Partager via

Options d’authentification sans mot de passe pour Microsoft Entra ID

Les fonctionnalités telles que l'authentification multifacteur (MFA) sont un excellent moyen de sécuriser votre organisation, mais les utilisateurs sont souvent frustrés par la couche de sécurité supplémentaire qui s'ajoute à la nécessité de se souvenir de leurs mots de passe. Les méthodes d'authentification sans mot de passe sont plus pratiques, car le mot de passe est supprimé et remplacé par quelque chose que vous avez, que vous êtes ou que vous connaissez.

Authentification Quelque chose que vous avez Quelque chose que vous êtes ou savez
Sans mot de passe Appareil Windows 10, téléphone ou clé de sécurité Biométrie ou code confidentiel

Chaque organisation a des besoins différents en matière d’authentification. Microsoft Entra ID et Azure Government proposent les cinq options d'authentification sans mot de passe suivantes :

  • Windows Hello Entreprise
  • Informations d'identification de plateforme pour macOS
  • Authentification unique de plateforme (PSSO) pour macOS avec authentification par carte à puce
  • Microsoft Authenticator
  • Clés de passe (FIDO2)
  • Authentification par certificat

Authentification : Sécurité et commodité

Windows Hello Entreprise

Windows Hello Entreprise est idéal pour les professionnels de l’information qui disposent de leur propre PC Windows. Les identifiants biométriques et PIN sont directement liés au PC de l’utilisateur, ce qui empêche l’accès à quiconque autre que le propriétaire. Avec l’intégration de l’infrastructure à clé publique (PKI)et la prise en charge intégrée de l’authentification unique (SSO), Windows Hello Entreprise propose une méthode d’accès pratique aux ressources d’entreprise localement et dans le cloud.

Exemple de connexion d'un utilisateur avec Windows Hello Entreprise.

Les étapes suivantes décrivent la manière dont fonctionne le processus de connexion avec Microsoft Entra ID :

Diagramme décrivant les étapes nécessaires à la connexion des utilisateurs avec Windows Hello Entreprise

  1. Un utilisateur se connecte à Windows l’aide d'un geste biométrique ou d'un code confidentiel. Cette opération déverrouille la clé privée Windows Hello Entreprise, qui est transmise au fournisseur SSP (Security Support Provider) d'authentification cloud, que l'on appelle le fournisseur d'authentification cloud (CloudAP). Pour plus d'informations sur le CloudAP, consultez l'article Qu'est-ce qu'un jeton d'actualisation principal ?
  2. Le CloudAP demande un nonce (nombre arbitraire aléatoire qui ne peut être utilisé qu'une seule fois) à Microsoft Entra ID.
  3. Microsoft Entra ID renvoie un nonce qui est valide pendant 5 minutes.
  4. Le CloudAP signe le nonce à l'aide de la clé privée de l'utilisateur et le renvoie signé à Microsoft Entra ID.
  5. Microsoft Entra ID vérifie le nonce signé à l'aide de la clé publique de l'utilisateur par rapport à la signature du nonce. Microsoft Entra ID valide la signature, puis valide ensuite le nonce signé renvoyé. Après avoir validé le nonce, Microsoft Entra ID crée un jeton d'actualisation principal (PRT) avec la clé de session chiffrée sur la clé de transport de l'appareil et le retourne au fournisseur CloudAP.
  6. Le CloudAP reçoit le PRT chiffré avec la clé de session. Le CloudAP utilise la clé de transport privée de l'appareil pour déchiffrer la clé de session et protège cette dernière à l'aide du module de plateforme sécurisée (TPM) de l'appareil.
  7. Le CloudAP renvoie une réponse de confirmation de l'authentification à Windows. L'utilisateur est alors en mesure d'accéder à Windows et aux applications cloud et locales à l'aide de l'authentification unique de manière transparente.

Le guide de planification Windows Hello Entreprise peut vous aider à déterminer le type de déploiement de Windows Hello Entreprise dont vous avez besoin, ainsi que les options à prendre en considération.

Informations d'identification de plateforme pour macOS

Les informations d'identification de plateforme pour macOS sont une nouvelle fonctionnalité sur macOS activée à l'aide de l'extension Microsoft Enterprise Single Sign-On (SSOe). Elle provisionne une clé de chiffrement liée au matériel protégée par une enclave de sécurité qui est utilisée pour l'authentification unique entre les applications qui s'authentifient à l'aide de Microsoft Entra ID. Le mot de passe du compte local de l'utilisateur n'est pas modifié et reste nécessaire pour se connecter au Mac.

Capture d'écran montrant un exemple de fenêtre contextuelle invitant l'utilisateur à inscrire son compte macOS auprès de son fournisseur d'identité à l'aide de l'authentification unique de plateforme.

Les informations d'identification de plateforme pour macOS permettent aux utilisateurs de se connecter sans mot de passe en configurant Touch ID pour déverrouiller leur appareil. Cette méthode utilise des identifiants résistants au hameçonnage, basés sur la technologie Windows Hello for Business. Cela permet aux organisations clientes de réaliser des économies en supprimant le besoin de clés de sécurité physiques, tout en renforçant les objectifs Confiance Zéro grâce à l'intégration avec l'enclave sécurisée.

Les informations d'identification de plateforme pour macOS peuvent également être utilisées comme identifiants résistants à l'hameçonnage dans des vérifications WebAuthn, dont des scénarios de réauthentification de navigateur. Si vous appliquez des stratégies de restriction de clés dans votre stratégie FIDO, vous devez ajouter l'AAGUID correspondant aux informations d'identification de plateforme macOS à votre liste d'AAGUID autorisés : 7FD635B3-2EF9-4542-8D9D-164F2C771EFC.

Diagramme décrivant les étapes nécessaires à la connexion de l'utilisateur avec l'authentification unique de plateforme macOS.

  1. Un utilisateur déverrouille son macOS à l'aide d'un geste ou de son empreinte digitale, ce qui déverrouille le trousseau de clés pour permettre l'accès à la UserSecureEnclaveKey.
  2. Le macOS demande un nonce (nombre arbitraire aléatoire qui ne peut être utilisé qu'une seule fois) à Microsoft Entra ID.
  3. Microsoft Entra ID renvoie un nonce qui est valide pendant 5 minutes.
  4. Le système d'exploitation (OS) envoie ensuite une requête de connexion à Microsoft Entra ID contenant une assertion signée avec la UserSecureEnclaveKey qui réside dans l'enclave sécurisée.
  5. Microsoft Entra ID valide l'assertion signée en utilisant la clé publique inscrite de manière sécurisée de l'utilisateur correspondant à la UserSecureEnclaveKey. Microsoft Entra ID valide la signature ainsi que le nonce. Une fois l'assertion validée, Microsoft Entra ID crée un jeton d'actualisation principal (PRT) chiffré avec la clé publique de la UserDeviceEncryptionKey échangée lors de l'inscription et renvoie la réponse au système d'exploitation.
  6. Le système d'exploitation déchiffre et valide la réponse, récupère les jetons d'authentification unique, les stocke et les partage avec l'extension SSO pour permettre une authentification unique. L'utilisateur peut ainsi accéder à son macOS, aux applications cloud et aux applications locales à l'aide de l'authentification unique.

Pour plus d'informations sur la configuration et le déploiement des informations d'identification de plateforme pour macOS, reportez-vous à l'article consacré à l'authentification unique de plateforme macOS.

Authentification unique de plateforme pour macOS avec carte à puce

L'authentification unique de plateforme (PSSO) pour macOS permet aux utilisateurs de se connecter sans mot de passe à l'aide de la méthode d'authentification par carte à puce. L'utilisateur se connecte à la machine à l'aide d'une carte à puce externe ou d'un jeton matériel compatible avec une carte à puce (par exemple, Yubikey). Une fois l'appareil déverrouillé, la carte à puce est utilisée avec Microsoft Entra ID pour permettre l'authentification unique sur les applications qui s'authentifient à l'aide de Microsoft Entra ID en utilisant l'l'authentification par certificat (CBA). La CBA doit être configurée et activée pour les utilisateurs pour que cette fonctionnalité soit opérationnelle. Pour configurer la CBA, consultez Comment configurer l'authentification par certificat Microsoft Entra.

Pour activer cette fonctionnalité, un administrateur doit configurer la PSSO à l'aide de Microsoft Intune ou d'une autre solution de gestion des appareils mobiles (MDM) prise en charge.

Diagramme décrivant les étapes nécessaires à la connexion de l'utilisateur avec l'authentification unique de plateforme macOS.

  1. Un utilisateur déverrouille son macOS à l'aide du code PIN de sa carte à puce, ce qui déverrouille la carte à puce ainsi que le trousseau de clés, permettant l'accès aux clés d'inscription de l'appareil stockées dans l'enclave sécurisée.
  2. Le macOS demande un nonce (nombre arbitraire aléatoire qui ne peut être utilisé qu'une seule fois) à Microsoft Entra ID.
  3. Microsoft Entra ID renvoie un nonce qui est valide pendant 5 minutes.
  4. Le système d'exploitation (OS) envoie alors une requête de connexion à Microsoft Entra ID, contenant une assertion signée avec le certificat Microsoft Entra de l'utilisateur, présent sur la carte à puce.
  5. Microsoft Entra ID valide l'assertion signée, la signature ainsi que le nonce. Une fois l'assertion validée, Microsoft Entra ID crée un jeton d'actualisation principal (PRT) chiffré avec la clé publique de la UserDeviceEncryptionKey échangée lors de l'inscription et renvoie la réponse au système d'exploitation.
  6. Le système d'exploitation déchiffre et valide la réponse, récupère les jetons d'authentification unique, les stocke et les partage avec l'extension SSO pour permettre une authentification unique. L'utilisateur peut ainsi accéder à son macOS, aux applications cloud et aux applications locales à l'aide de l'authentification unique.

Microsoft Authenticator

Vous pouvez également autoriser le téléphone de votre employé à devenir une méthode d’authentification sans mot de passe. Vous utilisez peut-être déjà l'application Authenticator comme option pratique d'authentification multifacteur en complément d'un mot de passe. Vous pouvez également utiliser l’application Authenticator comme option sans mot de passe.

Connectez-vous à Microsoft Edge avec Microsoft Authenticator

L’application Authenticator transforme n’importe quel téléphone iOS ou Android en informations d’identification fortes et sans mot de passe. Les utilisateurs peuvent se connecter à n'importe quelle plateforme ou navigateur en recevant une notification sur leur téléphone, puis en associant un numéro affiché à l'écran avec celui visible sur leur appareil. Ensuite, ils confirment leur identité avec leur biométrie (empreinte digitale ou reconnaissance faciale) ou leur code PIN. Pour en savoir plus sur l'installation, consultez Télécharger et installer Microsoft Authenticator.

L'authentification sans mot de passe à l'aide de Microsoft Authenticator suit le même schéma de base que Windows Hello Entreprise. C'est un peu plus compliqué lorsque l'utilisateur a besoin d'être identifié afin que Microsoft Entra ID puisse trouver la version de l'application Microsoft Authenticator en cours d'utilisation :

Diagramme décrivant les étapes nécessaires à la connexion de l’utilisateur avec l’application Microsoft Authenticator

  1. L'utilisateur entre son nom d’utilisateur.
  2. Microsoft Entra ID détecte que l'utilisateur utilise des informations d'identification fortes et lance le flux correspondant.
  3. Une notification est envoyée à l’application via Apple Push Notification Service (APNS) sur les appareils iOS ou Firebase Cloud Messaging (FCM) sur les appareils Android.
  4. L'utilisateur reçoit la notification Push et ouvre l'application.
  5. L'application appelle Microsoft Entra ID et reçoit un test de preuve de présence et un nonce.
  6. L’utilisateur répond au test à l'aide en entrant un code biométrique ou un code confidentiel pour déverrouiller la clé privée.
  7. Le nonce est signé avec la clé privée, puis renvoyé à Microsoft Entra ID.
  8. Microsoft Entra ID procède à la validation des clés publique/privée et renvoie un jeton.

Pour prendre en main la connexion sans mot de passe, procédez comme suit :

Activer la connexion sans mot de passe à l'aide de l'application Authenticator

Clés de passe (FIDO2)

Les utilisateurs peuvent enregistrer une clé d'accès (FIDO2) et la choisir comme méthode de connexion principale. Avec un périphérique matériel gérant l'authentification, la sécurité du compte est renforcée car il n'existe aucun mot de passe qui pourrait être exposé ou deviné. Un administrateur d'authentification peut également provisionner une clé de sécurité FIDO2 pour le compte d'un utilisateur à l'aide de l'API Microsoft Graph et d'un client personnalisé (actuellement en version préliminaire). Le provisionnement pour le compte des utilisateurs est pour l'instant limité aux clés de sécurité physiques.

La FIDO (Fast Identity Online) Alliance permet de promouvoir les normes d’authentification ouverte et de réduire l’utilisation des mots de passe en tant qu’authentification. FIDO2 est la dernière norme qui incorpore la norme d’authentification Web (WebAuthn). FIDO permet aux organisations d'appliquer la norme WebAuthn pour se connecter sans nom d'utilisateur ou mot de passe, à l'aide d'une clé de sécurité externe ou d'une clé de plateforme intégrée à un appareil.

Les clés de sécurité FIDO2 sont une méthode d’authentification sans mot de passe basée sur une norme. Elles ne peuvent pas être usurpées et peuvent s’afficher dans n’importe quel facteur de forme. Il s'agit généralement de clés USB, mais il est également possible d'utiliser le Bluetooth ou le NFC (communication en champ proche). Les clés d'accès (FIDO2) sont basées sur la même norme WebAuthn et peuvent être enregistrées dans Authenticator, ou sur des appareils mobiles, des tablettes ou des ordinateurs.

Les clés de sécurité FIDO2 permettent aux utilisateurs de se connecter à leurs appareils Windows 10 à jonction Microsoft Entra ID or Microsoft Entra hybride et de bénéficier d'une authentification unique sur leurs ressources cloud et locales. Les utilisateurs peuvent également se connecter aux navigateurs pris en charge. Les clés de sécurité FIDO2 constituent une excellente solution pour les entreprises qui sont très sensibles à la sécurité ou ayant des scénarios ou des employés qui ne sont pas prêts à ou capables d’utiliser leur téléphone comme deuxième facteur.

Pour plus d'informations sur la prise en charge des clés d'accès FIDO2, consultez Prise en charge de l'authentification par clé d'accès FIDO2 avec Microsoft Entra ID. Pour connaître les meilleures pratiques pour les développeurs, consultez 'Prise en charge de l'authentification FIDO2 dans les applications que vous développez.

Connectez-vous à Microsoft Edge avec une clé de sécurité

Le processus suivant est utilisé lorsqu’un utilisateur se connecte avec une clé de sécurité FIDO2 :

Diagramme décrivant les étapes nécessaires à la connexion de l’utilisateur avec une clé de sécurité FIDO2

  1. L’utilisateur connecte la clé de sécurité FIDO2 à son ordinateur.
  2. Windows détecte la clé de sécurité FIDO2.
  3. Windows envoie une requête d’authentification.
  4. Microsoft Entra ID renvoie un nonce.
  5. L’utilisateur fait le geste qui convient pour déverrouiller la clé privée stockée dans l’enclave sécurisée de la clé de sécurité FIDO2.
  6. La clé de sécurité FIDO2 signe le nonce avec la clé privée.
  7. La demande de jeton d'actualisation principal (PRT) contenant le nonce signé est envoyée à Microsoft Entra ID.
  8. Microsoft Entra ID vérifie le nonce signé à l'aide de la clé publique FIDO2.
  9. Microsoft Entra ID renvoie le PRT pour activer l'accès aux ressources locales.

Pour obtenir la liste des fournisseurs de clés de sécurité FIDO2, consultez Devenir un fournisseur de clés de sécurité FIDO2 compatibles avec Microsoft.

Pour prendre en main les clés de sécurité FIDO2, procédez comme suit :

Activer la connexion sans mot de passe à l'aide des clés de sécurité FIDO2

Authentification par certificat

L'authentification par certificat (CBA, certificate-based authentification) Microsoft Entra permet aux clients d'autoriser ou de demander à leurs utilisateurs de s'authentifier directement avec des certificats X.509 auprès de Microsoft Entra ID pour se connecter aux applications et aux navigateurs. La CBA permet aux clients d'adopter une authentification résistante au hameçonnage, et de se connecter au moyen d'un certificat X.509 sur l'infrastructure à clé publique (PKI).

Diagramme de l'authentification par certificat Microsoft Entra.

Principaux avantages de l'utilisation de la CBA Microsoft Entra

Avantages Descriptif
Meilleure expérience utilisateur - Les utilisateurs qui ont besoin d'une authentification par certificat peuvent désormais s'authentifier directement sur Microsoft Entra ID, sans avoir à investir dans une solution de fédération.
- L’interface utilisateur du portail permet aux utilisateurs de configurer facilement la mise en correspondance des champs de certificat à un attribut d’objet utilisateur pour rechercher l’utilisateur dans le locataire (liaisons de noms d’utilisateur de certificat)
- L’interface utilisateur du portail pour configurer des stratégies d’authentification afin de déterminer les certificats monofacteurs et multifacteurs.
Facile à déployer et à gérer - La CBA Microsoft Entra est une fonctionnalité gratuite et vous n'avez besoin d'aucune édition payante de Microsoft Entra ID pour l'utiliser.
- Pas besoin de déploiements locaux ou de configuration réseau complexes.
- Authentification directe auprès de Microsoft Entra ID.
Sécuriser - Les mots de passe locaux n’ont pas besoin d’être stockés dans le cloud sous quelque forme que ce soit.
- Protège vos comptes d'utilisateur en fonctionnant de façon fluide avec les stratégies d'accès conditionnel Microsoft Entra, notamment l'authentification multifacteur anti-hameçonnage (l'authentification MFA nécessite une édition sous licence) et le blocage de l'authentification héritée.
- Prise en charge de l’authentification forte où les utilisateurs peuvent définir des stratégies d’authentification par le biais de champs de certificat tels que l’émetteur ou l’OID (identificateur d’objet) de stratégie pour déterminer quels certificats sont éligibles comme monofacteurs ou multifacteurs.
- La fonctionnalité fonctionne en toute transparence avec les fonctionnalités d’accès conditionnel et la capacité de force d’authentification pour appliquer l’authentification multifacteur pour aider à sécuriser vos utilisateurs.

Scénarios pris en charge

Les scénarios suivants sont pris en charge :

  • L’utilisateur se connecte à des applications s’appuyant sur un navigateur web sur toutes les plateformes.
  • Connexions utilisateur aux applications Office mobiles sur iOS/Android, ainsi qu'aux applications Office natives sous Windows (y compris Outlook, OneDrive, etc.).
  • Connexions utilisateur sur les navigateurs natifs mobiles.
  • Prise en charge des règles d’authentification granulaires pour l’authentification multifacteur à l’aide des OID de stratégie et d’objet de l’émetteur de certificat.
  • Configuration des liaisons compte d'utilisateur–certificat à l'aide de l'un quelconque des champs de certificat :
    • Subject Alternative Name (SAN) – PrincipalName et SAN RFC822Name
    • Identificateur de clé d’objet (SKI) et SHA1PublicKey
  • Configuration des liaisons compte d'utilisateur–certificat à l'aide de l'un quelconque des attributs d'objet utilisateur :
    • Nom d’utilisateur principal
    • onPremisesUserPrincipalName
    • CertificateUserIds

Scénarios pris en charge

Les considérations suivantes s'appliquent :

  • Les administrateurs peuvent activer des méthodes d’authentification sans mot de passe pour leur locataire.
  • Les administrateurs peuvent cibler tous les utilisateurs ou sélectionner des utilisateurs/groupes de sécurité au sein de leur locataire pour chaque méthode.
  • Les utilisateurs peuvent inscrire et gérer ces méthodes d’authentification sans mot de passe sur le portail de leur compte.
  • Les utilisateurs peuvent se connecter avec les méthodes d'authentification sans mot de passe suivantes :
    • Application Authenticator : fonctionne dans les scénarios où l'authentification Microsoft Entra est utilisée, notamment sur tous les navigateurs, pendant la configuration de Windows 10 et avec les applications mobiles intégrées sur n'importe quel système d'exploitation.
    • Clés de sécurité : Fonctionnent sur l’écran de verrouillage Windows 10 et les navigateurs web pris en charge, comme Microsoft Edge (ancienne et nouvelle version de Edge).
  • Les utilisateurs peuvent utiliser des informations d'identification sans mot de passe pour accéder à des ressources dans des locataires dans lequel ils sont invités, mais il se peut qu'ils soient tenus d'effectuer une authentification multifacteur dans ce locataire de ressources. Pour plus d'informations, consultez Risque de redondance de l'authentification multifacteur.
  • Les utilisateurs ne peuvent pas enregistrer d'informations d'identification sans mot de passe dans un locataire dans lequel ils sont invités, de la même façon qu'ils n'ont pas de mot de passe géré dans ce locataire.

Scénarios non pris en charge

Nous vous recommandons de ne pas dépasser 20 jeux de clés pour chaque méthode d'authentification sans mot de passe par compte utilisateur. Au-delà de cette limite, la taille de l'objet utilisateur augmente, ce qui peut entraîner une dégradation des performances pour certaines opérations. Dans ce cas, il est conseillé de supprimer les clés inutiles. Pour plus d'informations et les cmdlets PowerShell permettant d'interroger et de supprimer des clés, consultez Utilisation du module WHfBTools PowerShell pour nettoyer les clés Windows Hello for Business orphelines. Utilisez le paramètre facultatif /UserPrincipalName pour interroger uniquement les clés d'un utilisateur spécifique. Les autorisations requises sont celles d'un administrateur ou de l'utilisateur spécifié.

Lorsque vous utilisez PowerShell pour créer un fichier CSV avec toutes les clés existantes, identifiez soigneusement les clés que vous devez conserver et supprimez ces lignes du fichier CSV. Utilisez ensuite le CSV modifié avec PowerShell pour supprimer les clés restantes afin de ramener le nombre de clés sous la limite recommandée.

Vous pouvez supprimer en toute sécurité toute clé signalée comme « Orphaned » = « True » dans le CSV. Une clé orpheline est une clé pour un appareil qui n'est plus inscrit dans Microsoft Entra ID. Si la suppression de toutes les clés orphelines ne suffit pas à descendre en dessous de la limite, examinez les colonnes DeviceId et CreationTime pour identifier d'autres clés à cibler pour la suppression. Veillez à supprimer du CSV toute ligne correspondant à une clé que vous souhaitez conserver. Les clés associées à un DeviceID correspondant à un appareil activement utilisé doivent impérativement être retirées du CSV avant la suppression.

Choix d’une méthode sans mot de passe

Le choix entre ces trois options sans mot de passe dépend des exigences en matière de sécurité, de plateforme et d'applications de votre entreprise.

Voici quelques facteurs à prendre en compte au moment de choisir une technologie Microsoft sans mot de passe :

Windows Hello Entreprise Connexion sans mot de passe avec l'application Authenticator Clés de sécurité FIDO2
Prérequis Windows 10, version 1809 ou ultérieure
Microsoft Entra ID (système d'identification de Microsoft)		 Application Authenticator
Téléphone (appareils iOS et Android)		 Windows 10 version 1903 ou ultérieure
Microsoft Entra ID (système d'identification de Microsoft)
Mode Plateforme Logiciels Matériel
Systèmes et appareils PC avec module de plateforme sécurisée (TPM) intégré
Code confidentiel et reconnaissance biométrique		 Code confidentiel et reconnaissance biométrique sur téléphone Périphériques de sécurité FIDO2 compatibles Microsoft
Expérience utilisateur Connectez-vous à l’aide d’un code confidentiel ou d'une reconnaissance biométrique (faciale, iris ou empreinte digitale) aux appareils Windows.
L'authentification Windows Hello est liée à l'appareil ; l'utilisateur a besoin de l'appareil et d'un composant de connexion tel qu'un code confidentiel ou un facteur biométrique pour accéder aux ressources de l'entreprise.		 Connectez-vous à l’aide d’un téléphone mobile en utilisant une empreinte digitale, une reconnaissance faciale ou de l'iris, ou un code confidentiel.
Les utilisateurs se connectent à un compte professionnel ou personnel à partir de leur PC ou téléphone mobile.		 Connectez-vous à l’aide du périphérique de sécurité FIDO2 (biométrie, code confidentiel et carte NFC)
L'utilisateur peut accéder à l'appareil selon les contrôles de l’organisation et s’authentifier par code confidentiel ou biométrie à l'aide de périphériques tels que des clés de sécurité USB et des cartes à puce NFC, des clés ou autres objets connectés portables.
Scénarios possibles Expérience sans mot de passe avec appareil Windows.
Applicable pour le PC de travail dédié avec possibilité d'authentification unique à l'appareil et aux applications.		 Solution sans mot de passe à l'aide d'un téléphone mobile.
Applicable pour accéder aux applications professionnelles et personnelles sur le web à partir de n’importe quel appareil.		 Expérience sans mot de passe pour les employés avec données biométriques, code confidentiel et carte à puce NFC.
Applicable pour les PC partagés et lorsqu'un téléphone mobile n'est pas une option viable (personnel du support technique, borne publique ou équipe hospitalière)

Utilisez le tableau suivant pour choisir la méthode répondant à vos besoins et à ceux de vos utilisateurs.

Persona Scénario Environnement Technologie sans mot de passe
Administrateur Sécuriser l’accès à un appareil pour les tâches de gestion Appareil Windows 10 attribué Windows Hello Entreprise et/ou clé de sécurité FIDO2
Administrateur Tâches de gestion sur des appareils non Windows Appareil mobile ou non Windows Connexion sans mot de passe avec l’application Authenticator
Professionnel de l'information Productivité Appareil Windows 10 attribué Windows Hello Entreprise et/ou clé de sécurité FIDO2
Professionnel de l'information Productivité Appareil mobile ou non Windows Connexion sans mot de passe avec l’application Authenticator
Employé de terrain Borne dans une usine, un magasin de détail ou un point d'entrée de données Appareils Windows 10 partagés Clés de sécurité FIDO2

Étapes suivantes

Pour prendre en main la connexion sans mot de passe dans Microsoft Entra ID, suivez l'une des procédures ci-après :

  • Last updated on