L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Matrice d’authentification Passkey (FIDO2) avec Microsoft Entra ID
2025-06-09
Cet article fournit une vue d’ensemble complète de la prise en charge de l’authentification par clé (FIDO2) dans Microsoft Entra ID. Il décrit la compatibilité entre les navigateurs web, les applications natives et les systèmes d’exploitation, ce qui permet l’authentification multifacteur sans mot de passe. Vous trouverez également des considérations spécifiques à la plateforme, des problèmes connus et des conseils pour la prise en charge des applications tierces et des fournisseurs d’identité (IdP). Utilisez ces informations pour garantir une intégration transparente et des expériences utilisateur optimales avec des passkeys dans votre environnement.
Microsoft Entra ID prend actuellement en charge uniquement les clés secrètes liées aux appareils stockées sur les clés de sécurité FIDO2 ou dans Microsoft Authenticator. Microsoft s’engage à sécuriser les clients et les utilisateurs avec des clés secrètes et prévoit de prendre en charge les clés secrètes synchronisées pour l’ID Microsoft Entra.
La section suivante décrit la prise en charge de l’authentification par clé (FIDO2) dans les navigateurs web avec l’ID Microsoft Entra.
Système d’exploitation
Chrome
Bord
Firefox
Safari
Windows
✅
✅
✅
N/A
macOS
✅
✅
✅
✅
ChromeOS
✅
N/A
N/A
N/A
Linux
✅
✅
✅
N/A
Ios
✅
✅
✅
✅
Androïde
✅
✅
❌
N/A
Considérations relatives à chaque plateforme
Fenêtres
La connexion avec une clé de sécurité nécessite l’un des éléments suivants :
Windows 10 version 1903 ou ultérieure
Microsoft Edge basé sur Chromium
Chrome 76 ou version ultérieure
Firefox 66 ou version ultérieure
macOS
La connexion avec clé d’accès nécessite macOS Catalina 11.1 ou version ultérieure avec Safari 14 ou version ultérieure, car Microsoft Entra ID nécessite la vérification de l’utilisateur pour l’authentification multifacteur.
Les clés de sécurité NFC (Communication en champ proche) et BLE (Bluetooth basse consommation) ne sont pas prises en charge sur macOS par Apple.
L’inscription de nouvelle clé de sécurité ne fonctionne pas sur ces navigateurs macOS, car ils n’invitent pas à configurer la biométrie ou le code confidentiel.
Les clés de sécurité NFC et BLE ne sont pas prises en charge sur ChromeOS par Google.
L’inscription des clés de sécurité n’est pas prise en charge sur ChromeOS ou le navigateur Chrome.
Linux
La connexion avec clé d’accès dans Microsoft Authenticator n’est pas prise en charge dans Firefox sur Linux.
Ios
La connexion avec clé d’accès nécessite iOS 14.3 ou version ultérieure, car Microsoft Entra ID nécessite la vérification de l’utilisateur pour l’authentification multifacteur.
Les clés de sécurité BLE ne sont pas prises en charge sur iOS par Apple.
NFC avec des clés de sécurité certifiées FIPS 140-3 n’est pas prise en charge sur iOS par Apple.
L’inscription de nouvelles clés de sécurité ne fonctionne pas sur les navigateurs iOS, car ils n’invitent pas l’utilisateur à configurer la biométrie ou le code confidentiel.
La connexion avec clé d’accès nécessite Google Play Services 21 ou version ultérieure, car Microsoft Entra ID nécessite la vérification de l’utilisateur pour l’authentification multifacteur.
Les clés de sécurité BLE ne sont pas prises en charge sur Android par Google.
L’inscription de clé de sécurité avec Microsoft Entra ID n’est pas encore prise en charge sur Android.
La connexion avec clé d’accès n’est pas prise en charge dans Firefox sur Android.
Problèmes connus
Se connecter lorsque plus de trois clés d’accès sont inscrites
Si vous avez inscrit plus de trois clés d’accès, la connexion avec une clé d’accès peut ne pas fonctionner sur iOS ou Safari sur macOS. Si vous avez plus de trois clés d’accès, en guise de solution de contournement, cliquez sur Options de connexion et connectez-vous sans entrer de nom d’utilisateur.
Les sections suivantes couvrent la prise en charge de l’authentification par clé d’accès (FIDO2) dans Microsoft Entra ID pour :
Prise en charge des applications Microsoft avec le répartiteur d'authentification
Les applications Microsoft fournissent une prise en charge native de l’authentification par clé pour tous les utilisateurs disposant d’un répartiteur d’authentification installé pour leur système d’exploitation. L'authentification par clé d'accès est également prise en charge pour les applications tierces à l'aide du courtier d'authentification.
Si un utilisateur a installé un répartiteur d’authentification, il peut choisir de se connecter avec une clé secrète lorsqu’il accède à une application telle qu’Outlook. Il est redirigé pour se connecter avec une clé d’accès et redirigé vers Outlook en tant qu’utilisateur connecté après l’authentification réussie.
Les listes de tables suivantes répertorient les répartiteurs d’authentification pris en charge pour différents systèmes d’exploitation.
Système d’exploitation
Répartiteur d’authentification
Ios
Microsoft Authenticator
macOS
Portail d’entreprise Microsoft Intune
Androïde
Authenticator, Portail d'entreprise ou application Service Lien avec Windows
Prise en charge des applications Microsoft sans courtier d'authentification
Le tableau suivant répertorie la prise en charge de l’application Microsoft pour la clé de passe (FIDO2) sans répartiteur d’authentification. Mettez à jour vos applications vers la dernière version pour assurer leur compatibilité avec les passkeys.
L'authentification par clé d'accès avec un fournisseur d'identité tiers n'est pas prise en charge dans les applications tierces utilisant un gestionnaire d'authentification, ni dans les applications Microsoft sur Android, iOS ou macOS pour l'instant.
Microsoft Entra ID ne prend pas en charge l’authentification par clé d'accès avec un fournisseur d’identité tiers sur iOS/macOS.
Pour contourner ce problème, les fournisseurs d’identité tiers peuvent implémenter leur propre extension d’authentification unique (SSO) sur les appareils iOS/macOS s’ils sont gérés par la gestion des appareils mobiles (MDM).
L’infrastructure d’authentification unique extensible d’Apple sur les appareils gérés par MDM permet aux fournisseurs d’identité d’intercepter les requêtes réseau dirigées vers leurs URL.
Lorsque l’extension d’authentification unique du fournisseur d’identité intercepte une requête réseau, elle peut implémenter un handshake d’authentification personnalisé.
Cela leur permet d’utiliser un navigateur système ou des API Apple natives pour l’authentification par clé secrète sans avoir besoin de modifications dans les applications Microsoft.
Pour plus d’informations, consultez la documentation Apple suivante :
La connexion avec la clé de sécurité FIDO2 pour les applications natives nécessite Windows 10 version 1903 ou ultérieure.
La connexion avec la clé secrète dans Microsoft Authenticator pour les applications natives nécessite Windows 11 version 22H2 ou ultérieure.
Microsoft Graph PowerShell prend en charge la clé d'accès (FIDO2). Certains modules PowerShell qui utilisent Internet Explorer au lieu de Edge ne sont pas capables d’exécuter l’authentification FIDO2. Par exemple, les modules PowerShell pour SharePoint Online ou Teams, ou tous les scripts PowerShell qui nécessitent des informations d’identification d’administrateur, n’invitent pas pour FIDO2.
Pour contourner ce problème, la plupart des fournisseurs peuvent placer des certificats sur les clés de sécurité FIDO2. L’authentification basée sur un certificat fonctionne dans tous les navigateurs. Si vous pouvez activer l’authentification basée sur un certificat pour ces comptes administrateur, vous pouvez demander l’authentification basée sur un certificat au lieu de FIDO2 dans l’intervalle.
La connexion avec clé d’accès dans les applications natives avec le plug-in SSO nécessite iOS 17.1 ou version ultérieure.
macOS
Sur macOS, le plug-in Microsoft Enterprise Single Sign On (SSO) est requis pour activer le Portail d’entreprise en tant que répartiteur d’authentification. Les appareils fonctionnant sous macOS doivent répondre aux exigences du plug-in SSO, y compris l'inscription à la gestion des appareils mobiles.
La connexion avec clé d’accès dans les applications natives avec le plug-in SSO nécessite macOS 14.0 ou version ultérieure.
Androïde
La connexion avec clé de sécurité FIDO2 pour les applications natives nécessite Android 13 ou version ultérieure.
La connexion avec clé d’accès dans Microsoft Authenticator pour les applications natives nécessite Android 14 ou version ultérieure.
La connexion avec les clés de sécurité FIDO2 fabriquées par Yubico avec YubiOTP activé peut ne pas fonctionner sur les appareils Samsung Galaxy. Pour contourner ce problème, les utilisateurs peuvent désactiver YubiOTP et tenter de se reconnecter. Pour plus d’informations, consultez les problèmes FIDO sur les appareils Samsung.
