Protocole EAP (Extensible Authentication Protocol) pour l’accès réseau

S’applique à: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

Le protocole EAP (Extensible Authentication Protocol) est un cadre d’authentification qui permet l’utilisation de différentes méthodes d’authentification pour les technologies d’accès réseau sécurisées. Parmi les exemples de ces technologies, citons l’accès sans fil à l’aide de la norme IEEE 802.1X, l’accès câblé avec la norme IEEE 802.1X et les connexions PPP (Point-to-Point Protocol) comme le réseau privé virtuel (VPN). Le protocole EAP n’est pas une méthode d’authentification spécifique comme MS-CHAP v2. Il s’agit davantage d’un cadre qui permet aux fournisseurs de mise en réseau de développer et d’installer de nouvelles méthodes d’authentification, connues sous le nom de « méthodes EAP » sur le client d’accès et sur le serveur d’authentification. L’infrastructure EAP est initialement définie par RFC 3748 et étendue par d’autres RFC et normes.

Méthodes d’authentification

Les méthodes d’authentification EAP utilisées dans les méthodes EAP tunnelées sont couramment appelées méthodes internes ou types EAP. Les méthodes configurées comme méthodes internes ont les mêmes paramètres de configuration que ceux utilisés comme méthode externe. Cet article contient des informations de configuration propres aux méthodes d’authentification suivantes dans le protocole EAP.

EAP-TLS : méthode EAP basée sur des normes, utilisant TLS avec des certificats pour l’authentification mutuelle. Apparaît comme Carte à puce ou autre certificat (EAP-TLS) dans Windows. EAP-TLS pouvez être déployé en tant que méthode interne pour une autre méthode EAP ou en tant que méthode EAP autonome.

Tip

Comme elles reposent sur des certificats, les méthodes EAP qui utilisent EAP-TLS offrent généralement le niveau de sécurité le plus élevé. Par exemple, EAP-TLS est la seule méthode EAP autorisée pour le mode WPA3-Enterprise 192 bits.

EAP-MSCHAP v2 (EAP-Microsoft Challenge Handshake Authentication Protocol version 2) : méthode EAP définie par Microsoft qui encapsule le protocole d’authentification MSCHAP v2, utilisant le nom d’utilisateur et un mot de passe pour l’authentification. Apparaît comme Mot de passe sécurisé (EAP-MSCHAP v2) dans Windows. EAP-MSCHAPv2 pouvez être utilisé comme méthode autonome pour VPN, mais uniquement comme méthode interne pour les connexions câblées/sans fil.

Warning

Les connexions MSCHAPv2 peuvent faire l’objet d’attaques similaires à celles dont fait l’objet NTLMv1. Windows 11 Entreprise version 22H2 (build 22621) active Windows Defender Credential Guard, ce qui peut engendrer des problèmes avec les connexions MSCHAPv2.

PEAP (Protected EAP) : méthode EAP définie par Microsoft qui encapsule EAP dans un tunnel TLS. Le tunnel TLS sécurise la méthode EAP interne, qui pourrait autrement ne pas être protégée. Windows prend en charge EAP-TLS et EAP-MSCHAP v2 comme méthodes internes.

EAP-TTLS (EAP-Tunneled Transport Layer Security) : décrite par le document RFC 5281, cette méthode encapsule une session TLS qui effectue une authentification mutuelle à l’aide d’un autre mécanisme d’authentification interne. Cette méthode interne peut être un protocole EAP comme EAP-MSCHAP v2 ou un protocole non EAP comme le protocole PAP (Password Authentication Protocol). Dans Windows Server 2012, l’inclusion d’EAP-TTLS assure une prise en charge côté client uniquement (dans Windows 8). NPS ne prend pas en charge EAP-TTLS pour le moment. La prise en charge du client permet l’interopérabilité avec les serveurs RADIUS couramment déployés, compatibles avec EAP-TTLS.

EAP-SIM (EAP-Subscriber Identity Module), EAP-AKA (EAP-Authentication and Key Agreement) et EAP-AKA’ (EAP-AKA Prime) : décrite par différents documents RFC, cette méthode active l’authentification à l’aide de cartes SIM et est implémentée quand un client achète un forfait de service haut débit sans fil auprès d’un opérateur de réseau mobile. Dans le cadre du plan, le client reçoit généralement un profil sans fil qui est préconfiguré pour l’authentification SIM.

TEAP (Tunnel EAP) : décrite par le document RFC 7170, cette méthode EAP tunnelisée établit un tunnel TLS sécurisé et y exécute d’autres méthodes EAP. Prend en charge le chaînage EAP, en authentifiant l’ordinateur et l’utilisateur au sein d’une seule session d’authentification. Dans Windows Server 2022, l’inclusion de TEAP assure une prise en charge de Windows 10 version 2004 (build 19041) côté client uniquement. NPS ne prend pas en charge TEAP pour le moment. La prise en charge du client permet l’interopérabilité avec les serveurs RADIUS couramment déployés, compatibles avec TEAP. Windows prend en charge EAP-TLS et EAP-MSCHAP v2 comme méthodes internes.

Le tableau suivant répertorie certaines méthodes EAP courantes et les numéros de type de méthode que l’IANA leur a attribués.

Méthode EAP	Numéro de type attribué à IANA	Prise en charge Windows en natif
MD5-Challenge (EAP-MD5)	4	❌
Mot de passe à usage unique (EAP-OTP)	5	❌
Carte de jeton générique (EAP-GTC)	6	❌
EAP-TLS	13	✅
EAP-SIM	18	✅
EAP-TTLS	21	✅
EAP-AKA	23	✅
PEAP	25	✅
EAP-MSCHAP v2	26	✅
Mot de passe protégé à usage unique (EAP-POTP)	32	❌
EAP-FAST	43	❌
Clé prépartagée (EAP-PSK)	47	❌
EAP-IKEv2	49	❌
EAP-AKA'	50	✅
EAP-EKE	53	❌
TEAP	55	✅
EAP-NOOB	56	❌

Configuration des propriétés EAP

Vous pouvez accéder aux propriétés EAP pour un accès câblé et sans fil authentifié 802.1X de différentes façons :

En configurant les extensions Stratégies de réseau câblé (IEEE 802.3) et Stratégies de réseau sans fil (IEEE 802.11) dans la stratégie de groupe.
- Configuration de l’ordinateur>Manifeste>Paramètres> WindowsParamètres de sécurité
Utilisation de logiciels de gestion des appareils mobiles (GPM), comme Intune (wi-fi/câblé)
- fournisseur de solutions cloudWi-Fi
- WiredNetwork CSP
En configurant manuellement les connexions câblées ou sans fil sur les ordinateurs clients.

Vous pouvez accéder aux propriétés EAP pour les connexions réseau privé virtuel (VPN) de différentes façons :

Utilisation de logiciels de gestion des appareils mobiles (GPM), comme Intune
- VPNv2 CSP
- Options de profil VPN
En configurant manuellement les connexions VPN sur les ordinateurs clients.
En utilisant le Kit d’administration Gestionnaire des connexions (CMAK) pour configurer les connexions VPN.

Pour plus d’informations sur la configuration des propriétés EAP, consultez Configurer des profils et des paramètres EAP dans Windows.

Profils XML pour EAP

Les profils utilisés pour les différents types de connexions sont des fichiers XML contenant les options de configuration de cette connexion. Chaque type de connexion distinct suit un schéma spécifique :

Toutefois, lorsqu’il est configuré pour utiliser EAP, chaque schéma de profil a un élément EapHostConfig enfant.

Filaire/sans fil : EapHostConfig est un élément enfant de l’élément EAPConfig . MSM > sécurité (Câblé/Sans fil) >OneX> EAPConfig
VPN : EapHostConfig est un élément enfant de NativeProfile > Authentification > Eap > Configuration

Cette syntaxe de configuration est définie dans la spécification Stratégie de groupe : extension de protocole sans fil/câblé.

Note

Les différentes interfaces utilisateur graphiques ne présentent pas toujours toutes les options techniquement possibles. Par exemple, Windows Server 2019 (et les versions antérieures) ne permet pas de configurer TEAP dans l’interface utilisateur. Toutefois, il est souvent possible d’importer un profil XML existant, qui a déjà été configuré.

Le reste de cet article a pour but d’établir une corrélation entre les parties spécifiques à EAP de l’interface utilisateur Stratégie de groupe/Panneau de configuration et les options de configuration XML, et de fournir une description du paramètre.

Vous trouverez plus d’informations sur la configuration des profils XML dans les profils XML. Pour obtenir un exemple d’utilisation d’un profil XML contenant des paramètres EAP, consultez Provisionner un profil Wi-Fi via un site web.

Paramètres de sécurité

Le tableau suivant explique les paramètres de sécurité configurables pour un profil qui utilise 802.1X. Ces paramètres sont mappés à OneX.

Setting	XML element	Description
Sélectionner une méthode d’authentification réseau :	EAPConfig	Permet de sélectionner la méthode EAP à utiliser pour l’authentification. Consultez Paramètres de configuration de la méthode d’authentification et Paramètres de configuration de l’authentification cellulaire
Properties		Ouvre la boîte de dialogue Propriétés correspondant à la méthode EAP sélectionnée.
Mode d’authentification	authMode	Spécifie le type d’informations d’identification utilisées pour l’authentification. Les valeurs suivantes sont prises en charge : 1. Authentification de l’utilisateur ou de l’ordinateur 2. Authentification de l’ordinateur 3. Authentification de l’utilisateur 4. Authentification de l’invité Dans ce contexte, « Ordinateur » est désigné par « Machine » dans d’autres références. `machineOrUser` est la valeur par défaut dans Windows.
Nbre max. d'échecs d'authentification	maxAuthFailures	Spécifie le nombre maximal d’échecs d’authentification autorisés pour un ensemble d’informations d’identification, avec `1` comme valeur par défaut.
Mettre en cache les informations de l’utilisateur pour les connexions ultérieures à ce réseau	cacheUserData	Spécifie si les informations d’identification de l’utilisateur doivent être mises en cache pour les connexions ultérieures au même réseau, avec `true` comme valeur par défaut.

Paramètres de sécurité avancés et IEEE 802.1X

Si la case Appliquer les paramètres avancés 802.1X est cochée, tous les paramètres suivants seront configurés. Si elle n’est pas cochée, les paramètres par défaut s’appliquent. Au format XML, tous les éléments sont facultatifs. Les valeurs par défaut sont utilisées si ces éléments ne sont pas spécifiés.

Setting	XML element	Description
Nbre max. de messages Eapol-Start	maxStart	Spécifie le nombre maximal de messages EAPOL-Start pouvant être envoyés à l’authentificateur (serveur RADIUS) avant que le demandeur (client Windows) suppose qu’aucun authentificateur n’est présent, avec `3` comme valeur par défaut.
Période de démarrage (s)	startPeriod	Spécifie le temps d’attente (en secondes) avant l’envoi d’un message EAPOL-Start pour démarrer le processus d’authentification 802.1X, avec `5` comme valeur par défaut.
Période de maintien (s)	heldPeriod	Spécifie le temps d’attente (en secondes) après l’échec d’une tentative d’authentification pour réessayer l’authentification, avec `1` comme valeur par défaut.
Période d'authentification (s)	authPeriod	Spécifie le temps d’attente (en secondes) d’une réponse de l’authentificateur (serveur RADIUS) avant de supposer qu’aucun authentificateur n’est présent, avec `18` comme valeur par défaut.
message Eapol-Start	supplicantMode	Spécifie la méthode de transmission utilisée pour les messages EAPOL-Start. Les valeurs suivantes sont prises en charge : 1. Ne pas transmettre (`inhibitTransmission`) 2. Transmettre (`includeLearning`) 3. Transmettre via IEEE 802.1X (`compliant`) Dans ce contexte, « Ordinateur » est désigné par « Machine » dans d’autres références. `compliant` est la valeur par défaut dans Windows et est la seule option valide pour les profils sans fil.

Paramètres de sécurité avancés et authentification unique

Le tableau suivant explique les paramètres d’authentification unique (SSO), anciennement appelée PLAP (Pre-Logon Access Provider).

Setting	XML element	Description
Activer l'authentification unique pour ce réseau	singleSignOn	Spécifie si l’authentification unique est activée pour ce réseau, avec `false` comme valeur par défaut. N’utilisez pas `singleSignOn` dans un profil si le réseau n’en a pas besoin.
Immédiatement avant l’ouverture de session de l’utilisateur Immédiatement après l’ouverture de session de l’utilisateur	type	Spécifie si l’authentification unique doit être effectuée avant ou après l’ouverture de session de l’utilisateur.
Délai maximal pour la connectivité (secondes)	maxDelay	Spécifie le délai maximal (en secondes) avant l’échec de la tentative d’authentification unique, avec `10` comme valeur par défaut.
Autoriser l’affichage de boîtes de dialogue supplémentaires lors de l’authentification unique	allowAdditionalDialogs	Spécifie si l’affichage des boîtes de dialogue EAP doit être autorisé pendant l’authentification unique, avec `false` comme valeur par défaut.
Ce réseau utilise différents VLAN pour gérer l'authentification via des informations d'identification utilisateur et ordinateur	userBasedVirtualLan	Spécifie si le réseau local virtuel (VLAN) utilisé par l’appareil change en fonction des informations d’identification de l’utilisateur, avec `false` comme valeur par défaut.

Paramètres de configuration de la méthode d’authentification

Caution

Un serveur d’accès réseau configuré pour autoriser le même type de méthode d’authentification pour une méthode EAP tunnelisée (par exemple, PEAP) et une méthode EAP non tunnelisée (par exemple, EAP-MSCHAP v2) peut donner lieu à une faille de sécurité potentielle. Quand vous déployez une méthode EAP tunnelisée et EAP (qui n’offre pas de protection), n’utilisez pas le même type d’authentification. Par exemple, si vous déployez PEAP-TLS, ne déployez pas également EAP-TLS, car si vous avez besoin de la protection du tunnel, cela ne sert à rien d’autoriser l’exécution de la méthode en dehors du tunnel.

Le tableau suivant décrit les paramètres configurables pour chaque méthode d’authentification.

Les paramètres EAP-TLS de l’interface utilisateur sont mappés à EapTlsConnectionPropertiesV1, qui est étendu par EapTlsConnectionPropertiesV2 et EapTlsConnectionPropertiesV3.

Setting	XML element	Description
Utiliser ma carte à puce	CredentialsSource>Carte à puce	Spécifie que les clients effectuant des demandes d’authentification doivent présenter un certificat de carte à puce pour l’authentification réseau.
Utiliser un certificat sur cet ordinateur	CredentialsSource>CertificateStore	Spécifie que les clients doivent, pour s’authentifier, utiliser un certificat qui se trouve dans le magasin de certificats Utilisateur actuel ou Ordinateur local.
Utiliser la sélection de certificat simple (recommandé)	SimpleCertSelection	Spécifie si Windows sélectionnera automatiquement un certificat pour l’authentification sans interaction de l’utilisateur (dans la mesure du possible) ou si Windows affichera une liste déroulante permettant à l’utilisateur de sélectionner un certificat.
Advanced		Ouvre la boîte de dialogue Configurer la sélection des certificats.
Options de validation du serveur
Utiliser un nom d’utilisateur différent pour la connexion	DifferentUsername	Spécifie s’il faut utiliser un nom d’utilisateur pour l’authentification qui est différent d’un nom d’utilisateur du certificat.

Le tableau suivant répertorie les paramètres permettant de configurer la sélection du certificat. Ces paramètres définissent les critères qu’un client utilise pour sélectionner le certificat approprié pour l’authentification. Cette interface utilisateur est mappée à TLSExtensions>FilteringInfo.

Setting	XML element	Description
Émetteur de certificat	CAHashList`Enabled="true"`	Spécifie si le filtrage Émetteur de certificat est activé. Si l’émetteur de certificat et l’utilisation de clé étendue (EKU) sont activés, seuls les certificats qui répondent aux deux conditions sont considérés comme valides pour l’authentification du client auprès du serveur.
Autorités de certification racine	IssuerHash	Répertorie les noms de tous les émetteurs pour lesquels les certificats d’autorité de certification correspondants sont présents dans le magasin de certificats Autorités de certification racines de confiance ou Autorités de certification intermédiaires du compte d’ordinateur local. Cela inclut les éléments suivants : Toutes les autorités de certification racines et toutes les autorités de certification intermédiaires. Contient uniquement les émetteurs pour lesquels des certificats valides correspondants sont présents sur l’ordinateur (par exemple, des certificats qui n’ont pas expiré ou qui n’ont pas été révoqués). La liste finale des certificats qui sont autorisés pour l’authentification contient uniquement les certificats qui ont été émis par l’un des émetteurs sélectionnés dans cette liste. En XML, il s’agit de l’empreinte SHA-1 (hash) du certificat.
Utilisation améliorée de la clé		Vous permet de sélectionner Tous les objectifs, l’authentification du client, AnyPurpose ou toute combinaison de celles-ci. Spécifie que lorsqu’une combinaison est sélectionnée, tous les certificats remplissant au moins une des trois conditions sont considérés comme valides pour l’authentification du client auprès du serveur. Si le filtrage basé sur l’utilisation améliorée de la clé est activé, l’une des options doit être sélectionnée. Sinon, la case Utilisation améliorée de la clé sera décochée.
Tout objectif	AllPurposeEnabled	Lorsque cette option est sélectionnée, cet élément spécifie que les certificats ayant la référence EKU à usage unique sont considérés comme des certificats valides pour l’authentification du client auprès du serveur. L’identificateur d’objet (OID) à tous les fins est `0` ou vide.
Authentification du client	ClientAuthEKUList`Enabled="true"` (> EKUMapInList > EKUName)	Spécifie que les certificats ayant la référence EKU d’authentification client et la liste spécifiée des EKU sont considérés comme des certificats valides pour l’authentification du client auprès du serveur. L’identificateur d’objet (OID) pour l’authentification du client est `1.3.6.1.5.5.7.3.2`.
AnyPurpose	AnyPurposeEKUList`Enabled="true"` (> EKUMapInList > EKUName)	Spécifie que tous les certificats ayant une référence EKU AnyPurpose et la liste spécifiée des EKU sont considérés comme des certificats valides pour l’authentification du client auprès du serveur. L’identificateur d’objet (OID) pour AnyPurpose est `1.3.6.1.4.1.311.10.12.1`.
Add	EKUMapping > EKUMap > EKUName/EKUOID	Ouvre la boîte de dialogue Sélectionner des EKU , qui vous permet d’ajouter des EKU standard, personnalisées ou spécifiques au fournisseur à la liste Authentification client ou AnyPurpose . La sélection de l’option Ajouter ou modifier dans la boîte de dialogue Sélectionner des EKUs ouvre la boîte de dialogue Ajouter/Modifier la référence EKU , qui fournit deux options : 1. Entrer le nom de l’utilisation améliorée de la clé : fournit un emplacement où saisir le nom de l’utilisation améliorée de la clé personnalisée. 2. Entrer l’OID de l’utilisation améliorée de la clé : fournit un emplacement où saisir l’OID de l’utilisation améliorée de la clé. Seuls les chiffres, les séparateurs et `.` sont autorisés. Les caractères génériques sont autorisés ; dans ce cas, tous les OID enfants dans la hiérarchie sont autorisés. Par exemple, l’entrée `1.3.6.1.4.1.311.*` autorise `1.3.6.1.4.1.311.42` et `1.3.6.1.4.1.311.42.2.1`.
Edit		Permet de modifier les utilisations améliorées de la clé personnalisées que vous avez ajoutées. Les utilisations améliorées de la clé prédéfinies par défaut ne peuvent pas être modifiées.
Remove		Supprime la référence EKU sélectionnée de la liste Authentification client ou AnyPurpose .

Les paramètres PEAP de l’interface utilisateur sont mappés à MsPeapConnectionPropertiesV1, qui est étendu par MsPeapConnectionPropertiesV2.

Setting	XML element	Description
Options de validation du serveur
Sélectionner la méthode d’authentification		Permet de sélectionner le type EAP à utiliser avec PEAP pour l’authentification réseau. Deux types EAP sont disponibles : Mot de passe sécurisé (EAP-MSCHAP v2) et Carte à puce ou autre certificat (EAP-TLS).
Configure	EAP-MSCHAP v2 : UseWinLogonCredentials EAP-TLS : voir EAP-TLS onglet, schéma	Cet élément permet d’accéder aux paramètres des propriétés pour le type EAP spécifié. Si l’option Mot de passe sécurisé (EAP-MSCHAP v2) est sélectionnée, la case à cocher Utiliser automatiquement mon nom et mon mot de passe Windows d’ouverture de session (et éventuellement le domaine) est disponible. Cela indique que le nom et le mot de passe d’ouverture de session Windows basés sur l’utilisateur actuel sont utilisés comme informations d’identification d’authentification réseau. Si l’option Carte à puce ou autre certificat (EAP-TLS) est sélectionnée, la boîte de dialogue Propriétés des cartes à puce ou des autres certificats s’ouvre pour une configuration supplémentaire de ce type EAP.
Activer la reconnexion rapide	FastReconnect	Permet d’actualiser une association de sécurité ou d’en créer une plus efficacement et avec moins d’allers-retours, au cas où une association de sécurité aurait été précédemment établie. Pour les connexions VPN, la reconnexion rapide utilise la technologie IKEv2 pour fournir une connectivité VPN transparente et cohérente lorsque les utilisateurs perdent temporairement leurs connexions Internet. Cette fonctionnalité est particulièrement utile pour les utilisateurs qui se connectent via le haut débit mobile sans fil comme lorsqu’une connexion Internet tombe, la reconnexion rapide rétablit automatiquement les connexions VPN actives en toute transparence et en toute transparence aux utilisateurs.
Déconnecter si le serveur ne présente pas de TLV de liaison de chiffrement	RequireCryptoBinding	Spécifie que les clients en cours de connexion doivent mettre fin au processus d’authentification réseau si le serveur RADIUS ne présente pas de TLV (Type-Length-Value) de liaison de chiffrement. Le TLV de liaison de chiffrement est une fonctionnalité de sécurité qui renforce la sécurité du tunnel TLS dans PEAP. Pour ce faire, il combine les authentifications de méthodes internes et externes, ce qui rend difficile pour les attaquants d’effectuer des attaques de l’intercepteur en redirigeant une authentification MS-CHAP v2 via le canal PEAP.
Activer la confidentialité de l’identité	IdentityPrivacy>EnableIdentityPrivacy/AnonymousUserName	Indique que les clients sont configurés de telle sorte qu’ils ne peuvent pas envoyer leur identité avant d’avoir authentifié le serveur RADIUS et, le cas échéant, avant de fournir un emplacement où saisir une valeur d’identité anonyme. Si vous sélectionnez Activer la confidentialité de l’identité et que vous saisissez `anonymous` comme valeur d’identité anonyme, la réponse d’identité pour un utilisateur avec l’identité `alice@example` sera `anonymous@example`. Si vous sélectionnez Activer la confidentialité de l’identité sans fournir de valeur d’identité anonyme, la réponse d’identité de l’utilisateur `alice@example` sera `@example`.

Paramètres EAP-TTLS de l’interface utilisateur mappé à EapTtlsConnectionPropertiesV1.

Setting	XML element	Description
Activer la confidentialité de l’identité	Phase1Identity> IdentityPrivacy> AnonymousIdentity	Indique que les clients sont configurés de telle sorte qu’ils ne peuvent pas envoyer leur identité avant d’avoir authentifié le serveur RADIUS et, le cas échéant, avant de fournir un emplacement où saisir une valeur d’identité anonyme. Si vous sélectionnez Activer la confidentialité de l’identité et que vous saisissez `anonymous` comme valeur d’identité anonyme, la réponse d’identité pour un utilisateur avec l’identité `alice@example` sera `anonymous@example`. Si vous sélectionnez Activer la confidentialité de l’identité sans fournir de valeur d’identité anonyme, la réponse d’identité de l’utilisateur `alice@example` sera `@example`.
Options de validation du serveur
Sélectionner une méthode non EAP pour l’authentification	Phase2Authentication> L’un des éléments suivants : PAPAuthentication CHAPAuthentication MSCHAPAuthentication MSCHAPv2Authentication	Spécifie si un type non EAP ou EAP est utilisé pour l’authentification. Si l’option Sélectionner une méthode non-EAP pour l’authentification est sélectionnée, l’option Sélectionner une méthode EAP pour l’authentification est désactivée. Voici les options d’authentification disponibles : 1. Mot de passe non chiffré (PAP) 2. Protocole CHAP (Challenge-Handshake Authentication Protocol) 3. CHAP Microsoft (MS-CHAP) 4. Microsoft CHAP version 2 (MS-CHAP v2).
Utiliser automatiquement mon nom et mon mot de passe Windows d’ouverture de session	UseWinlogonCredentials	Si cette option est activée, cet élément utilise les informations d’identification de connexion Windows et est disponible uniquement si MS-CHAP v2 est sélectionné dans la liste déroulante Sélectionner une méthode non EAP pour l’authentification . L’option Utiliser automatiquement mon nom et mon mot de passe Windows d’ouverture de session est désactivée pour les types d’authentification PAP, CHAP et MS-CHAP.
Sélectionner une méthode EAP pour l’authentification	Phase2Authentication> EapHostConfig	Spécifie si un type EAP ou un type non EAP est utilisé pour l’authentification. Si l’option Sélectionner une méthode non-EAP pour l’authentification est sélectionnée, l’option Sélectionner une méthode non-EAP pour l’authentification est désactivée. Voici les options d’authentification disponibles : 1. Microsoft : Carte à puce ou autre certificat (EAP-TLS) 2. Microsoft : Mot de passe sécurisé (EAP-MSCHAP v2) La liste déroulante énumère toutes les méthodes EAP installées sur le serveur, à l’exception des méthodes de tunnel PEAP et FAST . Les types EAP sont répertoriés dans l’ordre dans lequel ils sont découverts par l’ordinateur.
Configure		Ouvre la boîte de dialogue Propriétés de la méthode EAP spécifiée.

Les paramètres TEAP de l’interface utilisateur sont mappés à EapTeapConnectionPropertiesV1. TEAP est disponible à compter de Windows 10 version 2004 (build 19041) et Windows Server 2022.

Setting	XML element	Description
Confidentialité des identités	Phase1Identity > IdentityPrivacy > AnonymousIdentity	Indique que les clients sont configurés de telle sorte qu’ils ne peuvent pas envoyer leur identité avant d’avoir authentifié le serveur RADIUS et, le cas échéant, avant de fournir un emplacement où saisir une valeur d’identité anonyme. Si vous sélectionnez Activer la confidentialité de l’identité et que vous saisissez `anonymous` comme valeur d’identité anonyme, la réponse d’identité pour un utilisateur avec l’identité `alice@example` sera `anonymous@example`. Si vous sélectionnez Activer la confidentialité de l’identité sans fournir de valeur d’identité anonyme, la réponse d’identité de l’utilisateur `alice@example` sera `@example`.
Options de validation du serveur
Sélectionner une méthode EAP {principale/secondaire} pour l’authentification	Phase2Authentication (> InnerMethodConfig > EapHostConfig)	Permet à l’utilisateur de choisir une méthode d’authentification principale/secondaire entre Microsoft : Carte à puce ou autre certificat (EAP-TLS) et Microsoft : Mot de passe sécurisé (EAP-MSCHAP v2). N’importe quelle combinaison de méthodes internes est autorisée. Par exemple, la méthode interne peut être EAP-TLS avec les informations d’identification de la machine, suivie d’EAP-TLS avec les informations d’identification de l’utilisateur.
Configure		Si l’option Microsoft : Carte à puce ou autre certificat (EAP-TLS) est sélectionnée, la boîte de dialogue Propriétés des cartes à puce ou des autres certificats s’ouvre. Si l’option Microsoft : Mot de passe sécurisé (EAP-MSCHAP v2) est sélectionnée, la case à cocher Utiliser automatiquement mon nom et mon mot de passe Windows d’ouverture de session (et éventuellement le domaine) devient disponible. Cela indique que le nom et le mot de passe d’ouverture de session Windows basés sur l’utilisateur actuel sont utilisés comme informations d’identification d’authentification réseau.

Validation du certificat de serveur

De nombreuses méthodes EAP incluent une option permettant au client de valider le certificat du serveur. Si le certificat du serveur n’est pas validé, le client ne pourra pas s’assurer qu’il communique avec le bon serveur. Cela expose le client à des risques de sécurité, notamment à la possibilité qu’il se connecte sans le savoir à un réseau non autorisé.

Note

Windows nécessite que le certificat de serveur dispose de la référence EKU d’authentification du serveur . L’identificateur d’objet (OID) pour cette utilisation améliorée de la clé est 1.3.6.1.5.5.7.3.1.

Le tableau suivant répertorie les options de validation du serveur applicables à chaque méthode EAP. Windows 11 a mis à jour la logique de validation du serveur afin d’en améliorer la cohérence. Pour plus d’informations, consultez Comportement de validation du certificat de serveur mis à jour dans Windows 11. En cas de conflit, les descriptions du tableau suivant spécifient le comportement dans les versions Windows 10 et antérieures.

Setting	XML element	Description
Vérifier l’identité du serveur en validant le certificat	EAP-TLS: PerformServerValidation PEAP: PerformServerValidation	Cet élément spécifie que le client vérifie que les certificats de serveur présentés à l’ordinateur client répondent aux critères suivants : Signatures correctes Signatures n’ayant pas expiré Ont été émis par une autorité de certification racine de confiance (CA) Si cette case est décochée, les ordinateurs clients ne peuvent pas vérifier l’identité de vos serveurs pendant le processus d’authentification. Si l’authentification des serveurs n’a pas lieu, les utilisateurs s’exposent à des risques de sécurité graves, avec notamment la possibilité que des utilisateurs se connectent sans le savoir à des réseaux non autorisés.
Connexion à ces serveurs	EAP-TLS: ServerValidation>ServerNames PEAP: ServerValidation>ServerNames EAP-TTLS: ServerValidation> ServerNames TEAP: ServerValidation> ServerNames	Permet de spécifier le nom des serveurs RADIUS (Remote Authentication Dial-In User Service) qui assurent l’authentification et l’autorisation réseau. Vous devez taper le nom exactement tel qu’il apparaît dans le champ objet de chaque certificat de serveur RADIUS ou utiliser des expressions régulières (regex) pour spécifier le nom du serveur. La syntaxe complète de l’expression régulière peut être utilisée pour indiquer le nom du serveur, mais pour différencier une expression régulière d’une chaîne littérale, vous devez utiliser au moins un `` dans la chaîne spécifiée. Par exemple, vous pouvez définir `nps.\.example\.com` pour spécifier le serveur RADIUS `nps1.example.com` ou `nps2.example.com`. Vous pouvez également inclure un `;` pour séparer plusieurs serveurs. Si aucun serveur RADIUS n’est spécifié, le client vérifie toujours que le certificat de serveur RADIUS a été émis par une autorité de certification racine approuvée.
Autorités de certification racine approuvées	EAP-TLS: ServerValidation>TrustedRootCA PEAP: ServerValidation>TrustedRootCA EAP-TTLS: ServerValidation> TrustedRootCAHashes TEAP: ServerValidation> TrustedRootCAHashes	Répertorie les autorités de certification racines de confiance. La liste est créée à partir des autorités de certification racines approuvées installées dans les magasins de certificats de l’ordinateur et de l’utilisateur. Vous pouvez spécifier quels sont les certificats d’autorité de certification racine de confiance utilisés par les demandeurs pour déterminer s’ils font confiance à vos serveurs, par exemple votre serveur exécutant NPS ou votre serveur d’approvisionnement. Si aucune autorité de certification racine de confiance n’est sélectionnée, le client 802.1X vérifie si le certificat d’ordinateur du serveur RADIUS est émis par une autorité de certification racine de confiance installée. Si une ou plusieurs autorités de certification racines de confiance sont sélectionnées, le client 802.1X vérifie que le certificat d’ordinateur du serveur RADIUS a été émis par l’une des autorités sélectionnées. Si aucune autorité de certification racine approuvée n’est sélectionnée, le client vérifie toujours que le certificat de serveur RADIUS a été émis par une autorité de certification racine approuvée. Si vous disposez d’une infrastructure à clé publique (PKI) sur votre réseau et que vous utilisez votre autorité de certification pour émettre des certificats à vos serveurs RADIUS, votre certificat d’autorité de certification est automatiquement ajouté à la liste des autorités de certification racines de confiance. Vous pouvez également acheter un certificat d’autorité de certification auprès d’un fournisseur autre que Microsoft. Certaines autorités de certification racines de confiance non-Microsoft fournissent avec le certificat que vous avez acheté un logiciel qui installe automatiquement le certificat acheté dans le magasin de certificats Autorités de certification racines de confiance. Dans ce cas, l’autorité de certification racine de confiance apparaît automatiquement dans la liste des autorités de certification racines de confiance. Ne spécifiez pas un certificat d’autorité de certification racine approuvée qui ne figure pas dans les magasins de certificats Autorités de certification racines de confiance pour Utilisateur actuel et Ordinateur local. Si vous désignez un certificat qui n’est pas installé sur les ordinateurs clients, l’authentification échoue. Au format XML, il s’agit de l’empreinte SHA-1 (hash) du certificat (ou SHA-256 pour TEAP).

Invite utilisateur de validation du serveur

Le tableau suivant décrit les options d’invite utilisateur liées à la validation du serveur, disponibles pour chaque méthode EAP. Lorsqu’un certificat de serveur n’est pas approuvé, ces options déterminent si :

La connexion échoue immédiatement.
L’utilisateur reçoit une invite lui permettant d’accepter ou de rejeter manuellement la connexion.

Setting	XML element
Ne pas demander à l’utilisateur d’autoriser de nouveaux serveurs ou des autorités de certification approuvées.	ServerValidation>DisableUserPromptForServerValidation

Permet d’éviter de demander à l’utilisateur d’approuver un certificat de serveur s’il est mal configuré et/ou n’est pas encore approuvé (si cette option est activée). Pour simplifier l’expérience utilisateur et empêcher les utilisateurs d’approuver par erreur un serveur déployé par un attaquant, il est recommandé de cocher cette case.

Setting	XML element
Notifications avant la connexion	ServerValidation> 1. DisableUserPromptForServerValidation=`true` 2. DisableUserPromptForServerValidation=`false` 3. DisableUserPromptForServerValidation=`false`, PeapExtensionsV2>AllowPromptingWhenServerCANotFound

Définit si l’utilisateur est averti lorsque le nom du serveur ou le certificat racine n’est pas spécifié ou si l’identité du serveur ne peut pas être vérifiée. Voici les options disponibles et ce que chacune spécifie :

Ne pas demander à l’utilisateur d’autoriser de nouveaux serveurs ou autorités de certification approuvées : si le nom du serveur ne figure pas dans la liste Connexion à ces serveurs ou si le certificat racine s’y trouve, mais n’est pas sélectionné dans la liste Autorités de certification racines de confiance dans Propriétés PEAP ou si le certificat racine est introuvable sur l’ordinateur, l’utilisateur n’est pas averti. Les tentatives de connexion échoueront.
Indiquer à l’utilisateur si le nom du serveur ou le certificat racine n’est pas spécifié : si le nom du serveur ne figure pas dans la liste Connexion à ces serveurs, ou si le certificat racine s’y trouve, mais n’est pas sélectionné dans la liste Autorités de certification racines de confiance dans Propriétés PEAP, l’utilisateur est invité à accepter le certificat racine. Si l’utilisateur accepte le certificat, l’authentification se poursuit. Si l’utilisateur rejette le certificat, la tentative de connexion échoue. Avec cette option, si le certificat racine ne se trouve sur l’ordinateur, l’utilisateur n’est pas notifié et la tentative de connexion échoue.
Indiquer à l’utilisateur si l’identité du serveur ne peut pas être vérifiée : si le nom du serveur ne figure pas dans la liste Connexion à ces serveurs, ou si le certificat racine s’y trouve, mais n’est pas sélectionné dans la liste Autorités de certification racines de confiance dans Propriétés PEAP, ou encore si le certificat racine ne se trouve pas sur l’ordinateur, l’utilisateur est invité à accepter le certificat racine. Si l’utilisateur accepte le certificat, l’authentification se poursuit. Si l’utilisateur rejette le certificat, la tentative de connexion échoue.

Setting	XML element
Ne pas inviter l’utilisateur s’il est impossible d’autoriser le serveur	ServerValidation> DisableUserPromptForServerValidation

Si cette option n’est pas sélectionnée et que la validation du certificat de serveur échoue pour les raisons suivantes, l’utilisateur est invité à accepter ou à rejeter le serveur :

Un certificat racine pour le certificat de serveur est introuvable ou non sélectionné dans la liste Autorités de certification racines de confiance.
Un ou plusieurs certificats racines intermédiaires dans la chaîne de certificats sont introuvables.
Le nom d’objet dans le certificat de serveur ne correspond à aucun des serveurs spécifiés dans la liste Connexion à ces serveurs.

Setting	XML element
Ne pas inviter l’utilisateur s’il est impossible d’autoriser le serveur	ServerValidation>DisablePrompt

Si cette option n’est pas sélectionnée et que la validation du certificat de serveur échoue pour les raisons suivantes, l’utilisateur est invité à accepter ou à rejeter le serveur :

Un certificat racine pour le certificat de serveur est introuvable ou non sélectionné dans la liste Autorités de certification racines de confiance.
Un ou plusieurs certificats racines intermédiaires dans la chaîne de certificats sont introuvables.
Le nom d’objet dans le certificat de serveur ne correspond à aucun des serveurs spécifiés dans la liste Connexion à ces serveurs.

Paramètres de configuration de l’authentification cellulaire

La liste suivante répertorie les paramètres de configuration respectivement pour EAP-SIM, EPA-AKA et EPA-AKA’.

EAP-SIM est défini dans RFC 4186. EAP-SIM est utilisé pour l’authentification et la distribution de clés de session avec un module SIM de réseau mobile de 2e génération GSM.

Paramètres EAP-SIM dans l’interface utilisateur mappé à EapSimConnectionPropertiesV1.

Item	XML element	Description
Utiliser des clés de chiffrement fortes	UseStrongCipherKeys	Si cette option est sélectionnée, spécifie que le profil utilise un chiffrement renforcé.
Ne pas révéler l’identité réelle au serveur quand un pseudonyme est disponible	DontRevealPermanentID	Si cette option est activée, force l’échec de l’authentification du client si les demandes de serveur en matière d’identité permanente par le biais du client ont un pseudonyme. Les pseudonymes sont utilisés à des fins de protection de la confidentialité, de manière à ce que l’identité réelle ou permanente d’un utilisateur ne soit pas révélée lors de l’authentification.
	ProviderName	Disponible uniquement en XML, chaîne qui indique le nom du fournisseur autorisé pour l’authentification.
Activer l’utilisation des domaines	Royaume=`true`	Fournit un emplacement pour taper le nom de domaine. Si ce champ n’est pas renseigné et que l’option Activer l’utilisation des domaines est sélectionnée, le domaine est dérivé de l’identité IMSI (International Mobile Subscriber Identity) à l’aide du domaine 3gpp.org, comme décrit dans la norme 3GPP (3rd Generation Partnership Project) 23.003 V6.8.0.
Spécifier un domaine	Realm	Fournit un emplacement pour saisir un nom de domaine. Si l’option Activer l’utilisation des domaines est activée, cette chaîne est utilisée. Si ce champ est vide, le domaine dérivé est utilisé.

EAP-AKA est défini dans RFC 4187. EAP-AKA (Authentication and Key Agreement) est utilisé pour l’authentification et la distribution de clés de session avec le mécanisme AKA. AKA est utilisé dans les réseaux mobiles de 3e génération UMTS (Universal Mobile Telecommunications System) et CDMA2000. AKA repose sur des clés symétriques et s’exécute généralement dans un module SIM.

Paramètres EAP-AKA dans l’interface utilisateur mappé à EapAkaConnectionPropertiesV1.

Item	XML element	Description
Ne pas révéler l’identité réelle au serveur quand un pseudonyme est disponible	DontRevealPermanentID	Si cette option est activée, force l’échec de l’authentification du client si les demandes de serveur en matière d’identité permanente par le biais du client ont un pseudonyme. Les pseudonymes sont utilisés à des fins de protection de la confidentialité, de manière à ce que l’identité réelle ou permanente d’un utilisateur ne soit pas révélée lors de l’authentification.
	ProviderName	Disponible uniquement en XML, chaîne qui indique le nom du fournisseur autorisé pour l’authentification.
Activer l’utilisation des domaines	Royaume=`true`	Fournit un emplacement pour taper le nom de domaine. Si ce champ n’est pas renseigné et que l’option Activer l’utilisation des domaines est sélectionnée, le domaine est dérivé de l’identité IMSI (International Mobile Subscriber Identity) à l’aide du domaine 3gpp.org, comme décrit dans la norme 3GPP (3rd Generation Partnership Project) 23.003 V6.8.0.
Spécifier un domaine	Realm	Fournit un emplacement pour saisir un nom de domaine. Si l’option Activer l’utilisation des domaines est activée, cette chaîne est utilisée. Si ce champ est vide, le domaine dérivé est utilisé.

EAP-AKA' est défini dans RFC 5448 et RFC 9048. EAP-AKA’ (AKA Prime) est une version modifiée d’EAP-AKA qui ajoute une nouvelle fonction de dérivation de clé pour faciliter l’accès aux réseaux 3GPP (3rd-Generation Partnership Project) avec des normes non 3GPP, par exemple :

Wi-Fi
EVDO (Evolution-Data Optimized)
WiMax (Worldwide Interoperability for Microwave Access)

Les paramètres EAP-AKA de l’interface utilisateur sont mappés à EapAkaPrimeConnectionPropertiesV1.

Item	XML element	Description
Ne pas révéler l’identité réelle au serveur quand un pseudonyme est disponible	DontRevealPermanentID	Si cette option est activée, force l’échec de l’authentification du client si les demandes de serveur en matière d’identité permanente par le biais du client ont un pseudonyme. Les pseudonymes sont utilisés à des fins de protection de la confidentialité, de manière à ce que l’identité réelle ou permanente d’un utilisateur ne soit pas révélée lors de l’authentification.
	ProviderName	Disponible uniquement en XML, chaîne qui indique le nom du fournisseur autorisé pour l’authentification.
Activer l’utilisation des domaines	Royaume=`true`	Fournit un emplacement pour taper le nom de domaine. Si ce champ n’est pas renseigné et que l’option Activer l’utilisation des domaines est sélectionnée, le domaine est dérivé de l’identité IMSI (International Mobile Subscriber Identity) à l’aide du domaine 3gpp.org, comme décrit dans la norme 3GPP (3rd Generation Partnership Project) 23.003 V6.8.0.
Spécifier un domaine	Realm	Fournit un emplacement pour saisir un nom de domaine. Si l’option Activer l’utilisation des domaines est activée, cette chaîne est utilisée. Si ce champ est vide, le domaine dérivé est utilisé.
Ignorer l’incompatibilité des noms réseau	IgnoreNetworkNameMismatch	Le client compare le nom du réseau dont il a connaissance au nom envoyé par le serveur RADIUS pendant l’authentification. Si cette option est sélectionnée, elle est ignorée en cas d’incompatibilité. Si cette option n’est pas sélectionnée, l’authentification échoue.
Activer la réauthentification rapide	EnableFastReauth	Spécifie que la réauthentification rapide est activée. La réauthentification rapide est utile lorsque l’authentification SIM se produit fréquemment. Les clés de chiffrement qui sont dérivées de l’authentification complète sont réutilisées. En conséquence, l’algorithme SIM ne doit pas s’exécuter à chaque tentative d’authentification, et le nombre d’opérations réseau qui résultent des tentatives d’authentification fréquentes est réduit.

Mode WPA3-Enterprise 192 bits

Le mode WPA3-Enterprise 192 bits est un mode spécial pour WPA3-Enterprise qui applique certaines exigences de sécurité élevées sur la connexion sans fil pour fournir un minimum de 192 bits de sécurité. Ces exigences s’alignent sur la suite CNSA (Commercial National Security Algorithm), CNSSP 15, qui est un ensemble d’algorithmes cryptographique approuvés pour la protection des informations classifiées et des informations ultra-secrètes par la National Security Agency (NSA) des États-Unis. Le mode 192 bits est parfois appelé « Mode Suite B » pour faire référence à la spécification de la NSA sur la cryptographie Suite B, qui a été remplacée par la CNSA en 2016.

Les modes WPA3-Enterprise et WPA3-Enterprise 192 bits sont disponibles à compter de Windows 10, version 2004 (build 19041) et Windows Server 2022. Toutefois, WPA3-Enterprise a été désigné en tant qu’algorithme d’authentification distinct dans Windows 11. Dans XML, cela est spécifié dans l’élément authEncryption .

Le tableau suivant répertorie les algorithmes requis par la suite CNSA.

Algorithm	Description	Parameters
AES (Advanced Encryption Standard)	Chiffrement par bloc symétrique	Clé 256 bits (AES-256)
Échange de clés ECDH (Elliptic Curve Diffie-Hellman)	Algorithme asymétrique utilisé pour établir un secret partagé (clé)	Courbe de module premier 384 bits (P-384)
Algorithme de signature numérique à courbe elliptique (ECDSA)	Algorithme asymétrique utilisé pour les signatures numériques	Courbe de module premier 384 bits (P-384)
algorithme de hachage sécurisé (Secure Hash Algorithm ou SHA)	Fonctions de hachage cryptographique	SHA-384
Échange de clés DH (Diffie-Hellman)	Algorithme asymétrique utilisé pour établir un secret partagé (clé)	Module 3072 bits
Rivest-Shamir-Adleman (RSA)	Algorithme asymétrique utilisé pour les signatures numériques ou l’établissement de clés	Module 3072 bits

Pour se conformer aux exigences de la CNSA, le mode WPA3-Enterprise 192 bits impose l’utilisation de EAP-TLS avec les suites de chiffrement restreintes suivantes :

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- ECDHE et ECDSA avec la courbe de module premier 384 bits P-384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 / TLS_DHE_RSA_AES_256_GCM_SHA384
- ECDHE avec la courbe de module premier 384 bits P-384
- RSA >= module 3 072 bits

Note

P-384 est également appelé secp384r1 ou nistp384. D’autres courbes elliptiques, telles que P-521, ne sont pas autorisées.

SHA-384 fait partie de la famille de fonctions de hachage SHA-2. D’autres algorithmes et variantes comme SHA-512 ou SHA3-384 ne sont pas autorisés.

Windows prend uniquement en charge les suites de chiffrement TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 et TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 pour le mode WPA3-Enterprise 192 bits. La suite de chiffrement TLS_DHE_RSA_AES_256_GCM_SHA384 n’est pas prise en charge.

TLS 1.3 utilise de nouvelles suites TLS simplifiées, parmi lesquelles seule TLS_AES_256_GCM_SHA384 est compatible avec le mode WPA3-Enterprise 192 bits. Étant donné que TLS 1.3 nécessite (EC)DHE et autorise les certificats ECDSA ou RSA, ainsi que le hachage AEAD et SHA384 AES-256, TLS_AES_256_GCM_SHA384 équivaut à TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 et TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. Toutefois, RFC 8446 exige que les applications compatibles TLS 1.3 prennent en charge P-256, ce qui est interdit par CNSA. Par conséquent, le mode WPA3-Enterprise 192 bits ne peut pas être entièrement conforme à TLS 1.3. Toutefois, il n’existe aucun problème d’interopérabilité connu avec TLS 1.3 et le mode WPA3-Enterprise 192 bits.

Pour configurer un réseau pour le mode WPA3-Enterprise 192 bits, Windows nécessite l’utilisation d’EAP-TLS avec un certificat qui répond aux exigences décrites précédemment.

Voir aussi

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-08-16

Partager via

Protocole EAP (Extensible Authentication Protocol) pour l’accès réseau

Méthodes d’authentification

Configuration des propriétés EAP

Profils XML pour EAP

Paramètres de sécurité

Paramètres de sécurité avancés et IEEE 802.1X

Paramètres de sécurité avancés et authentification unique

Paramètres de configuration de la méthode d’authentification

Validation du certificat de serveur

Invite utilisateur de validation du serveur

Paramètres de configuration de l’authentification cellulaire

Mode WPA3-Enterprise 192 bits

Voir aussi

Commentaires

Ressources supplémentaires