Partager via


Prise en charge des clés secrètes dans Microsoft Authenticator dans votre locataire Microsoft Entra ID

Cette rubrique traite des problèmes que les utilisateurs peuvent voir lorsqu’ils utilisent des clés secrètes dans Microsoft Authenticator et des moyens possibles pour les administrateurs de les résoudre.

Solutions de contournement pour une boucle de stratégie d’accès conditionnel de force d’authentification

Les organisations qui déploient des clés secrètes et qui ont des stratégies d’accès conditionnel qui nécessitent une authentification anti-hameçonnage lors de l’accès à toutes les ressources (anciennement « Toutes les applications cloud ») peuvent entraîner un problème de bouclage lorsque les utilisateurs tentent d’ajouter une clé secrète à Microsoft Authenticator. Exemple de configuration de cette stratégie :

  • Condition : Tous les appareils (Windows, Linux, MacOS, Windows, Android)
  • Ressource ciblée : Toutes les ressources (anciennement « Toutes les applications cloud »)
  • Contrôle d’octroi : Force d’authentification : exiger une clé secrète dans Authenticator

La stratégie applique efficacement que les utilisateurs ciblés doivent utiliser une clé secrète pour s’authentifier auprès de toutes les applications cloud, notamment l’application Microsoft Authenticator. Cela signifie que les utilisateurs doivent utiliser une clé secrète pour provisionner une clé secrète lorsqu’ils passent par le flux d’inscription dans l’application au sein de l’application Authenticator. Cela affecte à la fois Android et iOS.

Il existe deux solutions de contournement :

  • Vous pouvez filtrer les applications et transférer la cible de stratégie de toutes les ressources (anciennement « Toutes les applications cloud ») vers des applications spécifiques. Commencez par examiner les applications utilisées dans votre locataire et utilisez des filtres pour marquer Microsoft Authenticator et d’autres applications.

  • Pour réduire davantage les coûts de support, vous pouvez exécuter une campagne interne pour aider les utilisateurs à adopter des clés secrètes avant d’appliquer l’utilisation de clés secrètes. Lorsque vous êtes prêt à appliquer l’utilisation de la clé secrète, créez deux stratégies d’accès conditionnel :

    • Stratégie pour les versions du système d’exploitation mobile
    • Stratégie pour les versions du système d’exploitation de bureau

    Exiger une puissance d’authentification différente pour chaque stratégie et configurer d’autres paramètres de stratégie répertoriés dans le tableau suivant. Vous souhaiterez probablement activer l’utilisation d’un passe d’accès temporaire (TAP) ou activer d’autres méthodes d’authentification que les utilisateurs peuvent utiliser pour inscrire la clé secrète. En émettant un TAP à un utilisateur uniquement lorsqu’il inscrit des informations d’identification et en l’acceptant uniquement sur les plateformes mobiles où l’inscription de clé secrète peut se produire, vous pouvez vous assurer que les utilisateurs utilisent des méthodes d’authentification autorisées pour tous les flux et utilisant TAP uniquement pendant une durée limitée pendant l’inscription.

    Stratégie d’accès conditionnel Système d’exploitation de bureau Système d’exploitation mobile
    Nom Exiger une clé secrète dans Authenticator pour accéder à un système d’exploitation de bureau Exiger un TAP, des informations d’identification résistantes au hameçonnage ou toute autre méthode d’authentification spécifiée pour accéder à un système d’exploitation mobile
    Condition Appareils spécifiques (systèmes d’exploitation de bureau) Appareils spécifiques (systèmes d’exploitation mobiles)
    Appareils N/A Android, iOS
    Exclure les appareils Android, iOS N/A
    Ressource ciblée Toutes les ressources Toutes les ressources
    Contrôle octroyé Force de l’authentification Force d’authentification 1
    Méthodes Clé d’accès dans Microsoft Authenticator TAP, clé d’accès dans Microsoft Authenticator.
    Résultat de la stratégie Les utilisateurs qui ne peuvent pas se connecter avec une clé secrète dans Authenticator sont dirigés vers le mode Assistant Mes connexions. Après l’inscription, ils sont invités à se connecter à Authenticator sur leur appareil mobile. Les utilisateurs qui se connectent à Authenticator avec un TAP ou une autre méthode autorisée peuvent inscrire une clé d’accès directement dans Authenticator. Aucune boucle ne se produit, car l’utilisateur répond aux exigences d’authentification.

    1 Pour que les utilisateurs inscrivent de nouvelles méthodes de connexion, votre contrôle d’octroi pour la stratégie mobile doit correspondre à votre stratégie d’accès conditionnel pour inscrire les informations de sécurité.

Remarque

Avec l’une ou l’autre solution de contournement, les utilisateurs doivent également satisfaire à une stratégie d’accès conditionnel qui cible les informations de sécurité d’inscription, ou ils ne peuvent pas inscrire la clé secrète. En outre, si vous avez d’autres conditions configurées avec les stratégies Toutes les ressources, celles-ci doivent être remplies lors de l’inscription de la clé secrète.

Restreindre l’utilisation du Bluetooth aux clés secrètes dans Authenticator

Certaines organisations limitent l’utilisation du Bluetooth, notamment l’utilisation de clés secrètes. Dans ce cas, les organisations peuvent autoriser les clés secrètes en autorisant le jumelage Bluetooth exclusivement avec les authentificateurs FIDO2 compatibles avec la clé d’accès. Pour plus d’informations sur la configuration de l’utilisation du Bluetooth uniquement pour les clés d’accès, consultez Clés d’accès dans les environnements restreints au Bluetooth.

Étapes suivantes

Pour plus d’informations sur les clés secrètes dans Authenticator, consultez Méthode d’authentification de Microsoft Authenticator. Pour activer les clés secrètes dans Authenticator comme moyen pour les utilisateurs de se connecter, consultez Activer les clés secrètes dans Microsoft Authenticator.