Activer les clés d'accès dans Authenticator

Cet article réunit les étapes permettant d’activer et d’appliquer l’utilisation de clés d’accès dans Authenticator pour Microsoft Entra ID. Tout d’abord, vous mettez à jour la stratégie des méthodes d’authentification pour permettre aux utilisateurs d’inscrire et de se connecter avec des clés secrètes dans Authenticator. Vous pouvez ensuite utiliser des stratégies de force d’authentification d’accès conditionnel pour appliquer la connexion avec clé d’accès lorsque les utilisateurs accèdent à une ressource sensible.

Spécifications

• Authentification multifacteur (MFA) Microsoft Entra.
• Android 14 et versions ultérieures ou iOS 17 et versions ultérieures.
• Connexion Internet active sur n'importe quel appareil qui fait partie d'un processus d'enregistrement/d'authentification de passkey. Une connectivité à ces deux points de terminaison doit être autorisée dans votre organisation pour activer l’inscription et l’authentification entre appareils :
  • https://cable.ua5v.com
  • https://cable.auth.com
• Pour l’inscription/l’authentification inter-appareils, les deux appareils doivent avoir bluetooth activé.

Remarque

Les utilisateurs doivent installer la dernière version d’Authenticator pour Android ou iOS afin d’utiliser une clé d’accès.

Pour en savoir plus sur où vous pouvez utiliser des clés secrètes dans Authenticator pour vous connecter, consultez Support de l’authentification FIDO2 avec Microsoft Entra ID.

Activer les clés d’accès dans Authenticator depuis le centre d’administration

Un administrateur de stratégie d’authentification doit donner son consentement pour autoriser Authenticator dans les paramètres FIDO2 (Passkey) de la stratégie de méthodes d’authentification. Ils doivent autoriser explicitement les GUID d’attestation d’authentificateur (AAGUID) pour Authenticator à permettre aux utilisateurs d’inscrire des clés secrètes dans l’application Authenticator. Il n’existe aucun paramètre pour activer les clés secrètes dans la section de l’application Microsoft Authenticator de la stratégie de méthodes d’authentification.

1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.

2. Accédez à Protection>Méthodes d’authentification>Stratégie de méthode d'authentification.

3. Sous la méthode Clé d’accès (FIDO2),sélectionnez Tous les utilisateurs ou Ajouter des groupes pour sélectionner des groupes spécifiques. Seuls les groupes de sécurité sont pris en charge.

4. Sous l’onglet Configurer :

   • Définissez Autoriser la configuration libre-service sur Oui. S’il est défini sur Non, les utilisateurs ne peuvent pas enregistrer de clé d'accès à l’aide de informations de sécurité, même si les clés d'accès (FIDO2) sont activées par la stratégie de méthodes d’authentification.

   • Définissez Appliquer l’attestation sur Oui.

     Lorsque l’attestation est activée dans la stratégie de clé d’accès (FIDO), Microsoft Entra ID tente de vérifier la légitimité de la clé secrète en cours de création. Lorsque l’utilisateur inscrit une clé secrète dans l’authentificateur, l’attestation vérifie que l’application Authenticator légitime a créé la clé secrète à l’aide des services Apple et Google. Voici plus d’informations :

     • iOS : l’attestation d’authentificateur utilise le service d’attestation d’application iOS pour garantir la légitimité de l’application Authenticator avant d’inscrire la clé secrète.

       Remarque

       La prise en charge de l’inscription de clés d’accès dans Authenticator lorsque l’attestation est appliquée est actuellement déployée pour les utilisateurs de l’application iOS Authenticator. La prise en charge de l’inscription de clés d’accès attestées dans Authenticator sur les appareils Android est disponible pour tous les utilisateurs de la dernière version de l’application.

     • Android :

       • Pour l’attestation d’intégrité de Play, l’attestation Authenticator utilise l’API d’intégrité de Play pour garantir la légitimité de l’application Authenticator avant d’inscrire la clé secrète.
       • Pour l’attestation de clé, l’attestation Authenticator utilise Attestation de clé par Android pour vérifier que la clé secrète inscrite est sauvegardée sur le matériel.

     Remarque

     Pour iOS et Android, l’attestation Authenticator s’appuie sur les services Apple et Google pour vérifier l’authenticité de l’application Authenticator. L’utilisation intensive du service peut entraîner l’échec de l’inscription de clé secrète, et les utilisateurs peuvent avoir besoin de réessayer. Si les services Apple et Google sont en panne, l’attestation Authenticator bloque l’inscription qui nécessite une attestation jusqu’à ce que les services soient restaurés. Pour surveiller l’état du service Google Play Integrity, consultez Tableau de bord d’état de Google Play. Pour surveiller l’état du service iOS App Attest, consultez État du système.

   • Les restrictions de clé définissent la facilité d’utilisation des clés d’accès spécifiques pour l’inscription et l’authentification. Définissez Appliquer les restrictions de clé sur Oui pour autoriser ou bloquer uniquement certaines clés secrètes, qui sont identifiées par leurs AAGUID.

     Ce paramètre doit être Oui, et vous devez ajouter les AAGUID d’Authenticator pour permettre aux utilisateurs d’inscrire des clés secrètes dans Authenticator, soit en vous connectant à l’application Authenticator, soit en ajoutant Clé secrète dans Microsoft Authenticator à partir des informations de sécurité .

     informations de sécurité nécessite que ce paramètre soit défini sur Oui afin que les utilisateurs puissent choisir clé secrète dans Authenticator et passer par un flux d’inscription de clé secrète Authenticator dédié. Si vous choisissez Aucun, les utilisateurs peuvent toujours ajouter une clé secrète dans Authenticator en choisissant la clé de sécurité ou la méthode de clé de sécurité, en fonction de leur système d’exploitation et de leur navigateur. Toutefois, nous ne nous attendons pas à ce que de nombreux utilisateurs découvrent et utilisent cette méthode.

     Si votre organisation n’applique actuellement pas de restrictions de clé et dispose déjà d’une utilisation active de la clé secrète, collectez les AAGUID des clés secrètes utilisées. Incluez ces clés d’accès AAGUID avec les AAGUID d’Authenticator.

     Vous pouvez utiliser un script PowerShell pour rechercher les AAGUID utilisés dans votre locataire. Pour plus d’informations, consultez Rechercher des AAGUID.

     Si vous modifiez les restrictions de clé et supprimez un AAGUID que vous avez précédemment autorisé, les utilisateurs qui ont précédemment inscrit une méthode autorisée ne peuvent plus l’utiliser pour la connexion.

   • Réglez Restriction de certaines clés sur Autoriser.

   • Sélectionnez Microsoft Authenticator pour ajouter automatiquement les AAGUIDs de l’application Authenticator à la liste des restrictions clés. Vous pouvez également ajouter manuellement les AAGUID suivants pour permettre aux utilisateurs d’inscrire des clés secrètes dans Authenticator en vous connectant à l’application Authenticator ou en parcourant un flux guidé sur les informations de sécurité :

     • Authenticator pour Android : de1e552d-db1d-4423-a619-566b625cdc84
     • Authenticator pour iOS : 90a3ccdf-635c-4729-a248-9b709135078f

     Remarque

     Si vous désactivez les restrictions de clé, décochez la case Microsoft Authenticator afin que les utilisateurs ne soient pas invités à configurer une clé de sécurité dans l’application Authenticator sur Infos de sécurité.

   

5. Une fois la configuration terminée, sélectionnez Enregistrer.

   Si vous voyez une erreur lorsque vous essayez d’enregistrer, remplacez plusieurs groupes par un seul groupe en une seule opération, puis sélectionnez Enregistrer à nouveau.

Activer les clés secrètes dans Authenticator à l’aide de l’Explorateur Graph

Outre l’utilisation du centre d’administration Microsoft Entra, vous pouvez également activer les clés d’accès dans Authenticator à l’aide de l’Afficheur Graph. Si vous avez au moins le rôle d’Administrateur de la stratégie d’authentification, vous pouvez mettre à jour la stratégie de gestion des risques internes des méthodes d’authentification afin d’autoriser les AAGUID pour Authenticator.

Pour configurer la stratégie à l’aide d’Afficheur Graph :

1. Connectez-vous à Afficheur Graph et acceptez les autorisations Policy.Read.All et Policy.ReadWrite.AuthenticationMethod.

2. Récupérez la stratégie des méthodes d’authentification :

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. Pour désactiver l’application de l’attestation et appliquer des restrictions de clé afin d’autoriser uniquement les AAGUID pour Authenticator, effectuez une opération PATCH à l’aide du corps de la demande suivante :

   PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": true,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "90a3ccdf-635c-4729-a248-9b709135078f",
               "de1e552d-db1d-4423-a619-566b625cdc84"
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. Vérifiez que la stratégie de clé d’accès (FIDO2) est correctement mise à jour.

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

Rechercher des AAGUID

Utilisez le script GetRegisteredPasskeyAAGUIDsForAllUsers.ps1 Microsoft Graph PowerShell pour énumérer les AAGUID de toutes les clés de passe inscrites dans le tenant.

Enregistrez le corps de ce script dans un fichier appelé GetRegisteredPasskeyAAGUIDsForAllUsers.ps1.

# Disconnect from Microsoft Graph
Disconnect-MgGraph

# Connect to Microsoft Graph with required scopes
Connect-MgGraph -Scope 'User.Read,UserAuthenticationMethod.Read,UserAuthenticationMethod.Read.All'

# Define the output file [If the script is run more than once, delete the file to avoid appending to it.]
$file = ".\AAGUIDs.txt"

# Initialize the file with a header
Set-Content -Path $file -Value '---'

# Retrieve all users
$UserArray = Get-MgBetaUser -All

# Iterate through each user
foreach ($user in $UserArray) {
    # Retrieve Passkey authentication methods for the user
    $fidos = Get-MgBetaUserAuthenticationFido2Method -UserId $user.Id

    if ($fidos -eq $null) {
        # Log and write to file if no Passkey methods are found
        Write-Host "User object ID $($user.Id) has no Passkey"
        Add-Content -Path $file -Value "User object ID $($user.Id) has no Passkey"
    } else {
        # Iterate through each Passkey method
        foreach ($fido in $fidos) {
            # Log and write to file the Passkey details
            Write-Host "- User object ID $($user.Id) has a Passkey with AAGUID $($fido.Aaguid) of Model type '$($fido.Model)'"
            Add-Content -Path $file -Value "- User object ID $($user.Id) has a Passkey with AAGUID $($fido.Aaguid) of Model type '$($fido.Model)'"
        }
    }

    # Log and write a separator to file
    Write-Host "==="
    Add-Content -Path $file -Value "==="
}

Restreindre l’utilisation du Bluetooth aux clés secrètes dans Authenticator

Certaines organisations limitent l’utilisation du Bluetooth, notamment l’utilisation de clés secrètes. Dans ce cas, les organisations peuvent autoriser les clés secrètes en autorisant le jumelage Bluetooth exclusivement avec les authentificateurs FIDO2 compatibles avec la clé d’accès. Pour plus d’informations sur la configuration de l’utilisation du Bluetooth uniquement pour les clés d’accès, consultez Clés d’accès dans les environnements restreints au Bluetooth.

Supprimer une clé d’accès

Si un utilisateur supprime une clé secrète dans Authenticator, celle-ci est également supprimée des méthodes de connexion de l’utilisateur. Un administrateur de stratégie d’authentification peut également suivre ces étapes pour supprimer une clé secrète des méthodes d’authentification de l’utilisateur, mais elle ne supprime pas la clé secrète de Authenticator.

1. Connectez-vous au centre d’administration Microsoft Entra , puis recherchez l’utilisateur dont la clé secrète doit être supprimée.

2. Sélectionnez méthodes d’authentification, cliquez avec le bouton droit sur la clé de sécurité FIDO2 , puis sélectionnez Supprimer.

   À moins que l’utilisateur n’ait lancé la suppression de la clé secrète lui-même dans Authenticator, il doit également supprimer la clé secrète dans Authenticator sur son appareil.

Appliquer la connexion avec des clés d’accès dans Authenticator

Pour que les utilisateurs se connectent avec une clé d’accès lorsqu’ils accèdent à une ressource sensible, utilisez la force d’authentification intégrée résistante au hameçonnage, ou créez une force d’authentification personnalisée en suivant ces étapes :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de l’accès conditionnel.

2. Accédez à Protection>Méthodes d’authentification>Forces d’authentification.

3. Sélectionnez Nouvelle force d’authentification.

4. Fournissez un nom descriptif pour votre nouvelle force d’authentification.

5. Si vous le souhaitez, fournissez une description.

6. Sélectionnez Passkeys (FIDO2), puis sélectionnez Options avancées.

7. Sélectionnez Force MFA résistant aux hameçonnages ou ajouter des AAGUID pour les clés secrètes dans Authenticator :

   • Authenticator pour Android : de1e552d-db1d-4423-a619-566b625cdc84
   • Authenticator pour iOS : 90a3ccdf-635c-4729-a248-9b709135078f

8. Sélectionnez suivant, puis passez en revue la configuration de la stratégie.

Contenu connexe

• Prise en charge de la clé d’accès dans Windows