Ce navigateur n’est plus pris en charge.
Effectuez une mise à niveau vers Microsoft Edge pour tirer parti des dernières fonctionnalités, des mises à jour de sécurité et du support technique.
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(3.2, 95%, 10%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EQL%3C/text%3E%3C/svg%3E)
Hello,
Using Hybrid AD / EntraID, I try to use Windows Hello for Business to enable MFA / Strong authentication and I have an issue with Conditional Access Policies about it.
For context, I deployed Windows Hello for Business on our computers with GPO, and we can use it to authenticate on Windows and also on cloud apps like Office portal.
What I want to do is to be able to login only with a Passwordless MFA solution, to disable email/password auth. So i configured the Grant control like this :
When i try the policy for a test user, it works :
But looking at the conditions of the Passwordless MFA, it shows that WHfB isn't registered for the user :
And in the User's authentication methods, there is WHfB and it is working if we use it to authenticate on Windows or any cloud app (Office Portal for example) :
Is this possible at all ? I looked at many docs from Microsoft and think the setup and configuration are correct, I have no clues left.
Thank you in advance.
Regards,
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(41.6, 77%, 14%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3ER%3C/text%3E%3C/svg%3E)
Bonjour Quentin LELONG,
Le problème vient du fait que Windows Hello for Business (WHfB) est une méthode d'authentification forte, et non une méthode complète d'authentification multifacteur (MFA). WHfB satisfait le facteur d'authentification principal (par exemple, les données biométriques ou le code PIN), mais MFA nécessite deux facteurs distincts. Bien que WHfB fonctionne pour se connecter à Windows et aux applications cloud, la politique d'accès conditionnel nécessitant MFA attend un deuxième facteur, comme l'application Microsoft Authenticator, la clé FIDO2 ou la vérification par SMS.
Pour résoudre ce problème, assurez-vous que votre politique d'accès conditionnel nécessite l'authentification sans mot de passe (en permettant à WHfB d'être le facteur principal) ou configurez la politique pour exiger à la fois WHfB et un deuxième facteur MFA. Cela répondra à l'exigence MFA tout en réduisant la fréquence des invites d'authentification.
Je suis en train de traduire ma réponse de l'anglais vers le français.Veuillez m'excuser pour les erreurs grammaticales dans mes phrases.
Hello,
Is it possible to force any Strong Authentication method and disable completely Password authentication with a Conditional Access Policy ?
Oui, vous pouvez imposer des méthodes d'authentification forte et désactiver les mots de passe via l'accès conditionnel en exigeant une authentification multi-facteurs ou sans mot de passe (par exemple, Windows Hello for Business ou les clés FIDO2). Bloquez les protocoles d'authentification hérités pour empêcher les connexions par mot de passe, et privilégiez les méthodes sans mot de passe dans votre politique. Cela garantit que seules des méthodes d'authentification forte sont utilisées, désactivant complètement les mots de passe.
Veuillez envisager de voter pour le commentaire si les informations fournies sont utiles. Cela peut aider d'autres membres de la communauté à résoudre des problèmes similaires.
Bonjour Quentin LELONG,
Je n'ai pas eu de réponse de votre part à ma réponse précédente et je viens de vérifier pour voir si ce qui précède a été utile
Bonjour,
Après vérification je confirme que j'ai bien créé une politique d'accès conditionnel en autorisant uniquement un facteur d'authentification sans mot de passe, le problème est que le mode Windows Hello for Business n'est pas reconnu lors de l'authentification alors qu'il est bien configuré et disponible pour l'utilisateur (comme dans les captures d'écrans du premier post)
D'après votre confirmation, il semble que le problème provienne de la gestion de Hybrid Azure AD Join, des politiques d'accès conditionnel ou de la synchronisation Azure AD. Je vous recommande :