Partager via

Activer les clés d'accès dans Authenticator

Cet article répertorie les étapes permettant d’activer et d’appliquer l’utilisation de clés d’accès dans Authenticator pour Microsoft Entra ID. Tout d’abord, mettez à jour la stratégie des méthodes d’authentification pour permettre aux utilisateurs de s’inscrire et de se connecter avec des clés d’accès dans Authenticator. Vous pouvez ensuite appliquer la connexion avec une clé d’accès à l’aide de stratégies de force d’authentification d’accès conditionnel lorsque les utilisateurs accèdent à une ressource sensible.

Spécifications

  • Authentification multi-facteur (MFA) Microsoft Entra.

  • Android 14 et versions ultérieures ou iOS 17 et versions ultérieures.

  • Pour l’inscription et l’authentification entre appareils :

    • Les deux appareils doivent avoir Bluetooth activé.
    • La connectivité Internet à ces deux points de terminaison doit être autorisée dans votre organisation :
      • https://cable.ua5v.com
      • https://cable.auth.com

    Note

    Les utilisateurs ne peuvent pas utiliser l’enregistrement inter-appareils si l’attestation est activée.

Pour en savoir plus sur la prise en charge de FIDO2, consultez Prise en charge de l’authentification FIDO2 avec Microsoft Entra ID.

Note

Si vous accordez le contrôle Exiger que l’appareil soit marqué comme conforme dans le cadre d’une stratégie d’accès conditionnel, il ne bloque pas l’accès de l’application Microsoft Authenticator à l’étendue UserAuthenticationMethod.Read. Authenticator a besoin d’accéder à l’étendue UserAuthenticationMethod.Read pendant l’inscription d’Authenticator pour déterminer les informations d’identification qu’un utilisateur peut configurer. Authenticator a besoin d’accéder à UserAuthenticationMethod.ReadWrite pour inscrire les informations d’identification, ce qui ne contourne pas la vérification Exiger que l’appareil soit marqué comme conforme.

Activer les clés d’accès dans Authenticator dans le Centre d’administration

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur de la stratégie d’authentification.

  2. Accédez à Entra ID>Méthodes d’authentification>Politique de méthode d’authentification.

  3. Sous la méthode Clé d’accès (FIDO2), cliquez sur Tous les utilisateurs ou Ajouter des groupes pour sélectionner des groupes spécifiques. Seuls les groupes de sécurité sont pris en charge.

  4. Dans l’onglet Configurer, procédez comme suit :

    • Définissez Autoriser la configuration du libre-service sur Oui. S’il est défini sur Non, les utilisateurs ne peuvent pas enregistrer de clé d'accès à l’aide de informations de sécurité, même si les clés d'accès (FIDO2) sont activées par la stratégie de méthodes d’authentification.

    • Définissez Appliquer l’attestation sur Oui ou Non. Les utilisateurs peuvent uniquement inscrire des clés secrètes attestées directement dans l’application Authenticator. Les flux d’inscription inter-appareils ne prennent pas en charge l’inscription de clés d’accès attestées.

      Lorsque l’attestation est activée dans la stratégie de passe (FIDO2), l’ID Microsoft Entra tente de vérifier la légitimité de la clé secrète en cours de création. Lorsque l’utilisateur inscrit une clé d’accès dans Authenticator, l’attestation vérifie que l’application Authenticator légitime a créé la clé d’accès à l’aide des services Apple et Google. Voici plus de détails :

      • iOS : l’attestation Authenticator utilise le service d’attestation d’application iOS pour garantir la légitimité de l’application Authenticator avant d’inscrire la clé d'accès.

      • Android :

        • Pour l’attestation Play Integrity, l’attestation Authenticator utilise l’API Play Integrity afin de garantir la légitimité de l’application Authenticator avant d’enregistrer la clé d’accès.
        • Pour l’attestation de clé, l’attestation Authenticator utilise l’attestation de clé par Android afin de vérifier que la clé d’accès enregistrée est prise en charge par le matériel.

      Note

      Pour iOS et Android, l’attestation Authenticator s’appuie sur les services Apple et Google afin de vérifier l’authenticité de l’application Authenticator. L’utilisation du service Azure Data Box Heavy peut faire échouer l’inscription de clé d’accès et les utilisateurs peuvent être amenés à devoir réessayer. Si les services Apple et Google sont indisponibles, l’attestation Authenticator bloque l’enregistrement qui nécessite une attestation jusqu’à ce que les services soient rétablis. Pour surveiller l’état du service Google Play Integrity, consultez le tableau de bord Google Play Status. Pour surveiller l’état du service iOS App Attest, consultez l’état du système.

    • Les restrictions de clé définissent la convivialité de clés d’accès spécifiques pour l’inscription et l’authentification. Vous pouvez définir Appliquer les restrictions de clé sur Non pour permettre aux utilisateurs d’inscrire toute clé d’accès prise en charge, y compris l’inscription de clé d’accès directement dans l’application Authenticator. Si vous appliquez les restrictions de clé sur Oui et que vous avez déjà une utilisation active des clés d'accès, vous devez collecter et ajouter les AAGUIDs des clés d'accès actuellement utilisées.

      Si vous définissez Restreindre des clés spécifiques sur Autoriser, sélectionnez Microsoft Authenticator pour ajouter automatiquement les AAGUID de l’application Authenticator à la liste des restrictions de clés. Vous pouvez également ajouter manuellement les AAGUID suivants pour permettre aux utilisateurs d’inscrire des clés d’accès dans Authenticator en vous connectant à l’application Authenticator ou en parcourant un flux guidé sur les informations de sécurité :

      • Authenticator pour Android : de1e552d-db1d-4423-a619-566b625cdc84
      • Authenticator pour iOS : 90a3ccdf-635c-4729-a248-9b709135078f

      Si vous modifiez les restrictions de clé et supprimez un AAGUID que vous avez précédemment autorisé, les utilisateurs qui ont précédemment inscrit une méthode autorisée ne peuvent plus l’utiliser pour la connexion.

      Note

      Si vous désactivez les restrictions de clé, décochez la case Microsoft Authenticator afin que les utilisateurs ne soient pas invités à configurer une clé de sécurité dans l’application Authenticator sur Infos de sécurité.

    Capture d’écran montrant Authenticator activé pour la clé d’accès.

  5. Une fois la configuration terminée, cliquez sur Enregistrer.

    Si vous voyez une erreur lorsque vous essayez d’enregistrer, remplacez plusieurs groupes par un seul groupe en une seule opération, puis sélectionnez Enregistrer à nouveau.

Activer les clés d’accès dans Authenticator à l’aide de l’Afficheur Graph

Outre l’utilisation du Centre d’administration Microsoft Entra, vous pouvez également activer les clés d’accès dans Authenticator à l’aide de l’Afficheur Graph. Si vous disposez au moins du rôle Administrateur de stratégie d’authentification, vous pouvez mettre à jour la stratégie des méthodes d’authentification afin d’autoriser les AAGUID pour Authenticator.

Pour configurer la stratégie à l’aide de l’Afficheur Graph, procédez comme suit :

  1. Connectez-vous à l’Afficheur Graph et acceptez les autorisations Policy.Read.All et Policy.ReadWrite.AuthenticationMethod.

  2. Récupérez la stratégie des méthodes d’authentification :

    GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. Pour désactiver l’application d’attestations et appliquer des restrictions de clé afin d’autoriser uniquement les AAGUID pour Authenticator, effectuez une opération PATCH à l’aide du corps de requête suivant :

    PATCH https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": true,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "90a3ccdf-635c-4729-a248-9b709135078f",
            "de1e552d-db1d-4423-a619-566b625cdc84"

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. Vérifiez que la stratégie de clé d’accès (FIDO2) est correctement mise à jour.

    GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Restreindre l’utilisation du Bluetooth aux clés d’accès dans Authenticator

Certaines organisations limitent l’utilisation du Bluetooth, notamment l’utilisation des clés d’accès. Dans ce cas, les organisations peuvent autoriser les clés d’accès en autorisant le jumelage Bluetooth exclusivement avec les authentificateurs FIDO2 compatibles avec les clés d’accès. Pour en savoir plus sur la configuration de l’utilisation du Bluetooth uniquement pour les clés d’accès, consultez Clés d’accès dans les environnements avec utilisation limitée du Bluetooth.

Supprimer une clé d’accès

Si un utilisateur supprime une clé d’accès dans Authenticator, elle est également supprimée de ses méthodes de connexion. Un administrateur de stratégie d’authentification peut également suivre ces étapes pour supprimer une clé d’accès des méthodes d’authentification de l’utilisateur, mais elle ne supprime pas la clé d'accès d’Authenticator.

  1. Connectez-vous au centre d’administration Microsoft Entra, puis recherchez l’utilisateur dont la clé d’accès doit être supprimée.

  2. Sélectionnez méthodes d’authentification, cliquez avec le bouton droit sur passkey, puis sélectionnez Supprimer.

    À moins que l’utilisateur n’ait lancé la suppression de la clé d’accès lui-même dans Authenticator, il doit également la supprimer dans Authenticator sur son appareil.

Appliquer la connexion avec des clés d’accès dans Authenticator

Afin que les utilisateurs se connectent avec une clé d’accès lorsqu’ils accèdent à une ressource sensible, utilisez la force d’authentification intégrée résistante au hameçonnage ou créez une force d’authentification personnalisée en procédant comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’accès conditionnel.

  2. Accédez à Entra ID>Méthodes d'authentification>Forces d'authentification.

  3. Cliquez sur Nouvelle force d’authentification.

  4. Fournissez un nom descriptif pour votre nouvelle force d’authentification.

  5. Si vous le souhaitez, fournissez une description.

  6. Sélectionnez Passkeys (FIDO2), puis sélectionnez Options avancées.

  7. Sélectionnez Force MFA résistante au hameçonnage ou ajoutez des AAGUID pour les clés d’accès dans Authenticator :

    • Authenticator pour Android : de1e552d-db1d-4423-a619-566b625cdc84
    • Authenticator pour iOS : 90a3ccdf-635c-4729-a248-9b709135078f

  8. Sélectionnez Suivant, puis passez en revue la configuration de stratégies.

Contenu connexe

  • Last updated on