Réinitialisation du mot de passe pour les devices joints à Azure Active Directory (AADJ)

de | 29 décembre 2017

Bonne nouvelle pour les utilisateurs qui oublient régulièrement leur mot de passe d’ouverture de session !

La mise à jour de novembre pour Windows 10 1709 (Fall Creators Update) permet aux utilisateurs disposant de périphériques Azure AD-join (AADJ) d’utiliser le lien “Réinitialiser le mot de passe” sur leur écran de verrouillage.

Lorsqu’ils cliquent sur ce lien, les utilisateurs sont confrontés à la même expérience de réinitialisation de mot de passe en libre-service (SSPR) que lorsqu’ils se connectent à partir d’un navigateur.

Voici un apercu du processus de réinitialisation du mot de passe :

Windows 10 Fall Creators update reset password screen

Windows 10 Creators update reset password screen

Comment activer cette fonctionnalité ?

  1. Un administrateur global du tenant est nécessaire afin de créer la policy MDM nécessaire.
  2. La procédure ci dessous vous permet de créer et d’assigner cette policy à vos devices AADJ.

Créer une stratégie de configuration d’appareil dans Intune

  1. Connectez-vous au portail Azure et cliquez sur Intune.
  2. Créez un profil de configuration d’appareil en cliquant sur Configuration de l’appareil > Profils > Créer un profil
    • Attribuez un nom explicite au profil
    • Indiquez éventuellement une description explicite du profil
    • Plateforme Windows 10 ou plus
    • Type de profil personnalisé

    CreateProfile

  3. Configurez les paramètres
    • Ajoutez le paramètre OMA-URI suivant pour activer le lien de réinitialisation du mot de passe
      • Entrez un nom explicite pour expliquer l’action du paramètre
      • Indiquez éventuellement une description explicite du paramètre
      • Paramètre OMA-URI défini sur ./Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
      • Paramètre Type de données défini sur la valeur Entier
      • Paramètre Valeur défini sur 1
      • Cliquez sur OK
    • Cliquez sur OK
  4. Cliquez sur Créer

Affecter une stratégie de configuration d’appareil dans Intune

  1. Connectez-vous au portail Azure et cliquez sur Azure Active Directory.
  2. Accédez à Utilisateurs et groupes > Tous les groupes > Nouveau groupe
  3. Donnez un nom au groupe et, sous Type d’appartenance, choisissez Affecté
    • Sous Membres, choisissez les appareils Windows 10 joints au domaine Azure Active Directory auxquels vous souhaitez appliquer la stratégie.
    • Cliquez sur Sélectionner
  4. Cliquez sur Créer

Affectation

Microsoft recommande de n’utiliser cette méthode uniquement pour tester la procédure de modification du mot de passe.

  1. Se connecter à un appareil joint à Azure Active Directory (en tant qu’administrateur)
  2. Exécutez regedit en tant qu’administrateur
  3. Définissez la clé de Registre suivante
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      • "AllowPasswordReset"=dword:00000001

Sources :

https://docs.microsoft.com/en-us/azure/active-directory/active-directory-passwords-login

https://cloudblogs.microsoft.com/enterprisemobility/2017/11/20/resetting-passwords-on-azure-ad-joined-devices-is-much-easier-with-the-latest-windows-update/

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *