Activer les clés d’accès (FIDO2) pour votre organisation

Pour les entreprises qui utilisent des mots de passe aujourd’hui, les clés secrètes (FIDO2) permettent aux travailleurs de s’authentifier sans entrer de nom d’utilisateur ou de mot de passe. Les clés d’accès (FIDO2) améliorent la productivité des travailleurs et offrent une meilleure sécurité.

Cet article répertorie les exigences et les étapes pour activer les clés d'accès dans votre organisation. Une fois ces étapes effectuées, les utilisateurs de votre organisation peuvent ensuite s’inscrire et se connecter à leur compte Microsoft Entra à l’aide d’une clé de passe stockée sur une clé de sécurité FIDO2 ou dans Microsoft Authenticator.

Pour plus d’informations sur l’activation des clés d’accès dans Microsoft Authenticator, consultez Comment activer les clés d’accès dans Microsoft Authenticator.

Pour plus d’informations sur l’authentification par clé secrète, consultez Prise en charge de l’authentification FIDO2 avec Microsoft Entra ID.

Remarque

Microsoft Entra ID prend actuellement en charge les clés secrètes liées à l’appareil stockées sur les clés de sécurité FIDO2 et dans Microsoft Authenticator. Microsoft s’engage à sécuriser les clients et les utilisateurs avec des clés secrètes. Nous investissons dans les clés de passe synchronisées et associées à l’appareil pour les comptes professionnels.

Spécifications

• Les utilisateurs doivent effectuer l’authentification multifacteur (MFA) au cours des cinq dernières minutes avant de pouvoir inscrire une clé d’accès (FIDO2).
• Les utilisateurs ont besoin d’une clé de sécurité FIDO2 éligible pour l’attestation avec microsoft Entra ID ou Microsoft Authenticator.
• Les appareils doivent prendre en charge l’authentification FIDO2 (Passkey). Pour les appareils Windows joints à Microsoft Entra ID, la meilleure expérience est sur Windows 10 version 1903 ou ultérieure. Les appareils joints à l’hybride doivent exécuter Windows 10 version 2004 ou ultérieure.

Les clés d’accès (FIDO2) sont prises en charge dans les principaux scénarios sur Windows, macOS, Android et iOS. Pour plus d’informations sur les scénarios pris en charge, consultez Prise en charge de l’authentification FIDO2 dans Microsoft Entra ID.

Remarque

La prise en charge de l’inscription sur un même appareil dans Edge sur Android est bientôt disponible.

GUID d’attestation d’authentificateur (AAGUID) de clé d’accès (FIDO2)

La spécification FIDO2 requiert que chaque fournisseur de clé de sécurité fournisse un GUID d’attestation d’authentificateur (AAGUID) lors de l’inscription. Un AAGUID est un identificateur 128 bits indiquant le type de clé, comme la marque et le modèle. Les fournisseurs de clés de sécurité (FIDO2) sur les appareils de bureau et mobiles sont également censés fournir un AAGUID lors de l’inscription.

Remarque

Le fournisseur doit s'assurer que l'AAGUID est identique sur toutes les clés de sécurité ou clés d'accès (FIDO2) substantiellement identiques fabriquées par ce fournisseur, et différente (avec une probabilité élevée) de celles de tous les autres types de fournisseurs de clés de sécurité ou de clés d'accès (FIDO2). Pour garantir cela, l’AAGUID pour un modèle de clé de sécurité ou un fournisseur de clé d’accès (FIDO2) donnée doit être généré de manière aléatoire. Pour plus d’informations, consultez Authentification Web : API pour accéder aux informations d’identification de la clé publique – Niveau 2 (w3.org).

Vous pouvez travailler avec votre fournisseur de clés de sécurité pour déterminer l’AAGUID de la clé secrète (FIDO2) ou voir les clés de sécurité FIDO2 éligibles pour l’attestation avec Microsoft Entra ID. Si la clé d’accès (FIDO2) est déjà inscrite, vous pouvez trouver l’AAGUID en affichant les détails de la méthode d’authentification de la clé d’accès (FIDO2) pour l’utilisateur.

Activer la méthode d’authentification de la clé d’accès (FIDO2)

1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.

2. Accédez à Protection>Méthodes d'authentification>Stratégies.

3. Sous la méthode Clé d’accès (FIDO2), basculez le bouton sur Activer. Sélectionnez Tous les utilisateurs, ou Ajouter des groupes pour sélectionner des groupes spécifiques. Seuls les groupes de sécurité sont pris en charge.

4. Sous l’onglet Configurer :

   • Définissez Autoriser la configuration libre-service sur Oui. Si la valeur est Non, les utilisateurs ne peuvent pas inscrire de clé secrète à l’aide des informations de sécurité, même si les clés secrètes (FIDO2) sont activées par la stratégie de méthodes d’authentification.

   • Définissez l’option Appliquer l’attestation sur Oui si votre organisation souhaite être assurée qu’un modèle de clé de sécurité FIDO2 ou un fournisseur de clé d’accès est authentique et provient du fournisseur légitime.

     • Pour les clés de sécurité FIDO2, nous avons besoin que les métadonnées de clé de sécurité soient publiées et vérifiées avec le service de métadonnées FIDO Alliance, et passent également un autre ensemble de tests de validation de Microsoft. Pour plus d’informations, consultez Devenir fournisseur de clés de sécurité FIDO2 compatible Microsoft.
     • Les clés d'accès dans Microsoft Authenticator prennent également en charge l’attestation. Pour plus d’informations, consultez Fonctionnement de l’attestation de clé d'accès avec Authenticator.

     Avertissement

     L’application d’attestation détermine si une clé d’accès (FIDO2) est autorisée uniquement pendant l’inscription. Les utilisateurs qui enregistrent une clé d’accès (FIDO2) sans attestation ne sont pas empêchés de se connecter si l’option Appliquer l’attestation est définie sur Oui ultérieurement.

   Politique de restriction de clé

   • Les restrictions de clé doivent être définies sur Oui uniquement si votre organisation souhaite autoriser ou interdire certains modèles de clés de sécurité ou fournisseurs de clés d'accès, identifiés par leur AAGUID. Vous pouvez utiliser votre fournisseur de clés de sécurité pour déterminer l’AAGUID d’une clé d’accès. Si la clé d’accès est déjà inscrite, vous pouvez trouver l’AAGUID en affichant les détails de la méthode d’authentification de la clé d’accès pour l’utilisateur.

   Avertissement

   Les restrictions clés définissent la facilité d’utilisation des modèles ou fournisseurs spécifiques pour l’inscription et l’authentification. Si vous modifiez les restrictions de clé et supprimez un AAGUID que vous avez précédemment autorisé, les utilisateurs qui ont précédemment inscrit une méthode autorisée ne peuvent plus l’utiliser pour la connexion.

   

5. Une fois la configuration terminée, sélectionnez Enregistrer.

   Remarque

   Si vous voyez une erreur lorsque vous essayez d’enregistrer, remplacez plusieurs groupes par un seul groupe en une seule opération, puis cliquez sur Enregistrer à nouveau.

Approvisionner des clés de sécurité FIDO2 à l’aide de l’API Microsoft Graph (version préliminaire)

Les administrateurs peuvent utiliser Microsoft Graph et des clients personnalisés pour approvisionner des clés de sécurité FIDO2 pour le compte des utilisateurs (actuellement en version préliminaire). L’approvisionnement nécessite le rôle Administrateur d’authentification ou une application cliente avec l’autorisation UserAuthenticationMethod.ReadWrite.All. Les améliorations apportées à l’approvisionnement incluent :

• La possibilité de demander des options de création WebAuthn à partir de Microsoft Entra ID
• La possibilité d’inscrire la clé de sécurité provisionnée directement avec Microsoft Entra ID.

Avec ces nouvelles API, les organisations peuvent créer leurs propres clients pour approvisionner des informations d’identification de clé d’accès (FIDO2) dans des clés de sécurité pour le compte d’un utilisateur. Pour simplifier ce processus, trois étapes principales sont nécessaires.

1. Demander le paramètre creationOptions pour un utilisateur : Microsoft Entra ID renvoie les données nécessaires à votre client pour approvisionner des informations d’identification de clé d’accès (FIDO2). Cela inclut des informations telles que les informations utilisateur, l’ID de la partie de confiance, les exigences des stratégies d’informations d’identification, les algorithmes, le défi d’inscription et d’autres encore.
2. Approvisionner les informations d’identification de clé d’accès (FIDO2) avec les options de création : utilisez le paramètre creationOptions et un client qui prend en charge le protocole Client à Authentificateur (CTAP) pour approvisionner les informations d’identification. Au cours de cette étape, vous devez insérer la clé de sécurité et définir un code confidentiel.
3. Inscrire les informations d’identification approvisionnées avec Microsoft Entra ID : utilisez la sortie mise en forme du processus d’approvisionnement pour fournir à Microsoft Entra ID les données nécessaires pour inscrire les informations d’identification de clé d’accès (FIDO2) pour l’utilisateur ciblé.

Activer les clés d’accès (FIDO2) à l’aide de l’API Microsoft Graph

Outre l’utilisation du Centre d’administration Microsoft Entra, vous pouvez également activer les clés d’accès (FIDO2) à l’aide de l’API Microsoft Graph. Pour activer les clés d’accès, (FIDO2), vous devez mettre à jour la stratégie Méthodes d’authentification en tant qu’Administrateur de stratégie d’authentification au minimum.

Pour configurer la stratégie à l’aide de l’Afficheur Graph :

1. Connectez-vous à Afficheur Graph et acceptez les autorisations Policy.Read.All et Policy.ReadWrite.AuthenticationMethod.

2. Récupérez la stratégie des méthodes d’authentification :

   GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. Pour désactiver l’application de l’attestation et imposer des restrictions de clé de manière à n'autoriser que l’AAGUID pour RSA DS100, par exemple, effectuez une opération PATCH à l’aide du corps de la requête suivant :

   PATCH https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": false,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "7e3f3d30-3557-4442-bdae-139312178b39",
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. Vérifiez que la stratégie de clé d’accès (FIDO2) est correctement mise à jour.

   GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

Supprimer une clé secrète (FIDO2)

Pour supprimer une clé d’accès (FIDO2) associée à un compte d’utilisateur, supprimez la clé de la méthode d’authentification de l’utilisateur.

1. Connectez-vous au Centre d’administration Microsoft Entra et recherchez l’utilisateur dont la clé d’accès (FIDO2) doit être supprimée.
2. Sélectionnez Les méthodes d’authentification> cliquez avec le bouton droit sur Clé d’accès (lié à l’appareil) et sélectionnez Supprimer.

Appliquer la connexion par clé d’accès (FIDO2)

Pour obliger les utilisateurs à se connecter avec une clé d’accès (FIDO2) lorsqu’ils accèdent à une ressource sensible, vous pouvez :

• Utiliser un niveau d’authentification intégré résistant au hameçonnage

  Ou

• Créer une force d’authentification personnalisée

Les étapes suivantes montrent comment créer une force d’authentification personnalisée. Il s’agit d’une stratégie d’accès conditionnel qui autorise la connexion avec une clef d'accès (FIDO2) uniquement pour un modèle spécifique de clé de sécurité ou un fournisseur de clef d'accès (FIDO2). Pour obtenir la liste des fournisseurs FIDO2, consultez Clés de sécurité FIDO2 éligibles pour l’attestation avec Microsoft Entra ID.

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur de l’accès conditionnel.
2. Accédez à Protection>Méthodes d’authentification>Forces d’authentification.
3. Sélectionnez Nouvelle force d’authentification.
4. Indiquez un Nom pour votre nouvelle force d’authentification.
5. Fournissez une Description si vous le souhaitez.
6. Sélectionnez Clé d’accès (FIDO2).
7. Facultativement, si vous souhaitez restreindre un AAGUID spécifique, sélectionnez options avancées>Ajouter un AAGUID. Entrez AAGUID, puis sélectionnez Enregistrer.
8. Choisissez Suivant et passez en revue la configuration de la stratégie.

Problèmes connus

Approvisionnement de clé de sécurité

Le provisionnement par l’administrateur des clés de sécurité est en version préliminaire. Consultez Microsoft Graph et les clients personnalisés pour approvisionner des clés de sécurité FIDO2 au nom des utilisateurs.

Utilisateurs de collaboration B2B

L’inscription des informations d’identification de clé d’accès (FIDO2) n’est pas prise en charge pour les utilisateurs d’une collaboration B2B dans le locataire de la ressource.

Modifications de l’UPN

Si l’UPN de l’utilisateur change, vous ne pouvez plus modifier les clés d’accès (FIDO2) pour en tenir compte. Si l’utilisateur a une clé d’accès (FIDO2), il doit se connecter à Mes informations de sécurité, supprimer l’ancienne clé d’accès (FIDO2) et en ajouter une nouvelle.

Étapes suivantes

Support des applications natives et des navigateurs pour l’authentification sans mot de passe par clé de passe (FIDO2)

Connexion par clé de sécurité FIDO2 Windows 10

Activer l’authentification FIDO2 sur les ressources locales

Inscrire des clés de sécurité pour le compte des utilisateurs

En savoir plus sur l’inscription des appareils

En apprendre davantage sur l’authentification multi-facteur Microsoft Entra