Partager via


Activer les clés d’accès dans Microsoft Authenticator

Cet article réunit les étapes permettant d’activer et d’appliquer l’utilisation de clés d’accès dans Authenticator pour Microsoft Entra ID. Tout d’abord, mettez à jour la stratégie des méthodes d’authentification pour permettre aux utilisateurs finaux de s’inscrire et de se connecter avec des clés d’accès dans Authenticator. Vous pouvez ensuite utiliser des stratégies de force d’authentification d’accès conditionnel pour appliquer la connexion avec clé d’accès lorsque les utilisateurs accèdent à une ressource sensible.

Spécifications

  • Authentification multifacteur (MFA) Microsoft Entra
  • Android 14 et versions ultérieures ou iOS 17 et versions ultérieures
  • Une connexion Internet active sur n’importe quel appareil qui fait partie du processus d’inscription/d’authentification de clé d’accès. Une connectivité à ces deux points de terminaison doit être autorisée dans votre organisation pour activer l’inscription et l’authentification entre appareils :
  • Pour l’inscription/l’authentification inter-appareils, le Bluetooth doit être activé sur les deux appareils

Remarque

Les utilisateurs doivent installer la dernière version d’Authenticator pour Android ou iOS afin d’utiliser une clé d’accès.

Pour en savoir plus sur où vous pouvez utiliser des clés secrètes dans Authenticator pour vous connecter, consultez Support de l’authentification FIDO2 avec Microsoft Entra ID.

Activer les clés d’accès dans Authenticator depuis le centre d’administration

Un administrateur de stratégie d’authentification doit donner son consentement pour autoriser Authenticator dans les paramètres FIDO2 (Passkey) de la stratégie de méthodes d’authentification. Ils doivent autoriser explicitement les GUID d’attestation d’authentificateur (AAGUID) pour Microsoft Authenticator à permettre aux utilisateurs d’inscrire des clés secrètes dans l’application Authenticator. Il n’existe aucun paramètre pour activer les clés secrètes dans la section de l’application Microsoft Authenticator de la stratégie Méthodes d’authentification.

  1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.

  2. Accédez à Protection>Méthodes d’authentification>Stratégie de méthode d'authentification.

  3. Sous la méthode Clé d’accès (FIDO2),sélectionnez Tous les utilisateurs ou Ajouter des groupes pour sélectionner des groupes spécifiques. Seuls les groupes de sécurité sont pris en charge.

  4. Sous l’onglet Configurer :

    • Définissez Autoriser la configuration libre-service sur Oui. Si la valeur est Non, les utilisateurs ne peuvent pas inscrire de clé secrète à l’aide des informations de sécurité, même si les clés secrètes (FIDO2) sont activées par la stratégie de méthodes d’authentification.

    • Définissez Appliquer l’attestation sur Oui.

      Lorsque l’attestation est activée dans la stratégie de clé d’accès (FIDO), Microsoft Entra ID tente de vérifier la légitimité de la clé secrète en cours de création. Lorsque l’utilisateur inscrit une clé secrète dans Authenticator, l’attestation vérifie que l’application Microsoft Authenticator légitime a créé la clé secrète à l’aide des services Apple et Google. Voici quelques détails supplémentaires :

      • iOS : l’attestation Authenticator utilise le service d’attestation d’application iOS pour garantir la légitimité de l’application Authenticator avant d’inscrire la clé d’accès.

        Remarque

        La prise en charge de l’inscription de clés d’accès dans Authenticator lorsque l’attestation est appliquée est actuellement déployée pour les utilisateurs de l’application iOS Authenticator. La prise en charge de l’inscription de clés d’accès attestées dans Authenticator sur les appareils Android est disponible pour tous les utilisateurs de la dernière version de l’application.

      • Android :

        • Pour l’attestation d’intégrité de Play, l’attestation Authenticator utilise l’API d’intégrité de Play pour garantir la légitimité de l’application Authenticator avant d’inscrire la clé secrète.
        • Pour l’attestation de clé, l’attestation Authenticator utilise Attestation de clé par Android pour vérifier que la clé secrète inscrite est sauvegardée sur le matériel.

      Remarque

      Pour iOS et Android, l’attestation Authenticator s’appuie sur les services Apple et Google pour vérifier l’authenticité de l’application Authenticator. L’utilisation intensive du service peut faire échouer l’inscription de clé secrète et les utilisateurs peuvent être amenés à devoir réessayer. Si les services Apple et Google sont en panne, l’attestation Authenticator bloque l’inscription qui nécessite une attestation jusqu’à ce que les services soient restaurés. Pour surveiller l’état du service Google Play Integrity, consultez Tableau de bord d’état de Google Play. Pour surveiller l’état du service iOS App Attest, consultez État du système.

    • Les restrictions de clé définissent la facilité d’utilisation des clés d’accès spécifiques pour l’inscription et l’authentification. Définissez Appliquer les restrictions de clé sur Oui pour autoriser ou bloquer uniquement certaines clés secrètes, qui sont identifiées par leurs AAGUID.

      Ce paramètre doit être Oui et vous devez ajouter les AAGUID Microsoft Authenticator pour permettre aux utilisateurs d’inscrire des clés secrètes dans l’authentificateur, soit en vous connectant à l’application Authenticator, soit en ajoutant Passkey dans Microsoft Authenticator à partir de leurs informations de sécurité.

      Les informations de sécurité nécessitent que ce paramètre soit défini sur Oui pour que les utilisateurs puissent choisir Passkey dans Authenticator et passer par un flux d’inscription de clé secrète Authenticator dédié. Si vous choisissez Non, les utilisateurs peuvent toujours ajouter une clé secrète dans Microsoft Authenticator en choisissant la méthode Clé de sécurité ou clé d’accès, en fonction de leur système d’exploitation et de leur navigateur. Toutefois, nous ne nous attendons pas à ce que de nombreux utilisateurs découvrent et utilisent cette méthode.

      Si votre organisation n’applique actuellement pas de restrictions de clé et dispose déjà d’une utilisation active de la clé d’accès, vous devez collecter les AAGUID des clés utilisées aujourd’hui. Incluez ces utilisateurs et les AAGUID d’Authenticator. Vous pouvez le faire avec un script automatisé qui analyse les journaux d’activité, tels que les détails de l’inscription et les journaux de connexion.

      Si vous modifiez les restrictions de clé et supprimez un AAGUID que vous avez précédemment autorisé, les utilisateurs qui ont précédemment inscrit une méthode autorisée ne peuvent plus l’utiliser pour la connexion.

    • Réglez Restriction de certaines clés sur Autoriser.

    • Sélectionnez Microsoft Authenticator pour ajouter automatiquement l’application Authenticator AAGUID à la liste des restrictions de clé, ou ajoutez manuellement les AAGUID suivants pour permettre aux utilisateurs d’inscrire des clés secrètes dans l’authentificateur en vous connectant à l’application Authenticator ou en accédant à un flux guidé sur la page Informations de sécurité :

      • Authenticator pour Android : de1e552d-db1d-4423-a619-566b625cdc84
      • Authenticator pour iOS : 90a3ccdf-635c-4729-a248-9b709135078f

      Remarque

      Si vous désactivez les restrictions de clé, décochez la case Microsoft Authenticator afin que les utilisateurs ne soient pas invités à configurer une clé d’accès dans l’application Authenticator dans Informations de sécurité.

    Capture d’écran montrant Microsoft Authenticator activé pour la clé d’accès.

  5. Une fois la configuration terminée, sélectionnez Enregistrer.

    Remarque

    Si vous voyez une erreur lorsque vous essayez d’enregistrer, remplacez plusieurs groupes par un seul groupe en une seule opération, puis cliquez sur Enregistrer à nouveau.

Activer les clés d’accès dans Authenticator à l’aide de l’Afficheur Graph

Outre l’utilisation du centre d’administration Microsoft Entra, vous pouvez également activer les clés d’accès dans Authenticator à l’aide de l’Afficheur Graph. Les personnes ayant au moins le rôle d’administrateur(-trice) de la stratégie d’authentification peuvent mettre à jour la stratégie de gestion des risques internes des méthodes d’authentification afin d’autoriser les AAGUID pour Authenticator.

Pour configurer la stratégie à l’aide d’Afficheur Graph :

  1. Connectez-vous à Afficheur Graph et acceptez les autorisations Policy.Read.All et Policy.ReadWrite.AuthenticationMethod.

  2. Récupérez la stratégie des méthodes d’authentification :

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    
  3. Pour désactiver l’application de l’attestation et appliquer des restrictions de clé afin d’autoriser uniquement les AAGUID pour Microsoft Authenticator, effectuez une opération PATCH à l’aide du corps de la demande suivante :

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    
    Request Body:
    {
        "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
        "isAttestationEnforced": true,
        "keyRestrictions": {
            "isEnforced": true,
            "enforcementType": "allow",
            "aaGuids": [
                "90a3ccdf-635c-4729-a248-9b709135078f",
                "de1e552d-db1d-4423-a619-566b625cdc84"
    
                <insert previous AAGUIDs here to keep them stored in policy>
            ]
        }
    }
    
  4. Vérifiez que la stratégie de clé d’accès (FIDO2) est correctement mise à jour.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    

Restreindre l’utilisation du Bluetooth aux clés secrètes dans Authenticator

Certaines organisations limitent l’utilisation du Bluetooth, notamment l’utilisation de clés secrètes. Dans ce cas, les organisations peuvent autoriser les clés secrètes en autorisant le jumelage Bluetooth exclusivement avec les authentificateurs FIDO2 compatibles avec la clé d’accès. Pour plus d’informations sur la configuration de l’utilisation du Bluetooth uniquement pour les clés d’accès, consultez Clés d’accès dans les environnements restreints au Bluetooth.

Supprimer une clé d’accès

Si un utilisateur supprime une clé secrète dans Authenticator, celle-ci est également supprimée des méthodes de connexion de l’utilisateur. Un administrateur de stratégie d’authentification peut également suivre ces étapes pour supprimer une clé secrète des méthodes d’authentification de l’utilisateur, mais elle ne supprime pas la clé secrète d’Authenticator.

  1. Connectez-vous au Centre d’administration Microsoft Entra et recherchez l’utilisateur dont la clé d’accès doit être supprimée.
  2. Sélectionnez Méthodes d’authentification>, cliquez avec le bouton droit sur Clé de sécurité FIDO2 et sélectionnez Supprimer.

Remarque

À moins que l’utilisateur n’ait lancé la suppression de la clé secrète lui-même dans Authenticator, il doit également supprimer la clé secrète dans Authenticator sur son appareil.

Appliquer la connexion avec des clés d’accès dans Authenticator

Pour que les utilisateurs se connectent avec une clé d’accès lorsqu’ils accèdent à une ressource sensible, utilisez la force d’authentification intégrée résistante au hameçonnage, ou créez une force d’authentification personnalisée en suivant ces étapes :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de l’accès conditionnel.

  2. Accédez à Protection>Méthodes d’authentification>Forces d’authentification.

  3. Sélectionnez Nouvelle force d’authentification.

  4. Fournissez un nom descriptif pour votre nouvelle force d’authentification.

  5. Fournissez une Description si vous le souhaitez.

  6. Sélectionnez Clés d’accès (FIDO2), puis sélectionnez Options avancées.

  7. Vous pouvez sélectionner Force MFA résistant au hameçonnage ou ajouter des AAGUID pour les clés secrètes dans Authenticator :

    • Authenticator pour Android : de1e552d-db1d-4423-a619-566b625cdc84
    • Authenticator pour iOS : 90a3ccdf-635c-4729-a248-9b709135078f
  8. Choisissez Suivant et passez en revue la configuration de la stratégie.

Étapes suivantes

Prise en charge de la clé d’accès dans Windows