Matrice d’authentification Passkey (FIDO2) avec Microsoft Entra ID
Article
Microsoft Entra ID permet l’utilisation de clés d’accès (FIDO2) pour l’authentification multifacteur sans mot de passe. Cet article traite des applications natives, des navigateurs web et des systèmes d’exploitation qui prennent en charge la connexion à l’aide d’une clé d’accès avec Microsoft Entra ID.
Microsoft Entra ID prend actuellement en charge les clés secrètes liées à l’appareil stockées sur les clés de sécurité FIDO2 et dans Microsoft Authenticator. Microsoft s’engage à sécuriser les clients et les utilisateurs avec des clés secrètes. Nous investissons dans les clés d’accès synchronisées et liées à l’appareil pour les comptes professionnels.
La section suivante décrit la prise en charge de l’authentification par clé (FIDO2) dans les navigateurs web avec l’ID Microsoft Entra.
Système d’exploitation
Chrome
Edge
Firefox
Safari
Windows
✅
✅
✅
N/A
macOS
✅
✅
✅
✅
ChromeOS
✅
N/A
N/A
N/A
Linux
✅
✅
✅
N/A
iOS
✅
✅
✅
✅
Android
✅
✅
❌
N/A
Considérations relatives à chaque plateforme
Windows
La connexion avec une clé de sécurité nécessite l’un des éléments suivants :
Windows 10 version 1903 ou ultérieure
Microsoft Edge basé sur Chromium
Chrome 76 ou version ultérieure
Firefox 66 ou version ultérieure
macOS
La connexion avec clé d’accès nécessite macOS Catalina 11.1 ou version ultérieure avec Safari 14 ou version ultérieure, car Microsoft Entra ID nécessite la vérification de l’utilisateur pour l’authentification multifacteur.
Les clés de sécurité NFC (Communication en champ proche) et BLE (Bluetooth basse consommation) ne sont pas prises en charge sur macOS par Apple.
L’inscription de nouvelle clé de sécurité ne fonctionne pas sur ces navigateurs macOS, car ils n’invitent pas à configurer la biométrie ou le code confidentiel.
Les clés de sécurité NFC et BLE ne sont pas prises en charge sur ChromeOS par Google.
L’inscription des clés de sécurité n’est pas prise en charge sur ChromeOS ou le navigateur Chrome.
Linux
La connexion avec clé d’accès dans Microsoft Authenticator n’est pas prise en charge dans Firefox sur Linux.
iOS
La connexion avec clé d’accès nécessite iOS 14.3 ou version ultérieure, car Microsoft Entra ID nécessite la vérification de l’utilisateur pour l’authentification multifacteur.
Les clés de sécurité BLE ne sont pas prises en charge sur iOS par Apple.
NFC avec des clés de sécurité certifiées FIPS 140-3 n’est pas prise en charge sur iOS par Apple.
L’inscription de nouvelles clés de sécurité ne fonctionne pas sur les navigateurs iOS, car ils n’invitent pas l’utilisateur à configurer la biométrie ou le code confidentiel.
La connexion avec clé d’accès nécessite Google Play Services 21 ou version ultérieure, car Microsoft Entra ID nécessite la vérification de l’utilisateur pour l’authentification multifacteur.
Les clés de sécurité BLE ne sont pas prises en charge sur Android par Google.
L’inscription de clé de sécurité avec Microsoft Entra ID n’est pas encore prise en charge sur Android.
La connexion avec clé d’accès n’est pas prise en charge dans Firefox sur Android.
Problèmes connus
Se connecter lorsque plus de trois clés d’accès sont inscrites
Si vous avez inscrit plus de trois clés d’accès, la connexion avec une clé d’accès peut ne pas fonctionner sur iOS ou Safari sur macOS. Si vous avez plus de trois clés d’accès, en guise de solution de contournement, cliquez sur Options de connexion et connectez-vous sans entrer de nom d’utilisateur.
La section suivante décrit la prise en charge de l’authentification par clé d’accès (FIDO2) dans Les applications Microsoft et tierces avec l’ID Microsoft Entra.
Remarque
L’authentification par clé d’accès avec un fournisseur d’identité tiers n’est pas prise en charge dans les applications tierces à l’aide du répartiteur d’authentification ou dans les applications Microsoft sur macOS, iOS ou Android pour le moment.
Prise en charge des applications natives avec le répartiteur d’authentification
Les applications Microsoft fournissent une prise en charge native de l’authentification par clé d’accès pour tous les utilisateurs disposant d’un répartiteur d’authentification installé pour leur système d’exploitation. L’authentification par clé d'accès est également prise en charge pour les applications tierces grâce au gestionnaire d’authentification.
Si un utilisateur a installé un répartiteur d’authentification, il peut choisir de se connecter avec une clé d’accès lorsqu’il accède à une application comme Outlook. Il est redirigé pour se connecter avec une clé d’accès et redirigé vers Outlook en tant qu’utilisateur connecté après l’authentification réussie.
Les listes de tables suivantes répertorient les répartiteurs d’authentification pris en charge pour différents systèmes d’exploitation.
Système d’exploitation
Répartiteur d’authentification
iOS
Microsoft Authenticator
macOS
Portail d’entreprise Microsoft Intune
Android
Authenticator, Portail d'entreprise ou application Service Lien avec Windows
Prise en charge des applications Microsoft sans le répartiteur d’authentification
Le tableau suivant répertorie la prise en charge des applications Microsoft pour la clé d’accès (FIDO2) sans répartiteur d’authentification. Mettez à jour vos applications vers la dernière version pour assurer leur compatibilité avec les passkeys.
La connexion avec la clé de sécurité FIDO2 pour les applications natives nécessite Windows 10 version 1903 ou ultérieure.
La connexion avec la clé secrète dans Microsoft Authenticator pour les applications natives nécessite Windows 11 version 22H2 ou ultérieure.
Microsoft Graph PowerShell prend en charge la clé d'accès (FIDO2). Certains modules PowerShell qui utilisent Internet Explorer au lieu de Edge ne sont pas capables d’exécuter l’authentification FIDO2. Par exemple, les modules PowerShell pour SharePoint Online ou Teams, ou tous les scripts PowerShell qui nécessitent des informations d’identification d’administrateur, n’invitent pas pour FIDO2.
Pour contourner ce problème, la plupart des fournisseurs peuvent placer des certificats sur les clés de sécurité FIDO2. L’authentification basée sur un certificat fonctionne dans tous les navigateurs. Si vous pouvez activer l’authentification basée sur un certificat pour ces comptes administrateur, vous pouvez demander l’authentification basée sur un certificat au lieu de FIDO2 dans l’intervalle.
La connexion avec clé d’accès dans les applications natives avec le plug-in SSO nécessite iOS 17.1 ou version ultérieure.
macOS
Sur macOS, le plug-in Microsoft Enterprise Single Sign On (SSO) est requis pour activer le Portail d’entreprise en tant que répartiteur d’authentification. Les appareils fonctionnant sous macOS doivent répondre aux exigences du plug-in SSO, y compris l'inscription à la gestion des appareils mobiles.
La connexion avec clé d’accès dans les applications natives avec le plug-in SSO nécessite macOS 14.0 ou version ultérieure.
Android
La connexion avec clé de sécurité FIDO2 pour les applications natives nécessite Android 13 ou version ultérieure.
La connexion avec clé d’accès dans Microsoft Authenticator pour les applications natives nécessite Android 14 ou version ultérieure.
La connexion avec les clés de sécurité FIDO2 fabriquées par Yubico avec YubiOTP activé peut ne pas fonctionner sur les appareils Samsung Galaxy. Pour contourner ce problème, les utilisateurs peuvent désactiver YubiOTP et tenter de se reconnecter.
