Partager via

Comment activer des profils de clé d'accès (FIDO2) dans Microsoft Entra ID (préversion)

Les profils de clé secrète activent des configurations granulaires basées sur des groupes pour l’authentification FIDO2 de clé secrète. Au lieu d’un paramètre à l’échelle du locataire unique, vous pouvez définir des exigences spécifiques telles que l’attestation, le type de clé de passe (lié à l’appareil ou synchronisé) ou les restrictions AAGUID (Authenticator Attestation GUID). Vous pouvez appliquer des exigences dans des profils de clé d'accès distincts pour différents groupes d’utilisateurs, tels que les administrateurs et le personnel de première ligne.

Note

Un administrateur de stratégie d’authentification doit configurer un profil de clé d’authentification (préversion) pour activer les clés d’authentification synchronisées (préversion). Pour plus d’informations, consultez Comment activer les clés secrètes synchronisées (FIDO2) dans Microsoft Entra ID (préversion).

Qu’est-ce que les profils de clé d’accès ?

Un profil de clé de passe est un ensemble nommé de règles de stratégie qui régit la façon dont les utilisateurs des groupes ciblés peuvent s'inscrire et s'authentifier avec des clés de passe (FIDO2). Les profils prennent en charge les contrôles avancés tels que :

  • Appliquer l’attestation : activé, désactivé
  • Types cibles : lié à l’appareil, synchronisé
  • Cibler des authentificateurs spécifiques : autoriser ou bloquer des authentificateurs spécifiques par leur AAGUID. Pour plus d’informations, consultez GUID d’attestation d’authentificateur.

Avant de commencer

  • Les utilisateurs doivent effectuer l’authentification multifacteur (MFA) au cours des cinq dernières minutes avant de pouvoir inscrire une clé d’accès (FIDO2).
  • Les utilisateurs ont besoin d’un authentificateur qui prend en charge les exigences d’attestation de Microsoft Entra ID. Pour plus d’informations, consultez l’attestation d’ID Microsoft Entra pour les fournisseurs de clés de sécurité FIDO2.
  • Les appareils doivent prendre en charge l’authentification FIDO2 (Passkey). Pour les appareils Windows joints à Microsoft Entra ID, la meilleure expérience est sur Windows 10 version 1903 ou ultérieure. Les appareils joints à l’hybride doivent exécuter Windows 10 version 2004 ou ultérieure.
  • Si un profil de passkey pour les passkeys liés à l'appareil et synchronisés cible Microsoft Authenticator, les utilisateurs doivent utiliser Microsoft Authenticator iOS version 6.8.37 ou Android version 6.2507.4749.
  • Limite de taille de stratégie :
    • La stratégie de méthodes d’authentification prend en charge une limite de taille de 20 Ko. Vous ne pouvez pas enregistrer d’autres profils de clé secrète une fois la limite de taille atteinte. Pour vérifier la taille, utilisez l’API Get authenticationMethodsPolicy Microsoft Graph pour récupérer le JSON pour la stratégie de méthodes d’authentification. Enregistrez la sortie sous la forme d’un fichier .txt, puis cliquez avec le bouton droit et sélectionnez Propriétés pour afficher la taille du fichier.
    • Tailles de référence :
      • Stratégie de clé d'accès de base sans modification : 1,44 Ko
      • Cible avec 1 profil de clé de passe appliqué : 0,23 kB
      • Cible avec 5 profils de passe-clé appliqués : 0,4 Ko
      • Profil de clés d'accès sans AAGUIDs : 0,4 Ko
      • Profil de clé d'accès avec 10 AAGUIDs : 0,3 ko

Activer les profils de clé d'accès (aperçu)

Note

Lors de l’inscription à des profils de clé de passe (préversion), vos paramètres de stratégie de clé de passe globale (FIDO2) seront automatiquement transférés vers un profil de clé de passe par défaut. Un maximum de 3 profils de clé secrète, y compris le profil de clé secrète par défaut , sont pris en charge. La prise en charge de plus de profils de clé de passe est en cours de développement.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de stratégie d’authentification au moins.

  2. Accédez aux> d’authentification>>.

  3. Sélectionnez Passkey (FIDO2), puis inscrivez-vous à l'aperçu public sur la bannière de l'aperçu public pour voir les profils de mot de passe (aperçu).

    Capture d’écran montrant comment choisir d’afficher un aperçu.

    Note

    Les paramètres de stratégie de passkey précédents (FIDO2) sont automatiquement transférés vers le profil de passkey par défaut. Les cibles utilisateur précédentes sont également automatiquement transférées vers Activer et cibler.

  4. Pour terminer l’inscription, sélectionnez le profil de clé secrète par défaut.

    Capture d’écran montrant le profil de clé secrète par défaut.

    Pour les types cibles, sélectionnez Appareil lié, Synchronisé (préversion) ou les deux, puis sélectionnez Enregistrer.

    Capture d’écran montrant comment modifier le profil de clé secrète par défaut.

Créer un profil de clé d'accès

  1. Sous l’onglet Configurer , cliquez sur + Ajouter un profil de clé secrète.

    Capture d’écran montrant comment modifier le profil de clé secrète par défaut.

  2. Renseignez les détails du profil. Le tableau suivant explique l’impact de différentes sélections.

    • Faire respecter l’attestation

      Option Appliquer l’attestation définie sur Oui Imposer l’attestation sur 'Non'
      Nécessite une clé de sécurité pour présenter des instructions d’attestation valides au moment de l’inscription afin que Microsoft Entra ID puisse vérifier la marque et le modèle du dispositif d'authentification par rapport aux métadonnées approuvées. Cela donne à votre organisation l’assurance que la clé secrète est authentique et provient du fournisseur indiqué.
      L’attestation est vérifiée uniquement pendant l’inscription ; les passkeys existants qui ont été ajoutés sans attestation ne sont pas bloqués pour se connecter si vous activez l’attestation ultérieurement.
      Les clés d'accès synchronisées ne prennent pas en charge l'attestation. Si vous définissez Appliquer l’attestation sur Oui, les clés secrètes synchronisées ne sont pas une option dans les types cibles.
      Pour connaître les autres exigences d’attestation du fournisseur, consultez l’attestation d’ID Microsoft Entra pour les fournisseurs de clés de sécurité FIDO2.      		 Ne nécessite pas de clé d'accès pour présenter une déclaration d’attestation valide au moment de l’inscription.
      L'ID Microsoft Entra ne peut garantir aucun attribut sur une clé d'accès, notamment si elle est synchronisée ou liée à un appareil, ou par rapport à la marque, au modèle ou au fournisseur spécifique, même si des AAGUID spécifiques à la cible sont appliqués.
      Les passkeys synchronisées ne sont prises en charge que si Forcer l'attestation est défini sur Non.
      Pour connaître les autres exigences d’attestation du fournisseur, consultez l’attestation d’ID Microsoft Entra pour les fournisseurs de clés de sécurité FIDO2.

    • Les types de cibles peuvent autoriser les codes d'accès liés à l’appareil, les codes d'accès synchronisés ou les deux.

      Note

      Les codes d'accès synchronisés ne s'affichent pas comme option si l'attestation est appliquée.

    • Cibler des AAGUID spécifiques Activez ce paramètre si vous souhaitez autoriser ou bloquer certains modèles de clés de sécurité ou fournisseurs de clés secrètes, identifiés par leur AAGUID. Cela vous permet de contrôler les authentificateurs avec lesquels vous autorisez les utilisateurs de votre organisation à inscrire et à authentifier les clés secrètes.

      Note

      Si l’attestation n’est pas appliquée, les informations AAGUID sont basées sur ce que l’authentificateur signale et ne peuvent pas être entièrement garanties. Utilisez des listes AAGUID comme guide de stratégie plutôt qu’un contrôle de sécurité strict lorsque l’attestation est désactivée.

    Avertissement

    Les restrictions clés définissent la facilité d’utilisation des modèles ou fournisseurs spécifiques pour l’inscription et l’authentification. Si vous modifiez les restrictions de clé et supprimez un AAGUID que vous avez précédemment autorisé, les utilisateurs qui ont précédemment inscrit une méthode autorisée ne peuvent plus l’utiliser pour la connexion.

  3. Une fois la configuration terminée, sélectionnez Enregistrer.

Appliquer un profil de clé d'accès à un groupe ciblé

  1. Sélectionnez Activer et Cibler.

  2. Sélectionnez Ajouter une cible et sélectionnez Tous les utilisateurs ou Sélectionner des cibles pour sélectionner des groupes.

    Capture d’écran montrant comment ajouter une cible pour un profil de clé secrète.

  3. Sélectionnez les profils de clé secrète que vous souhaitez affecter à une cible spécifique.

    Capture d’écran montrant comment sélectionner un profil de clé secrète.

    Note

    Un groupe cible (par exemple, Ingénierie) peut être défini pour plusieurs profils de clé d'accès. Lorsqu’un utilisateur est limité à plusieurs profils de clé secrète, l’inscription et l’authentification avec une clé secrète sont autorisés s’il satisfait pleinement à l’exigence d’un des profils de clé secrète étendue. Il n'y a pas d'ordre particulier pour la vérification. Si un utilisateur est membre d'un groupe exclu dans la stratégie de méthode d'authentification Passkeys (FIDO2), il est bloqué pour l'inscription ou la connexion à la clé de passage FIDO2. Les groupes exclus sont prioritaires sur les groupes inclus .

Supprimer un profil de clé de passe

  1. Sélectionnez Configurer.

  2. Sélectionnez la corbeille à droite du profil de clé secrète que vous souhaitez supprimer, puis sélectionnez Enregistrer.

    Note

    Vous pouvez supprimer un profil uniquement s’il n’est pas affecté à un groupe d’utilisateurs dans Activer et cible. Si la corbeille est grise, supprimez d’abord les cibles qui sont affectées à ce profil.

    Capture d’écran montrant comment supprimer un profil de clé secrète.

Désactiver les profils de clé d'accès (aperçu)

Note

La désactivation des profils de clé d'accès (aperçu) entraînera :

  • Supprimer tous les profils de clé d'accès et leurs cibles associées
  • Rétablissez la stratégie de mot de passe à la configuration de votre profil de mot de passe par défaut, y compris les cibles utilisateur.
  • Désactiver la prise en charge des clés d'accès synchronisées

Assurez-vous qu’aucun administrateur ne sera verrouillé de ses comptes en raison de ces modifications.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de stratégie d’authentification au moins.
  2. Accédez aux> d’authentification>>.
  3. Sélectionnez Passkey (FIDO2) et sélectionnez Désactiver la préversion publique sur la bannière de préversion publique.
  4. Passez en revue les conditions de désactivation, puis cliquez sur désactiver si vous acceptez.

Exemples d'utilisations pour les profils de passkey

Note

Si un profil de passkey pour les passkeys liés à l'appareil et synchronisés cible Microsoft Authenticator, les utilisateurs doivent utiliser Microsoft Authenticator iOS version 6.8.37 ou Android version 6.2507.4749.

Considérations spéciales pour les comptes à privilèges élevés

Profil de passe-clé Groupes cibles Types de clés d'accès Application de l’attestation Restrictions de clé
Toutes les clés d'accès liées à l'appareil (attestation requise) Administrateurs informatiques
Cadres
Ingénierie		 Lié à l’appareil Enabled Disabled
Toutes les clés d'accès synchronisées ou associées à l’appareil RH
Ventes		 Lié à l’appareil, synchronisé Disabled Disabled

Déploiement ciblé de clés d'accès dans Microsoft Authenticator

Profil de passe-clé Groupes cibles Types de clés d'accès Application de l’attestation Restrictions concernant les clés
Toutes les clés d'accès liées à l'appareil (sauf Microsoft Authenticator) Tous les utilisateurs Lié à l’appareil Enabled Enabled
- Comportement : Bloquer
- AAGUIDs : Microsoft Authenticator pour iOS, Microsoft Authenticator pour Android
Clés secrètes dans Microsoft Authenticator Groupe pilote 1
Groupe pilote 2		 Lié à l’appareil Enabled Enabled
Comportement : Autoriser
- AAGUIDs : Microsoft Authenticator pour iOS, Microsoft Authenticator pour Android

Contenu connexe

Comment activer les clés secrètes synchronisées (FIDO2) dans Microsoft Entra ID (préversion)

  • Last updated on