La connexion avec code PIN est un moyen pratique de s’authentifier rapidement et de se connecter à son ordinateur sous Windows 10. Cependant, les administrateurs informatiques en charge des domaines Windows peuvent vouloir contrôler si les utilisateurs peuvent ou pas se connecter avec un code PIN sur Windows 10 pour des raisons de sécurité.
Ce guide étape par étape montre comment activer ou désactiver la connexion par code PIN pour les utilisateurs du domaine dans Windows 10 à l’aide de la stratégie de groupe. Il explique également les avantages et les implications en termes de sécurité de la connexion par code PIN par rapport aux autres options de connexion à Windows et explique comment gérer au mieux la manière dont les utilisateurs du domaine Windows se connectent – dans les environnements d’entreprise.
Authentification par code PIN pour Windows 10 et Windows Hello for Business
Windows Hello for Business propose un certain nombre de moyens pratiques pour se connecter à un domaine Windows sans mot de passe. Il s’agit notamment de l’authentification biométrique (par balayage du visage ou empreinte digitale) et de l’authentification par code PIN pour les utilisateurs du domaine Windows 10.
Les codes PIN constituent un moyen rapide de se connecter à un appareil Windows sans avoir à saisir un mot de passe à chaque fois. Par défaut, ils sont composés de 4 chiffres, mais ils peuvent être plus complexes pour une sécurité accrue. L’authentification Windows Hello est configurée par appareil et n’est pas stockée avec les informations de connexion de l’utilisateur sur le contrôleur de domaine Windows.
De manière quelque peu contre-intuitive, cela peut rendre l’authentification par code PIN plus sûre que l’authentification par mot de passe (même si le code PIN est plus court que le mot de passe utilisateur) : lorsqu’un code PIN est utilisé pour se connecter, le mot de passe de l’utilisateur n’est pas saisi (il ne peut donc pas être vu par quelqu’un à proximité ou capturé par des enregistreurs de frappe), et il n’est pas non plus transmis au contrôleur de domaine. Ainsi, si un code PIN est compromis, seul cet appareil est affecté : le mot de passe et tous les comptes sécurisés par ce dernier restent privés.
Les données utilisées pour les identifiants Windows Hello sont fortement chiffrées et stockées en toute sécurité à l’aide d’un Trusted Platform Module (TPM, module de plateforme sécurisé), de sorte qu’elles sont difficiles à pirater et offrent une meilleure protection contre les attaques par force brute.
Raisons pour lesquelles activer ou désactiver la connexion par code PIN pour les utilisateurs de domaine
L’activation de l’authentification par code PIN et de Windows Hello pour les utilisateurs de domaine Windows 10 présente les avantages suivants :
- Sécurité renforcée : Windows Hello utilisant l’authentification biométrique ou un code PIN, soutenu par un TPM matériel, cela réduit le risque que les mots de passe soient volés et utilisés sur d’autres systèmes.
- Confort d’utilisation : les codes PIN sont généralement beaucoup plus courts que les mots de passe et plus faciles à mémoriser, ce qui signifie qu’ils peuvent être modifiés et qu’ils sont beaucoup moins susceptibles d’être oubliés.
- Authentification forte: Windows Hello, y compris l’utilisation de codes PIN, peut être combiné avec d’autres méthodes d’authentification prises en charge par Active Directory ou Windows Entra ID pour une protection renforcée et multifactorielle, tout en restant pratique pour les utilisateurs.
Bien que, techniquement, Windows Hello offre une commodité et une sécurité accrues par rapport à la connexion traditionnelle par mot de passe, il existe de bonnes raisons pour lesquelles les administrateurs de domaines Windows peuvent choisir de désactiver la connexion par code PIN :
- Conformité : les réglementations ou les politiques internes peuvent stipuler les méthodes que les utilisateurs peuvent utiliser pour se connecter, y compris la complexité des mots de passe, ce qui peut interdire les codes PIN.
- Facilité d’utilisation : les utilisateurs habitués aux méthodes de connexion traditionnelles peuvent éprouver des difficultés lorsque plusieurs options de connexion sont proposées, et préfèrent que la connexion par code PIN et les autres fonctionnalités de Windows Hello soient désactivées.
- Prise en charge matérielle : bien que Windows Hello (y compris l’authentification par code PIN) ne nécessite pas de TPM pour générer et stocker les clés de chiffrement, les administrateurs système peuvent préférer désactiver la fonctionnalité si un TPM (et le chiffrement et la sécurité améliorés qu’il fournit) n’est pas disponible sur tous les appareils dont ils sont responsables.
- Contrôle centralisé : une méthode de connexion unique basée sur un mot de passe peut être préférée par les entreprises qui souhaitent limiter le nombre d’options de connexion qu’elles prennent en charge afin de rationaliser le dépannage.
Instructions étape par étape : Comment activer ou désactiver la connexion par code PIN pour les utilisateurs de domaine ?
Les instructions suivantes expliquent comment activer ou désactiver la connexion par code PIN pour les utilisateurs de domaine dans Windows 10 à l’aide de la stratégie de groupe dans Active Directory. Vous devrez vous connecter à un compte administrateur sur le domaine et avoir accès à un contrôleur de domaine avec la console de gestion des stratégies de groupe (GPMC). De plus, vous devrez utiliser Windows Server 2016 ou une version ultérieure pour utiliser Windows Hello for Business.
Pour activer l’ouverture de session par code PIN dans Windows 10 pour les utilisateurs de domaine, procédez comme suit :
- Assurez-vous que vous êtes connecté à un contrôleur de domaine avec un compte administrateur
- Faites un clic droit sur le bouton Démarrer et cliquez sur Exécuter
- Entrez gpmc.msc pour ouvrir la console de gestion des stratégies de groupe
- Créez un objet de stratégie de groupe (GPO) qui cible les utilisateurs, les groupes ou les autres unités organisationnelles (OU) pour lesquels vous souhaitez configurer la connexion par code PIN
- Faites un clic droit sur la GPO nouvellement créée et cliquez sur Modifier
- Dans l’Éditeur de stratégie de groupe, naviguez jusqu’à Configuration ordinateur\Modèles administratifs\Système\Connexion
- Faites un clic droit sur le paramètre nommé Activer la connexion par code PIN et cliquez sur Modifier
- Sélectionnez Activé pour activer la connexion par code PIN pour les utilisateurs de domaine Windows 10, puis cliquez sur OK
- Redémarrez les PC Windows cibles de la stratégie de groupe ou exécutez gpupdate/force dans l’invite de commande de chaque machine pour vous assurer que la modification a bien été prise en compte.
Pour désactiver la connexion par code PIN pour les utilisateurs de domaine, suivez les mêmes étapes mais désactivez l’option correspondante :
- Une fois que vous avez accédé à Configuration ordinateur\Modèles administratifs\Système\Connexion dans l’éditeur de stratégie de groupe, faites un clic droit sur le paramètre Activer la connexion par code PIN et cliquez sur Modifier
- Sélectionnez Désactivé ou Non configuré pour désactiver la connexion par code PIN pour les utilisateurs de domaine Windows 10, puis cliquez sur OK
- Redémarrez les PC Windows cibles de la stratégie de groupe ou exécutez gpupdate/force dans l’invite de commande de chaque machine pour vous assurer que la modification a bien été prise en compte.
Si les modifications apportées à la manière dont les utilisateurs de votre domaine Windows peuvent se connecter ne prennent pas effet, assurez-vous que vous ciblez les bonnes OU et qu’il n’y a pas de conflits de stratégies : la stratégie la plus restrictive aura toujours la priorité en cas de conflit.
Cas d’utilisation de l’authentification par code PIN dans les environnements de domaine
La gestion de la connexion des utilisateurs à Windows 10 à l’aide de la stratégie de groupe est un moyen pratique pour les administrateurs de gérer de manière centralisée les options de connexion de leurs utilisateurs. La nature précise des objets de stratégie de groupe signifie qu’ils peuvent être attribués à des OU et n’affecter que des utilisateurs ciblés.
Le code PIN est pratique pour les utilisateurs qui partagent des postes de travail et qui doivent pouvoir se connecter et se déconnecter rapidement, par exemple dans les entreprises ou les établissements d’enseignement. Comme les PIN ne fonctionnent que sur l’appareil spécifique sur lequel ils sont configurés, ils offrent également une protection contre le phishing (hameçonnage) : même si un utilisateur divulgue accidentellement son PIN, celui-ci ne peut pas être utilisé pour accéder à son compte sur le domaine Windows à partir d’une autre machine ou à distance.
L’authentification Windows Hello for Business est également particulièrement utile dans les scénarios hors ligne : les données de Windows Hello étant stockées localement, les utilisateurs peuvent s’authentifier même s’ils n’ont pas de connexion à internet ou au réseau privé virtuel (VPN) de leur entreprise.
Comparaison avec d’autres méthodes d’authentification
Les options d’authentification fournies par Windows Hello for Business constituent une amélioration de la sécurité par rapport aux mots de passe traditionnels. Les identifiants PIN et biométriques sont spécifiques à chaque appareil, ce qui empêche leur divulgation de compromettre d’autres parties de votre infrastructure informatique.
La biométrie offre une sécurité accrue par rapport aux codes PIN (lorsqu’elle est autorisée), car les identifiants biométriques sont incroyablement difficiles à voler et ne peuvent pas être devinés ou forcés.
Gérez facilement les configurations de sécurité
Gérer si oui ou non les utilisateurs peuvent se connecter avec un code PIN à Windows 10 n’est qu’une des options de configuration que vous pouvez vouloir déployer pour un sous-ensemble d’utilisateurs de domaine (par exemple, pour simplifier la connexion), ou à l’échelle de l’organisation (par exemple, pour répondre à des exigences réglementaires).
Les domaines Windows simplifient considérablement la gestion des flottes d’appareils Windows et des personnes qui les utilisent. Cependant, dans les déploiements à l’échelle de l’entreprise avec des centaines ou des milliers d’appareils, il est difficile de maintenir la visibilité et de s’assurer que chaque appareil est sécurisé tout en répondant aux besoins individuels des utilisateurs. De plus, bien que l’utilisation de Windows Hello présente des avantages en termes de sécurité, les méthodes d’authentification disponibles sur un appareil donné ne garantissent pas sa sécurité.
Une solution de gestion des appareils mobiles (MDM) de NinjaOne permet de superviser l’ensemble de votre infrastructure informatique. Elle vous permet de gérer les configurations de sécurité, de surveiller les activités suspectes et de verrouiller les appareils perdus, volés ou compromis, en protégeant les données qu’ils contiennent, même si les informations d’identification de leur propriétaire ont été compromises.