Comment intégrer Windows Hello aux clés FIDO2 : exigences, déploiement et gestion

L'authentification sans mot de passe n'est plus une promesse : c'est une réalité que vous pouvez déployer dès aujourd'hui sur Windows 10 et Windows 11 avec Clés de sécurité FIDO2 et Windows Hello Entreprise. Dans cet article, nous expliquons, étape par étape, comment activer la connexion par clé de sécurité sur les appareils et PC hybrides connectés à Microsoft Enter ID (anciennement Azure AD), ainsi que l'enregistrement des clés utilisateur, la gestion des codes PIN/biométriques et les scénarios non pris en charge.

Au-delà de la théorie, nous incluons défis réels de mise en œuvre (assistance à distance, RDP, attribution de clés, exigence de code PIN), recommandations pratiques et notes de compatibilité dans iOS et macOS. Si vous souhaitez déployer FIDO2 intelligemment, voici tout ce dont vous avez besoin pour éviter les mauvaises surprises et profiter d'une expérience fluide.

Qu'est-ce que FIDO2 et comment s'intègre-t-il à Windows Hello ?

FIDO2 est une norme ouverte pour l'authentification sans mot de passe qui s'appuie sur cryptographie asymétriqueIl se compose de deux parties : WebAuthn (API du navigateur définie par le W3C) et CTAP2 (protocole entre le client et l'authentificateur, défini par l'Alliance FIDO). Les clés de sécurité peuvent être USB, NFC ou lecteur intégré, et l'authentificateur peut être embarqué (Windows Hello) ou un périphérique externe.

Lorsque vous enregistrez une clé, le client génère une paire de clé publique/privée; le public est stocké dans le service (partie de confiance) et le privé reste sécurisé sur votre appareil ou sur la clé matériel. Lors de la connexion, le serveur envoie un défi et l'authentificateur renvoie une signature valable uniquement pour le domaine autorisé grâce à RP ID, qui bloque le phishing et l'utilisation d'identifiants sur de faux sites.

Dans les environnements Microsoft, ce mode est intégré à Windows Hello pour les entreprises et avec l'ID de connexion Microsoft, permettant l'accès aux appareils et applications Dans le cloud, sans mot de passe. Les clés d'accès peuvent être liées à l'appareil ou synchronisées au sein de l'écosystème du fournisseur ; Windows Hello agit comme authentificateur local et les clés FIDO2 comme authentificateurs externes multiplateformes.

Prérequis et scénarios non pris en charge

Avant de commencer, vérifiez que votre organisation a activé la méthode et que vous utilisez un navigateur pris en chargePour enregistrer et utiliser des clés de sécurité, Microsoft requiert la mise à jour Windows 10 de mai 2019 ou une version ultérieure, ainsi que des appareils approuvés par votre organisation (la clé doit être FIDO2 et prise en charge par Microsoft).

Ce sont les scénarios non pris en charge pertinent lors de la planification du déploiement :

• Connectez-vous ou déverrouillez Windows avec un clé d'accès dans Microsoft Authenticator (clé d'accès sur mobile) au lieu d'une clé FIDO2 physique pour la connexion à l'appareil.
• Environnements uniquement AD DS joint à un domaine (pur sur site) aucune couche Entrez l'ID.
• Utilisations telles que RDP, VDI et Citrix qui s'appuient sur une clé autre que la Redirection WebAuthn.
• Signatures S/MIME avec la clé de sécurité FIDO2 (non prise en charge).
• Opérations «Exécuter en tant que" avec une clé de sécurité (non prise en charge).
• Se connecter à serveurs avec une clé de sécurité (non prise en charge).
• Utiliser sans connexion- Si vous ne vous connectez pas avec votre clé en ligne, vous ne pourrez pas l'utiliser pour vous connecter ou déverrouiller hors ligne.
• Clés avec plusieurs comptes d'ID de connexion : Windows sélectionne la valeur par défaut dernier compte ajouté à la clé pour la connexion, bien que dans les flux WebAuthn, vous puissiez choisir le compte.
• Déverrouillage des appareils avec Fenêtres 10 1809 (expérience non prise en charge). 1903 ou supérieur recommandé.

Activer la connexion Windows avec les clés FIDO2

Les organisations peuvent activer la connexion par clé de sécurité sous Windows de plusieurs manières. Vous trouverez ci-dessous une liste des méthodes permettant d'activer la connexion par clé de sécurité sous Windows. toutes les options prises en charge afin que vous puissiez choisir celui qui correspond le mieux à votre gestion (MDM, provisioning ou GPO).

Configuration requise pour la version du système

Pour les appareils connectés à l'ID de connexion Microsoft, il est obligatoire Windows 10 1909 ou supérieurDans le cas d'appareils hybrides connectés à Entra ID, la version 1.0 est requise. Windows 10 2004 ou version ultérieure. Sous Windows 11, ces fonctionnalités sont disponibles nativement avec les versions récentes.

Activer avec Microsoft Intune

Si vous gérez vos ordinateurs avec Intune, vous pouvez activer l'utilisation de clés de sécurité à partir du Centre d'administration Intune en suivant ces étapes:

1. Accédez au centre d’administration Microsoft Intune.
2. Accédez à Appareils > Inscrire des appareils > Inscription Windows > Windows Hello pour les entreprises.
3. Dans les paramètres, définissez « Utilisez les clés de sécurité pour vous connecter » dans Activé.

Ce paramètre non dépende Si Windows Hello Entreprise est activé, activez le fournisseur d’informations d’identification de clé de sécurité pour la connexion.

Déploiement Intune ciblé (OMA-URI)

Si vous avez besoin de granularité, créez un profil personnalisé pour activer le fournisseur d'informations d'identification dans groupes spécifiques des équipes ou des utilisateurs :

1. Centre d’administration Microsoft Intune > Appareils > Windows > Profils de configuration > Créer un profil.
2. Configurer : Plateforme = Windows 10 et versions ultérieures ; Type de profil = Modèles > Personnalisé ; Nom et description de votre choix.
3. Dans Paramètres, ajoutez une ligne OMA-URI avec :
   • Nom : Activer les clés de sécurité FIDO pour la connexion Windows
   • URI-OMA : ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
   • Type de données : entier
   • valeur: 1
4. Affecter le profil au utilisateurs/appareils/groupes nécessaire.

Activer avec un package de provisionnement

Sur les appareils non gérés par Intune, vous pouvez appliquer un package d'approvisionnement avec Windows Configuration Designer (disponible sur le Microsoft Store). Procédure récapitulative :

1. Ouvrez le concepteur de configuration Windows et créez un Nouveau projet (Flux « Package de provisionnement »).
2. Selecciona "Toutes les éditions du bureau Windows" lorsqu'on lui a demandé la portée de la configuration.
3. Dans Paramètres d'exécution > WindowsHelloForBusiness > SecurityKeys > Utiliser la clé de sécurité pour la connexion, cochez « Activé ».
4. Exportez et compilez le package (les fichiers .ppkg et .cat sont générés) et appliquez-le aux ordinateurs cibles.

Activer avec la stratégie de groupe (GPO)

Pour les équipes rejoint Entra ID de manière hybrideIl existe un objet de stratégie de groupe (GPO) autorisant la connexion avec une clé de sécurité FIDO2. Chemin : Configuration ordinateur > Modèles d'administration > Système > Connexion > Activer la connexion avec la clé de sécurité.

• Activé : permet la connexion avec clés de sécurité.
• Désactivé ou non configuré : empêche cela.

Nécessite le modèle de politique Fournisseurs d'informations d'identification.admx mis à jour (inclus dans Windows Server moderne et Windows 10 20H1). Vous pouvez le gérer localement ou depuis un entrepôt central des modèles administratifs.

Enregistrement et gestion de la clé de sécurité par l'utilisateur

Avant de vous inscrire, assurez-vous que le l'administrateur a activé Assurez-vous que la méthode utilisée par votre organisation est à jour et que votre appareil est à jour. Vous aurez besoin d'une clé FIDO2 approuvée (USB ou NFC) et d'un navigateur compatible.

Pour ajouter la clé comme méthode sur votre compte professionnel ou scolaire : accédez à Mon profil > Informations de sécurité, choisissez « Ajouter une méthode » et sélectionnez « Clé de sécurité ». Choisissez le type (USB ou NFC), insérez ou appuyez sur la clé lorsque vous y êtes invité, puis suivez les instructions à l'écran.

Sous Windows 11 23H2, si le navigateur privilégie une clé d'accès sur mobile, connectez-vous et appuyez sur suivanteSous « Plus d'options », choisissez « Clé de sécurité » et continuez. Dans les versions antérieures, un écran d'appairage QR pouvait s'afficher pour une autre clé : si vous souhaitez enregistrer la clé physique, insérer et toucher la clé pour forcer ce flux.

Au cours du processus, Windows vous demandera de définir ou de saisir le Code PIN de la clé dans la section Sécurité Windows. Une fois terminé, retournez aux Informations de sécurité, attribuez un nom identifiable à la clé et terminez. Vous pouvez enregistrer jusqu'à 10 clés par compte.

Pour supprimer une clé de vos informations de sécurité, utilisez le lien Supprimer sur la carte pour cette méthode et confirmez. Remarque : cela empêche son utilisation avec votre compte, mais les données d'identification stockées sur la clé sont conservées ; pour les supprimer, vous devez réinitialiser la clé à l'usine.

Depuis Paramètres Windows > Comptes > Options de connexion > Clé de sécurité > Gérer, vous pouvez réinitialiser la clé (revenir aux valeurs par défaut) ou créer/modifier la Code PIN de la clé de sécuritéInsérez ou appuyez sur la clé pour vérifier votre identité et suivez les instructions du fabricant.

Flux de connexion et d'authentification Windows FIDO2

Une fois le fournisseur activé, dans le écran de verrouillage à partir de Windows, vous pouvez choisir le fournisseur d'informations d'identification de clé de sécuritéInsérez la clé, saisissez le code PIN ou effectuez le geste biométrique et accédez au bureau. Sur les ordinateurs hybrides, pensez également à activer la connexion sans mot de passe pour les ressources locales.

Le flux technique avec Enter ID est le suivant : Windows détecte la clé et envoie un demande d'authentification; L'ID d'entrée renvoie un « nonce » ; la clé signe ce nonce avec sa clé privée ; Windows demande le PRT (Primary Refresh Token) en attachant la signature ; l'ID est vérifié avec la clé publique et le PRT est renvoyé, permettant l'accès aux ressources.

Pour garantir la meilleure expérience et sécurité, Microsoft exige que les clés certifient certaines Extensions CTAP2 Facultatif. En pratique, privilégiez les fournisseurs certifiés qui mentionnent explicitement la prise en charge de Windows/Login ID (par exemple, les fournisseurs membres de la FIDO Alliance et de la MISA) pour éviter les conflits.

Lorsque vous travaillez hors ligne, la clé peut fonctionner dans certains cas, mais il existe des limitations : si vous n'êtes pas connecté en ligne auparavant Avec la clé, vous ne pourrez pas l'utiliser pour vous connecter ou déverrouiller hors ligne.

Quelles méthodes sont valables pour l'authentification multifacteur et lesquelles sont valables pour la réinitialisation du mot de passe ?

Dans Microsoft Login, les méthodes d’information de sécurité sont utilisées pour vérification en deux étapes et/ou pour réinitialisation du mot de passe (SSPR). Ils ne sont pas tous adaptés aux deux situations :

Méthode	Utiliser
Application d'authentification	Vérification en deux étapes et réinitialisation du mot de passe
SMS	Vérification en deux étapes et réinitialisation du mot de passe
Appel téléphonique	Vérification en deux étapes et réinitialisation du mot de passe
Code d'accès / Clé FIDO2	Vérification en deux étapes
Méthode d'authentification externe	Vérification en deux étapes
E-mail	Réinitialisation du mot de passe uniquement
Questions de sécurité	Réinitialisation du mot de passe uniquement

Limites et enseignements tirés des déploiements réels

Lors de la mise en production de FIDO2, des questions pratiques se posent. Par exemple, faut-il autoriser Windows Hello à utiliser FIDO2 et clés d'accès Sur les sites web et les applications, Windows peut privilégier la touche PIN/Hello lors de la connexion à l'appareil. Pour les comptes locaux, cela peut être indésirable si vous souhaitez continuer à utiliser le mot de passe pour la connexion initiale.

Dans la vraie vie, certaines équipes signalent qu’il n’existe pas de solution complète. administrative Attribution de clés aux utilisateurs : vous devez enregistrer chaque personne dans ses informations de sécurité une fois la méthode activée et l'authentification à deux facteurs appliquée. Cela offre une certaine flexibilité, mais implique également la conception d'un processus. décharge initiale (par exemple, laissez-passer temporaire le premier jour) et gouvernance des ajouts/suppressions de clés.

Autre point : l'utilisation des clés nécessite une PIN (ou biométrie), la séquence typique est donc : « insérer la clé, saisir le code PIN, appuyer sur la touche ». C’est plus sûr, mais l’expérience utilisateur est différente d’un mot de passe classique. Il est donc conseillé de l’expliquer à l’utilisateur pour éviter les frictions et planifier l’utilisation. déverrouillage du disque (BitLocker).

Forcer la clé comme deuxième facteur au niveau de la machine en désactivant les mots de passe peut briser des scénarios tels que assistance à distance (par exemple, TeamViewer), l'élévation « Exécuter en tant qu'administrateur » et l'utilisation de RDP si l'environnement n'est pas entièrement configuré. Si vous désactivez le mot de passe sans plan, vous risquez de dépendre de administrateur local pour certaines tâches, telles que mode sans échec de sortie, avec le risque opérationnel qui en découle.

Recommandations pratiques : définir un plan de récupération (clé de rechange, méthodes alternatives comme une application d'authentification), fournit des guides d'inscription étape par étape et établit des politiques de cycle de vie (comment faire en cas de perte d'une clé, comment la révoquer et comment la réémettre). Si votre environnement utilise fortement RDP, vérifiez les dépendances et la compatibilité avant de tenter de le supprimer. totalement connexion par mot de passe.

Compatibilité sur iOS/macOS et les outils Microsoft 365

Dans l'écosystème Apple, il existe des nuances : le support FIDO2 sur iOS annoncé par Microsoft s'applique à navigateurs; pour les applications natives, la solution est d'utiliser des informations d'identification basées sur des certificats (Azure CBA). Sur macOS et iOS, il existe des restrictions (par exemple, les clés BLE et les flux d'enregistrement spécifiques) qui doivent être validées.

De plus, tous les outils de gestion du cloud (tels que certains modules cloud) ne fonctionnent pas Azure PowerShell (ou clients MSAL) ont toujours pris en charge FIDO2. Dans les déploiements avancés, les solutions de gestion des identifiants (CMS) peuvent faciliter l'intégration à distance, la récupération des comptes et la distribution des jetons matériels mettre à l'échelle.

En cas de perte d'une clé, les tentatives de saisie du code PIN sont bloquées après plusieurs erreurs, et la clé devient inutilisable pour les tiers. Au niveau organisationnel, un CMS ou des workflows d'administration Entra permettent révoquer Les identifiants enregistrés sur cette clé et en émettent une nouvelle. En attendant, certains environnements utilisent Windows Hello ou l'application Authenticator comme alternative temporaire.

Conseils d'utilisation : inscription, utilisation et sauvegarde

De nombreux guides recommandent d'initialiser la clé et d'attribuer un PIN avant la première utilisation. Certains fabricants proposent des utilitaires spécifiques (par exemple, des gestionnaires de modification ou de réinitialisation de code PIN) qui facilitent cette tâche, surtout si vous devez gérer deux clés (primaire et de secours) depuis le début.

Règle d'or : enregistrez votre clé principale et votre clé de rechange Pour les services critiques. La configuration peut varier selon les fournisseurs (chaque service possède son propre chemin d'accès pour la sécurité/2FA/MFA), mais la règle générale consiste à toujours ajouter une méthode « Clé de sécurité » et à exécuter le processus WebAuthn/CTAP2 demandé par le navigateur.

Sous Windows, vous pouvez gérer la clé depuis Paramètres > Comptes > Options de connexion > Clé de sécurité, où vous pouvez modifier votre code PIN, mettre à jour vos données biométriques (si la clé est biométrique) ou la réinitialiser si vous souhaitez la réutiliser. La réinitialisation efface tout le contenu de la clé et vous permet de repartir de zéro.