Réinitialisation du code confidentiel

Cet article décrit comment le service de réinitialisation du code confidentiel Microsoft permet à vos utilisateurs de récupérer un code confidentiel Windows Hello Entreprise oublié et comment le configurer.

Vue d'ensemble

Windows Hello Entreprise permet aux utilisateurs de réinitialiser les codes confidentiels oubliés. Il existe deux formes de réinitialisation du code pin :

  • Réinitialisation destructrice du code pin : le code confidentiel existant et les informations d’identification sous-jacentes de l’utilisateur, y compris les clés ou certificats ajoutés à son conteneur Windows Hello, sont supprimés du client et une nouvelle clé de connexion et un nouveau code confidentiel sont provisionnés. La réinitialisation destructrice du code pin est l’option par défaut et ne nécessite pas de configuration
  • Réinitialisation non destructrice du code confidentiel : le conteneur et les clés Windows Hello Entreprise de l’utilisateur sont conservés, mais le code confidentiel de l’utilisateur qu’il utilise pour autoriser l’utilisation des clés est modifié. Pour la réinitialisation non destructrice du code confidentiel, vous devez déployer le service de réinitialisation du code confidentiel Microsoft et configurer la stratégie de vos clients pour activer la fonctionnalité de récupération de code confidentiel

Fonctionnement de la réinitialisation du code confidentiel non destructeur

Exigences:

  • Déploiements Windows Hello Entreprise hybrides ou cloud uniquement
  • Éditions Windows Entreprise, Éducation et Professionnel. Il n’existe aucune exigence de licence pour cette fonctionnalité

Lorsque la réinitialisation du code confidentiel nonstructif est activée sur un client, une clé AES 256 bits est générée localement. La clé est ajoutée au conteneur Windows Hello Entreprise d’un utilisateur et aux clés en tant que protecteur de réinitialisation du code confidentiel. Ce protecteur de réinitialisation de code confidentiel est chiffré à l’aide d’une clé publique récupérée à partir du service de réinitialisation du code confidentiel Microsoft, puis stockée sur le client pour une utilisation ultérieure lors de la réinitialisation du code confidentiel. Une fois qu’un utilisateur a lancé une réinitialisation du code confidentiel, terminé l’authentification et l’authentification multifacteur auprès de l’ID Microsoft Entra, le protecteur de réinitialisation du code confidentiel chiffré est envoyé au service de réinitialisation du code confidentiel Microsoft, déchiffré et retourné au client. Le protecteur de réinitialisation du code confidentiel déchiffré est utilisé pour modifier le code confidentiel utilisé pour autoriser les clés Windows Hello Entreprise, puis il est effacé de la mémoire.

À l’aide d’une stratégie de groupe, de Microsoft Intune ou d’une solution GPM compatible, vous pouvez configurer des appareils Windows pour utiliser en toute sécurité le service de réinitialisation du code confidentiel Microsoft, qui permet aux utilisateurs de réinitialiser leur code confidentiel oublié sans nécessiter une réinscription.

Le tableau suivant compare la réinitialisation destructrice et non destructrice du code confidentiel :

Catégorie Réinitialisation destructrice du code confidentiel Réinitialisation du code confidentiel non destructeur
Fonctionnalités Le code confidentiel existant de l’utilisateur et les informations d’identification sous-jacentes, y compris les clés ou certificats ajoutés à son conteneur Windows Hello, sont supprimés du client et une nouvelle clé de connexion et un nouveau code confidentiel sont provisionnés. Vous devez déployer le service de réinitialisation du code confidentiel Microsoft et la stratégie cliente pour activer la fonctionnalité de récupération de code confidentiel. Lors d’une réinitialisation du code confidentiel non destructeur, le conteneur et les clés Windows Hello Entreprise de l’utilisateur sont conservés, mais le code confidentiel de l’utilisateur qu’il utilise pour autoriser l’utilisation des clés est modifié.
Microsoft Entra joint Approbation de certificat, approbation de clé et approbation Kerberos cloud Approbation de certificat, approbation de clé et approbation Kerberos cloud
Jointure hybride Microsoft Entra L’approbation de certificat et l’approbation Kerberos cloud pour les paramètres et au-dessus du verrou prennent en charge la réinitialisation destructrice du code pin. L’approbation de clé ne prend pas en charge cette option située au-dessus de l’écran de verrouillage. Cela est dû au délai de synchronisation entre le moment où un utilisateur approvisionne ses informations d’identification Windows Hello Entreprise et la possibilité de les utiliser pour la connexion. Il prend en charge à partir de la page des paramètres et les utilisateurs doivent disposer d’une connectivité réseau d’entreprise au contrôleur de domaine. L’approbation de certificat, l’approbation de clé et l’approbation Kerberos cloud pour les paramètres et au-dessus du verrou prennent en charge la réinitialisation du code confidentiel non destructeur. Aucune connexion réseau n’est requise pour le contrôleur de domaine.
En local Si AD FS est utilisé pour les déploiements locaux, les utilisateurs doivent disposer d’une connectivité réseau d’entreprise aux services de fédération. Le service de réinitialisation du code confidentiel s’appuie sur les identités Microsoft Entra. Il est donc disponible uniquement pour les appareils joints à Microsoft Entra hybride et joints à Microsoft Entra.
Configuration supplémentaire requise Pris en charge par défaut et ne nécessite pas de configuration Déployez le service de réinitialisation du code confidentiel Microsoft et la stratégie cliente pour activer la fonctionnalité de récupération de code confidentiel.
MSA/Enterprise MSA et Entreprise Entreprise uniquement.

Activer le service de réinitialisation du code confidentiel Microsoft dans votre locataire Microsoft Entra

Avant de pouvoir utiliser la réinitialisation non destructrice du code confidentiel, vous devez inscrire deux applications dans votre locataire Microsoft Entra :

  • Microsoft Pin Reset Service Production
  • Microsoft Pin Reset Client Production

Pour inscrire les applications, procédez comme suit :

  1. Accédez au site web microsoft PIN Reset Service Production et connectez-vous en tant qu’administrateur d’application au moins. Passez en revue les autorisations demandées par l’application Microsoft Pin Reset Service Production et sélectionnez Accepter pour donner son consentement à l’application pour accéder à votre organisation.
  1. Accédez au site web de production du client De réinitialisation du code CONFIDENTIEL Microsoft et connectez-vous en tant qu’administrateur d’application au moins. Passez en revue les autorisations demandées par l’application Microsoft Pin Reset Client Production , puis sélectionnez Suivant.
  1. Passez en revue les autorisations demandées par l’application Microsoft Pin Reset Service Production et sélectionnez Accepter pour confirmer le consentement des deux applications pour accéder à votre organisation.

Remarque

Après l’acceptation, la page de redirection affiche une page vierge. Il s’agit d’un comportement connu.

Vérifiez que les deux principaux du service de réinitialisation du code confidentiel sont inscrits dans votre locataire

  1. Connectez-vous au Centre d’administration microsoft Entra Manager
  2. Sélectionner Applications d’id > Microsoft Entra Applications > d’entreprise
  3. Recherchez par nom d’application « Microsoft PIN » et vérifiez que Microsoft Pin Reset Service Production et Microsoft Pin Reset Client Production se trouvent dans la liste des autorisations du service de réinitialisation du code confidentiel.

Activer la récupération du code confidentiel sur les clients

Pour activer la récupération de code confidentiel sur les clients, vous pouvez utiliser :

  • Microsoft Intune/GPM
  • Stratégie de groupe

Les instructions suivantes fournissent des détails sur la configuration de vos appareils. Sélectionnez l’option qui convient le mieux à vos besoins.

Pour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue paramètres et utilisez les paramètres suivants :

Catégorie Nom du paramètre Valeur
Windows Hello Entreprise Activer la récupération d’épingle Vrai

Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.

Remarque

Vous pouvez également configurer la récupération de code confidentiel à partir du panneau Sécurité du point de terminaison :

  1. Connectez-vous au Centre d’administration Microsoft Intune
  2. Sélectionnez Endpoint Security > Account Protection > Créer une stratégie

Vous pouvez également configurer des appareils à l’aide d’une stratégie personnalisée avec le csp PassportForWork.

OMA-URI Type de données Valeur
./Vendor/MSFT/Policy/PassportForWork/ TenantId/Policies/EnablePinRecovery Booléen Vrai

Remarque

Vous devez remplacer par TenantId l’identificateur de votre locataire Microsoft Entra. Pour rechercher votre ID de locataire, consultez Comment trouver votre ID de locataire Microsoft Entra ou essayez les opérations suivantes, en veillant à vous connecter avec le compte de votre organisation :

GET https://graph.microsoft.com/v1.0/organization?$select=id

Vérifier que la stratégie de récupération du code confidentiel est appliquée sur les appareils

La configuration de réinitialisation du code pin peut être consultée en exécutant dsregcmd /status à partir de la ligne de commande. Cet état se trouve sous la sortie dans la section État utilisateur en tant qu’élément de ligne CanReset . Si CanReset signale comme DestructiveOnly, seule la réinitialisation destructrice du code confidentiel est activée. Si CanReset signale DestructiveAndNonDestructive, la réinitialisation du code pin non destructeur est activée.

Exemple de sortie d’état utilisateur pour la réinitialisation destructrice du code confidentiel

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveOnly
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Exemple de sortie d’état utilisateur pour la réinitialisation non destructrice du code confidentiel

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Configurer des URL autorisées pour les fournisseurs d’identité fédérés sur les appareils joints à Microsoft Entra

S’applique à : Appareils joints à Microsoft Entra

La réinitialisation du code confidentiel sur les appareils joints à Microsoft Entra utilise un flux appelé connexion web pour authentifier les utilisateurs dans l’écran de verrouillage. La connexion web autorise uniquement la navigation vers des domaines spécifiques. Si la connexion web tente d’accéder à un domaine qui n’est pas autorisé, elle affiche une page avec le message d’erreur : Nous ne pouvons pas ouvrir cette page pour l’instant.
Si vous disposez d’un environnement fédéré et que l’authentification est gérée à l’aide d’AD FS ou d’un fournisseur d’identité non-Microsoft, vous devez configurer vos appareils avec une stratégie pour autoriser une liste de domaines accessibles pendant les flux de réinitialisation du code confidentiel. Lorsqu’il est défini, il garantit que les pages d’authentification de ce fournisseur d’identité peuvent être utilisées lors de la réinitialisation du code pin joint à Microsoft Entra.

Pour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue paramètres et utilisez les paramètres suivants :

Catégorie Nom du paramètre Valeur
Authentication Configurer les URL autorisées de connexion web Fournissez une liste délimitée par des points-virgules des domaines nécessaires à l’authentification pendant le scénario de réinitialisation du code confidentiel. Un exemple de valeur serait signin.contoso.com ; portal.contoso.com

Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.

Vous pouvez également configurer des appareils à l’aide d’une stratégie personnalisée avec le csp Policy.

Paramètre
  • OMA-URI : ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
  • Type de données : chaîne
  • Valeur : fournissez une liste délimitée par des points-virgules des domaines nécessaires à l’authentification pendant le scénario de réinitialisation du code confidentiel. Un exemple de valeur serait signin.contoso.com ; portal.contoso.com
  • Remarque

    Pour Azure Government, il existe un problème connu lié à l’échec de la réinitialisation du code confidentiel sur les appareils joints à Microsoft Entra. Lorsque l’utilisateur tente de lancer la réinitialisation du code confidentiel, l’interface utilisateur de réinitialisation du code confidentiel affiche une page d’erreur indiquant « Nous ne pouvons pas ouvrir cette page pour l’instant ». La stratégie ConfigureWebSignInAllowedUrls peut être utilisée pour contourner ce problème. Si vous rencontrez ce problème et que vous utilisez le cloud Azure US Government, définissez login.microsoftonline.us comme valeur de la stratégie ConfigureWebSignInAllowedUrls.

    Expérience de l'utilisateur

    Les scénarios de réinitialisation de code confidentiel destructif et non destructeur utilisent les mêmes étapes pour lancer une réinitialisation du code confidentiel. Si les utilisateurs ont oublié leurs codes confidentiels, mais disposent d’une autre méthode de connexion, ils peuvent accéder aux options de connexion dans Paramètres et lancer une réinitialisation du code confidentiel à partir des options de code confidentiel. Si les utilisateurs ne disposent pas d’un autre moyen de se connecter à leurs appareils, la réinitialisation du code pin peut également être lancée à partir de l’écran de verrouillage Windows avec le fournisseur d’informations d’identification du code confidentiel. Les utilisateurs doivent s’authentifier et effectuer l’authentification multifacteur pour réinitialiser leur code confidentiel. Une fois la réinitialisation du code confidentiel terminée, les utilisateurs peuvent se connecter à l’aide de leur nouveau code confidentiel.

    Important

    Pour les appareils joints hybrides Microsoft Entra, les utilisateurs doivent disposer d’une connectivité réseau d’entreprise aux contrôleurs de domaine pour effectuer la réinitialisation destructrice du code pin. Si AD FS est utilisé pour l’approbation de certificat ou pour les déploiements locaux uniquement, les utilisateurs doivent également disposer d’une connectivité réseau d’entreprise aux services de fédération pour réinitialiser leur code confidentiel.

    Réinitialiser le code confidentiel depuis la page Paramètres

    1. Se connecter à Windows 10 à l’aide d’autres informations d’identification
    2. Ouvrir les paramètres > Comptes Options > de connexion
    3. Sélectionnez CODE CONFIDENTIEL (Windows Hello) > J’ai oublié mon code confidentiel et suivez les instructions

    Réinitialiser le code confidentiel à partir de l’écran de verrouillage

    Pour les appareils joints à Microsoft Entra :

    1. Si le fournisseur d’informations d’identification du code confidentiel n’est pas sélectionné, développez le lien Options de connexion, puis sélectionnez l’icône de pavé pin
    2. Sélectionnez J’ai oublié mon code confidentiel dans le fournisseur d’informations d’identification du code confidentiel.
    3. Sélectionnez une option d’authentification dans la liste des options présentées. Cette liste est basée sur les différentes méthodes d’authentification activées dans votre locataire (comme le mot de passe, le code confidentiel, la clé de sécurité)
    4. Suivez les instructions fournies par le processus d’approvisionnement.
    5. Lorsque vous avez terminé, déverrouillez votre bureau à l’aide de votre code confidentiel nouvellement créé

    Pour les appareils joints hybrides Microsoft Entra :

    1. Si le fournisseur d’informations d’identification du code confidentiel n’est pas sélectionné, développez le lien Options de connexion, puis sélectionnez l’icône de pavé pin
    2. Sélectionnez J’ai oublié mon code confidentiel dans le fournisseur d’informations d’identification du code confidentiel.
    3. Entrez votre mot de passe, puis appuyez sur Entrée.
    4. Suivez les instructions fournies par le processus d’approvisionnement.
    5. Lorsque vous avez terminé, déverrouillez votre bureau à l’aide de votre code confidentiel nouvellement créé

    Remarque

    L’approbation de clé sur les appareils joints hybrides Microsoft Entra ne prend pas en charge la réinitialisation destructrice du code pin au-dessus de l’écran de verrouillage. Cela est dû au délai de synchronisation entre le moment où un utilisateur approvisionne ses informations d’identification Windows Hello Entreprise et la possibilité de les utiliser pour la connexion. Pour ce modèle de déploiement, vous devez déployer la réinitialisation du code confidentiel non destructrice pour que la réinitialisation du code confidentiel de verrouillage ci-dessus fonctionne.

    Vous constaterez peut-être que la réinitialisation du code confidentiel à partir de Paramètres fonctionne uniquement après la connexion. En outre, la fonction de réinitialisation du code confidentiel de l’écran de verrouillage ne fonctionne pas si vous avez une limitation correspondante de la réinitialisation de mot de passe en libre-service à partir de l’écran de verrouillage. Pour plus d’informations, consultez Activer la réinitialisation de mot de passe en libre-service Microsoft Entra sur l’écran de connexion Windows.