Partager via

Activer la connexion sans mot de passe avec Authenticator

  • Article

Authenticator est utilisé pour se connecter à un compte Microsoft Entra sans utiliser de mot de passe. Authenticator utilise l’authentification par clé pour activer les informations d’identification de l’utilisateur qui sont liées à un appareil, où l’appareil utilise un code confidentiel ou la biométrie. Windows Hello Entreprise utilise une technologie similaire.

Une technologie d’authentification peut être utilisée sur toutes les plateformes d’appareils, y compris sur les appareils mobiles. Authenticator peut s’exécuter sur iOS ou Android.

Capture d’écran montrant un exemple de connexion par navigateur demandant à l’utilisateur d’approuver la connexion.

La connexion par téléphone à partir d’Authenticator affiche un message qui demande à l’utilisateur d’appuyer sur un numéro dans l’application. Il ne demande pas de nom d’utilisateur ou de mot de passe. Pour terminer le processus de connexion dans l’application, procédez comme suit :

  1. Dans la boîte de dialogue Authenticator, entrez le numéro affiché à l’écran de connexion.
  2. Sélectionnez Approuver.
  3. Fournissez votre code confidentiel ou votre biométrie.

Plusieurs comptes

Vous pouvez activer la connexion par téléphone sans mot de passe pour plusieurs comptes dans Authenticator sur n’importe quel appareil Android ou iOS pris en charge. Les consultants, étudiants ou autres personnes disposant de plusieurs comptes dans Microsoft Entra ID peuvent ajouter chaque compte à Authenticator et utiliser la connexion par téléphone, sans mot de passe, pour chaque compte, et à partir du même appareil.

Les comptes Microsoft Entra peuvent se trouver dans le même locataire ou dans différents locataires. Les comptes invités ne sont pas pris en charge pour la connexion à plusieurs comptes à partir d’un même appareil.

Prérequis

Pour utiliser la connexion par téléphone sans mot de passe avec Authenticator, vous devez respecter les prérequis suivants :

  • Usage recommandé : l’authentification multifacteur Microsoft Entra (MFA), avec les notifications Push autorisées en tant que méthode de vérification. Les notifications Push envoyées sur un smartphone ou une tablette utilisateur aident l’application Authenticator à empêcher tout accès non autorisé aux comptes et à arrêter les transactions frauduleuses. L’application Authenticator génère automatiquement des codes lorsqu’elle est configurée pour effectuer des notifications Push. Un utilisateur dispose d’une méthode de connexion de secours même si son appareil n’est pas connecté.

  • L’appareil doit être inscrit auprès de chaque locataire où il est utilisé pour se connecter. Par exemple, l’appareil suivant doit être inscrit auprès de Contoso et Wingtip Toys pour permettre à tous les comptes de se connecter :

    • balas@contoso.com
    • balas@wingtiptoys.com et bsandhu@wingtiptoys

Pour utiliser l’authentification sans mot de passe dans Microsoft Entra ID, activez tout d’abord le mode d’inscription combinée, et activez les utilisateurs pour la méthode sans mot de passe.

Activer les méthodes d’authentification sans mot de passe par téléphone

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Microsoft Entra ID permet aux administrateurs de stratégies d’authentification de choisir les méthodes d’authentification qui peuvent être utilisées pour se connecter. Vous pouvez activer Microsoft Authenticator dans la stratégie de méthodes d’authentification pour permettre de gérer à la fois la méthode d’authentification multifacteur Push traditionnelle et la méthode d’authentification sans mot de passe.

Une fois que Microsoft Authenticator est activé comme méthode d’authentification, les utilisateurs peuvent accéder à Informations de sécurité pour enregistrer Authenticator comme moyen de se connecter. Microsoft Authenticator est répertorié comme méthode sur Informations de sécurité. Par exemple Microsoft Authenticator-Passwordless ou Microsoft Authenticator-MFA Push apparaît, en fonction de ce qui est activé et inscrit.

Pour activer la méthode d’authentification pour la connexion par téléphone sans mot de passe, procédez comme suit :

  1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.
  2. Accédez à Protection>Méthodes d’authentification>Stratégies.

Chaque groupe est activé par défaut pour utiliser le mode Any (Tout). Tout mode permet aux membres du groupe de se connecter avec une notification Push ou une connexion par téléphone sans mot de passe.

Notes

Si une erreur apparaît lors de la tentative d'enregistrement, celle-ci peut être due au nombre d'utilisateurs ou de groupes ajoutés. Pour résoudre ce problème, remplacez les utilisateurs et les groupes que vous essayez d’ajouter par un groupe unique, au cours de la même opération. Sélectionnez ensuite Enregistrer à nouveau.

Enregistrement des utilisateurs

Les utilisateurs s’inscrivent pour la méthode d’authentification sans mot de passe Microsoft Entra ID. Les utilisateurs qui se sont déjà inscrits sur l’application Authenticator pour l’authentification multifacteur peuvent passer à la section suivante et activer la connexion par téléphone.

Inscription directe par enregistrement téléphonique

Les utilisateurs peuvent s’inscrire pour une connexion par téléphone sans mot de passe directement dans l’application Authenticator, sans devoir s’inscrire d’abord à Authenticator avec leur compte, tout en n'accumulant jamais de mot de passe. Voici comment procéder :

  1. Obtenez un passe d'accès temporaire auprès de votre administrateur ou de votre organisation.
  2. Téléchargez et installez l’application Authenticator sur votre appareil mobile.
  3. Ouvrez Authenticator et sélectionnez Ajouter un compte, puis Compte professionnel ou scolaire.
  4. Sélectionnez Se connecter.
  5. Suivez les instructions pour vous connecter avec votre compte à l’aide du Passe d’accès temporaire fourni par votre administrateur ou votre organisation.
  6. Après la connexion, suivez les étapes supplémentaires pour configurer la connexion par téléphone.

Inscription guidée avec Mes connexions

Notes

Les utilisateurs peuvent inscrire Authenticator par l’inscription combinée uniquement si le mode d’authentification Authenticator est défini sur Tout ou Push.

Pour s’inscrire sur l’application Authenticator, suivez les étapes suivantes :

  1. Accédez à Informations de sécurité.
  2. Connectez-vous, puis sélectionnez Ajouter une méthode>Application Authenticator>Ajouter pour ajouter Authenticator.
  3. Suivez les instructions pour installer et configurer l’application Authenticator sur votre appareil.
  4. Sélectionnez Terminé pour terminer la configuration d’Authenticator.

Activer la connexion par téléphone

Une fois que les utilisateurs se sont inscrits à l’application Authenticator, ils doivent activer la connexion par téléphone :

  1. Dans Microsoft Authenticator, sélectionnez le compte enregistré.
  2. Sélectionnez Activer la connexion par téléphone.
  3. Suivez les instructions de l’application pour terminer de vous inscrire à la connexion sans mot de passe.

Une organisation peut demander à ses utilisateurs de se connecter avec leur téléphone, sans utiliser de mot de passe. Pour plus d’informations sur la configuration de Authenticator et sur l’activation de la connexion par téléphone, consultez Vous connecter à vos comptes à l’aide de l’application Authenticator.

Notes

Si une stratégie empêche l’utilisateur d’utiliser la connexion par téléphone, l’utilisateur ne peut pas l’activer dans Authenticator.

Se connecter avec les informations d’identification sans mot de passe

Un utilisateur peut commencer à utiliser la connexion sans mot de passe une fois toutes les actions suivantes effectuées :

  • Un administrateur a activé le locataire de l’utilisateur.
  • L’utilisateur a ajouté Authenticator comme méthode de connexion.

Pour démarrer le processus de connexion par téléphone pour la première fois, procédez comme suit :

  1. Entrez votre nom dans le volet Connexion.
  2. Sélectionnez Suivant.
  3. Le cas échéant, sélectionnez Autres méthodes de connexion.
  4. Sélectionnez Approuver une requête sur mon application Authenticator.

Un nombre s’affiche ensuite. L’application invite l’utilisateur à s’authentifier en insérant le numéro approprié au lieu d’entrer un mot de passe.

Une fois que l’utilisateur utilise la connexion par téléphone sans mot de passe, l’application continue à le diriger par le biais de cette méthode. L’utilisateur voit également l’option permettant de choisir une autre méthode.

Capture d’écran montrant un exemple de connexion par navigateur à l’aide de l’application Authenticator.

Droit d’accès temporaire

Si l’administrateur client a activé la réinitialisation de mot de passe en libre-service pour que les utilisateurs configurent la connexion sans mot de passe avec l’application Authenticator pour la première fois à l’aide d’un passe d’accès temporaire, procédez comme suit :

  1. Ouvrez un navigateur sur un appareil mobile ou un ordinateur de bureau, et allez sur Informations de sécurité.
  2. Inscrivez l’application Authenticator comme méthode de connexion. Cette action lie votre compte à l’application.
  3. Revenez à votre appareil mobile et activez la connexion sans mot de passe via l’application Authenticator.

Gestion

Nous vous recommandons la stratégie des méthodes d’authentification comme meilleure façon de gérer Authenticator. Les administrateurs de stratégie d'authentification peuvent modifier cette stratégie pour activer ou désactiver Authenticator. Ils ont la possibilité d’inclure ou d’exclure des utilisateurs et des groupes spécifiques.

Les administrateurs peuvent également configurer des paramètres pour mieux contrôler l’utilisation d’Authenticator. Par exemple, il leur est possible d’ajouter un emplacement ou le nom de l’application à la requête de connexion afin que les utilisateurs disposent de davantage d’informations avant de l’approuver.

Problèmes connus

Les problèmes connus suivants existent.

Aucune option pour la connexion par téléphone sans mot de passe n’est visible

Dans certains cas, un utilisateur peut avoir une vérification de connexion par téléphone sans mot de passe qui est encore en attente de réponse. Si l’utilisateur tente de se reconnecter, l’utilisateur voit uniquement l’option de saisie de mot de passe.

Pour résoudre ce scénario, suivez les étapes suivantes :

  1. Ouvrez Authenticator.
  2. Répondez aux invites de notification.

Ensuite, continuez à utiliser la connexion par téléphone sans mot de passe.

AuthenticatorAppSignInPolicy non pris en charge

La stratégie héritée AuthenticatorAppSignInPolicy n’est pas prise en charge avec Authenticator. Pour permettre aux utilisateurs de recevoir des notifications Push ou de se connecter par téléphone sans mot de passe avec l’application Authenticator, utilisez la stratégie Méthodes d’authentification.

Comptes fédérés

Une fois qu’un utilisateur a activé les informations d’identification sans mot de passe, le processus de connexion Microsoft Entra cesse d’utiliser login\_hint. Le processus ne dirige plus l’utilisateur vers un emplacement de connexion fédéré.

Cette logique empêche généralement l’utilisateur d’un locataire hybride d’être dirigé vers les services de fédération Active Directory (AD FS) pour la vérification de la connexion. L’option permettant de sélectionner Utiliser votre mot de passe à la place est toujours disponible.

Utilisateurs locaux

Les administrateurs peuvent activer les utilisateurs pour l’authentification multifacteur via un fournisseur d’identité local. L’utilisateur peut toujours créer et utiliser une seule paire d’informations d’identification de connexion par téléphone.

Si un utilisateur tente de mettre à niveau plusieurs installations (supérieures à 5) d’Authenticator avec ces informations d’identification de connexion par téléphone sans mot de passe, cette modification peut générer une erreur.

Contenu connexe

Pour en savoir plus sur l’authentification Microsoft Entra et les méthodes sans mot de passe, consultez les articles suivants :