Prise en charge de l’authentification FIDO2 avec Microsoft Entra ID
Microsoft Entra ID permet aux clés secrètes d’être utilisées pour l’authentification sans mot de passe. Cet article traite des applications natives, des navigateurs web et des systèmes d’exploitation qui prennent en charge l’authentification sans mot de passe à l’aide de clés secrètes avec Microsoft Entra ID.
Remarque
Microsoft Entra ID prend actuellement en charge les clés secrètes liées à l’appareil stockées sur les clés de sécurité FIDO2 et dans Microsoft Authenticator. Microsoft s’engage à sécuriser les clients et les utilisateurs avec des clés secrètes. Nous investissons dans les clés secrètes synchronisées et liées à l’appareil pour les comptes professionnels.
Prise en charge des applications Microsoft (préversion)
Les applications Microsoft fournissent une prise en charge native de l’authentification FIDO2 en préversion pour tous les utilisateurs disposant d’un répartiteur d’authentification installé pour leur système d’exploitation. Les listes de tables suivantes répertorient les répartiteurs d’authentification pris en charge pour différents systèmes d’exploitation.
| Système d’exploitation | Répartiteur d’authentification | Prend en charge FIDO2 |
|---|---|---|
| iOS | Microsoft Authenticator | ✅ |
| macOS | Portail d'entreprise Intune de Microsoft 1 | ✅ |
| Android2 | Authenticator ou portail d'entreprise | ❌ |
1Sur macOS, le plug-in Microsoft Enterprise Single Sign On (SSO) est nécessaire pour activer le portail d’entreprise en tant que répartiteur d’authentification. Les appareils fonctionnant sous macOS doivent répondre aux exigences du plug-in SSO, y compris l'inscription à la gestion des appareils mobiles. Pour l’authentification FIDO2, veillez à exécuter la dernière version des applications natives.
2 La prise en charge native des applications pour FIDO2 sur Android est en cours de développement.
Si un utilisateur a installé un répartiteur d’authentification, il peut choisir de se connecter avec une clé de sécurité lorsqu’il accède à une application telle qu’Outlook. Ils sont redirigés pour se connecter avec FIDO2 et sont redirigés vers Outlook en tant qu’utilisateur connecté après l’authentification réussie.
Si l’utilisateur n’a pas encore installé un répartiteur d’authentification, il peut toujours se connecter avec une clé de sécurité lorsqu’il accède aux applications compatibles MSAL qui répondent aux exigences indiquées dans Prise en charge de l’authentification FIDO2.
Prise en charge du navigateur web
Ce tableau présente la prise en charge des navigateurs pour l'authentification de Microsoft Entra ID et des comptes Microsoft à l'aide de FIDO2. Les consommateurs créent des comptes Microsoft pour des services tels que Xbox, Skype ou Outlook.com.
| Système d’exploitation | Chrome | Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | N/A |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | N/A | N/A | N/A |
| Linux | ✅ | ❌ | ❌ | N/A |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅ | ❌ | N/A |
Remarque
Vous ne pouvez pas créer et authentifier des clés secrètes à partir de navigateurs sur des appareils Android, notamment Google Chrome et Microsoft Edge. Microsoft travaille à prendre en charge ces scénarios de navigateur dès que la plateforme met à jour les API et les rend disponibles.
Prise en charge du navigateur web pour chaque plateforme
Les tableaux suivants indiquent les transports qui sont pris en charge pour chaque plateforme. Les types d’appareils pris en charge sont USB, NFC (Near-Field communication) et BLE (Bluetooth Low Energy).
Windows
| Browser | USB | NFC | BLE |
|---|---|---|---|
| Edge | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
Version minimale du navigateur
Voici la configuration minimale requise pour la version du navigateur sur Windows.
| Browser | Version minimale |
|---|---|
| Chrome | 76 |
| Edge | Windows 10 version 19031 |
| Firefox | 66 |
1 Toutes les versions du nouveau Microsoft Edge basé sur Chromium prennent en charge FIDO2. La prise en charge sur Microsoft Edge hérité a été ajoutée à la version 1903.
macOS
| Browser | USB | NFC1 | BLE1 |
|---|---|---|---|
| Edge | ✅ | N/A | N/A |
| Chrome | ✅ | N/A | N/A |
| Firefox2 | ✅ | N/A | N/A |
| Safari2 | ✅ | N/A | N/A |
1 Les clés de sécurité NFC et BLE ne sont pas prises en charge sous macOS d’Apple.
2 L’inscription de nouvelles clés de sécurité ne fonctionne pas sur ces navigateurs sous macOS, car ils n’invitent pas l’utilisateur à configurer des données biométriques ou un code confidentiel.
ChromeOS
| Navigateur1 | USB | NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
1 L’inscription de clés de sécurité n’est pas prise en charge sous ChromeOS ou dans le navigateur Chrome.
Linux
| Browser | USB | NFC | BLE |
|---|---|---|---|
| Edge | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| Navigateur1 | Lightning | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ✅ | N/A |
| Chrome | ✅ | ✅ | N/A |
| Firefox | ✅ | ✅ | N/A |
| Safari | ✅ | ✅ | N/A |
1 L’inscription de nouvelles clés de sécurité ne fonctionne pas sur les navigateurs sous iOS, car ils n’invitent pas l’utilisateur à configurer des données biométriques ou un code confidentiel.
2 Les clés de sécurité BLE ne sont pas prises en charge sous iOS d’Apple.
Android
| Navigateur1 | USB | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1Inscription de clé de sécurité avec Microsoft Entra ID n’est pas encore prise en charge sur Android.
2Les clés de sécurité BLE ne sont pas prises en charge sous Android par Google.
Problèmes connus
L’appareil mobile peut être prioritaire par rapport à la clé de sécurité
Si vous utilisez Chrome ou Edge, le navigateur peut hiérarchiser l’utilisation d’une clé secrète stockée sur un appareil mobile sur une clé de sécurité stockée sur une clé de sécurité.
À partir de Windows 11 version 23H2, le système d’exploitation affiche l’invite suivante lors de la connexion. Ci-dessous Autres choix, choisissez clé de sécurité, puis sélectionnez suivant.
Sur les versions antérieures de Windows, le navigateur peut afficher l’écran de jumelage QR pour continuer à utiliser une clé secrète stockée sur un appareil mobile. Pour utiliser une clé secrète stockée sur une clé de sécurité à la place, insérez votre clé de sécurité et touchez-la pour continuer.
Prise en charge dans PowerShell
Microsoft Graph PowerShell prend en charge FIDO2. Certains modules PowerShell qui utilisent Internet Explorer au lieu de Edge ne sont pas capables d’exécuter l’authentification FIDO2. Par exemple, les modules PowerShell pour SharePoint Online ou Teams, ou tous les scripts PowerShell qui nécessitent des informations d’identification d’administrateur, n’invitent pas pour FIDO2.
Pour contourner ce problème, la plupart des fournisseurs peuvent placer des certificats sur les clés de sécurité FIDO2. L’authentification basée sur un certificat fonctionne dans tous les navigateurs. Si vous pouvez activer l’authentification basée sur un certificat pour ces comptes administrateur, vous pouvez demander l’authentification basée sur un certificat au lieu de FIDO2 dans l’intervalle.