Partager via

Méthodes d’authentification dans Microsoft Entra ID - Windows Hello Entreprise

Windows Hello Entreprise est idéal pour les professionnels de l’information qui disposent de leur propre PC Windows. Les informations d’identification biométriques et pin sont directement liées au PC de l’utilisateur, ce qui empêche l’accès à toute personne autre que le propriétaire. Avec l’intégration de l’infrastructure à clé publique (PKI) et la prise en charge intégrée de l’authentification unique (SSO), Windows Hello Entreprise fournit une méthode pratique pour accéder en toute transparence aux ressources d’entreprise locales et dans le cloud.

Exemple de connexion d'un utilisateur avec Windows Hello Entreprise.

Comment fonctionne la connexion pour Windows Hello pour Entreprise dans Microsoft Entra ID

Les étapes suivantes décrivent la manière dont fonctionne le processus de connexion avec Microsoft Entra ID :

Diagramme décrivant les étapes nécessaires à la connexion des utilisateurs avec Windows Hello Entreprise

  1. Un utilisateur se connecte à Windows l’aide d'un geste biométrique ou d'un code confidentiel. Cette opération déverrouille la clé privée Windows Hello Entreprise, qui est transmise au fournisseur SSP (Security Support Provider) d'authentification cloud, que l'on appelle le fournisseur d'authentification cloud (CloudAP). Pour plus d'informations sur le CloudAP, consultez l'article Qu'est-ce qu'un jeton d'actualisation principal ?
  2. Le CloudAP demande un nonce (nombre arbitraire aléatoire qui ne peut être utilisé qu'une seule fois) à Microsoft Entra ID.
  3. Microsoft Entra ID renvoie un nonce qui est valide pendant 5 minutes.
  4. Le CloudAP signe le nonce à l'aide de la clé privée de l'utilisateur et le renvoie signé à Microsoft Entra ID.
  5. Microsoft Entra ID vérifie le nonce signé à l'aide de la clé publique de l'utilisateur par rapport à la signature du nonce. Microsoft Entra ID valide la signature, puis valide ensuite le nonce signé renvoyé. Après avoir validé le nonce, Microsoft Entra ID crée un jeton d'actualisation principal (PRT) avec la clé de session chiffrée sur la clé de transport de l'appareil et le retourne au fournisseur CloudAP.
  6. Le CloudAP reçoit le PRT chiffré avec la clé de session. Le CloudAP utilise la clé de transport privée de l'appareil pour déchiffrer la clé de session et protège cette dernière à l'aide du module de plateforme sécurisée (TPM) de l'appareil.
  7. Le CloudAP renvoie une réponse de confirmation de l'authentification à Windows. L'utilisateur est alors en mesure d'accéder à Windows et aux applications cloud et locales à l'aide de l'authentification unique de manière transparente.

Le guide de planification Windows Hello Entreprise peut vous aider à déterminer le type de déploiement de Windows Hello Entreprise dont vous avez besoin, ainsi que les options à prendre en considération.

Contenu connexe

  • Last updated on