Activer la connexion par clé de sécurité sans mot de passe

  • Article
  • 5 minutes de lecture

Pour les entreprises qui utilisent des mots de passe aujourd’hui et qui disposent d’un environnement de PC partagé, les clés de sécurité permettent aux employés de s’authentifier sans entrer de nom d’utilisateur ou de mot de passe. Les clés de sécurité améliorent la productivité des travailleurs et offrent une meilleure sécurité.

Ce document met l’accent sur l’activation de l’authentification sans mot de passe, basée sur une clé de sécurité. À la fin de cet article, vous serez en mesure de vous connecter aux applications web avec votre compte Azure AD, à l’aide d’une clé de sécurité FIDO2.

Spécifications

Pour utiliser des clés de sécurité pour la connexion aux services et applications web, vous devez disposer d’un navigateur qui prend en charge le protocole WebAuthN. Il s’agit notamment de Microsoft Edge, Chrome, Firefox et Safari.

Préparer les appareils

Pour les appareils joints à Azure AD, la meilleure expérience est sur Windows 10 version 1903 ou ultérieure.

Les appareils de jointure Azure AD Hybride doivent exécuter Windows 10 version 2004 ou ultérieure.

Activer les méthodes d’authentification sans mot de passe

Activer l’expérience d’inscription combinée

Les fonctionnalités d’inscription pour les méthodes d’authentification sans mot de passe s’appuient sur la fonctionnalité d'inscription combinée. Suivez les étapes de l’article Activer l’inscription d’informations de sécurité combinéespour activer l’inscription combinée.

Activer la méthode de clé de sécurité FIDO2

  1. Connectez-vous au portail Azure.

  2. Accédez à Azure Active Directory>Sécurité>Méthodes d’authentification>Stratégie de méthode d’authentification.

  3. Sous la méthode Clé de sécurité FIDO2, cliquez sur Tous les utilisateurs ou sur Ajouter des groupes pour sélectionner des groupes spécifiques.

  4. Enregistrez la configuration.

    Notes

    Si une erreur apparaît lors de la tentative d'enregistrement, celle-ci peut être due au nombre d'utilisateurs ou de groupes ajoutés. Pour résoudre ce problème, remplacez les utilisateurs et les groupes que vous essayez d’ajouter par un groupe unique, au cours de la même opération, puis cliquez à nouveau sur Enregistrer.

Paramètres facultatifs de clé de sécurité FIDO

Il existe des paramètres facultatifs sous l’onglet Configurer pour aider à gérer la façon dont les clés de sécurité peuvent être utilisées pour la connexion.

Capture d’écran des options de clé de sécurité FIDO2

  • Autoriser la configuration du libre-service doit rester défini sur Oui. Si la valeur est non, vos utilisateurs ne seront pas en mesure d’inscrire une clé FIDO via le portail MySecurityInfo, même s’il est activé par la stratégie des méthodes d’authentification.
  • Si la valeur du paramètre Appliquer l’attestation est Oui, les métadonnées de clé de sécurité FIDO doivent être publiées et vérifiées auprès du service de métadonnées FIDO Alliance et également passer d’autres tests de validation par Microsoft. Pour plus d’informations, consultez Qu’est-ce qu’une clé de sécurité compatible Microsoft ?

Stratégie de restriction de clé

  • La valeur de Appliquer les restrictions de clé doit être définie sur Oui uniquement si votre organisation souhaite autoriser ou interdire certaines clés de sécurité FIDO, identifiées par leur AAGuids. Vous pouvez utiliser votre fournisseur de clés de sécurité pour déterminer les AAGuid de leurs appareils. Si la clé est déjà inscrite, l’AAGUID peut également être retrouvé en consultant les détails de la méthode d’authentification de la clé par utilisateur.

Désactiver une clé

Pour supprimer une clé FIDO2 associée à un compte d’utilisateur, supprimez la clé de la méthode d’authentification de l’utilisateur.

  1. Connectez-vous au portail Azure et recherchez le compte d’utilisateur à partir duquel la clé de la porte doit être supprimée.

  2. Sélectionnez Méthodes d’authentification>> cliquez avec le bouton droit sur Clé de sécurité FIDO2, puis cliquez sur Supprimer.

    Voir les détails de la méthode d'authentification

GUID d’attestation de l’authentificateur de clé de sécurité (AAGUID)

La spécification FIDO2 requiert que chaque fournisseur de clé de sécurité fournisse un GUID d’attestation d’authentificateur (AAGUID) lors de l’attestation. Un AAGUID est un identificateur 128 bits indiquant le type de clé, comme la marque et le modèle.

Notes

Le fabricant doit s’assurer que le AAGUID est identique sur toutes les clés substantiellement identiques effectuées par ce fabricant, et différentes (avec une forte probabilité) des AAGUID de tous les autres types de clés. Pour garantir cela, les AAGUID pour un type donné de clé de sécurité doivent être générés de manière aléatoire. Pour plus d’informations, consultez Authentification Web : API pour accéder aux informations d’identification de la clé publique - Niveau 2 (w3.org).

Vous pouvez obtenir votre AAGUID de deux manières. Vous pouvez demander à votre fournisseur de clés de sécurité ou afficher les détails de la méthode d’authentification de la clé par utilisateur.

Afficher AAGUID pour la clé de sécurité

Inscription des utilisateurs et gestion des clés de sécurité FIDO2

  1. Accédez à https://myprofile.microsoft.com.
  2. Connectez-vous si ce n’est pas déjà fait.
  3. Cliquez Informations de sécurité.
    1. Si l’utilisateur dispose déjà d’au moins une méthode Azure AD Multi-Factor Authentication inscrite, il peut inscrire immédiatement une clé de sécurité FIDO2.
    2. Sinon, il doit d’abord ajouter une méthode Azure AD MFA.
    3. Un administrateur peut émettre un Passe d’accès temporaire pour permettre à l’utilisateur d’inscrire une méthode d’authentification sans mot de passe.
  4. Ajoutez une clé de sécurité de FIDO2 en cliquant sur Ajouter méthode et en choisissant Clé de sécurité.
  5. Choisissez Périphérique USB ou Appareil NFC.
  6. Préparez votre clé et choisissez Suivant.
  7. Une fenêtre s’affichera et demandera à l’utilisateur de créer/saisir un code confidentiel pour la clé de sécurité, puis d’effectuer le geste de requis pour la clé biométrique ou tactile.
  8. L’utilisateur revient à l’expérience d’inscription combinée et est invité à fournir un nom explicite pour la clé pour l’identifier facilement. Cliquez sur Suivant.
  9. Cliquez sur Terminé pour terminer le processus.

Se connecter avec les informations d’identification sans mot de passe

Dans l’exemple ci-dessous, un utilisateur a déjà approvisionné sa clé de sécurité FIDO2. L’utilisateur peut choisir de se connecter en ligne avec sa clé de sécurité FIDO2 depuis un navigateur pris en charge sur Windows 10 version 1903 ou ultérieure.

Connexion par clé de sécurité dans Microsoft Edge

Résolution des problèmes de commentaires

Si vous souhaitez partager des commentaires ou si vous rencontrez des problèmes avec cette fonctionnalité, partagez vos remarques via l’application Hub de commentaires Windows en procédant comme suit :

  1. Lancez le concentrateur de commentaires et assurez-vous que vous êtes connecté.
  2. Classez vos commentaires dans les catégories suivantes avant de les envoyer :
    • Catégorie : Sécurité et confidentialité
    • Sous-catégorie : FIDO
  3. Pour capturer des journaux, utilisez l’option Recréer mon problème.

Problèmes connus

Approvisionnement de clé de sécurité

L’approvisionnement et déprovisionnement de clés de sécurité par l’administrateur ne sont pas disponibles.

Modifications de l’UPN

Si l’UPN de l’utilisateur change, vous ne pouvez plus modifier les clés de sécurité FIDO2 pour en tenir compte. La solution pour un utilisateur avec une clé de sécurité FIDO2 consiste à se connecter à MySecurityInfo, à supprimer l’ancienne clé et à en ajouter une nouvelle.

Étapes suivantes

Connexion par clé de sécurité FIDO2 Windows 10

Activer l’authentification FIDO2 sur les ressources locales

En savoir plus sur l’inscription des appareils

En savoir plus sur Azure AD Multi-Factor Authentication