Comment activer ou désactiver la connexion avec code PIN des utilisateurs de domaine sur Windows 10

connexion avec code pin

La connexion avec code PIN est un moyen pratique de s’authentifier rapidement et de se connecter à son ordinateur sous Windows 10. Cependant, les administrateurs informatiques en charge des domaines Windows peuvent vouloir contrôler si les utilisateurs peuvent ou pas se connecter avec un code PIN sur Windows 10 pour des raisons de sécurité.

Ce guide étape par étape montre comment activer ou désactiver la connexion par code PIN pour les utilisateurs du domaine dans Windows 10 à l’aide de la stratégie de groupe. Il explique également les avantages et les implications en termes de sécurité de la connexion par code PIN par rapport aux autres options de connexion à Windows et explique comment gérer au mieux la manière dont les utilisateurs du domaine Windows se connectent – dans les environnements d’entreprise.

Authentification par code PIN pour Windows 10 et Windows Hello for Business

Windows Hello for Business propose un certain nombre de moyens pratiques pour se connecter à un domaine Windows sans mot de passe. Il s’agit notamment de l’authentification biométrique (par balayage du visage ou empreinte digitale) et de l’authentification par code PIN pour les utilisateurs du domaine Windows 10.

Les codes PIN constituent un moyen rapide de se connecter à un appareil Windows sans avoir à saisir un mot de passe à chaque fois. Par défaut, ils sont composés de 4 chiffres, mais ils peuvent être plus complexes pour une sécurité accrue. L’authentification Windows Hello est configurée par appareil et n’est pas stockée avec les informations de connexion de l’utilisateur sur le contrôleur de domaine Windows.

De manière quelque peu contre-intuitive, cela peut rendre l’authentification par code PIN plus sûre que l’authentification par mot de passe (même si le code PIN est plus court que le mot de passe utilisateur) : lorsqu’un code PIN est utilisé pour se connecter, le mot de passe de l’utilisateur n’est pas saisi (il ne peut donc pas être vu par quelqu’un à proximité ou capturé par des enregistreurs de frappe), et il n’est pas non plus transmis au contrôleur de domaine. Ainsi, si un code PIN est compromis, seul cet appareil est affecté : le mot de passe et tous les comptes sécurisés par ce dernier restent privés.

Les données utilisées pour les identifiants Windows Hello sont fortement chiffrées et stockées en toute sécurité à l’aide d’un Trusted Platform Module (TPM, module de plateforme sécurisé), de sorte qu’elles sont difficiles à pirater et offrent une meilleure protection contre les attaques par force brute.

Raisons pour lesquelles activer ou désactiver la connexion par code PIN pour les utilisateurs de domaine

L’activation de l’authentification par code PIN et de Windows Hello pour les utilisateurs de domaine Windows 10 présente les avantages suivants :

  • Sécurité renforcée : Windows Hello utilisant l’authentification biométrique ou un code PIN, soutenu par un TPM matériel, cela réduit le risque que les mots de passe soient volés et utilisés sur d’autres systèmes.
  • Confort d’utilisation : les codes PIN sont généralement beaucoup plus courts que les mots de passe et plus faciles à mémoriser, ce qui signifie qu’ils peuvent être modifiés et qu’ils sont beaucoup moins susceptibles d’être oubliés.
  • Authentification forte: Windows Hello, y compris l’utilisation de codes PIN, peut être combiné avec d’autres méthodes d’authentification prises en charge par Active Directory ou Windows Entra ID pour une protection renforcée et multifactorielle, tout en restant pratique pour les utilisateurs.

Bien que, techniquement, Windows Hello offre une commodité et une sécurité accrues par rapport à la connexion traditionnelle par mot de passe, il existe de bonnes raisons pour lesquelles les administrateurs de domaines Windows peuvent choisir de désactiver la connexion par code PIN :

  • Conformité : les réglementations ou les politiques internes peuvent stipuler les méthodes que les utilisateurs peuvent utiliser pour se connecter, y compris la complexité des mots de passe, ce qui peut interdire les codes PIN.
  • Facilité d’utilisation : les utilisateurs habitués aux méthodes de connexion traditionnelles peuvent éprouver des difficultés lorsque plusieurs options de connexion sont proposées, et préfèrent que la connexion par code PIN et les autres fonctionnalités de Windows Hello soient désactivées.
  • Prise en charge matérielle : bien que Windows Hello (y compris l’authentification par code PIN) ne nécessite pas de TPM pour générer et stocker les clés de chiffrement, les administrateurs système peuvent préférer désactiver la fonctionnalité si un TPM (et le chiffrement et la sécurité améliorés qu’il fournit) n’est pas disponible sur tous les appareils dont ils sont responsables.
  • Contrôle centralisé : une méthode de connexion unique basée sur un mot de passe peut être préférée par les entreprises qui souhaitent limiter le nombre d’options de connexion qu’elles prennent en charge afin de rationaliser le dépannage.

Instructions étape par étape : Comment activer ou désactiver la connexion par code PIN pour les utilisateurs de domaine ?

Les instructions suivantes expliquent comment activer ou désactiver la connexion par code PIN pour les utilisateurs de domaine dans Windows 10 à l’aide de la stratégie de groupe dans Active Directory. Vous devrez vous connecter à un compte administrateur sur le domaine et avoir accès à un contrôleur de domaine avec la console de gestion des stratégies de groupe (GPMC). De plus, vous devrez utiliser Windows Server 2016 ou une version ultérieure pour utiliser Windows Hello for Business.

Pour activer l’ouverture de session par code PIN dans Windows 10 pour les utilisateurs de domaine, procédez comme suit :

  • Assurez-vous que vous êtes connecté à un contrôleur de domaine avec un compte administrateur
  • Faites un clic droit sur le bouton Démarrer et cliquez sur Exécuter
  • Entrez gpmc.msc pour ouvrir la console de gestion des stratégies de groupe
  • Créez un objet de stratégie de groupe (GPO) qui cible les utilisateurs, les groupes ou les autres unités organisationnelles (OU) pour lesquels vous souhaitez configurer la connexion par code PIN
  • Faites un clic droit sur la GPO nouvellement créée et cliquez sur Modifier
  • Dans l’Éditeur de stratégie de groupe, naviguez jusqu’à Configuration ordinateur\Modèles administratifs\Système\Connexion
  • Faites un clic droit sur le paramètre nommé Activer la connexion par code PIN et cliquez sur Modifier
  • Sélectionnez Activé pour activer la connexion par code PIN pour les utilisateurs de domaine Windows 10, puis cliquez sur OK
  • Redémarrez les PC Windows cibles de la stratégie de groupe ou exécutez gpupdate/force dans l’invite de commande de chaque machine pour vous assurer que la modification a bien été prise en compte.

Pour désactiver la connexion par code PIN pour les utilisateurs de domaine, suivez les mêmes étapes mais désactivez l’option correspondante :

  • Une fois que vous avez accédé à Configuration ordinateur\Modèles administratifs\Système\Connexion dans l’éditeur de stratégie de groupe, faites un clic droit sur le paramètre Activer la connexion par code PIN et cliquez sur Modifier
  • Sélectionnez Désactivé ou Non configuré pour désactiver la connexion par code PIN pour les utilisateurs de domaine Windows 10, puis cliquez sur OK
  • Redémarrez les PC Windows cibles de la stratégie de groupe ou exécutez gpupdate/force dans l’invite de commande de chaque machine pour vous assurer que la modification a bien été prise en compte.

Si les modifications apportées à la manière dont les utilisateurs de votre domaine Windows peuvent se connecter ne prennent pas effet, assurez-vous que vous ciblez les bonnes OU et qu’il n’y a pas de conflits de stratégies : la stratégie la plus restrictive aura toujours la priorité en cas de conflit.

Cas d’utilisation de l’authentification par code PIN dans les environnements de domaine

La gestion de la connexion des utilisateurs à Windows 10 à l’aide de la stratégie de groupe est un moyen pratique pour les administrateurs de gérer de manière centralisée les options de connexion de leurs utilisateurs. La nature précise des objets de stratégie de groupe signifie qu’ils peuvent être attribués à des OU et n’affecter que des utilisateurs ciblés.

Le code PIN est pratique pour les utilisateurs qui partagent des postes de travail et qui doivent pouvoir se connecter et se déconnecter rapidement, par exemple dans les entreprises ou les établissements d’enseignement. Comme les PIN ne fonctionnent que sur l’appareil spécifique sur lequel ils sont configurés, ils offrent également une protection contre le phishing (hameçonnage) : même si un utilisateur divulgue accidentellement son PIN, celui-ci ne peut pas être utilisé pour accéder à son compte sur le domaine Windows à partir d’une autre machine ou à distance.

L’authentification Windows Hello for Business est également particulièrement utile dans les scénarios hors ligne : les données de Windows Hello étant stockées localement, les utilisateurs peuvent s’authentifier même s’ils n’ont pas de connexion à internet ou au réseau privé virtuel (VPN) de leur entreprise.

Comparaison avec d’autres méthodes d’authentification

Les options d’authentification fournies par Windows Hello for Business constituent une amélioration de la sécurité par rapport aux mots de passe traditionnels. Les identifiants PIN et biométriques sont spécifiques à chaque appareil, ce qui empêche leur divulgation de compromettre d’autres parties de votre infrastructure informatique.

La biométrie offre une sécurité accrue par rapport aux codes PIN (lorsqu’elle est autorisée), car les identifiants biométriques sont incroyablement difficiles à voler et ne peuvent pas être devinés ou forcés.

Gérez facilement les configurations de sécurité

Gérer si oui ou non les utilisateurs peuvent se connecter avec un code PIN à Windows 10 n’est qu’une des options de configuration que vous pouvez vouloir déployer pour un sous-ensemble d’utilisateurs de domaine (par exemple, pour simplifier la connexion), ou à l’échelle de l’organisation (par exemple, pour répondre à des exigences réglementaires).

Les domaines Windows simplifient considérablement la gestion des flottes d’appareils Windows et des personnes qui les utilisent. Cependant, dans les déploiements à l’échelle de l’entreprise avec des centaines ou des milliers d’appareils, il est difficile de maintenir la visibilité et de s’assurer que chaque appareil est sécurisé tout en répondant aux besoins individuels des utilisateurs. De plus, bien que l’utilisation de Windows Hello présente des avantages en termes de sécurité, les méthodes d’authentification disponibles sur un appareil donné ne garantissent pas sa sécurité.

Une solution de gestion des appareils mobiles (MDM) de NinjaOne permet de superviser l’ensemble de votre infrastructure informatique. Elle vous permet de gérer les configurations de sécurité, de surveiller les activités suspectes et de verrouiller les appareils perdus, volés ou compromis, en protégeant les données qu’ils contiennent, même si les informations d’identification de leur propriétaire ont été compromises.

Pour aller plus loin

Pour créer une équipe informatique efficace et performante, il est essentiel d’avoir une solution centralisée qui joue le rôle de nœud principal pour vos services. NinjaOne permet aux équipes informatiques de surveiller, gérer, sécuriser et prendre en charge tous les appareils, où qu’ils soient, sans avoir besoin d’une infrastructure complexe sur site.

Pour en savoir plus sur NinjaOne Endpoint Management, participez à une visite guidée, ou profitez d’un essai gratuit de la plateforme NinjaOne.

Vous pourriez aussi aimer

Prêt à devenir un Ninja de l’informatique ?

Découvrez comment NinjaOne peut vous aider à simplifier les opérations informatiques.
×

Voir NinjaOne en action !

En soumettant ce formulaire, j'accepte la politique de confidentialité de NinjaOne.

Termes et conditions NinjaOne

En cliquant sur le bouton “J’accepte” ci-dessous, vous indiquez que vous acceptez les termes juridiques suivants ainsi que nos conditions d’utilisation:

  • Droits de propriété: NinjaOne possède et continuera de posséder tous les droits, titres et intérêts relatifs au script (y compris les droits d’auteur). NinjaOne vous accorde une licence limitée pour l’utilisation du script conformément à ces conditions légales.
  • Limitation de l’utilisation: Les scripts ne peuvent être utilisés qu’à des fins personnelles ou professionnelles internes légitimes et ne peuvent être partagés avec d’autres entités.
  • Interdiction de publication: Vous n’êtes en aucun cas autorisé à publier le script dans une bibliothèque de scripts appartenant à, ou sous le contrôle d’un autre fournisseur de logiciels.
  • Clause de non-responsabilité: Le texte est fourni “tel quel” et “tel que disponible”, sans garantie d’aucune sorte. NinjaOne ne promet ni ne garantit que le script sera exempt de défauts ou qu’il répondra à vos besoins ou attentes particulières.
  • Acceptation des risques: L’utilisation du script est sous votre propre responsabilité. Vous reconnaissez qu’il existe certains risques inhérents à l’utilisation du script, et vous comprenez et assumez chacun de ces risques.
  • Renonciation et exonération de responsabilité: Vous ne tiendrez pas NinjaOne pour responsable des conséquences négatives ou involontaires résultant de votre utilisation du script, et vous renoncez à tout droit ou recours légal ou équitable que vous pourriez avoir contre NinjaOne en rapport avec votre utilisation du script.
  • EULA: Si vous êtes un client de NinjaOne, votre utilisation du script est soumise au contrat de licence d’utilisateur final qui vous est applicable (End User License Agreement (EULA)).