Authentification sans mot de passe avec Microsoft Intune

L’authentification sans mot de passe réduit le hameçonnage et le vol d’informations d’identification en remplaçant les mots de passe par des méthodes de connexion plus fortes telles que Windows Hello, les clés de sécurité FIDO2, les clés secrètes, les certificats, la connexion par téléphone Microsoft Authenticator et le passe d’accès temporaire.

Microsoft Intune n’émet pas d’informations d’identification sans mot de passe. Au lieu de cela, il prépare les appareils, les applications et les expériences utilisateur afin que ces méthodes sans mot de passe fonctionnent de manière fiable à grande échelle. Microsoft Entra ID est l’autorité d’identité qui vérifie les informations d’identification et applique les stratégies d’authentification et d’accès conditionnel, tandis que Microsoft Intune configure les paramètres de l’appareil, applique la conformité et active les fonctionnalités de la plateforme dont dépendent ces méthodes. Ensemble, Microsoft Entra ID et Microsoft Intune fournissent la base de l’identité et la préparation des appareils nécessaires pour adopter l’authentification sans mot de passe sur diverses plateformes et facteurs de forme.

L’expérience sans mot de passe varie selon la plateforme. Sur Windows, il couvre généralement la connexion de l’appareil et l’accès aux applications via l’authentification unique. Sur macOS, il est centré sur l’authentification de plateforme et l’authentification unique dans les applications, plutôt que sur l’identité liée à l’appareil. Sur iOS/iPadOS et Android, il se concentre plus souvent sur la connexion d’application, l’authentification répartie et le comportement de la clé d’accès que sur la connexion de l’appareil. Gardez ces distinctions à l’esprit lors de l’évaluation des exigences de la plateforme et de la planification du déploiement.

Cet article explique comment Microsoft Intune prend en charge une stratégie sans mot de passe du point de vue d’un administrateur. Pour plus d’informations sur le déploiement, suivez les liens d’implémentation pour chaque méthode sans mot de passe.

Fonctionnement de la solution sans mot de passe de Microsoft

La solution sans mot de passe de Microsoft associe Microsoft Entra ID pour l’identité et l’authentification unique (SSO) avec Microsoft Intune pour la configuration de l’appareil et l’application des stratégies. Cette combinaison permet aux utilisateurs de s’authentifier à l’aide d’informations d’identification fortes , telles que la biométrie, les clés de sécurité FIDO2 ou les clés secrètes, sans entrer de mot de passe.

Microsoft Entra ID est le fournisseur d’identité principal. Il vérifie les informations d’identification sans mot de passe telles que les codes confidentiels Windows Hello, les clés FIDO2 et les clés secrètes. Une fois l’authentification réussie, Microsoft Entra ID émet un jeton d’actualisation principal (PRT) ou équivalent, ce qui permet une authentification unique transparente pour Microsoft 365, Azure et d’autres ressources protégées. Les stratégies d’accès conditionnel évaluent l’état de l’appareil, la force d’authentification et les signaux de risque avant d’accorder l’accès.

Microsoft Intune prépare les appareils pour la connexion sans mot de passe en configurant les paramètres, en appliquant la conformité, en déployant les applications requises et en prenant en charge les expériences de plateforme qui rendent le sans mot de passe pratique à grande échelle. Microsoft Intune offre aux administrateurs un plan de gestion pour Windows, macOS, iOS/iPadOS et Android.

Les fonctionnalités de plateforme sur Windows, macOS, iOS et Android fournissent l’expérience liée à l’appareil, notamment la biométrie, le matériel sécurisé (TPM sur Windows, Secure Enclave sur macOS), la prise en charge de la clé d’accès et l’authentification unique répartie.

Cette séparation est importante. Microsoft Entra ID est l’autorité d’identité. Microsoft Intune est la couche de gestion qui permet aux utilisateurs d’adopter et d’utiliser ces méthodes avec succès.

Résistance sans mot de passe, MFA et hameçonnage

L’authentification sans mot de passe n’élimine pas les facteurs de sécurité. La plupart des méthodes sans mot de passe répondent réellement aux exigences de l’authentification multifacteur (MFA). Par exemple, Windows Hello utilise des informations d’identification liées à l’appareil (possession) associées à un mouvement biométrique (inherence) ou un code pin (connaissance), satisfaisant l’authentification multifacteur par conception. Par conséquent, les stratégies de force d’authentification d’accès conditionnel classent de nombreuses méthodes sans mot de passe comme compatibles MFA ou même comme MFA résistantes au hameçonnage.

Toutes les options sans mot de passe n’offrent pas le même niveau de protection. Comprendre la différence entre les méthodes résistantes au hameçonnage et les méthodes non résistantes au hameçonnage vous aide à sélectionner les forces d’authentification appropriées et à concevoir une stratégie d’identité sécurisée.

  • Les méthodes résistantes au hameçonnage utilisent des clés de chiffrement asymétriques liées au matériel qui ne peuvent pas être interceptées ou relues, même si un utilisateur interagit avec une invite malveillante ou usurpée.
  • Les méthodes non résistantes au hameçonnage utilisent des flux sans mot de passe, mais peuvent toujours être compromises par l’ingénierie sociale, la manipulation rapide ou la fatigue MFA.

Chaque méthode décrite plus loin dans cet article inclut son niveau de résistance au hameçonnage.

Pour en savoir plus

Avantages de l’authentification sans mot de passe avec Microsoft Intune

Lorsque vous utilisez ensemble des fonctionnalités de Microsoft Intune, de Microsoft Entra ID et de plateforme, votre organization gagne :

  • Authentification unique transparente : les utilisateurs se connectent une fois à l’appareil et obtiennent un accès automatique aux applications, aux services cloud et, dans certains cas, aux ressources locales. Les appels de réinitialisation de mot de passe et les invites d’authentification répétées sont éliminés.
  • Commodité de l’utilisateur sur les appareils : les utilisateurs bénéficient d’une expérience native et cohérente entre les appareils. Windows Hello utilise la connexion au système d’exploitation, macOS intègre Touch ID à Microsoft Entra ID, et les plateformes mobiles utilisent Microsoft Authenticator et les clés d’accès de plateforme. Les utilisateurs n’ont pas besoin de jongler entre des mots de passe distincts par appareil.
  • Posture de sécurité renforcée : les méthodes résistantes au hameçonnage empêchent le vol d’informations d’identification et les attaques par relecture. Le contrôle de conformité des appareils garantit que même les informations d’identification valides fonctionnent uniquement à partir d’appareils sains et gérés, en s’alignant sur les principes de Confiance nulle.
  • Réduction de la charge du support informatique : moins de réinitialisations de mot de passe, intégration plus fluide avec passe d’accès temporaire et options de récupération en libre-service réduisent le volume du support technique.
  • Architecture prête pour l’avenir : À mesure que les normes évoluent, les nouvelles méthodes sans mot de passe, notamment les clés d’accès synchronisées et les informations d’identification matérielles, peuvent être intégrées à la même architecture Microsoft Entra ID + Microsoft Intune sans nécessiter de remaniement majeur.

Comment Microsoft Intune favorise l’adoption sans mot de passe

Microsoft Intune active et opérationnalise l’authentification sans mot de passe en veillant à ce que les appareils et les applications soient correctement configurés pour utiliser des informations d’identification fortes et modernes. Bien que Microsoft Entra ID régisse l’identité et la stratégie d’authentification, Microsoft Intune prépare l’environnement d’appareil dont dépendent les méthodes sans mot de passe.

Les contributions clés sont les suivantes :

  • Préparation de l’appareil : inscription, inscription et configuration des appareils afin qu’ils puissent participer à des flux de connexion sans mot de passe.
  • Déploiement de la configuration : fournir les stratégies requises pour les Windows Hello Entreprise, l’authentification basée sur les certificats, l’authentification unique Apple Platform et des fonctionnalités de plateforme similaires.
  • Signaux de conformité et d’accès : fourniture de données d’intégrité et de conformité des appareils que l’accès conditionnel évalue avant d’accorder l’accès.
  • Provisionnement d’applications et de répartiteurs : déploiement d’applications de base, telles que Microsoft Authenticator et Microsoft Intune Portail d'entreprise, qui permettent le répartiteur d’identité et les scénarios d’authentification unique sans mot de passe.
  • Gestion multiplateforme unifiée : fourniture d’une stratégie et d’une infrastructure de gestion cohérentes sur Windows, macOS, iOS/iPadOS et Android pour simplifier le déploiement d’entreprise.

Les méthodes sans mot de passe disponibles pour les utilisateurs dépendent à la fois de la plateforme de l’appareil et des options d’authentification activées dans Microsoft Entra ID. Microsoft Intune garantit que chaque appareil est préparé, configuré et capable de fournir une expérience sans mot de passe sécurisée et fiable.

Windows Hello

Résistant au hameçonnage

Windows Hello remplace les mots de passe par une clé asymétrique liée à l’appareil qui est générée et scellée au TPM. L’accès à la clé est contrôlé par un code confidentiel ou un geste biométrique (empreinte digitale ou reconnaissance faciale), combinant possession et inhérence en une seule étape de connexion. Cette méthode est matérielle et résistante au hameçonnage pour les appareils Windows.

rôle de Intune
Microsoft Intune prépare les appareils Windows à Windows Hello en fournissant et en appliquant les paramètres de stratégie de Windows Hello Entreprise.

Cette méthode est particulièrement pertinente lorsque vous devez :

  • Préparez les appareils Windows cloud-first pour la connexion sans mot de passe.
  • Fournissez Windows Hello Entreprise paramètres de stratégie lors de l’inscription et de la gestion continue.
  • Alignez la connexion Windows avec la conformité des appareils et la gestion moderne.

Pour en savoir plus

Clés de sécurité FIDO2

Résistant au hameçonnage

Les clés de sécurité FIDO2 sont des périphériques physiques (USB, NFC ou Bluetooth) qui stockent des informations d’identification FIDO et fournissent une authentification résistante au hameçonnage sans dépendre de la plateforme de l’appareil. Étant donné que les informations d’identification sont liées à la clé matérielle et vérifiées par le biais d’un défi de chiffrement, elles ne peuvent pas être interceptées ou relues. Les clés FIDO2 sont idéales pour les appareils partagés, les environnements à haute assurance ou comme chemin de récupération avec les informations d’identification basées sur la plateforme.

rôle de Intune
Microsoft Intune pouvez aider à préparer les appareils pour cette méthode en gérant les plateformes prises en charge et les expériences de connexion associées.

Cette méthode est souvent adaptée lorsque les organisations ont besoin des éléments suivants :

  • Option portable sans mot de passe pour les appareils partagés ou spécialisés.
  • Option résistante au hameçonnage forte qui n’est pas liée à une seule plateforme ou à Microsoft Authenticator.
  • Une récupération ou un autre chemin d’accès avec des informations d’identification basées sur la plateforme.

Pour obtenir des conseils sur l’implémentation, consultez :

Clés d’accès

Résistant au hameçonnage

Les clés d’accès sont le parapluie basé sur des normes pour les informations d’identification FIDO qui peuvent être liées à l’appareil ou synchronisées entre les appareils. Dans Microsoft Entra ID, vous pouvez utiliser :

  • Clés secrètes liées à l’appareil stockées dans un matériel sécurisé (TPM ou Enclave sécurisée) sur un seul appareil, par exemple via Windows Hello ou Microsoft Authenticator sur iOS 17+ et Android 14+.
  • Clés d’accès synchronisées gérées par des gestionnaires de mots de passe de plateforme (tels que iCloud Keychain ou Google Password Manager) ou des fournisseurs tiers pris en charge, qui permettent une utilisation inter-appareils.
  • Microsoft Entra clé d’accès sur Windows est une clé d’accès FIDO2 qui utilise Windows Hello pour la vérification biométrique, mais qui ne nécessite pas la jointure ou l’inscription de l’appareil. Les utilisateurs peuvent inscrire plusieurs clés d’accès pour plusieurs comptes Microsoft Entra sur le même appareil, ce qui le rend parfaitement adapté aux appareils partagés, aux points de terminaison non managés et aux scénarios où Windows Hello Entreprise n’est pas provisionné.

rôle de Intune
D’un point de vue Microsoft Intune, les clés d’accès concernent principalement la préparation des plateformes et des applications, c’est-à-dire la gestion des prérequis pour l’appareil et l’application qui rendent l’adoption de la clé d’accès viable sur toutes les plateformes.

Cette dépendance est particulièrement importante sur :

  • Windows, où la connexion et les Windows Hello de plateforme peuvent se croiser avec une planification sans mot de passe plus large. Microsoft Entra clé d’accès sur Windows étend la couverture des clés d’accès aux appareils qui ne sont pas inscrits ou joints, en complément des Windows Hello Entreprise sur les appareils gérés.
  • iOS/iPadOS et Android, où les clés d’accès peuvent dépendre de l’état des appareils mobiles et du comportement du répartiteur d’applications.
  • macOS, où l’intégration de l’identité de plateforme et l’expérience de connexion utilisateur façonnent l’adoption.

Pour obtenir des conseils sur l’implémentation, consultez :

Connexion par téléphone Microsoft Authenticator

Non résistant au hameçonnage

La connexion par téléphone Microsoft Authenticator remplace les mots de passe par l’approbation push et la correspondance de numéro sur l’appareil mobile approuvé de l’utilisateur. Il est pratique et largement pris en charge, mais s’appuie sur des notifications Push plutôt que sur des informations d’identification liées au matériel, ce qui signifie qu’il n’empêche pas entièrement les attaques par hameçonnage telles que la manipulation d’invite MFA.

Remarque

Microsoft Authenticator peut également stocker des clés d’accès liées à l’appareil (iOS 17+, Android 14+), qui sont résistantes au hameçonnage. Cette section couvre spécifiquement le flux de connexion par téléphone basé sur l’envoi (push).

rôle de Intune
Microsoft Intune prend en charge ce flux en déployant et en gérant les prérequis de l’application mobile et de l’appareil.

Dans de nombreux environnements, cette prise en charge inclut :

  • Déploiement de Microsoft Authenticator sur des appareils mobiles gérés.
  • Prise en charge de l’expérience de connexion répartie entre les applications Microsoft.
  • Prise en compte des considérations relatives à la stratégie de protection des applications sur les plateformes mobiles lorsque celles-ci font partie de la conception plus large de l’accès mobile.

Pour obtenir des conseils sur l’implémentation, consultez :

Passe d’accès temporaire

Méthode non permanente utilisée pour l’intégration et la récupération

Le passe d’accès temporaire (TAP) est une information d’identification limitée dans le temps qu’un administrateur émet pour aider les utilisateurs à démarrer ou à récupérer l’accès avant de terminer leur configuration à long terme sans mot de passe. Tap n’est pas une méthode permanente sans mot de passe et n’est pas résistante au hameçonnage, mais il s’agit souvent d’une partie essentielle d’un déploiement réussi, car il résout le problème de première connexion sans émettre de mot de passe.

rôle de Intune
Du point de vue Microsoft Intune, le pass d’accès temporaire est important lorsque vous souhaitez :

  • Simplifiez l’intégration aux méthodes sans mot de passe.
  • Réduisez la dépendance aux mots de passe temporaires pendant le déploiement.
  • Connectez les scénarios d’intégration à la configuration des appareils Windows gérés.

Intégration jour-zéro avec TAP

Un problème courant dans les déploiements sans mot de passe est le problème de poule et d’œuf : un nouvel utilisateur doit se connecter pour inscrire ses informations d’identification sans mot de passe, mais vous ne souhaitez pas émettre de mot de passe pour cette première connexion. Tap résout ce problème en fournissant des informations d’identification de courte durée pour la configuration initiale de l’appareil et l’inscription des informations d’identification.

Un flux d’intégration classique ressemble à ceci :

  1. Administration émet un TAP : l’administrateur informatique ou le flux de travail automatisé génère un tap limité dans le temps pour le nouvel utilisateur dans le centre d’administration Microsoft Entra ou via Microsoft API Graph.
  2. L’utilisateur configure son appareil : l’utilisateur entre le tap pendant l’OOBE Windows Autopilot, l’assistant d’installation macOS ou l’inscription d’appareil mobile. Sur Windows 11, la connexion Web active l’entrée TAP directement sur l’écran de verrouillage.
  3. L’utilisateur inscrit une méthode sans mot de passe : après s’être connecté avec le TAP, l’utilisateur est invité à inscrire Windows Hello, une clé de sécurité FIDO2, une clé d’accès dans Microsoft Authenticator ou une autre méthode sans mot de passe. Il s’agit des informations d’identification permanentes qui remplacent le TAP.
  4. Tap expire : le TAP étant à usage unique ou limité dans le temps (configurable), il ne peut pas être réutilisé une fois que l’utilisateur a inscrit sa méthode sans mot de passe.

Ce flux élimine la nécessité d’émettre, puis de révoquer un mot de passe temporaire, et donne Microsoft Intune un chemin d’intégration managé à partir de la première connexion.

Pour obtenir des conseils sur l’implémentation, consultez :

Authentification basée sur les certificats (CBA)

Résistant au hameçonnage

L’authentification basée sur les certificats (CBA) utilise des certificats numériques et un chiffrement asymétrique pour vérifier l’identité, ce qui la rend résistante au hameçonnage et empêche la relecture des informations d’identification. Il est largement adopté dans les secteurs réglementés et les environnements gouvernementaux, souvent par le biais de cartes à puce telles que PIV et CAC. Contrairement à d’autres méthodes sans mot de passe où Microsoft Intune prépare principalement l’environnement de l’appareil, l’authentification basée sur les certificats est un domaine dans lequel Microsoft Intune joue un rôle direct dans la distribution des informations d’identification proprement dites.

rôle de Intune
Microsoft Intune prend en charge deux modèles d’infrastructure pour la remise de certificats :

  • Infrastructure à clé publique locale : les organisations disposant d’une autorité de certification existante peuvent utiliser Certificate Connector pour Microsoft Intune afin de relier leur infrastructure à clé publique locale à Microsoft Intune. Le connecteur permet à Microsoft Intune de déployer des profils de certificat SCEP et PKCS sur des appareils gérés à l’aide de votre infrastructure d’autorité de certification existante. Ce modèle convient aux organisations qui exploitent déjà une autorité de certification d’entreprise ou qui doivent s’intégrer à des investissements PKI établis.
  • Infrastructure à clé publique Microsoft Cloud : pour les organisations qui souhaitent simplifier ou éliminer l’infrastructure de certificats locale, Microsoft Cloud PKI fournit une autorité de certification basée sur le cloud dans le cadre de la Microsoft Intune Suite. L’infrastructure À clé publique cloud émet et gère les certificats sans nécessiter de serveurs locaux, de connecteurs ou de modules de sécurité matériels.

Quel que soit le modèle d’infrastructure, Microsoft Intune remet des certificats aux appareils à l’aide de profils de certificat :

  • Les profils de certificat racine approuvés distribuent le certificat racine de votre autorité de certification afin que les appareils puissent établir la chaîne d’approbation.
  • Les profils de certificat SCEP demandent et déploient des certificats à partir d’une autorité de certification compatible SCEP.
  • Les profils de certificat PKCS demandent et déploient des certificats à l’aide de la norme PKCS #12.
  • Les profils de certificat PFX importés déploient des certificats prégénés qui sont importés dans Microsoft Intune.

Ces profils fonctionnent sur Windows, macOS, iOS/iPadOS et Android, ce qui rend Microsoft Intune le mécanisme de remise qui connecte votre infrastructure PKI (locale ou cloud) à la méthode d’identité définie dans Microsoft Entra ID.

Pour obtenir des conseils sur l’implémentation, consultez :

Configuration requise

Avant de planifier un déploiement sans mot de passe, vérifiez que votre environnement répond aux exigences de licence et de plateforme pour les méthodes que vous envisagez d’utiliser. Certaines fonctionnalités sans mot de passe nécessitent des niveaux de licence Microsoft Entra ID ou Microsoft Intune spécifiques, et chaque méthode a une configuration minimale requise pour la version du système d’exploitation.

Conditions d'octroi de licence

Selon les méthodes sans mot de passe que vous choisissez, votre organization peut avoir besoin de Microsoft Entra ID licences P1 ou Microsoft Entra ID P2 pour les utilisateurs, ainsi que des licences Microsoft Intune spécifiques pour la gestion des appareils et la remise de certificats. Le tableau suivant récapitule les exigences de licence pour les fonctionnalités courantes sans mot de passe :

Fonctionnalité Conditions requises pour la licence
Windows Hello Microsoft Entra ID P1 (pour l’application de l’accès conditionnel)
Clés de sécurité FIDO2 Microsoft Entra ID P1
Clés d’accès (liées à l’appareil et synchronisées) Microsoft Entra ID P1
Connexion par téléphone Microsoft Authenticator Microsoft Entra ID P1
Passe d’accès temporaire Microsoft Entra ID P1
Authentification basée sur les certificats (CBA) Microsoft Entra ID P1 (P2 pour l’accès conditionnel basé sur les risques)
Stratégies de force d’authentification Microsoft Entra ID P1
Accès conditionnel basé sur les risques Microsoft Entra ID P2
Infrastructure à clé publique Microsoft Cloud Microsoft Intune Suite ou licence PKI cloud autonome
Profils de configuration et de conformité des appareils Microsoft Intune Plan 1

Pour en savoir plus

Configuration requise de la plateforme

Les méthodes sans mot de passe décrites dans cet article s’appuient sur des fonctionnalités de plateforme spécifiques qui ne sont disponibles que dans certaines versions du système d’exploitation. Le tableau suivant récapitule les exigences de plateforme pour chaque méthode :

Méthode Windows macOS iOS/iPadOS Android
Windows Hello Tous les clients Windows pris en charge
Clés de sécurité FIDO2 Tous les clients Windows pris en charge
Clés d’accès Windows 11 Toutes les versions prises en charge Toutes les versions prises en charge Android 14+
Clés d’accès liées à l’appareil dans Microsoft Authenticator Toutes les versions prises en charge Android 14+
Authentification unique de plateforme (enclave sécurisée) Toutes les versions prises en charge
Connexion web (TAP sur l’écran de verrouillage) Windows 11
Connexion par téléphone Microsoft Authenticator Toutes les versions prises en charge Android 11+

Remarque

Pris en charge fait référence aux versions de système d’exploitation que Microsoft Intune prend actuellement en charge pour toutes les fonctionnalités, le déploiement de stratégie et la gestion.
Les exigences de version de la plateforme peuvent changer à chaque cycle de mise en production. Vérifiez toujours les exigences actuelles dans la documentation du produit pour la méthode spécifique que vous déployez.

Pour en savoir plus

Considérations relatives à la plateforme

L’absence de mot de passe n’est pas une fonctionnalité. Il s’agit d’un ensemble d’expériences spécifiques à la plateforme qui s’appuient sur Microsoft Entra ID pour l’identité et la Microsoft Intune pour la gestion des appareils.

Windows

Windows est l’exemple le plus complet de la façon dont l’inscription des appareils, la connexion au cloud, la posture de sécurité et l’expérience utilisateur sans mot de passe fonctionnent ensemble.

Microsoft Intune prend généralement en charge les scénarios sans mot de passe Windows par :

  • Préparation des appareils joints Microsoft Entra cloud first.
  • Remise de Windows Hello Entreprise configuration.
  • Prise en charge des expériences de clé de sécurité FIDO2.
  • Alignement de la préparation de l’appareil avec la conformité et la gestion moderne.
  • Prise en charge des expériences d’intégration qui peuvent se connecter à Windows Autopilot.

Lorsqu’un utilisateur se connecte avec Windows Hello ou une clé FIDO2, Windows obtient un jeton d’actualisation principal auprès de Microsoft Entra ID. Ce PRT permet une authentification unique transparente pour les applications Microsoft 365, les applications SaaS et, lorsque l’approbation Kerberos cloud est configurée, les ressources locales telles que les partages de fichiers, le tout sans invites de connexion supplémentaires.

Pour en savoir plus

Considérations hybrides et héritées

Les expériences sans mot de passe décrites dans cet article supposent une orientation cloud-first avec Microsoft Entra appareils joints. Les organisations avec des appareils hybrides Microsoft Entra joints doivent connaître ces différences :

  • La connexion web (utilisée pour tap sur l’écran de verrouillage Windows) est prise en charge uniquement sur les appareils joints Microsoft Entra, et non sur les appareils hybrides Microsoft Entra joints.
  • Windows Hello Entreprise fonctionne sur les appareils joints Microsoft Entra et hybrides Microsoft Entra joints, mais les déploiements hybrides peuvent nécessiter une infrastructure supplémentaire en fonction du modèle d’approbation.
  • L’accès aux ressources locales à partir d’appareils joints Microsoft Entra nécessite une approbation Kerberos cloud ou une approbation basée sur un certificat. L’approbation Kerberos cloud est le modèle recommandé, car il ne nécessite pas de déploiement de certificats pour l’authentification Kerberos. Pour plus d’informations, consultez [cloud Kerberos trust deployment](/windows/security/identity-protection/> hello-for-business/deploy/hybrid-cloud-kerberos-trust).
  • Les applications héritées qui nécessitent l’authentification Kerberos Active Directory peuvent toujours fonctionner avec des méthodes sans mot de passe, mais les applications qui nécessitent une liaison NTLM ou LDAP directe peuvent nécessiter une planification supplémentaire.

Si votre environnement est hybride, planifiez votre déploiement sans mot de passe en commençant par Microsoft Entra appareils joints et développez-les vers des appareils hybrides Microsoft Entra joints à mesure que votre infrastructure le prend en charge.

Pour en savoir plus

macOS

Sur macOS, la planification sans mot de passe dépend de la façon dont Microsoft Entra ID s’intègre à l’expérience de connexion à la plateforme et d’authentification unique. Microsoft Intune fournit la configuration d’appareil nécessaire pour les intégrations d’identités axées sur Apple.

Avec le plug-in Microsoft Enterprise SSO et l’infrastructure Platform SSO d’Apple, Microsoft Intune pouvez déployer une configuration qui permet aux utilisateurs de se connecter au Mac à l’aide de leurs informations d’identification Microsoft Entra ID. Lorsqu’elle est configurée avec la méthode de clé d’enclave sécurisée, elle offre une expérience de connexion matérielle et résistante au hameçonnage similaire à Windows Hello.

Ces informations sont importantes lorsque vous planifiez :

  • Authentification unique de plateforme et expériences de connexion associées.
  • Authentification unique entre l’appareil et les applications Microsoft.
  • Un modèle de gestion cohérent avec Windows et les appareils mobiles.

Pour en savoir plus

iOS et iPadOS

Sur iOS et iPadOS, la planification sans mot de passe se concentre davantage sur la connexion à l’application, l’authentification répartie et le comportement de la clé secrète que sur la connexion de l’appareil. Microsoft Intune déploie et gère les applications et les paramètres qui rendent ces expériences cohérentes pour les utilisateurs.

L’extension Microsoft SSO sur iOS peut intercepter les demandes d’authentification dans les applications Microsoft et tierces, ce qui permet une connexion transparente après la configuration initiale de l’appareil. Microsoft Authenticator fait office de répartiteur d’authentification et peut également stocker des clés d’accès liées à l’appareil sur iOS 17+ pour l’authentification résistante au hameçonnage.

Pour en savoir plus

Android

Sur Android, Microsoft Intune établit le contexte managé dont dépendent les flux d’authentification réparti et sans mot de passe. Ce contexte est particulièrement pertinent lorsque Microsoft Authenticator ou des expériences d’application associées font partie de votre conception d’accès mobile.

Portail d'entreprise et Microsoft Authenticator peuvent agir en tant que répartiteurs d’authentification sur Android. Une fois qu’un utilisateur s’est connecté via le répartiteur, Microsoft Entra ID émet un jeton d’actualisation principal qui active l’authentification unique sur toutes les applications prenant en charge le répartiteur dans le profil professionnel. Sur Android 14+, Microsoft Authenticator peut également stocker des clés d’accès liées à l’appareil pour l’authentification résistante au hameçonnage.

Pour en savoir plus

Dépendances pour l’authentification sans mot de passe

architecture Confiance nulle

L’authentification sans mot de passe fait partie d’une stratégie plus large d’identité et d’accès aux appareils. Pour un administrateur Microsoft Intune, la planification implique généralement les couches suivantes :

  • Identité : méthodes d’authentification résistantes au hameçonnage dans Microsoft Entra ID.
  • Confiance des appareils : Microsoft Intune l’inscription, la conformité et la configuration.
  • Stratégie d’accès : accès conditionnel et planification d’exclusion associée.
  • Protection des données : fonctionnalités Microsoft Purview qui aident à protéger le contenu une fois l’accès accordé.
  • Investigation et réponse : Microsoft Defender signaux et flux de travail lorsque le risque ou la compromission nécessite un suivi.

Pour en savoir plus

Accès conditionnel

L’accès conditionnel évalue les signaux tels que l’état de l’appareil et la force d’authentification avant d’accorder l’accès. Lorsqu’il est combiné avec des méthodes sans mot de passe, l’accès conditionnel peut appliquer des stratégies de force d’authentification qui nécessitent une authentification multifacteur résistante au hameçonnage, ce qui impose efficacement le sans mot de passe en bloquant les méthodes plus faibles comme les mots de passe ou les codes SMS.

Lorsque vous implémentez l’accès conditionnel avec l’accès sans mot de passe, prenez également en compte la planification de l’accès d’urgence pour empêcher les scénarios de verrouillage accidentel.

Pour en savoir plus

Accès et récupération d’urgence

L’une des préoccupations courantes lors de la suppression de mots de passe est ce qui se produit lorsqu’un utilisateur perd son seul appareil sans mot de passe : un téléphone, une clé FIDO2 ou un ordinateur portable avec Windows Hello. Sans plan de récupération, les administrateurs peuvent faire face à des escalades de support et les utilisateurs peuvent être bloqués en dehors des ressources critiques.

Planifiez ces scénarios dans le cadre de votre déploiement sans mot de passe :

  • Comptes d’accès d’urgence : conservez au moins deux comptes de secours exclus des stratégies d’accès conditionnel et de l’application sans mot de passe. Ces comptes fournissent un chemin d’accès de secours si une configuration incorrecte ou une panne bloque tous les autres accès. Stockez les informations d’identification en toute sécurité et surveillez l’activité de connexion sur ces comptes.
  • Récupération avec passe d’accès temporaire : lorsqu’un utilisateur perd son appareil sans mot de passe, un administrateur peut émettre un nouveau tap pour permettre à l’utilisateur de se connecter et d’inscrire des informations d’identification de remplacement. Cette approche évite de réinitialiser l’utilisateur à un mot de passe et maintient le flux de récupération dans le modèle sans mot de passe.
  • Plusieurs méthodes inscrites : encouragez les utilisateurs à inscrire plusieurs méthodes sans mot de passe si possible. Par exemple, un utilisateur qui utilise Hello Entreprise sur son ordinateur portable peut également inscrire une clé d’accès dans Microsoft Authenticator sur son téléphone. Si un appareil est perdu, l’autre méthode fonctionne toujours.
  • Gestion des informations d’identification en libre-service : les utilisateurs peuvent gérer leurs méthodes d’authentification dans Mes informations de sécurité. Lorsqu’elle est combinée à la récupération basée sur tap, cette approche réduit la dépendance du support technique pour les réinitialisations d’informations d’identification.
  • Récupération de perte totale avec Vérification d’identité : pour les scénarios où un utilisateur perd tous les appareils et informations d’identification inscrits, Microsoft Entra récupération de compte à l’aide de Vérification d’identité fournit un chemin de récupération vérifié par l’identité qui ne repose pas sur des mots de passe ou des informations d’identification émises par le support technique.

Il est essentiel de planifier la récupération avant d’appliquer le sans mot de passe. Un déploiement qui bloque les mots de passe sans chemin de récupération crée le type de scénarios de verrouillage qui érodent la confiance de l’administrateur et de l’utilisateur dans la transition.

Pour en savoir plus

Conformité et préparation des appareils

Le sans mot de passe dépend souvent que l’appareil est dans l’état approprié avant que les utilisateurs puissent s’appuyer sur l’expérience. La préparation comprend généralement les éléments suivants :

Vérification et opérations en cours

Pour valider un déploiement sans mot de passe, les points de contrôle courants sont les suivants :

Adoption et communication par les utilisateurs

La préparation technique n’est qu’une partie d’un déploiement sans mot de passe. Les utilisateurs habitués aux mots de passe peuvent rencontrer de la confusion ou de la résistance lorsque les flux de connexion changent. La planification de la communication et du support utilisateur peut faire la différence entre une transition en douceur et une escalade étendue du support technique.

Tenez compte des pratiques suivantes :

  • Communiquez la modification au plus tôt : faites savoir aux utilisateurs que leur expérience de connexion change, pourquoi elle change et à quoi s’attendre. Concentrez-vous sur les avantages : moins de mots de passe à mémoriser, connexion plus rapide et sécurité renforcée.
  • Fournissez des conseils spécifiques à la plateforme : l’expérience sans mot de passe est différente sur Windows (hello biométrique ou code confidentiel), macOS (Touch ID avec l’authentification unique de plateforme), iOS (authenticator ou clé secrète) et Android (répartiteur d’authentification). Adaptez la communication aux plateformes dont disposent vos utilisateurs.
  • Identifier les groupes pilotes : Commencez par un groupe d’utilisateurs qui peuvent tester l’expérience et fournir des commentaires avant d’appliquer le sans mot de passe dans l’organization. Le personnel informatique, les utilisateurs précoces et les équipes sensibles à la sécurité sont souvent de bons candidats.
  • Préparer le personnel du support technique : assurez-vous que votre équipe de support technique sait comment émettre un passe d’accès temporaire pour la récupération, comment guider les utilisateurs lors de l’inscription des informations d’identification et où case activée journaux de connexion en cas de problèmes.

Pour en savoir plus

  • Last updated on