Renforcer la sécurité de Windows Device Trust avec Trusted Platform Module (TPM)

Ce document décrit comment tirer parti des avantages de la sécurité du standard Trusted Platform Module (TPM) en installant la tâche d'enregistrement de l'appareil Okta version 1.4.1 ou ultérieure sur vos ordinateurs Windows sécurisés par Device Trust et reliés à un domaineavec TPM 1.2 ou 2.0. Utilisez ce document en conjonction avec le document principal Okta Device Trust pour Windows, Installation forcée d'Okta Device Trust pour les ordinateurs Windows gérés.

TPM est une micropuce intégrée à la plupart des ordinateurs Windows. Elle est conçue pour fournir des fonctions de sécurité résistantes à la falsification, principalement grâce à l'utilisation de clés chiffrées. Lorsqu'il est utilisé avec la solution Okta Device Trust pour les ordinateurs Windows, TPM empêche les acteurs malveillants de copier la clé privée des appareils Windows. Si TPM est présent et activé sur l'appareil, l'installation de la tâche d'enregistrement de l'appareil Okta version 1.4.1 ou ultérieure génère une clé matérielle utilisée par la solution Okta Device Trust pour les ordinateurs Windows. Si un appareil ne possède pas de TPM, ou si vous installez la tâche d'enregistrement version 1.4.1 ou une version ultérieure en utilisant la méthode qui ne prend pas en charge le TPM (décrite ci-dessous), la tâche d'enregistrement génère une clé logicielle (comportement antérieur à la version 1.4.1).

Conditions préalables

  • Tâche d'enregistrement de l'appareil Okta 1.4.1 ou version ultérieure
  • Ordinateurs reliés à un domaine Windows
  • Windows 8 et 10, 32 et 64 bits
  • Navigateurs Internet Explorer, Edge et Chrome
  • TPM est activé et détenu. Pour connaître la définition de ces termes, consultez le document Microsoft Notions de base de TPM.
  • Les ordinateurs Windows 10 exécutant la version 1803 build 17134.254 ou antérieure doivent avoir la mise à jour cumulative KB4346783.
  • Les avantages de la sécurité TPM ne prendront pas effet sur les appareils Windows déjà inscrits dans cette solution Device Trust jusqu'à ce que le certificat soit renouvelé.
  • Pour certains ordinateurs Windows, il peut être nécessaire d'activer TPM dans le BIOS (bien qu'il soit généralement activé par défaut). Si TPM n'est pas activé, la tâche d'enregistrement de l'appareil Okta génère une clé logicielle au lieu d'une clé matérielle.

Vous pouvez utiliser GPO pour configurer de manière centralisée plusieurs services TPM.

Procédures

Effectuez la procédure pour obtenir et installer la tâche d'enregistrement de l'appareil. Effectuez les autres procédures si elles sont appropriées à votre implémentation.

Obtenir et installer la tâche d'enregistrement des appareils

  1. Dans Admin Console, accédez à ParamètresTéléchargements, faites défiler jusqu'à Agents Windows Okta Device Trust et téléchargez Okta Device Registration Task version 1.4.1 ou ultérieure.
  2. Installez la tâche d'enregistrement conformément à la section Appliquer Okta Device Trust pour les ordinateurs Windows gérés.

    Portez une attention toute particulière aux informations sur les serveurs proxy et la gestion des certificats de la section Appliquer Okta Device Trust pour les ordinateurs Windows gérés.

    Si vos ordinateurs Windows 10 exécutent la version 1803 build 17134.254 ou antérieure, vous devez installer la mise à jour cumulative KB4346783. La mise à jour « Addresses an issue where Microsoft Edge or other UWP applications can't perform client authentication when the private key is stored on a TPM 2.0 device » (résout un problème où Microsoft Edge ou d'autres applications UWP ne peuvent pas effectuer l'authentification du client lorsque la clé privée est stockée sur un appareil TPM 2.0). (Consultez l'article de Microsoft KB4346783 [build 17134.254 du système d'exploitation].) Sans la mise à jour, les utilisateurs avec des ordinateurs Windows de confiance ne sont pas en mesure d'accéder aux applications UWP sécurisées par l'approbation de l'appareil ou à Edge.

Installez la tâche d'enregistrement de l'appareil sans amélioration de la sécurité TPM (facultatif).

Vous pouvez installer la version 1.4.1 avec ou sans activer les améliorations de sécurité TPM. Dans tous les cas, la version 1.4.1 fournit les correctifs suivants :

  • Correction d'un problème qui entraînait la suppression des paramètres du navigateur Chrome lorsque la tâche d'enregistrement de l'appareil était désinstallée.

  • Correction d'un problème suite auquel la désinstallation de la tâche d'enregistrement de l'appareil supprimait le paramètre de sélection automatique des certificats dans Chrome. Le paramètre est conçu pour empêcher le navigateur d'inviter les utilisateurs finaux à sélectionner le certificat pendant le flux d'approbation d'appareil.

Si vous ne souhaitez pas tirer parti des avantages de la sécurité TPM activée par la tâche d'enregistrement de l'appareil Okta version 1.4.1, vous pouvez inclure l'argument SkipTPM=true dans la commande d'installation, comme indiqué ci-dessous :

OktaDeviceRegistrationTaskSetup.exe /q2 OktaURL=<URL> SkipTPM=true

Vérifiez le statut de TPM (facultatif)

Il peut être utile de vérifier le statut de TPM. Pour ce faire, ouvrez la console Gestion TPM à partir d'une invite de commande ou du menu Démarrer.

  • Dans une invite de commande, saisir TPM.msc
  • Dans le champ de recherche du bouton Démarrer, saisir TPM

Problèmes connus

  • La sécurité TPM n'est pas implémentée lorsqu'Okta Device Registration Task 1.4.1 est installé sur des ordinateurs Windows 7 : la version 1.4.1 fonctionne avec les ordinateurs Windows 7, mais sans les améliorations de la sécurité TPM. Une clé logicielle est générée au lieu d'une clé matérielle En outre, la version 1.4.1 fournit d'autres correctifs sans rapport avec la sécurité TPM.
  • Une mise à jour est nécessaire pour les appareils Windows 10 exécutant la version 1803 build 17134.254 ou antérieure.

    Si vos ordinateurs Windows 10 exécutent la version 1803 build 17134.254 ou antérieure, vous devez installer la mise à jour cumulative KB4346783. La mise à jour « Addresses an issue where Microsoft Edge or other UWP applications can't perform client authentication when the private key is stored on a TPM 2.0 device » (résout un problème où Microsoft Edge ou d'autres applications UWP ne peuvent pas effectuer l'authentification du client lorsque la clé privée est stockée sur un appareil TPM 2.0). (Consultez l'article de Microsoft KB4346783 [build 17134.254 du système d'exploitation].) Sans la mise à jour, les utilisateurs avec des ordinateurs Windows de confiance ne sont pas en mesure d'accéder aux applications UWP sécurisées par l'approbation de l'appareil ou à Edge.

  • Vous devez supprimer manuellement l'ancien certificat si vous passez de la version 1.4.0 à la version 1.3.1 de Device Registration Task. Sinon, l'exception suivante est déclenchée : Type de fournisseur non valide.

Supprimer manuellement le certificat

  1. Accédez à Démarrer et saisissez mmc dans le champ de recherche pour ouvrir la console.
  2. Accédez à Fichier et cliquez sur Add/Remove Snap-in (Ajouter/Supprimer le composant logiciel enfichable).
  3. Sélectionnez Certificats, puis cliquez sur Ajouter.
  4. Dans la boîte de dialogue Certificats du composant logiciel enfichable, sélectionnez Mon compte utilisateur.
  5. Cliquez sur Terminer.
  6. Cliquez sur OK.
  7. Sous Racine de la console, développez Certificats – Utilisateur actuel.
  8. Développez le dossier Personnel, cliquez sur Certificats, faites un clic droit sur le certificat Okta MTLS, puis choisissez Supprimer.

Rubriques liées

Installation forcée d'Okta Device Trust pour les ordinateurs Windows gérés

Recommandations TPM

Notions de base de TPM

Vue d'ensemble de la technologie Trusted Platform Module

Mise à jour cumulative KB4346783

Résoudre les problèmes TPM

Paramètres de la politique du groupe TPM