Méthodes d’authentification dans Microsoft Entra ID - Application Microsoft Authenticator
Microsoft Authenticator offre un niveau de sécurité supplémentaire à votre compte professionnel ou scolaire Microsoft Entra ou à votre compte Microsoft. Il est disponible pour Android et iOS. Avec l'application Microsoft Authenticator, les utilisateurs peuvent s'authentifier sans mot de passe lors de la connexion. Ils peuvent également l’utiliser comme option de vérification lors d’événements de réinitialisation de mot de passe en libre-service (SSPR) ou d’authentification multifacteur (MFA).
Microsoft Authenticator prend en charge la clé d'accès, la connexion sans mot de passe et l'authentification multifacteur à l'aide de notifications et de codes de vérification.
- Les utilisateurs peuvent se connecter avec une clé d'accès dans l'application Authenticator et effectuer une authentification anti-phishing avec leur connexion biométrique ou le code PIN de leur appareil.
- Les utilisateurs peuvent configurer des notifications Authenticator et se connecter avec Authenticator au lieu de leur nom d'utilisateur et de leur mot de passe.
- Les utilisateurs peuvent recevoir une demande MFA sur leur appareil mobile et approuver ou refuser la tentative de connexion depuis leur téléphone.
- Ils peuvent également utiliser un code de vérification OATH dans l’application Authenticator et le saisir dans une interface de connexion.
Pour plus d'informations, consultez Activer la connexion sans mot de passe avec Microsoft Authenticator.
Remarque
Les utilisateurs n’ont pas la possibilité d’enregistrer leur application mobile lorsqu’ils activent la réinitialisation de mot de passe en libre-service. En revanche, les utilisateurs peuvent inscrire leur application mobile sur https://aka.ms/mfasetup ou dans le cadre de l’inscription d’informations de sécurité combinée sur https://aka.ms/setupsecurityinfo. L’application Authenticator peut ne pas être prise en charge sur les versions bêta d’iOS et d’Android. En outre, à compter du 20 octobre 2023, l’application Authenticator sur Android ne prend plus en charge les anciennes versions du Portail d’entreprise Android. Les utilisateurs Android avec les versions du portail d’entreprise inférieures à 2111 (5.0.5333.0) ne peuvent pas réinscrire ou inscrire de nouvelles instances de Microsoft Authenticator tant qu’ils ne mettent pas à jour leur application de portail d’entreprise vers une version plus récente.
Connexion par clé d'accès
Authenticator est une solution de clé d’accès gratuite qui permet aux utilisateurs d’effectuer des authentifications résistantes au hameçonnage sans mot de passe à partir de leurs propres téléphones. Voici quelques avantages clés de l’utilisation de clés d’accès dans l’application Authenticator :
- Les clés d’accès peuvent être facilement déployées à grande échelle. Les clés d’accès sont alors disponibles sur le téléphone d’un utilisateur pour les scénarios de gestion des périphériques mobiles (GPM) et les scénarios BYOD (apportez votre propre appareil).
- Les clés d’accès dans Authenticator ne sont pas plus coûteuses et voyagent avec les utilisateurs où qu’ils aillent.
- Les clés d’accès dans Authenticator sont liées à l’appareil, ce qui garantit que la clé d’accès ne disparaisse pas de l’appareil sur lequel il a été créé.
- Les utilisateurs restent à jour avec la dernière innovation de clé d’accès basée sur les normes WebAuthn ouvertes.
- Les entreprises peuvent superposer d’autres fonctionnalités aux flux d’authentification, telles que la conformité aux normes fédérales de traitement de l’information (FIPS) 140.
Clé d’accès liée à l’appareil
Les clés d’accès dans l’application Authenticator sont liées à l’appareil pour s’assurer qu’elles ne quittent jamais l’appareil sur lequel elles ont été créées. Sur un appareil iOS, Authenticator utilise l’enclave sécurisée pour créer la clé d’accès. Sur Android, nous créons la clé d’accès dans l’élément sécurisé sur les appareils qui le prennent en charge, ou revenons à l’environnement d’exécution de confiance (TEE).
Fonctionnement de l’attestation de clé d’accès avec Authenticator
Lorsque l’attestation est activée dans la Stratégie de clé d’accès (FIDO2), Microsoft Entra ID tente de vérifier la légitimité du modèle de clé de sécurité ou du fournisseur de clé d’accès où la clé d’accès est créée. Lorsqu'un utilisateur enregistre une clé d'accès dans Authenticator, l'attestation vérifie que l'application Microsoft Authenticator légitime a créé la clé d'accès à l'aide des services Apple et Google. Voici les détails sur le fonctionnement de l’attestation pour chaque plateforme :
iOS : l’attestation Authenticator utilise le service d’attestation d’application iOS pour garantir la légitimité de l’application Authenticator avant d’inscrire la clé d’accès.
Android :
- Pour l’attestation d’intégrité de Play, l’attestation Authenticator utilise l’API d’intégrité de Play pour garantir la légitimité de l’application Authenticator avant d’inscrire la clé secrète.
- Pour l’attestation de clé, l’attestation Authenticator utilise Attestation de clé par Android pour vérifier que la clé secrète inscrite est sauvegardée sur le matériel.
Remarque
Pour iOS et Android, l’attestation Authenticator s’appuie sur les services Apple et Google pour vérifier l’authenticité de l’application Authenticator. L’utilisation intensive du service peut faire échouer l’inscription de clé secrète et les utilisateurs peuvent être amenés à devoir réessayer. Si les services Apple et Google sont en panne, l’attestation Authenticator bloque l’inscription qui nécessite une attestation jusqu’à ce que les services soient restaurés. Pour surveiller l’état du service Google Play Integrity, consultez Tableau de bord d’état de Google Play. Pour surveiller l’état du service iOS App Attest, consultez État du système.
Pour plus d'informations sur la configuration de l'attestation, consultez Comment activer les clés d'accès dans Microsoft Authenticator pour Microsoft Entra ID.
Connexion sans mot de passe via des notifications
Au lieu d’obtenir une invite de mot de passe après avoir entré un nom d’utilisateur, les utilisateurs qui activent la connexion par téléphone dans l’application Authenticator voient s’afficher un message demandant d’entrer un nombre dans son application. Lorsque le nombre correct est sélectionné, le processus de connexion est terminé.
Cette méthode d’authentification offre un niveau élevé de sécurité et évite à l’utilisateur de fournir un mot de passe lors de la connexion.
Pour commencer à utiliser la connexion sans mot de passe, consultez Activer la connexion sans mot de passe avec Microsoft Authenticator.
MFA via des notifications via l'application mobile
L’application Authenticator peut aider à empêcher tout accès non autorisé aux comptes et à arrêter les transactions frauduleuses en envoyant une notification à votre smartphone ou tablette. Les utilisateurs voient la notification et, si elle est légitime, sélectionnent Vérifier. Sinon, ils peuvent sélectionner Refuser.
Note
À compter d’août 2023, les connexions anormales ne génèrent pas de notifications, de la même façon que les connexions à partir d’emplacements inconnus ne génèrent pas de notifications. Pour approuver une connexion anormale, les utilisateurs peuvent ouvrir Microsoft Authenticator ou Authenticator Lite dans une application complémentaire appropriée comme Outlook. Ensuite, ils peuvent extraire pour actualiser ou appuyer sur Actualiser, puis approuver la demande.
En Chine, la méthode Notification via une application mobile sur les appareils Android ne fonctionne pas car les services Google Play (y compris les notifications Push) sont bloqués dans la région. En revanche, les notifications iOS fonctionnent. Pour les appareils Android, d’autres méthodes d’authentification doivent être proposées à ces utilisateurs.
Code de vérification de l’application mobile
L’application Authenticator peut être utilisée comme jeton logiciel pour générer un code de vérification OATH. Après avoir saisi votre nom d’utilisateur et votre mot de passe, vous entrez le code fourni par l’application Authenticator dans l’interface de connexion. Le code de vérification fournit un deuxième formulaire d’authentification.
Note
Les codes de vérification OATH générés par Authenticator ne sont pas pris en charge pour l’authentification basée sur les certificats.
Les utilisateurs peuvent combiner jusqu’à cinq jetons matériels OATH ou applications d’authentification, comme l’application Authenticator, configurées pour une utilisation à tout moment.
Conforme à FIPS 140 pour l’authentification Microsoft Entra
Conformément aux directives décrites dans la publication spéciale 800-63B du NIST, les authentificateurs utilisés par les agences gouvernementales américaines doivent utiliser la cryptographie validée FIPS 140. Cette directive aide les agences gouvernementales américaines à répondre aux exigences de l’Ordre exécutif (EO) 14028. En outre, cette directive aide d’autres secteurs réglementés tels que les organismes de santé travaillant avec des prescriptions électroniques pour les substances contrôlées (EPCS) afin de répondre à leurs exigences réglementaires.
FIPS 140 est une norme gouvernementale américaine qui définit les exigences de sécurité minimales pour les modules cryptographiques dans les produits et systèmes des technologies de l’information. Le programme CMVP (Cryptographic Module Validation Program) gère les tests par rapport à la norme FIPS 140.
Microsoft Authenticator pour iOS
À compter de la version 6.6.8, Microsoft Authenticator pour iOS utilise le module Apple CoreCrypto natif pour le chiffrement validé FIPS sur les appareils Apple iOS conformes à la norme FIPS 140. Toutes les authentifications Microsoft Entra utilisant des clés d’accès liées à l’appareil et résistant à l’hameçonnage, les authentifications multifacteur (MFA) de type Push, les connexions par téléphone sans mot de passe (PSI) et les codes secrets à usage unique (TOTP) utilisent le chiffrement FIPS.
Pour plus d’informations sur les modules de chiffrement validés FIPS 140 utilisés et sur les appareils iOS conformes, consultez Certifications de sécurité Apple iOS.
Microsoft Authenticator pour Android
À partir de la version 6.2409.6094 sur Microsoft Authenticator pour Android, toutes les authentifications dans Microsoft Entra ID, y compris les clés d'accès, sont considérées comme conformes à la norme FIPS. Authenticator utilise le module cryptographique de wolfSSL Inc. pour atteindre la conformité FIPS 140, niveau de sécurité 1 sur les appareils Android. Pour plus de détails sur la certification, consultez le programme de validation des modules cryptographiques.
Détermination du type d’inscription Microsoft Authenticator dans Informations de sécurité
Les utilisateurs peuvent accéder aux Informations de sécurité (voir les URL dans la section suivante) ou en sélectionnant Informations de sécurité dans Mon compte pour gérer et ajouter d'autres enregistrements Microsoft Authenticator. Des icônes spécifiques sont utilisées pour déterminer si l’inscription Microsoft Authenticator est une connexion par téléphone sans mot de passe ou l’authentification multifacteur (MFA).
Type d’inscription Authenticator | Icône |
---|---|
Microsoft Authenticator : connexion par téléphone sans mot de passe | |
Microsoft Authenticator : (Notification/Code) |
Liens vers SecurityInfo
Cloud | URL des informations de sécurité |
---|---|
Azure commercial (inclut Government Community Cloud (GCC)) | https://aka.ms/MySecurityInfo |
Azure pour le gouvernement des États-Unis (y compris GCC High et DoD) | https://aka.ms/MySecurityInfo-us |
Mises à jour d’Authenticator
Microsoft met à jour en permanence Authenticator pour maintenir un niveau de sécurité élevé. Pour vous assurer que vos utilisateurs bénéficient de la meilleure expérience possible, nous vous recommandons de leur demander de mettre continuellement à jour leur application Authenticator. Dans le cas de mises à jour de sécurité critiques, les versions d'application qui ne sont pas à jour peuvent ne pas fonctionner et empêcher les utilisateurs de terminer leur authentification. Si un utilisateur utilise une version de l'application qui n'est pas prise en charge, il est invité à effectuer une mise à niveau vers la dernière version avant de procéder à la connexion.
Microsoft supprime également périodiquement les anciennes versions de l’application Authenticator afin de maintenir un niveau de sécurité élevé pour votre organisation. Si l’appareil d’un utilisateur ne prend pas en charge les versions modernes de Microsoft Authenticator, il ne peut pas signer avec l’application. Nous recommandons à ces utilisateurs de se connecter avec un code de vérification OATH dans Microsoft Authenticator pour terminer MFA.
Étapes suivantes
Pour commencer à utiliser les clés d'accès, consultez Comment activer les clés d'accès dans Microsoft Authenticator pour Microsoft Entra ID.
Pour plus d’informations sur la connexion sans mot de passe, consultez Activer la connexion sans mot de passe avec Microsoft Authenticator.
Découvrez comment configurer les méthodes d’authentification à l’aide de l’API REST Microsoft Graph.