifiez également que l’intégration hybride à Azure AD fonctionne correctement dsregcmd /status.

Sur une configuration, le problème a été résolu après un redémarrage et une mise à jour manuelle de la stratégie de groupe ; sur une autre, une réinscription rapide avec un nouveau code PIN a suffi. On ignore pourquoi cela fonctionne parfois, mais il vaut la peine d’essayer de synchroniser ou de redémarrer plusieurs fois.

Résumé

  • Vérifiez et mettez à niveau les niveaux fonctionnels du domaine/de la forêt vers 2012 R2 ou une version ultérieure.
  • Installer le module d’authentification hybride Azure AD
  • Enregistrez l’objet Serveur Kerberos Entra dans AD
  • Vérifiez les configurations de synchronisation et de confiance.
  • Créez et attribuez des stratégies Windows Hello Entreprise dans Intune
  • Inscrivez les utilisateurs et résolvez les problèmes de connexion par code PIN, si nécessaire.

Conclure

Pour que la confiance Kerberos dans le cloud et Windows Hello Entreprise fonctionnent ensemble, il est essentiel de vérifier que vos niveaux de domaine sont à jour, que les objets de confiance sont correctement créés et que les stratégies sont correctement déployées. Si vous avez suivi ces conseils, votre configuration hybride devrait fonctionner plus facilement. Bien sûr, certains environnements sont plus complexes que d’autres et il faudra peut-être faire preuve de patience ou redémarrer plusieurs fois. En espérant que cela vous fasse gagner du temps !