Prise en charge des clés secrètes dans Microsoft Authenticator dans votre locataire Microsoft Entra ID
Cette rubrique traite des problèmes que les utilisateurs peuvent voir lorsqu’ils utilisent des clés secrètes dans Microsoft Authenticator et des moyens possibles pour les administrateurs de les résoudre.
Solutions de contournement pour une boucle de stratégie d’accès conditionnel de force d’authentification
Les organisations qui déploient des clés secrètes et qui ont des stratégies d’accès conditionnel qui nécessitent une authentification anti-hameçonnage lors de l’accès à toutes les ressources (anciennement « Toutes les applications cloud ») peuvent entraîner un problème de bouclage lorsque les utilisateurs tentent d’ajouter une clé secrète à Microsoft Authenticator. Exemple de configuration de cette stratégie :
- Condition : Tous les appareils (Windows, Linux, MacOS, Windows, Android)
- Ressource ciblée : Toutes les ressources (anciennement « Toutes les applications cloud »)
- Contrôle d’octroi : Force d’authentification : exiger une clé secrète dans Authenticator
La stratégie applique efficacement que les utilisateurs ciblés doivent utiliser une clé secrète pour s’authentifier auprès de toutes les applications cloud, notamment l’application Microsoft Authenticator. Cela signifie que les utilisateurs doivent utiliser une clé secrète pour provisionner une clé secrète lorsqu’ils passent par le flux d’inscription dans l’application au sein de l’application Authenticator. Cela affecte à la fois Android et iOS.
Il existe deux solutions de contournement :
Vous pouvez filtrer les applications et transférer la cible de stratégie de toutes les ressources (anciennement « Toutes les applications cloud ») vers des applications spécifiques. Commencez par examiner les applications utilisées dans votre locataire et utilisez des filtres pour marquer Microsoft Authenticator et d’autres applications.
Pour réduire davantage les coûts de support, vous pouvez exécuter une campagne interne pour aider les utilisateurs à adopter des clés secrètes avant d’appliquer l’utilisation de clés secrètes. Lorsque vous êtes prêt à appliquer l’utilisation de la clé secrète, créez deux stratégies d’accès conditionnel :
- Stratégie pour les versions du système d’exploitation mobile
- Stratégie pour les versions du système d’exploitation de bureau
Exiger une puissance d’authentification différente pour chaque stratégie et configurer d’autres paramètres de stratégie répertoriés dans le tableau suivant. Vous souhaiterez probablement activer l’utilisation d’un passe d’accès temporaire (TAP) ou activer d’autres méthodes d’authentification que les utilisateurs peuvent utiliser pour inscrire la clé secrète. En émettant un TAP à un utilisateur uniquement lorsqu’il inscrit des informations d’identification et en l’acceptant uniquement sur les plateformes mobiles où l’inscription de clé secrète peut se produire, vous pouvez vous assurer que les utilisateurs utilisent des méthodes d’authentification autorisées pour tous les flux et utilisant TAP uniquement pendant une durée limitée pendant l’inscription.
Stratégie d’accès conditionnel Système d’exploitation de bureau Système d’exploitation mobile Nom Exiger une clé secrète dans Authenticator pour accéder à un système d’exploitation de bureau Exiger un TAP, des informations d’identification résistantes au hameçonnage ou toute autre méthode d’authentification spécifiée pour accéder à un système d’exploitation mobile Condition Appareils spécifiques (systèmes d’exploitation de bureau) Appareils spécifiques (systèmes d’exploitation mobiles) Appareils S/O Android, iOS Exclure les appareils Android, iOS S/O Ressource ciblée Toutes les ressources Toutes les ressources Contrôle octroyé Force de l’authentification Forced’authentification 1 Méthodes Clé secrète dans Microsoft Authenticator TAP, clé secrète dans Microsoft Authenticator. Résultat de la stratégie Les utilisateurs qui ne peuvent pas se connecter avec une clé secrète dans Authenticator sont dirigés vers le mode Assistant Mes connexions. Après l’inscription, ils sont invités à se connecter à Authenticator sur leur appareil mobile. Les utilisateurs qui se connectent à Authenticator avec un TAP ou une autre méthode autorisée peuvent inscrire une clé d’accès directement dans Authenticator. Aucune boucle ne se produit, car l’utilisateur répond aux exigences d’authentification. 1Pour que les utilisateurs inscrivent de nouvelles méthodes de connexion, votre contrôle d’octroi pour la stratégie mobile doit correspondre à votre stratégie d’accès conditionnel pour inscrire les informations de sécurité.
Remarque
Avec l’une ou l’autre solution de contournement, les utilisateurs doivent également satisfaire à une stratégie d’accès conditionnel qui cible les informations de sécurité d’inscription, ou ils ne peuvent pas inscrire la clé secrète. En outre, si vous avez d’autres conditions configurées avec les stratégies Toutes les ressources , celles-ci doivent être remplies lors de l’inscription de la clé secrète.
Restreindre l’utilisation bluetooth aux clés secrètes dans Authenticator
Certaines organisations limitent l’utilisation du Bluetooth, notamment l’utilisation de clés secrètes. Dans ce cas, les organisations peuvent autoriser les clés secrètes en autorisant le jumelage Bluetooth exclusivement avec les authentificateurs FIDO2 compatibles avec la clé de passe. Pour plus d’informations sur la configuration de l’utilisation bluetooth uniquement pour les clés secrètes, consultez Passkeys dans les environnements bluetooth restreints.
Étapes suivantes
Pour plus d’informations sur les clés secrètes dans Authenticator, consultez la méthode d’authentification Microsoft Authenticator. Pour activer les clés secrètes dans Authenticator comme moyen pour les utilisateurs de se connecter, consultez Activer les clés secrètes dans Microsoft Authenticator .