MENU
  1. Accueil
  2. Microsoft 365
  3. Intune : configurer l’expiration du code PIN Windows Hello (Windows 10/11)

Intune : configurer l’expiration du code PIN Windows Hello (Windows 10/11)

Microsoft 365

Vous devez imposer une rotation du code PIN Windows Hello avec Intune ? Voici un guide pas à pas (locataire ou ciblage par groupes), des réglages prêts à l’emploi, des conseils de déploiement, de supervision et de dépannage pour concilier sécurité et conformité.

Sommaire

Vue d’ensemble de la question

De nombreuses organisations souhaitent aligner le cycle de vie du code PIN Windows Hello for Business (WHfB) sur celui des mots de passe. L’objectif : forcer un renouvellement périodique (ex. tous les 45 jours) tout en gérant la configuration centralement dans Microsoft Intune. La difficulté provient de la nature du PIN : il est lié à l’appareil, ne se synchronise pas avec la stratégie de mot de passe d’Azure AD/Entra ID et se gère via des paramètres spécifiques Windows Hello.

Bonne nouvelle : deux approches simples existent dans Intune — la configuration au niveau du locataire (tenant‑wide) et une stratégie ciblée par groupes via le Settings catalog. Vous trouverez ci‑dessous la procédure complète, des recommandations de valeurs, des points d’attention et un plan de test/déploiement.

Réponse & solution : procédure rapide

Accès à la stratégie au niveau du locataire

  1. Ouvrez le Centre d’administration Microsoft Intune.
  2. Accédez à : DevicesEnroll devicesWindows enrollmentWindows Hello for Business.
  3. Positionnez Configure Windows Hello for Business sur Enable.

Paramétrage de l’expiration du PIN

  1. Dans la section PIN policy (ou PIN complexity selon l’interface), définissez PIN expiration (days) sur la durée souhaitée (par défaut : 41 jours).
  2. Activez si besoin des paramètres complémentaires : Minimum PIN length, Lowercase/Uppercase/Numeric/Special characters, History.
  3. Cliquez sur Save. La stratégie s’applique aux appareils Windows 10/11 inscrits et futurs.

Points d’attention et bonnes pratiques

  • Indépendance du mot de passe : le PIN WHfB est local à l’appareil et distinct du mot de passe Azure AD/Entra ID. Son cycle de vie se règle donc séparément.
  • Ciblage granulaire : pour des délais différents (ex. 45 jours pour les admins, 90 jours pour le reste), préférez une stratégie Settings catalog ciblée sur des groupes plutôt que la stratégie locataire globale.
  • Supervision : servez‑vous des rapports Intune (profil/per‑setting) et du suivi Windows Hello for Business pour vérifier l’adoption et repérer les échecs.
  • Communication : informez les utilisateurs (mail, FAQ interne, pas‑à‑pas) pour éviter les pics de tickets lors de la première échéance.

Méthode locataire : configuration Windows Hello for Business

Cette méthode est idéale si vous souhaitez un même délai d’expiration pour tout le monde et un temps de mise en œuvre minimal.

Étapes détaillées

  1. Dans Intune, ouvrez DevicesEnroll devicesWindows enrollmentWindows Hello for Business.
  2. Activez Configure Windows Hello for Business (Enable).
  3. Dans PIN policy / PIN complexity, définissez :
    • PIN expiration (days) : mettez la valeur cible (ex. 45).
    • Minimum PIN length, Maximum PIN length : par exemple 6 à 127 selon vos exigences.
    • Lowercase/Uppercase/Numeric/Special characters : activez les types de caractères autorisés (un PIN WHfB peut contenir lettres et symboles si la politique le permet).
    • History : nombre d’anciens PIN à empêcher (ex. 5).
  4. Enregistrez avec Save.

Conseil : même si vous cherchez surtout à imposer une rotation, profitez‑en pour harmoniser la longueur minimale et la complexité afin de réduire le risque de PIN trop simples.

Quand choisir cette méthode ?

  • Vous ne prévoyez pas de variations par population.
  • Vous souhaitez une configuration unique et rapide.
  • Vous débutez avec Windows Hello for Business et préférez centraliser au même endroit.

Méthode granulaire : stratégie Settings catalog (par groupes)

Cette méthode offre un ciblage précis (groupes d’utilisateurs ou d’appareils), utile pour imposer des échéances différentes ou des règles spécifiques par périmètre.

Création de la stratégie

  1. Dans Intune, ouvrez DevicesConfiguration (ou Device configuration) ▸ ProfilesCreate profile.
  2. Plateforme : Windows 10 and later. Type : Settings catalog.
  3. Recherchez Windows Hello for Business ou PIN. Ajoutez les paramètres de PIN complexity, notamment :
    • Expiration (days)
    • Minimum PIN length / Maximum PIN length
    • Lowercase letters, Uppercase letters, Digits, Special characters
    • History
  4. Attribuez la stratégie à un groupe Azure AD/Entra ID (utilisateurs ou appareils) représentant la population ciblée.
  5. Enregistrez et déployez.

Bonnes pratiques de ciblage

  • Groupes dédiés : créez des groupes clairs (« Sec‑Admins‑WHfB‑45J », « Standard‑Users‑WHfB‑90J »), séparez bien utilisateurs et appareils.
  • Exclusions : si un profil locataire existe, excluez les groupes concernés par les stratégies granulaire pour éviter les conflits.
  • Ne mélangez pas les valeurs : pour le même périmètre, évitez deux stratégies qui fixent Expiration (days) à des valeurs différentes.

Paramètres utiles et recommandations

Voici un récapitulatif des principaux réglages WHfB utiles lorsque l’on introduit une expiration de PIN :

ParamètreButRecommandation typeRemarques
PIN expiration (days)Force le renouvellement périodique du PIN.45 jours pour populations sensibles, 90–180 jours sinon (selon conformité).Valeur par défaut visible dans le portail : 41 jours. Ajustez selon votre politique.
Minimum PIN lengthEmpêche les PIN trop courts.6–8 caractères minimum.Augmentez (ex. 8) si vous autorisez lettres/symboles.
Maximum PIN lengthLimite supérieure optionnelle.64 ou plus si outils/UX le permettent.Utile pour encadrer des politiques complexes.
Lowercase/Uppercase/Digits/Special charactersIntroduit une complexité au‑delà des chiffres.Autorisez au moins Digits + Lowercase ou Uppercase.Plus de complexité = meilleure entropie mais impact UX.
HistoryEmpêche la réutilisation des anciens PIN.5 dernières valeurs (ou plus).Réduit l’alternance entre deux PIN proches.

Astuce : le mécanisme anti‑martelage du TPM limite déjà les essais successifs de PIN. L’expiration reste utile pour les environnements soumis à des audits ou à des exigences réglementaires, mais évitez des délais trop courts qui dégradent l’expérience et peuvent favoriser des PIN prévisibles.

Déploiement : plan de mise en œuvre conseillé

Pilote

  • Sélectionnez un groupe pilote (IT, support, champions) couvrant plusieurs modèles d’appareils et scénarios (télétravail, VDI physique, terrain).
  • Appliquez la stratégie (locataire ou catalog) et laissez un cycle complet s’écouler pour observer le premier renouvellement forcé.

Communication

  • Envoyez un e‑mail d’annonce avec date d’entrée en vigueur, captures d’écran (si possible en interne) et une FAQ (voir plus bas).
  • Ajoutez un pas‑à‑pas dans votre portail interne (Mon compteOptions de connexionPIN Windows HelloModifier).

General availability

  • Déployez par vagues : VIP & adminsdépartements sensiblesgénéralisation.
  • Surveillez les retours et ajustez si besoin Expiration (days), History et Minimum PIN length.

Supervision et contrôle

  • Rapports Intune : utilisez les vues « par profil » et « par paramètre » pour vérifier la livraison de la stratégie sur les appareils et identifier les conflits éventuels.
  • Suivi Windows Hello : contrôlez l’activation et l’usage de WHfB par utilisateur (inscriptions, erreurs), et corrélez avec vos groupes cibles.
  • État appareil : sur la fiche d’un appareil, consultez la section Device configuration / Settings pour vérifier la valeur effective.

Indicateurs utiles : taux d’appareils configurés, nombre d’échecs de déploiement, appareils en retard de renouvellement, tickets ouverts liés au PIN, temps moyen de résolution.

Expérience utilisateur : à quoi s’attendre

À l’échéance, Windows affiche une demande de changement de PIN lors de la connexion ou via l’Assistant de sécurité Windows. L’utilisateur peut aussi anticiper en allant dans ParamètresComptesOptions de connexionPIN (Windows Hello)Modifier. Si la politique impose des caractères spécifiques (ex. lettres et symboles), l’interface l’indique et bloque les PIN non conformes.

Important : le PIN est propre à chaque appareil. Un utilisateur multi‑appareils devra le renouveler sur chacun des postes qui lui sont attribués.

Dépannage : problèmes courants et solutions

Le renouvellement ne se déclenche pas

  • Vérifiez que l’appareil voit la stratégie (rapport par paramètre) et que les valeurs ne sont pas en « Conflict ».
  • Assurez‑vous que Windows Hello for Business est activé et pris en charge par l’appareil (TPM opérationnel, OS à jour, appareil joint Azure AD/Entra ID ou hybride).
  • Demandez un sync de l’appareil (Centre d’entreprise / Company Portal ou Sync depuis Intune), puis reconnectez l’utilisateur.

Conflits entre stratégies

  • Évitez d’avoir à la fois une valeur d’expiration sur la stratégie locataire et une autre sur une stratégie Settings catalog pour le même groupe. Harmonisez ou utilisez des exclusions.
  • Si plusieurs profils ciblent le même appareil avec des valeurs différentes, consolidez (un seul profil « PIN complexity » par population).

Option Windows Hello indisponible

  • Sur l’appareil, contrôlez la santé du TPM (Gestion du TPM) et l’état d’activation de Windows Hello for Business.
  • Vérifiez qu’aucune stratégie concurrente (GPO héritée, profil tiers) ne désactive WHfB.

Forcer un changement immédiat pour un utilisateur

  • Augmentez temporairement la valeur de History et réduisez l’échéance (ou supprimez puis recréez le PIN localement si vous avez les procédures et droits adéquats).
  • Évitez la suppression manuelle des dossiers systèmes liés à WHfB en production sans procédure approuvée.

Gouvernance : sécurité, conformité et UX

  • Équilibrer sécurité et charge cognitive : des expirations trop fréquentes entraînent souvent des PIN faciles à deviner. Préférez une longueur minimale plus élevée et un historique robuste.
  • Populations sensibles : imposez une expiration plus courte et, si possible, des facteurs complémentaires (FIDO2, MFA).
  • Contexte réglementaire : alignez les durées sur vos politiques internes, référentiels métier ou obligations client.

FAQ

Le PIN Windows Hello est‑il synchronisé entre appareils ?
Non. Il est lié à chaque appareil, protégé par le TPM. Un utilisateur doit donc renouveler son PIN sur chaque poste qu’il utilise.

Puis‑je empêcher la réutilisation des PIN ?
Oui, via le paramètre History (valeur conseillée : 5 ou plus).

Dois‑je activer lettres et symboles dans le PIN ?
C’est optionnel. Activer lettres/symboles augmente l’entropie. Compensez l’impact UX par une longueur minimale raisonnable et une bonne communication.

Quelle méthode choisir : locataire ou Settings catalog ?
Pour une règle unique et rapide, la méthode locataire suffit. Pour des populations avec exigences différentes (admins, VIP, métiers régulés), préférez Settings catalog avec groupes dédiés et exclusions.

Le délai d’application est‑il immédiat ?
La prise en compte côté appareil dépend du cycle d’évaluation des stratégies et de la connectivité. Un sync manuel accélère généralement la livraison.

Modèle de communication interne

Objet : Mise à jour de sécurité – Renouvellement régulier du code PIN Windows Hello

À compter du [date], votre code PIN Windows Hello devra être renouvelé tous les [x] jours. Vous serez automatiquement invité à le modifier. Vous pouvez également l’anticiper : ParamètresComptesOptions de connexionPIN (Windows Hello)Modifier. En cas de difficulté, contactez le support IT.

Check‑list avant mise en production

  • Windows Hello for Business activé au niveau du locataire ou profil Settings catalog prêt (mais pas les deux sur la même population sans alignement).
  • Paramètres Expiration, Longueur min, Complexité, History définis et validés.
  • Groupes cibles et exclusions revus par la sécurité et l’exploitation.
  • Plan de communication et support (FAQ, macro de réponse, scénario de dépannage) prêts.
  • Rapports Intune configurés pour le suivi post‑déploiement.

Exemple de scénario de test

  1. Sur un appareil pilote, vérifiez que l’utilisateur dispose d’un PIN WHfB actif.
  2. Appliquez la stratégie avec Expiration (days) = 1 pour valider l’expérience de renouvellement.
  3. Forgez un nouveau PIN conforme aux règles (longueur/complexité) et constatez la prise en compte.
  4. Réglez la valeur finale (ex. 45 ou 90) et déployez sur la vague suivante.

Résumé

Pour imposer l’expiration du code PIN Windows Hello via Intune, deux chemins mènent au même résultat : la stratégie locataire (simple et globale) et le Settings catalog (granulaire par groupes). Définissez PIN expiration (days), ajustez la complexité et l’historique, communiquez en amont et suivez l’adoption via les rapports Intune. En procédant ainsi, vous alignez la rotation du PIN sur vos politiques de sécurité tout en limitant l’impact utilisateur.

En bref : Activez Windows Hello for Business, fixez l’échéance d’expiration, ciblez correctement, surveillez et ajustez. Vous disposez désormais d’un cadre clair et opérationnel pour piloter la rotation des PIN au sein de votre parc Windows 10/11.

Microsoft 365
sécurité Windows 11 Windows 10 Intune Azure AD Windows Hello for Business
Sommaire