Se connecter avec Microsoft
S'identifier ou créer un compte.
Bonjour,
Sélectionnez un autre compte.
Vous avez plusieurs comptes
Choisissez le compte avec lequel vous voulez vous connecter.

Résumé

Cet article permet d’identifier et de corriger des problèmes dans les appareils concernés par la vulnérabilité décrite dans l’Avis de sécurité Microsoft ADV170012.

Cette procédure porte sur les scénarios d’utilisation Azure AD (AAD) et Windows Hello Entreprise (WHFB) suivants proposés par Microsoft :

  • Jonction Azure AD

  • Jonction Azure AD hybride

  • Azure AD inscrit

Informations supplémentaires

 Identification de votre scénario d’utilisation AAD 

  1. Ouvrez une fenêtre d’invite de commandes.

  2. Obtenez l’état de l’appareil en exécutant la commande suivante :

    dsregcmd.exe /status

  3. Dans le résultat de la commande, examinez les valeurs des propriétés répertoriées dans le tableau suivant pour déterminer votre scénario d’utilisation AAD.

    Propriété

    Description

    AzureAdJoined

    Indique si l’appareil est joint à Azure AD.

    EnterpriseJoined

    Indique si l’appareil est joint à AD FS. Cette propriété fait partie d’un scénario client local uniquement dans lequel Windows Hello Entreprise est déployé et géré localement.

    DomainJoined

    Indique si l’appareil est joint à un domaine Active Directory classique.

    WorkplaceJoined

    Indique si l’utilisateur actuel a ajouté un compte professionnel ou scolaire à son profil actuel. L’appareil est alors « inscrit à Azure AD ». Ce paramètre est ignoré par le système si l’appareil est AzureAdJoined.

Jonction Azure AD hybride

Si les propriétés DomainJoined et AzureAdJoined ont la valeur « yes » (oui), l’appareil est joint à Azure AD hybride. L’appareil est alors joint à un annuaire Azure Active Directory et à un domaine Active Directory classique.

Workflow

Les déploiements et les implémentations peuvent varier d’une organisation à l’autre. Nous avons conçu le workflow suivant pour fournir les outils nécessaires au développement de votre plan d’atténuation interne pour les appareils concernés. Le workflow contient les étapes suivantes :

  1. Identifiez les appareils concernés. Recherchez les modules de plateforme sécurisée (TPM), les clés et les appareils concernés dans votre environnement.

  2. Appliquez les mises à jour correctives aux appareils concernés. Corrigez les effets sur les appareils identifiés en suivant les étapes du scénario correspondant mentionnées dans cet article.

Remarque concernant l’effacement des modules TPM

Les modules de plateforme sécurisée (TPM) servent à stocker les secrets utilisés par divers services et applications. Par conséquent, l’effacement d’un module TPM peut avoir des impacts commerciaux imprévus ou négatifs. Avant d’effacer un module TPM, veillez à examiner et à confirmer que tous les services et applications qui utilisent les secrets TPM ont été correctement identifiés et préparés pour la suppression et la recréation de secrets.

Comment identifier les appareils concernés

Pour identifier les modules TPM concernés, consultez l’Avis de sécurité Microsoft ADV170012.

Comment appliquer les mises à jour correctives aux appareils concernés

Appliquez les étapes suivantes sur les appareils concernés en fonction de votre scénario d’utilisation AAD.

  1. Assurez-vous qu’il existe un compte d’administrateur local valide sur l’appareil ou créez un compte d’administrateur local.

    Remarque

    Il est recommandé de vous assurer du bon fonctionnement du compte en vous connectant à l’appareil à l’aide du nouveau compte d’administrateur local et de confirmer les autorisations correctes en ouvrant une invite de commandes avec élévation de privilèges.

     

  2. Si vous vous êtes connecté avec un compte Microsoft sur l’appareil, sélectionnez Paramètres > Comptes > Comptes de messagerie et d’application, puis supprimez le compte connecté.

  3. Installez une mise à jour du microprogramme pour l’appareil.

    Remarque

    Suivez les instructions du fabricant OEM pour appliquer la mise à jour du microprogramme du module TPM. Voir l’étape 4 : « Appliquez les mises à jour appropriées du microprogramme » dans l’Avis de sécurité Microsoft ADV170012 pour plus d’informations sur l’obtention de la mise à jour TPM auprès de votre fabricant OEM.

     

  4. Disjoignez l’appareil d’Azure AD.

    Remarque

    Avant de continuer, assurez-vous que votre clé BitLocker est sauvegardée dans un autre emplacement que l’ordinateur local.

    1. Sélectionnez Paramètres > Système > Informations système, puis cliquez sur Gérer ou se déconnecter de l’entreprise ou de l’école.

    2. Cliquez sur Connecté à <AzureAD>, puis sur Déconnecter.

    3. Cliquez sur Oui lorsque la demande de confirmation s’affiche.

    4. Cliquez sur Déconnecter lorsque vous êtes invité à télécharger à vous « déconnecter de l’organisation ».

    5. Entrez les informations sur le compte d’administrateur local correspondant à l’appareil.

    6. Cliquez sur Redémarrer ultérieurement.

  5. Effacez le module TPM.

    Remarque

    L’effacement du module TPM supprime toutes les clés et tous les secrets stockés sur votre appareil. Assurez-vous que les autres services qui utilisent le module TPM sont suspendus ou validés avant de continuer.


    Windows 8 ou version ultérieure : BitLocker est automatiquement suspendu si vous utilisez l’une des deux méthodes recommandées ci-dessous pour effacer votre module TPM.

    Windows 7 : Il est nécessaire de suspendre manuellement BitLocker avant de continuer. (Consultez des informations supplémentaires sur la suspension de BitLocker.)
     

    1. Pour effacer le module TPM, appliquez l’une des méthodes suivantes :

      • Utilisez Microsoft Management Console.

        1. Appuyez sur la touche Windows + R, tapez tpm.msc, puis cliquez sur OK.

        2. Cliquez sur Effacer le module de plateforme sécurisée.

      • Exécutez l’applet de commande Clear-Tpm.

    2. Cliquez sur Redémarrer.


      Remarque Vous pouvez être invité à effacer le module TPM au démarrage.

  6. Une fois l’appareil redémarré, connectez-vous à l’appareil à l’aide du compte d’administrateur local.

  7. Rejoignez l’appareil à Azure AD. Vous pouvez être invité à configurer un nouveau code confidentiel à la prochaine connexion.

  1. Si vous vous êtes connecté à l’aide d’un compte Microsoft sur l’appareil, sélectionnez Paramètres > Comptes > Comptes de messagerie et d’application, puis supprimez le compte connecté.

  2. Ouvrez une invite de commandes avec élévation de privilèges et exécutez la commande suivante :

    dsregcmd.exe /leave /debug

    Remarque

    Le résultat de la commande doit indiquer AzureADJoined : No.

     

  3. Installez une mise à jour du microprogramme pour l’appareil.

    Remarque

    Remarque Suivez les instructions du fabricant OEM pour appliquer la mise à jour du microprogramme du module TPM. Voir l’étape 4 : « Appliquez les mises à jour appropriées du microprogramme » dans l’Avis de sécurité Microsoft ADV170012 pour plus d’informations sur l’obtention de la mise à jour TPM auprès de votre fabricant OEM.

  4. Effacez le module TPM.

    Remarque

    L’effacement du module TPM supprime toutes les clés et tous les secrets stockés sur votre appareil. Assurez-vous que les autres services qui utilisent le module TPM sont suspendus ou validés avant de continuer.


    Windows 8 ou version ultérieure : BitLocker est automatiquement suspendu si vous utilisez l’une des deux méthodes recommandées ci-dessous pour effacer votre module TPM.

    Windows 7 : Il est nécessaire de suspendre manuellement BitLocker avant de continuer. (Consultez des informations supplémentaires sur la suspension de BitLocker.)

     

    1. Pour effacer le module TPM, appliquez l’une des méthodes suivantes :

      • Utilisez Microsoft Management Console.

        1. Appuyez sur la touche Windows + R, tapez tpm.msc, puis cliquez sur OK.

        2. Cliquez sur Effacer le module de plateforme sécurisée.

      • Exécutez l’applet de commande Clear-Tpm.

    2. Cliquez sur Redémarrer.


      Remarque Vous pouvez être invité à effacer le module TPM au démarrage.

Au démarrage de l’appareil, Windows génère de nouvelles clés et rejoint automatiquement l’appareil à Azure AD. Pendant cette opération, vous pouvez continuer à utiliser l’appareil. Toutefois, l’accès aux ressources telles que Microsoft Outlook, OneDrive et d’autres applications nécessitant l’authentification unique SSO ou des stratégies d’accès conditionnel peut être limité.

Remarque Si vous utilisez un compte Microsoft, vous devez connaître le mot de passe.

  1. Installez une mise à jour du microprogramme pour l’appareil.

    Remarque

    Suivez les instructions du fabricant OEM pour appliquer la mise à jour du microprogramme du module TPM. Voir l’étape 4 : « Appliquez les mises à jour appropriées du microprogramme » dans l’Avis de sécurité Microsoft ADV170012 pour plus d’informations sur l’obtention de la mise à jour TPM auprès de votre fabricant OEM.

     

  2. Supprimez le compte professionnel Azure AD.

    1. Sélectionnez Paramètres > Comptes > Accès Professionnel ou Scolaire, cliquez sur votre compte professionnel ou scolaire, puis sur Déconnecter.

    2. Cliquez sur Oui à l’invite pour confirmer la déconnexion.

  3. Effacez le module TPM.

    Remarque

    L’effacement du module TPM supprime toutes les clés et tous les secrets stockés sur votre appareil. Assurez-vous que les autres services qui utilisent le module TPM sont suspendus ou validés avant de continuer.


    Windows 8 ou version ultérieure : BitLocker est automatiquement suspendu si vous utilisez l’une des deux méthodes recommandées ci-dessous pour effacer votre module TPM.

    Windows 7 : Il est nécessaire de suspendre manuellement BitLocker avant de continuer. (Consultez des informations supplémentaires sur la suspension de BitLocker.)

     

    1. Pour effacer le module TPM, appliquez l’une des méthodes suivantes :

      • Utilisez Microsoft Management Console.

        1. Appuyez sur la touche Windows + R, tapez tpm.msc, puis cliquez sur OK.

        2. Cliquez sur Effacer le module de plateforme sécurisée.

      • Exécutez l’applet de commande Clear-Tpm.

    2. Cliquez sur Redémarrer.


      Remarque Vous pouvez être invité à effacer le module TPM au démarrage.

    3. Si vous avez utilisé un compte Microsoft associé à un code confidentiel, vous devez vous connecter à l’appareil à l’aide du mot de passe.

    4. Rajoutez le compte professionnel à l’appareil.

      1. Sélectionnez Paramètres > Comptes > Accès Professionnel ou Scolaire, puis cliquez sur Connecter.

      2. Entrez votre compte professionnel, puis cliquez sur Suivant.

      3. Entrez votre compte professionnel et votre mot de passe, puis cliquez sur Se connecter.

      4. Si votre organisation a configuré Azure Multi-Factor Authentication pour joindre des appareils à Azure AD, fournissez le second facteur avant de continuer.

      5. Confirmez que les informations affichées sont correctes, puis cliquez sur Joindre. Le message suivant devrait s’afficher :

        You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.

 

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Découvrir Communauté

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.

Demandez à la Communauté Microsoft

Communauté technique Microsoft

Windows Insiders

Microsoft 365 Insiders

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?
En cliquant sur Envoyer, vos commentaires seront utilisés pour améliorer les produits et services de Microsoft. Votre administrateur informatique sera en mesure de collecter ces données. Déclaration de confidentialité.

Nous vous remercions de vos commentaires.

×