Lorsque vous insérez une machine Windows 10 dans votre domaine Active Directory certains paramètres se grisent, c'est le cas de la gestion des empreintes digitales dans le composant Windows Hello.

Le message suivant est alors affiché :

"Certains paramètres sont gérés par votre entreprise"

Voyons comment ceci proprement pour toutes les versions de Windows 10, y compris pour la toute dernière version "1703".

Méthode sale via le registre

Vous n'avez pas envie de créer une GPO mais profiter du paramètre sur un PC en particulier ? Alors cette méthode (sale) est faite pour vous.

Saisir en invite de commande administrateur :

REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows\System /v AllowDomainPINLogon /t REG_DWORD /d 1

Redémarrer la machine.

Si vous aimez faire les choses proprement alors choisissez la méthode GPO qui suit.

Importer les modèles admx de Windows 10 / Server 2016

Pour gérer ce paramètre à travers une GPO nous devons ajouter des modèles d'administration (template) pour l'éditeur de stratégie de groupes (GPO editor).

Les template admx pour Windows 10 1703 ne sont pas encore disponibles, mais ceux de la version précédente fonctionnent sans problème.

Téléchargez et installez le pack "Windows 10 and Windows Server 2016 (version 2.0)" :

https://www.microsoft.com/fr-FR/download/details.aspx?id=53430

Rappel : une synthèse des fichiers admx est disponible ici.

Installez le pack sur une machine quelconque en Windows 7 ou 10, afin ne pas polluer votre DC.

Par défaut les fichiers template sont installés dans :

C:\Program Files (x86)\Microsoft Group Policy\Windows 10 and Windows Server 2016 (Version 2.0)\PolicyDefinitions

Nous avons besoin de copier ces 3 modèles :

Fichier Copier dans
CredentialProviders.admx \\societe.local\SYSVOL\societe.local\Policies\PolicyDefinitions
login.admx \\societe.local\SYSVOL\societe.local\Policies\PolicyDefinitions
passport.admx \\societe.local\SYSVOL\societe.local\Policies\PolicyDefinitions
fr-fr\login.adml \\societe.local\SYSVOL\societe.local\Policies\PolicyDefinitions\fr-fr
fr-fr\CredentialProviders.admx \\societe.local\SYSVOL\societe.local\Policies\PolicyDefinitions\fr-fr
fr-fr\passport.admx \\societe.local\SYSVOL\societe.local\Policies\PolicyDefinitions\fr-fr

Je vous conseille d'utiliser le compte admin du domaine pour réaliser cette opération afin d'éviter tout problème de permission.

note : j'ai utilisé uniquement les templates en français "fr-fr", à vous de choisir d'autres langues si nécessaire, cela ne concernera que l'affichage dans l'éditeur GPO, l'impact est donc mineur.

Création de la GPO

Créez une nouvelle GPO dans l'éditeur de gestion des stratégies de groupe , par exemple dans l'OU qui contient les ordinateurs portables.

Lui donner un nom explicite, par exemple "Win10_Hello_For_Business" puis clic droit > modifier.

Rendez-vous dans :

Configuration ordinateur \ Stratégies \ Modèles d'administration \ Système \ Ouverture de session

Sur le paramètre "Activer la connexion par le code PIN d'usage" choisir "activé" :

C'est tout.

Les paramètres concernant Windows Hello for Business peuvent rester sur "non configuré" :

Toute, rien ne vous empêche de les utiliser pour personnaliser la complexité du code PIN.

En effet, l'utilisation d'une empreinte digitale implique la création d'un code PIN en solution de secours.

Application de la GPO

Vous pouvez forcer la mise à jour via l'invite de commande :

gpupdate /force /boot

Sachez que plusieurs redémarrages peuvent s'avérer nécessaires avant que cette GPO s'applique sur le poste client.

Attention au code PIN

Attention car avec cette méthode vos utilisateurs risquent de générer des appels de support pour cause de perte de code PIN... cela n'a rien de méchant car ils peuvent toujours utiliser leur identifiant AD et mot de passe.

Note : l'option Hello n'est pas configurable en bureau à distance (RDP), le message "Windows Hello n'est pas disponible sur cet appareil" sera affiché. Vous devez être physiquement connecté sur la machine pour voir l'option.

Auteur : Mr Xhark

Fondateur du blog et passionné par les nouvelles techno, suivez-moi sur twitter