Méthodes d’authentification dans Azure Active Directory - Application Microsoft Authenticator

L’application Microsoft Authenticator fournit un niveau de sécurité supplémentaire pour votre compte Azure AD professionnel ou scolaire, ou pour votre compte Microsoft. Elle est disponible pour Android et iOS. Avec l’application Microsoft Authenticator, les utilisateurs peuvent s’authentifier sans mot de passe lors de la connexion, ou avec une option de vérification supplémentaire lors de la réinitialisation du mot de passe en libre-service (SSPR) ou d’événements d’authentification multifacteur.

Les utilisateurs peuvent recevoir une notification par le biais de l’application mobile leur permettant d’accepter ou de refuser. Ils peuvent également utiliser l’application Authenticator pour générer un code de vérification OATH pouvant être entré dans une interface de connexion. Si vous activez à la fois la notification et le code de vérification, les utilisateurs s’enregistrant sur l’application Authenticator peuvent utiliser une des deux méthodes pour vérifier leur identité.

Pour utiliser l’application Authenticator dans une invite de connexion au lieu de la combinaison nom d’utilisateur/mot de passe, consultez Activer la connexion sans mot de passe avec Microsoft Authenticator.

Notes

Les utilisateurs n’ont pas la possibilité d’enregistrer leur application mobile lorsqu’ils activent la réinitialisation de mot de passe en libre-service. En revanche, les utilisateurs peuvent inscrire leur application mobile sur https://aka.ms/mfasetup ou dans le cadre de l’inscription d’informations de sécurité combinée sur https://aka.ms/setupsecurityinfo.

Connexion sans mot de passe

Au lieu d’obtenir une invite de mot de passe après avoir entré un nom d’utilisateur, un utilisateur qui a activé la connexion par téléphone dans l’application Authenticator voit s’afficher un message lui demandant d’entrer un nombre dans son application. Lorsque le nombre correct est sélectionné, le processus de connexion est terminé.

Exemple de connexion dans un navigateur demandant à l’utilisateur d’approuver la connexion.

Cette méthode d’authentification offre un niveau élevé de sécurité et évite à l’utilisateur de fournir un mot de passe lors de la connexion.

Pour commencer à utiliser la connexion sans mot de passe, consultez Activer la connexion sans mot de passe avec Microsoft Authenticator.

Notification via une application mobile

L’application Authenticator peut aider à empêcher tout accès non autorisé aux comptes et à arrêter les transactions frauduleuses en envoyant une notification à votre smartphone ou tablette. Les utilisateurs voient la notification et, si elle est légitime, sélectionnent Vérifier. Sinon, ils peuvent sélectionner Refuser.

Capture d’écran d’exemple de l’invite du navigateur Web affichant la notification de l’application Authenticator permettant de terminer le processus de connexion.

Notes

Si votre organisation dispose de personnel travaillant ou voyageant en Chine, la méthode Notification via une application mobile sur les appareils Android ne fonctionne pas dans ce pays ou cette région, car les services Google Play (y compris les notifications Push) sont bloqués dans la région. En revanche, la notification iOS fonctionne. Pour Android, d’autres méthodes d’authentification doivent être proposées à ces utilisateurs.

Code de vérification de l’application mobile

L'application Authenticator peut être utilisée comme jeton logiciel pour générer un code de vérification OATH. Après avoir saisi votre nom d’utilisateur et votre mot de passe, vous entrez le code fourni par l’application Authenticator dans l’interface de connexion. Le code de vérification fournit un deuxième formulaire d’authentification.

Les utilisateurs peuvent combiner jusqu’à cinq jetons matériels OATH ou des applications d’authentification, comme l’application Authenticator, configurées pour une utilisation à tout moment.

Avertissement

Pour garantir le niveau de sécurité le plus élevé quand une seule méthode est requise pour la réinitialisation de mot de passe en libre-service, le code de vérification est la seule option à la disposition des utilisateurs.

Lorsque deux méthodes sont requises, les utilisateurs peuvent effectuer la réinitialisation avec soit une notification, soit un code de vérification en plus de n’importe quelle autre méthode activée.

Conforme à FIPS 140 pour l’authentification Azure AD

À compter de la version 6.6.8, Microsoft Authenticator pour iOS est conforme à la norme FIPS (Federal Information Processing Standard) 140 pour toutes les authentifications Azure AD utilisant l’authentification multifacteur (MFA) push, la connexion par téléphone sans mot de passe (PSI) et les mots de passe à usage unique et durée définie (TOTP).  

Conformément aux instructions décrites dans NIST SP 800-63B, les authentificateurs doivent utiliser le chiffrement validé FIPS 140. Cela aide les organismes fédéraux à répondre aux obligations de l’ordre exécutif 14028 et des organismes de santé travaillant avec des prescriptions électroniques de substances contrôlées. 

FIPS 140 est une norme gouvernementale américaine qui définit les exigences de sécurité minimales pour les modules cryptographiques dans les produits et systèmes des technologies de l’information. Les tests par rapport à la norme FIPS 140 sont gérés par le programme CMVP (Cryptographic Module Validation Program).

Aucune modification des configurations n’est requise dans Microsoft Authenticator ou le portail Azure pour activer la conformité FIPS 140. À compter de Microsoft Authenticator pour iOS version 6.6.8, les authentifications Azure AD seront conformes à FIPS 140 par défaut.

Authenticator tire parti du chiffrement Apple natif pour respecter la conformité FIPS 140 Niveau de sécurité 1 sur les appareils Apple iOS à compter de Microsoft Authenticator version 6.6.8. Pour plus d’informations sur les certifications utilisées, consultez le module Apple CoreCrypto

La conformité FIPS 140 pour Microsoft Authenticator sur Android est en cours et suivra bientôt.

Étapes suivantes