4 mars 2026

Comment configurer WCP pour le bureau à distance Windows

Configurez Notakey Windows Credential Provider pour un bureau à distance à deux facteurs : de la config de l'appliance au sans mot de passe.

Ce guide explique comment configurer Notakey Windows Credential Provider (WCP) pour authentifier les connexions au bureau à distance à l’aide d’un second facteur reposant sur le téléphone.

Configuration de l’appliance

Créez l’application. Dans l’appliance Notakey, créez une application nommée Windows Remote Desktop : les visuels correspondants se chargent automatiquement. Activez la prise en charge de la vérification biométrique ; activez force biometric check si les connexions doivent toujours exiger une empreinte digitale ou une reconnaissance faciale.

Définissez les utilisateurs. Créez-les directement ou connectez une source d’utilisateurs externe : Active Directory est le choix le plus courant et sa configuration est décrite dans la documentation de l’appliance. Les utilisateurs synchronisés depuis AD peuvent ensuite se voir appliquer des règles d’escalade ou d’approbation multi-utilisateur.

Configurez les prérequis d’enrôlement pour que l’application apparaisse dans Notakey Authenticator. Si des numéros de téléphone sont présents dans AD, l’enrôlement par SMS ou WhatsApp est disponible. Si vous utilisez de simples identifiants vérifiés auprès d’AD, modifiez le prérequis et cochez Authenticate against remote AUTH user sources.

Générez des identifiants d’API. Créez un client d’API en laissant le champ des scopes vide : le système génère un Client ID et un secret pour le Credential Provider.

Configuration de la machine Windows

Créez un fichier de registre contenant les identifiants d’accès à votre appliance, enregistrez-le sous wcp_notakey.reg, puis double-cliquez dessus pour l’importer :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey]

[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey\WindowsCP]
"ServiceURL"="https://your-appliance.example.com/api/"
"ServiceID"="29afa6c0-907d-40f4-898f-8a96fcdf7230"
"ClientID"="c6df76db-10a7-4349-8e05-8b3656a4d404"
"ClientSecret"="pZ5lSo1Rz_ftCDg4h302794ZlmjMO64sVtiAvHop6dI"
"MessageTtlSeconds"=dword:0000001e
"MessageActionTitle"="Winlogin"
"MessageDescription"="Proceed as {0} on server {1}?"
"AuthCreateTimeoutSecs"=dword:00000014
"AuthWaitTimeoutSecs"=dword:0000003c

Remplacez les quatre premières valeurs par les vôtres : ServiceURL est le point d’accès de l’API de votre appliance, ServiceID l’identifiant de l’application, et ClientID/ClientSecret les identifiants d’API générés ci-dessus. Les autres valeurs sont des valeurs par défaut raisonnables, exprimées en hexadécimal : MessageTtlSeconds (0x1e = 30 s) correspond à la durée pendant laquelle la notification push reste approuvable, AuthCreateTimeoutSecs (0x14 = 20 s) au délai d’attente de WCP pour créer la requête, et AuthWaitTimeoutSecs (0x3c = 60 s) au délai d’attente de la réponse de l’utilisateur. Dans MessageDescription, {0} est le nom d’utilisateur et {1} le nom de la machine.

Installez la dernière version de Windows Credential Provider depuis la page de téléchargement, redémarrez Windows et connectez-vous une fois normalement. Vérifiez ensuite LastLoggedOnProvider sous HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI.

Verrouillez la machine et sélectionnez le Notakey Credential Provider. Saisissez le nom d’utilisateur et le mot de passe : Notakey demande l’autorisation de chiffrer le mot de passe, et à partir de là, la connexion se fait avec le nom d’utilisateur et une approbation sur le téléphone.

Passer au tout sans mot de passe

Pour faire de Notakey le seul mode d’accès, désactivez le credential provider par défaut : repérez son CLSID sous HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers et ajoutez un DWORD nommé Disabled avec la valeur 1. La stratégie de groupe (Group Policy) offre le même contrôle à l’échelle d’un parc de machines.

Dès lors, seul le Notakey Credential Provider reste actif : les connexions ne requièrent que le nom d’utilisateur et le second facteur.

← Tous les articles

Votre première connexion sans mot de passe, dès cette semaine

30 minutes avec un ingénieur, pas une présentation commerciale. Ensemble, nous verrons comment lancer un pilote fonctionnel dans votre environnement VPN, SSO ou Windows.