Partager via

Double inscription

Cet article décrit les fonctionnalités ou scénarios windows Hello Entreprise qui s’appliquent à :

Important

La double inscription ne remplace pas ou n’offre pas la même sécurité que les stations de travail à accès privilégié. Microsoft encourage les organisations à utiliser les stations de travail à accès privilégié pour leurs utilisateurs d’informations d’identification privilégiées. Les organisations peuvent envisager une double inscription à Windows Hello Entreprise dans les situations où la fonctionnalité d’accès privilégié ne peut pas être utilisée. Pour plus d’informations, consultez Stations de travail à accès privilégié.

L’inscription double permet aux administrateurs d’effectuer des fonctions administratives avec élévation de privilèges en inscrivant leurs informations d’identification non privilégiées et privilégiées sur leur appareil.

Par défaut, Windows n’énumère pas tous les utilisateurs Windows Hello Entreprise à partir de la session d’un utilisateur. À l’aide du paramètre de stratégie de groupe Autoriser l’énumération de carte à puce émulée pour tous les utilisateurs, vous pouvez configurer un appareil pour énumérer toutes les informations d’identification Windows Hello Entreprise inscrites sur les appareils sélectionnés.

Avec ce paramètre, les utilisateurs administratifs peuvent se connecter à Windows à l’aide de leurs informations d’identification Windows Hello non privilégiées pour un flux de travail normal, tel que le courrier électronique, mais peuvent lancer des consoles de gestion Microsoft (MMC), des clients des services Bureau à distance et d’autres applications en sélectionnant Exécuter en tant qu’utilisateur différent ou Exécuter en tant qu’administrateur, en sélectionnant le compte d’utilisateur privilégié et en fournissant leur code confidentiel. Les administrateurs peuvent également tirer parti de cette fonctionnalité avec des applications en ligne de commande en utilisant runas.exe combiné à l’argument /smartcard . Cela permet aux administrateurs d’effectuer leurs opérations quotidiennes sans avoir à se connecter et à se déconnecter, ou à utiliser un basculement utilisateur rapide en alternance entre des charges de travail privilégiées et non privilégiées.

Important

Vous devez configurer un ordinateur Windows pour l’inscription double Windows Hello Entreprise avant que l’utilisateur (privilégié ou non privilégié) approvisionne Windows Hello Entreprise. L’inscription double est un paramètre spécial configuré sur le conteneur Windows Hello lors de la création.

Configurer l’inscription double Windows Hello Entreprise

Voici les étapes pour activer l’inscription double :

  • Configurer Active Directory pour prendre en charge l’inscription administrateur de domaine
  • Configurer une double inscription à l’aide d’une stratégie de groupe

Configurer Active Directory pour prendre en charge l’inscription administrateur de domaine

La configuration Windows Hello Entreprise conçue donne au groupe des Key Admins autorisations de lecture et d’écriture sur l’attribut msDS-KeyCredentialsLink . Vous avez fourni ces autorisations à la racine du domaine et utilisez l’héritage d’objet pour vous assurer que les autorisations s’appliquent à tous les utilisateurs du domaine, quel que soit leur emplacement dans la hiérarchie du domaine.

Les services de domaine Active Directory utilisent AdminSDHolder pour sécuriser les utilisateurs et les groupes privilégiés contre toute modification involontaire en comparant et en remplaçant la sécurité des utilisateurs et groupes privilégiés pour qu’elle corresponde à celles définies sur l’objet AdminSDHolder sur un cycle horaire. Pour Windows Hello Entreprise, votre compte d’administrateur de domaine peut recevoir les autorisations, mais elles disparaissent de l’objet utilisateur, sauf si vous accordez les AdminSDHolder autorisations de lecture et d’écriture à l’attribut msDS-KeyCredential .

Connectez-vous à un contrôleur de domaine ou à une station de travail de gestion avec un accès équivalent à l’administrateur de domaine.

  1. Tapez la commande suivante pour ajouter les autorisations de propriété autoriser la lecture et l’écriture pour l’attribut msDS-KeyCredentialLink pour le Key Admins groupe sur l’objet AdminSDHolder

    dsacls "CN=AdminSDHolder,CN=System,DC=domain,DC=com" /g "[domainName\keyAdminGroup]":RPWP;msDS-KeyCredentialLink

    DC=domain,DC=com est le chemin LDAP de votre domaine Active Directory et domainName\keyAdminGroup est le nom NetBIOS de votre domaine et le nom du groupe que vous utilisez pour accorder l’accès aux clés en fonction de votre déploiement. Exemple :

    dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=mstepdemo,DC=net" /g "mstepdemo\Key Admins":RPWP;msDS-KeyCredentialLink

  2. Pour déclencher la propagation du descripteur de sécurité, ouvrez ldp.exe

  3. Sélectionnez Connexion , puis Se connecter... En regard de Serveur, tapez le nom du contrôleur de domaine qui détient le rôle PDC pour le domaine. En regard de Port, tapez 389 et sélectionnez OK.

  4. Sélectionnez Connexion , puis Lier... Sélectionnez OK pour lier en tant qu’utilisateur actuellement connecté

  5. Sélectionnez Navigateur , puis Modifier. Laissez la zone de texte DN vide. En regard de Attribut, tapez RunProtectAdminGroupsTask. En regard de Valeurs, tapez 1. Sélectionnez Entrée pour l’ajouter à la liste d’entrées.

  6. Sélectionnez Exécuter pour démarrer la tâche.

  7. Fermer LDP

Configurer une double inscription avec une stratégie de groupe

Vous configurez Windows pour prendre en charge l’inscription double à l’aide de la partie configuration ordinateur d’un objet de stratégie de groupe :

  1. À l’aide de la console de gestion des stratégies de groupe (GPMC), créez un objet de stratégie de groupe basé sur un domaine et liez-le à une unité d’organisation qui contient des objets d’ordinateur Active Directory utilisés par les utilisateurs privilégiés
  2. Modifier l’objet de stratégie de groupe de l’étape 1
  3. Activez le paramètre de stratégie Autoriser l’énumération des cartes à puce émulées pour tous les utilisateurs sous Configuration ordinateur-Modèles> d’administration-Composants> Windows-Windows> Hello Entreprise
  4. Fermez l’Éditeur de gestion des stratégies de groupe pour enregistrer l’objet de stratégie de groupe. Fermer la console GPMC
  5. Redémarrer les ordinateurs ciblés par cet objet de stratégie de groupe

L’ordinateur est prêt pour l’inscription double. Connectez-vous d’abord en tant qu’utilisateur privilégié et inscrivez-vous pour Windows Hello Entreprise. Une fois terminé, déconnectez-vous et connectez-vous en tant qu’utilisateur non privilégié et inscrivez-vous pour Windows Hello Entreprise. Vous pouvez désormais utiliser vos informations d’identification privilégiées pour effectuer des tâches privilégiées sans utiliser votre mot de passe et sans avoir à changer d’utilisateur.