{"id":7357,"date":"2026-07-16T23:17:41","date_gmt":"2026-07-16T23:17:41","guid":{"rendered":"https:\/\/help.peacedoorball.blog\/ca\/?p=7357"},"modified":"2026-07-16T23:17:41","modified_gmt":"2026-07-16T23:17:41","slug":"comment-configurer-la-confiance-cloud-windows-hello-entreprise-dans-un-environnement-hybride","status":"publish","type":"post","link":"https:\/\/help.peacedoorball.blog\/ca\/comment-configurer-la-confiance-cloud-windows-hello-entreprise-dans-un-environnement-hybride\/","title":{"rendered":"Comment configurer la confiance cloud Windows Hello Entreprise dans un environnement hybride"},"content":{"rendered":"<p>Configurer Windows Hello Entreprise avec l&rsquo;approbation Kerberos Cloud dans un environnement hybride peut s&rsquo;av\u00e9rer complexe, surtout en cas de probl\u00e8mes. Vos appareils peuvent ne pas se connecter correctement, ou vos utilisateurs peuvent ne pas s&rsquo;authentifier par code PIN ou biom\u00e9trie. Parfois, la configuration semble simple, mais des difficult\u00e9s peuvent surgir, comme l&rsquo;option de code PIN gris\u00e9e ou une synchronisation d\u00e9fectueuse de l&rsquo;approbation. C&rsquo;est assez \u00e9trange, mais ces probl\u00e8mes peuvent \u00eatre r\u00e9solus, souvent en v\u00e9rifiant quelques configurations ou en s&rsquo;assurant que les niveaux de domaine sont \u00e0 jour. Ce guide d\u00e9crit les \u00e9tapes cl\u00e9s, de la v\u00e9rification des niveaux de domaine \u00e0 la configuration des param\u00e8tres Azure AD, en passant par la d\u00e9finition des strat\u00e9gies appropri\u00e9es dans Intune, pour que Windows Hello et l&rsquo;approbation Cloud fonctionnent parfaitement ensemble.<\/p>\n<h2>Comment r\u00e9soudre les probl\u00e8mes courants li\u00e9s \u00e0 l&rsquo;approbation Kerberos dans le cloud et \u00e0 Windows Hello Entreprise dans les configurations hybrides<\/h2>\n<h3>Assurez-vous que les niveaux fonctionnels de votre domaine et de votre for\u00eat sont \u00ab Windows Server 2012 R2 \u00bb ou une version ult\u00e9rieure.<\/h3>\n<p>Si votre domaine ou for\u00eat s&rsquo;ex\u00e9cute sur une ancienne version de Windows Server, l&rsquo;installation risque d&rsquo;\u00e9chouer sans message d&rsquo;erreur ou de g\u00e9n\u00e9rer des messages d&rsquo;erreur peu clairs. La premi\u00e8re \u00e9tape consiste \u00e0 v\u00e9rifier et \u00e0 mettre \u00e0 niveau les niveaux du domaine et de la for\u00eat si n\u00e9cessaire. Cela est important car l&rsquo;approbation Kerberos dans le cloud repose sur des fonctionnalit\u00e9s introduites dans les versions plus r\u00e9centes de Windows Server.<\/p>\n<ul>\n<li>Ouvrir <strong>Utilisateurs et ordinateurs Active Directory<\/strong><\/li>\n<li>Faites un clic droit sur votre domaine, puis s\u00e9lectionnez <strong>\u00ab \u00c9lever le niveau fonctionnel du domaine \u00bb.<\/strong><\/li>\n<li>Si votre syst\u00e8me d&rsquo;exploitation est ant\u00e9rieur \u00e0 <strong>Windows Server 2012 R2<\/strong>, s\u00e9lectionnez cette version ou une version ult\u00e9rieure et appliquez les modifications.<\/li>\n<\/ul>\n<p>Il en va de m\u00eame pour <strong>les domaines et les approbations Active Directory<\/strong> au niveau de la for\u00eat. Faites un clic droit sur la racine et s\u00e9lectionnez \u00ab<strong> \u00c9lever le niveau fonctionnel de la for\u00eat \u00bb<\/strong>. Sur certaines configurations, si ce niveau n&rsquo;est pas mis \u00e0 niveau, les fonctionnalit\u00e9s d&rsquo;approbation du cloud ne s&rsquo;activeront pas correctement.<\/p>\n<h3>Activez l&rsquo;authentification de confiance Kerberos dans le cloud sur votre AD*<\/h3>\n<p>Pour que votre infrastructure locale fonctionne correctement avec Azure AD, vous devez installer le <strong>module de gestion de l&rsquo;authentification hybride Azure AD<\/strong>. Bien entendu, des droits d&rsquo;administrateur sont n\u00e9cessaires, ainsi qu&rsquo;un peu de patience, car l&rsquo;installation du module peut parfois r\u00e9server quelques surprises.<\/p>\n<ol>\n<li>Ouvrir <strong>PowerShell en tant qu&rsquo;administrateur<\/strong><\/li>\n<li>Ex\u00e9cutez ces commandes :<\/li>\n<pre><code>[Net. ServicePointManager]::SecurityProtocol = [Net. SecurityProtocolManager]::SecurityProtocol -bor [Net. SecurityProtocolType]::Tls12 $svcGA = Read-Host -Prompt \"Enter the e-mail of your M365 Global Admin\" Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber<\/code><\/pre>\n<li>Saisissez votre adresse e-mail d&rsquo;administrateur global lorsque vous y \u00eates invit\u00e9. L&rsquo;installation du module peut prendre quelques instants.<\/li>\n<\/ol>\n<p>Ce module vous permet de cr\u00e9er l&rsquo; <strong>objet serveur Kerberos Microsoft Entra<\/strong>, qui est l&rsquo;\u00e9l\u00e9ment magique indiquant \u00e0 votre AD local comment faire confiance \u00e0 Azure AD pour les tickets Kerberos.<\/p>\n<h3>Enregistrez le serveur Microsoft Entra Kerberos dans Active Directory.<\/h3>\n<p>C&rsquo;est l\u00e0 que la configuration devient plus \u00ab technique \u00bb, mais croyez-moi, il s&rsquo;agit simplement d&rsquo;un script PowerShell classique avec quelques invites.<\/p>\n<ol>\n<li>Identifiez votre domaine :<code>$domain = $env:USERDNSDOMAIN<\/code><\/li>\n<li>Utilisez votre UPN d&rsquo;administrateur global :<code>$userPrincipalName = $svcGA<\/code><\/li>\n<li>Obtenez les identifiants de votre administrateur de domaine :<code>$domainCred = Get-Credential<\/code><\/li>\n<li>Cr\u00e9ez l&rsquo;objet serveur Kerberos et publiez-le :<\/li>\n<pre><code>Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName<\/code><\/pre>\n<\/ol>\n<p>Vous recevrez une confirmation si l&rsquo;op\u00e9ration r\u00e9ussit. Il est parfois n\u00e9cessaire de v\u00e9rifier l&rsquo;existence de l&rsquo;objet dans <strong>Utilisateurs et ordinateurs Active Directory, <\/strong> sous l&rsquo; unit\u00e9 d&rsquo;organisation <strong>Contr\u00f4leurs de domaine.<\/strong><\/p>\n<h3>V\u00e9rifiez la cr\u00e9ation de la confiance Kerberos<\/h3>\n<p>Ex\u00e9cutez cette commande en tant qu&rsquo;administrateur pour v\u00e9rifier que tout est correct :<\/p>\n<pre><code>Get-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential (Get-Credential)<\/code><\/pre>\n<p>Lorsque vous y \u00eates invit\u00e9, utilisez vos identifiants d&rsquo;administrateur. Si les \u00e9l\u00e9ments locaux et cloud correspondent (identifiants, noms DNS, versions de cl\u00e9s, etc.), tout devrait fonctionner. Dans le cas contraire, v\u00e9rifiez les \u00e9tapes pr\u00e9c\u00e9dentes ; parfois, patienter quelques instants le temps de la synchronisation r\u00e9sout le probl\u00e8me.<\/p>\n<h3>Cr\u00e9ez une strat\u00e9gie Windows Hello Entreprise dans Intune<\/h3>\n<p>Une fois l&rsquo;approbation \u00e9tablie, vous devez configurer vos appareils pour qu&rsquo;ils l&rsquo;utilisent. Acc\u00e9dez au <strong>centre d&rsquo;administration Intune<\/strong> &gt; <strong>Appareils<\/strong> &gt; <strong>Windows<\/strong> &gt; <strong>Profils de configuration<\/strong>. Cr\u00e9ez un profil, s\u00e9lectionnez <strong>Windows 10 et versions ult\u00e9rieures<\/strong>, puis <strong>le catalogue Param\u00e8tres<\/strong>.<\/p>\n<ul>\n<li>Recherchez \u00ab <strong>Windows Hello Entreprise<\/strong> \u00bb dans le s\u00e9lecteur de param\u00e8tres.<\/li>\n<li>S\u00e9lectionnez les options pertinentes, comme l&rsquo;activation de la biom\u00e9trie, du code PIN et, surtout, \u00ab <strong>Utiliser Cloud Trust pour l&rsquo;authentification sur site<\/strong> \u00bb.<\/li>\n<li>D\u00e9finissez les param\u00e8tres cl\u00e9s sur \u00ab <strong>vrai<\/strong> \u00bb et personnalisez la longueur\/complexit\u00e9 du code PIN si n\u00e9cessaire.<\/li>\n<li>Attribuez ce profil \u00e0 vos groupes d&rsquo;appareils hybrides \u2014 je vous conseille de cr\u00e9er un groupe d\u00e9di\u00e9 pour plus de clart\u00e9.<\/li>\n<\/ul>\n<p>En clair, cela d\u00e9ploie les nouvelles r\u00e8gles de confiance sur tous vos appareils, afin qu&rsquo;ils soient pr\u00eats pour l&rsquo;authentification par code PIN ou biom\u00e9trie bas\u00e9e sur la confiance dans le cloud.<\/p>\n<h3>Inscription des utilisateurs et configuration des codes PIN Windows Hello<\/h3>\n<p>Une fois la strat\u00e9gie d\u00e9ploy\u00e9e (cela peut prendre un certain temps), demandez \u00e0 vos utilisateurs de red\u00e9marrer leurs appareils, puis de se connecter. Ils devraient voir les invites <strong>de configuration de Windows Hello<\/strong> ; sinon, ils peuvent acc\u00e9der \u00e0 <strong>Param\u00e8tres &gt; Comptes &gt; Options de connexion<\/strong> et le configurer manuellement.<\/p>\n<p>Lorsqu&rsquo;ils choisissent entre code PIN et empreinte digitale, ils devront peut-\u00eatre d&rsquo;abord compl\u00e9ter une demande d&rsquo;authentification \u00e0 plusieurs facteurs. Si tout se d\u00e9roule correctement, l&rsquo;exp\u00e9rience utilisateur sera fluide, notamment si la s\u00e9curit\u00e9 de l&rsquo;appareil est assur\u00e9e et que la configuration du code PIN s&rsquo;effectue sans erreur.<\/p>\n<h3>Conseils de d\u00e9pannage suppl\u00e9mentaires<\/h3>\n<p>Dans certains cas, la connexion par code PIN peut \u00eatre bloqu\u00e9e et afficher une erreur du type <strong>\u00ab Cette option est actuellement indisponible \u00bb<\/strong>. Ce probl\u00e8me est g\u00e9n\u00e9ralement d\u00fb \u00e0 une absence d&rsquo;approbation entre la machine et le domaine ou \u00e0 des synchronisations manquantes. Assurez-vous que l&rsquo;appareil dispose d&rsquo;une connexion Internet au contr\u00f4leur de domaine ou au VPN, et patientez quelques instants avant de pouvoir utiliser Azure AD Connect. L&rsquo;ex\u00e9cution de cette commande <code>gpupdate \/force<\/code>sur l&rsquo;appareil et sur le contr\u00f4leur de domaine peut acc\u00e9l\u00e9rer le d\u00e9ploiement des strat\u00e9gies. V\u00e9rifiez \u00e9galement que <strong>l&rsquo;int\u00e9gration hybride \u00e0 Azure AD<\/strong> fonctionne correctement <code>dsregcmd \/status<\/code>.<\/p>\n<p>Sur une configuration, le probl\u00e8me a \u00e9t\u00e9 r\u00e9solu apr\u00e8s un red\u00e9marrage et une mise \u00e0 jour manuelle de la strat\u00e9gie de groupe ; sur une autre, une r\u00e9inscription rapide avec un nouveau code PIN a suffi. On ignore pourquoi cela fonctionne parfois, mais il vaut la peine d&rsquo;essayer de synchroniser ou de red\u00e9marrer plusieurs fois.<\/p>\n<h2>R\u00e9sum\u00e9<\/h2>\n<ul>\n<li>V\u00e9rifiez et mettez \u00e0 niveau les niveaux fonctionnels du domaine\/de la for\u00eat vers 2012 R2 ou une version ult\u00e9rieure.<\/li>\n<li>Installer le module d&rsquo;authentification hybride Azure AD<\/li>\n<li>Enregistrez l&rsquo;objet Serveur Kerberos Entra dans AD<\/li>\n<li>V\u00e9rifiez les configurations de synchronisation et de confiance.<\/li>\n<li>Cr\u00e9ez et attribuez des strat\u00e9gies Windows Hello Entreprise dans Intune<\/li>\n<li>Inscrivez les utilisateurs et r\u00e9solvez les probl\u00e8mes de connexion par code PIN, si n\u00e9cessaire.<\/li>\n<\/ul>\n<h2>Conclure<\/h2>\n<p>Pour que la confiance Kerberos dans le cloud et Windows Hello Entreprise fonctionnent ensemble, il est essentiel de v\u00e9rifier que vos niveaux de domaine sont \u00e0 jour, que les objets de confiance sont correctement cr\u00e9\u00e9s et que les strat\u00e9gies sont correctement d\u00e9ploy\u00e9es. Si vous avez suivi ces conseils, votre configuration hybride devrait fonctionner plus facilement. Bien s\u00fbr, certains environnements sont plus complexes que d&rsquo;autres et il faudra peut-\u00eatre faire preuve de patience ou red\u00e9marrer plusieurs fois. En esp\u00e9rant que cela vous fasse gagner du temps !<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Configurer Windows Hello Entreprise avec l&rsquo;approbation Kerberos Cloud dans un environnement hybride peut s&rsquo;av\u00e9rer complexe, surtout en cas de probl\u00e8mes. Vos appareils peuvent ne pas<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-7357","post","type-post","status-publish","format-standard","hentry","category-aide"],"_links":{"self":[{"href":"https:\/\/help.peacedoorball.blog\/ca\/wp-json\/wp\/v2\/posts\/7357","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/help.peacedoorball.blog\/ca\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/help.peacedoorball.blog\/ca\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/help.peacedoorball.blog\/ca\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/help.peacedoorball.blog\/ca\/wp-json\/wp\/v2\/comments?post=7357"}],"version-history":[{"count":0,"href":"https:\/\/help.peacedoorball.blog\/ca\/wp-json\/wp\/v2\/posts\/7357\/revisions"}],"wp:attachment":[{"href":"https:\/\/help.peacedoorball.blog\/ca\/wp-json\/wp\/v2\/media?parent=7357"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/help.peacedoorball.blog\/ca\/wp-json\/wp\/v2\/categories?post=7357"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/help.peacedoorball.blog\/ca\/wp-json\/wp\/v2\/tags?post=7357"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}