Comment configurer Windows Hello for Business Cloud Kerberos Trust dans Intune

Tout d'abord, vous devez installer le module Microsoft PowerShell qui crée l'objet serveur Kerberos dans votre Active Directory local. Exécutez ceci sur une machine jointe au domaine où vous avez des privilèges d'administrateur de domaine.

# Installer le module PowerShell requis
Install-Module -Name AzureADHybridAuthenticationManagement -Force

# Importer le module
Import-Module AzureADHybridAuthenticationManagement

Vérification : Exécutez Get-Module AzureADHybridAuthenticationManagement pour confirmer que le module a été chargé avec succès. Vous devriez voir les informations de version affichées.

Créez maintenant l'objet serveur Kerberos qui permet à votre Active Directory sur site de faire confiance aux tickets Kerberos émis par le cloud. C'est le pont entre votre identité cloud et les ressources sur site.

# Connectez-vous à Azure AD avec des identifiants d'administrateur global
Connect-AzureAD

# Créez l'objet serveur Kerberos pour votre domaine
New-AzureADKerberosServer -Domain "yourdomain.com"

# Vérifiez que l'objet a été créé
Get-AzureADKerberosServer -Domain "yourdomain.com"

Remplacez yourdomain.com par le nom de domaine réel de votre Active Directory. La commande crée un objet ordinateur nommé AzureADKerberos dans le conteneur Ordinateurs de votre domaine.

Vérification : Vérifiez dans Active Directory Utilisateurs et Ordinateurs l'objet ordinateur AzureADKerberos dans l'OU Ordinateurs. L'objet doit apparaître comme activé et avoir une date de changement de mot de passe récente.

Configurez les paramètres de base de Windows Hello for Business en utilisant la politique de protection des comptes d'Intune. Cela remplace les paramètres hérités à l'échelle du locataire et offre un meilleur contrôle sur le déploiement.

Accédez au Centre d'administration Microsoft Intune à https://intune.microsoft.com et suivez ces étapes :

1. Allez à Sécurité des points de terminaison → Protection des comptes
2. Cliquez sur Créer une politique
3. Sélectionnez Plateforme : Windows 10 et versions ultérieures
4. Sélectionnez Profil : Protection des comptes
5. Cliquez sur Créer

Configurez ces paramètres critiques :

Utiliser Windows Hello For Business (Utilisateur) : Activé
Exiger un dispositif de sécurité (Utilisateur) : Activé
Longueur minimale du code PIN : 6 (ou selon les exigences de votre organisation)
Longueur maximale du code PIN : 127
Lettres minuscules dans le code PIN : Autoriser
Lettres majuscules dans le code PIN : Autoriser
Caractères spéciaux dans le code PIN : Autoriser
Expiration du code PIN (Jours) : Non configuré

Attribuez la politique à un groupe de sécurité contenant vos utilisateurs cibles, puis cliquez sur Créer.

Vérification : Après le déploiement de la politique, vérifiez le statut de la politique dans Sécurité des points de terminaison → Protection des comptes. La politique devrait apparaître comme Réussie pour les appareils cibles dans les 15-30 minutes.

L'approche du catalogue de paramètres est la méthode moderne pour configurer Windows Hello for Business avec la confiance Kerberos cloud. Cela remplace les configurations OMA-URI héritées et offre une meilleure fiabilité.

Dans le Centre d'administration Microsoft Intune :

1. Accédez à Appareils → Windows → Profils de configuration
2. Cliquez sur Créer un profil
3. Sélectionnez Plateforme : Windows 10 et versions ultérieures
4. Sélectionnez Type de profil : Catalogue de paramètres
5. Cliquez sur Créer

Donnez à votre politique un nom descriptif comme "Windows Hello Cloud Kerberos Trust" et cliquez sur Suivant.

Vérification : Confirmez que vous êtes dans l'assistant de création du catalogue de paramètres. L'interface devrait afficher le bouton "Ajouter des paramètres" et une boîte de recherche pour trouver des paramètres spécifiques.

Ajoutez les paramètres spécifiques qui activent la confiance Kerberos cloud pour l'authentification sur site. Ces paramètres indiquent aux appareils Windows de demander des tickets Kerberos depuis le cloud au lieu de directement depuis les contrôleurs de domaine.

Dans la politique du catalogue de paramètres :

1. Cliquez sur Ajouter des paramètres
2. Dans le sélecteur de paramètres, recherchez Windows Hello for Business
3. Développez la catégorie Windows Hello for Business

Ajoutez et configurez ces paramètres essentiels :

Utiliser la confiance cloud pour l'authentification sur site : Activé
Récupération de tickets Kerberos cloud activée : Activé
Utiliser le certificat pour l'authentification sur site : Désactivé

Le paramètre Utiliser le certificat pour l'authentification sur site doit être désactivé si vous utilisiez précédemment l'authentification basée sur certificat, car cela peut entrer en conflit avec la confiance Kerberos cloud.

Cliquez sur Suivant pour passer aux affectations.

Vérification : Assurez-vous que les trois paramètres apparaissent dans votre configuration de politique avec les valeurs correctes. Le sélecteur de paramètres doit afficher des coches vertes à côté des éléments sélectionnés.

Une attribution appropriée garantit que vos politiques atteignent les bons appareils et utilisateurs. Créez une stratégie de groupe de sécurité qui permet un déploiement par phases et un dépannage facile.

Pour la politique du catalogue de paramètres :

1. Cliquez sur Suivant dans l'onglet Attributions
2. Sous Groupes inclus, cliquez sur Ajouter des groupes
3. Sélectionnez votre groupe de sécurité d'appareils cible (par exemple, "Windows Hello Pilot Devices")
4. Cliquez sur Sélectionner

Examinez votre configuration et cliquez sur Créer.

Pour les deux politiques, vérifiez les attributions :

Politique de protection des comptes : Attribuée aux groupes d'UTILISATEURS
Politique du catalogue de paramètres : Attribuée aux groupes d'APPAREILS

Cette stratégie d'attribution garantit que les paramètres de Windows Hello s'appliquent aux utilisateurs tandis que la confiance Kerberos cloud s'applique aux appareils.

Vérification : Vérifiez le statut d'attribution des politiques dans Appareils → Surveiller → Statut d'attribution. Les deux politiques devraient montrer une attribution réussie dans les 15 minutes.

Accélérez le déploiement des politiques en déclenchant manuellement une synchronisation sur vos appareils de test. Cela évite d'attendre le cycle de synchronisation standard de 8 heures.

Sur chaque appareil Windows cible, ouvrez une invite de commande avec élévation de privilèges et exécutez :

rem Forcer la synchronisation des politiques Intune
C:\Windows\System32\deviceenroller.exe /c /AutoEnrollMDM

rem Méthode alternative utilisant PowerShell
powershell -Command "Get-ScheduledTask | Where-Object {$_.TaskName -eq 'PushLaunch'} | Start-ScheduledTask"

Ou utilisez l'application Portail d'entreprise :

1. Ouvrez l'application Portail d'entreprise
2. Allez dans Paramètres
3. Cliquez sur Synchroniser
4. Attendez que l'horodatage "Dernière synchronisation" se mette à jour

Pour les appareils hybrides, exécutez également :

gpupdate /force

Vérification : Vérifiez l'état de la synchronisation dans le Portail d'entreprise ou exécutez dsregcmd /status pour confirmer que l'appareil est correctement joint et que les politiques s'appliquent.

Vérifiez que Windows Hello for Business fonctionne correctement avant de tester la confiance Kerberos cloud. Les utilisateurs doivent d'abord s'inscrire à Windows Hello.

Demandez à un utilisateur de test de se connecter à un appareil cible et de configurer Windows Hello :

1. Allez dans Paramètres → Comptes → Options de connexion
2. Sous PIN Windows Hello, cliquez sur Configurer
3. Suivez l'assistant d'inscription pour créer un code PIN
4. Configurez éventuellement la reconnaissance d'empreinte digitale ou faciale si le matériel le prend en charge

Le processus d'inscription doit se terminer sans erreurs et demander une vérification MFA.

Commandes de vérification à exécuter sur l'appareil :

rem Vérifier le statut de Windows Hello
dsregcmd /status | findstr "WamDefaultSet\|AzureAdPrt"

rem Vérifier l'inscription à Hello for Business
certlm.msc

Dans le Gestionnaire de certificats, recherchez les certificats dans Personnel → Certificats avec "Windows Hello for Business" dans le nom du sujet.

Vérification : L'utilisateur doit pouvoir se connecter en utilisant son code PIN au lieu de son mot de passe. Le Visualiseur d'événements doit afficher des événements d'authentification Windows Hello réussis dans Journaux des applications et services → Microsoft → Windows → HelloForBusiness.

Testez maintenant la fonctionnalité principale : accéder aux ressources sur site en utilisant des tickets Kerberos émis par le cloud. C'est là que la magie opère.

Demandez à votre utilisateur de test de se connecter avec Windows Hello et d'essayer d'accéder aux ressources sur site :

rem Test d'accès au partage de fichiers
net use Z: \\server\share

rem Vérifiez les tickets Kerberos actuels
klist

rem Test d'accès à un service spécifique
klist get krbtgt

La commande klist devrait montrer des tickets Kerberos obtenus depuis le cloud plutôt que directement depuis vos contrôleurs de domaine.

Testez ces scénarios :

• Accéder aux partages de fichiers sur des serveurs joints au domaine
• Lancer des applications jointes au domaine
• Accéder aux applications web internes en utilisant l'authentification intégrée de Windows

Vérification : Dans le Visualiseur d'événements, vérifiez Journaux des applications et services → Microsoft → Windows → HelloForBusiness pour des événements indiquant que la confiance Kerberos cloud fonctionne. Recherchez les événements de la série ID 300.

Vérification supplémentaire avec PowerShell :

# Vérifiez la méthode d'authentification
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-HelloForBusiness/Operational'; ID=300} -MaxEvents 5

Établissez une surveillance pour suivre le succès du déploiement et identifier rapidement les problèmes. Windows Hello for Business génère des journaux détaillés qui aident au dépannage.

Principaux emplacements de surveillance dans Intune :

1. Sécurité des points de terminaison → Protection des comptes → Sélectionnez votre stratégie → État de l'appareil
2. Appareils → Profils de configuration → Sélectionnez la stratégie du catalogue de paramètres → État de l'appareil
3. Appareils → Surveiller → Conformité de l'appareil

Sur les appareils clients, surveillez ces journaux de l'Observateur d'événements :

Applications and Services Logs → Microsoft → Windows → HelloForBusiness → Operational
Applications and Services Logs → Microsoft → Windows → AAD → Operational
Applications and Services Logs → Microsoft → Windows → User Device Registration → Admin

Commandes courantes de dépannage :

rem Vérifier l'état d'enregistrement de l'appareil
dsregcmd /status

rem Vérifier l'état du TPM
tpm.msc

rem Vérifier le certificat Windows Hello
certlm.msc

Créez une liste de contrôle de dépannage :

• Vérifiez que le TPM 2.0 est activé et fonctionnel
• Confirmez que l'appareil est joint à Azure AD ou joint hybride
• Vérifiez que les deux stratégies ont été appliquées avec succès
• Vérifiez que l'authentification multifacteur est configurée pour l'utilisateur
• Assurez-vous qu'AD Connect se synchronise correctement

Vérification : La conformité des stratégies devrait afficher un taux de réussite de 100 % pour votre groupe pilote dans les 24 heures. Tout échec doit être investigué en utilisant les journaux de l'Observateur d'événements et la sortie de dsregcmd.