Sans mot de passe pour les étudiants

Avec l’augmentation des menaces de sécurité, il est essentiel que les écoles commencent à réfléchir aux moyens d’utiliser les fonctionnalités de sécurité généralement évitées pour les étudiants.

Cet article décrit un moyen d’utiliser des informations d’identification sans mot de passe dans les écoles.

Conditions préalables :

• Une licence ou une offre groupée qui inclut Entra P1.

La distribution d’informations d’identification résistantes au hameçonnage sans mot de passe aux étudiants a été difficile en raison de l’exigence d’authentification multifacteur (MFA) pour la configuration (parfois appelée démarrage). Le passe d’accès temporaire (TAP) offre une option sans téléphone permettant aux utilisateurs de configurer des informations d’identification, notamment des informations d’identification sans mot de passe liées à l’appareil.

Un passe d’accès temporaire est un code secret limité dans le temps qui peut être configuré pour une utilisation unique ou multiple. Les utilisateurs peuvent se connecter à l’aide d’un TAP pour intégrer d’autres méthodes d’authentification sans mot de passe, telles que Microsoft Authenticator, FIDO2, Windows Hello Entreprise, l’authentification unique (SSO) platform avec Secure Enclave et Passkeys.

Les administrateurs peuvent créer un TAP et le distribuer aux étudiants. Les étudiants peuvent utiliser le TAP pour créer les informations d’identification sans mot de passe. Les étudiants peuvent ensuite utiliser les informations d’identification passworldess pour se connecter à l’appareil.

Chaque système d’exploitation a une implémentation différente pour les informations d’identification sans mot de passe liées à l’appareil :

Système d’exploitation	Technologie clé liée au matériel	Convient pour	Configuration matérielle requise	Informations biométriques
Windows	Windows Hello Entreprise	Appareils 1:1	Utiliser un module de plateforme sécurisée (TPM)	Windows Hello
macOS	Authentification unique de plateforme avec enclave sécurisée (préversion)	Appareils 1:1	Enclave sécurisée	TouchID
iOS	Clés d’accès avec Microsoft Authenticator (préversion)	Appareils 1:1	iOS 16+	FaceID
Android	Clés d’accès avec Microsoft Authenticator (préversion)	Appareils 1:1	Android 14+	Spécifique à l’OEM
Windows, macOS	Clés de sécurité FIDO2	Appareils 1:1 ou partagés	Clé de sécurité FIDO2	Divers
Clés d’accès (synchronisées) - à venir plus tard en 2024	s/o	Non lié au matériel : la protection varie selon le fournisseur de clés secrètes	s/o	Divers

Ces technologies fournissent une force d’authentification résistante au hameçonnage, car elles utilisent une combinaison d’une clé privée liée au matériel, la possession physique de cet appareil par l’utilisateur. Code confidentiel ou mot de passe de l’appareil local utilisé pour déverrouiller ou « libérer » la clé privée spécifique à l’appareil. La clé privée ne quitte jamais l’appareil ou est transmise sur le réseau. L’ID Microsoft Entra possède uniquement une clé publique correspondante utilisée pour valider les données signées par la clé privée liée au matériel. Le code confidentiel ou le mot de passe local est spécifique à l’appareil et ne peut pas être utilisé pour se connecter à des services ou à d’autres appareils (sauf si l’utilisateur utilise le même code confidentiel).

Conseil

Pour une expérience sans mot de passe optimale sur les appareils 1:1 pour les étudiants et les appareils K-12, Microsoft recommande TAP + Windows Hello (ou une autre technologie de clé liée au matériel spécifique à la plateforme). Pour les appareils partagés, Microsoft recommande les clés de sécurité FIDO2.

Pour plus d’informations sur la connexion sans mot de passe et l’ID Microsoft Entra, consultez Connexion sans mot de passe Microsoft Entra.

Expérience utilisateur sans mot de passe

Windows

Ces étapes illustrent l’expérience utilisateur pendant Autopilot dans les conditions suivantes :

• L’utilisateur dispose d’une passe d’accès temporaire.
• Windows Hello Entreprise est activé pour cet appareil.

Si l’appareil est déjà provisionné, l’expérience est la même à l’étape 2 lorsque l’utilisateur se connecte à un appareil avec Windows Hello Entreprise activé.

1. Connectez-vous avec un compte professionnel ou scolaire et utilisez le passe d’accès temporaire pour démarrer Autopilot.
2. Une fois l’approvisionnement terminé, l’utilisateur est invité à configurer Windows Hello Entreprise.
3. L’utilisateur est invité à entrer son passe d’accès temporaire.
4. L’utilisateur crée un code confidentiel et configure des informations d’identification biométriques si l’appareil le prend en charge.
5. L’utilisateur peut maintenant se connecter avec son code confidentiel ou ses données biométriques.

Expérience utilisateur lorsqu’un utilisateur n’a pas de TAP ou que le TAP a expiré

Si l’utilisateur n’a pas de passe d’accès temporaire lorsqu’il passe par Autopilot, il est invité à s’inscrire à l’authentification multifacteur :

Si vous attribuez une passe d’accès temporaire à un utilisateur et que vous lui demandez de réessayer ou de redémarrer l’ordinateur, les utilisateurs sont invités à utiliser le passe d’accès temporaire à la place.

MacOS

Ces étapes illustrent l’expérience utilisateur lors de l’inscription automatisée des appareils avec le mode piloté par l’utilisateur dans les conditions suivantes :

• L’utilisateur dispose d’une passe d’accès temporaire.
• L’authentification unique de plateforme avec Enclave sécurisée est activée pour cet appareil.

Si l’appareil est déjà approvisionné, l’expérience est la même à l’étape 3 lorsque l’utilisateur se connecte à un appareil avec l’authentification unique de plateforme avec enclave sécurisée activée.

1. Pendant l’Assistant Configuration, l’utilisateur entre son nom d’utilisateur et sa passe d’accès temporaire.
2. L’utilisateur crée son compte local avec un mot de passe de compte local (qui peut être un code confidentiel).
3. Une fois sur le bureau, l’utilisateur choisit d’inscrire son appareil avec l’ID Microsoft Entra.
4. Pendant le processus d’inscription, l’utilisateur utilise son passe d’accès temporaire pour s’authentifier.
5. L’utilisateur choisit d’autoriser portail d’entreprise en tant que fournisseur de clé d’accès dans les paramètres.
6. L’utilisateur peut maintenant se connecter avec son code confidentiel ou ses données biométriques et accéder aux informations d’identification liées à l’appareil pour s’authentifier auprès de Microsoft Entra ID à l’aide de l’authentification unique de la plateforme.

Pour plus d’informations, consultez les articles suivants en fonction du scénario :

• Joindre un appareil Mac avec l’ID Microsoft Entra pendant l’expérience prête à l’emploi
• Joindre un appareil Mac avec l’ID Microsoft Entra à l’aide du portail d’entreprise

Planification de l’option sans mot de passe

Le principal défi de l’approvisionnement des informations d’identification sans mot de passe pour les étudiants est la distribution du TAP.

Les options suivantes sont disponibles :

• Génération d’un tap lorsque des mots de passe sont fournis aux étudiants pour la première fois ou en fournissant uniquement un tap et aucun mot de passe pour appliquer le mot de passe sans mot de passe.
• Génération et distribution d’un TAP lorsque les étudiants reçoivent de nouveaux appareils.
• Activation des options d’authentification sans mot de passe et demande aux étudiants de les configurer et d’appeler le support informatique pour demander un TAP lors de sa configuration.
• Délégation de l’accès pour créer un tap à l’informatique ou aux enseignants locaux.

Vous pouvez utiliser des méthodes d’authentification dans Entra pour contrôler les utilisateurs qui peuvent utiliser des types spécifiques de méthodes d’authentification. Par exemple, vous pouvez autoriser les enseignants et le personnel à utiliser Microsoft Authenticator, mais uniquement autoriser les étudiants à utiliser le pass d’accès temporaire.

Attributs utilisateur cibles	Utilisateurs classiques	Authentication Methods
Peut utiliser des appareils iOS ou Android en plus de leur appareil principal	Personnel, étudiants universitaires, étudiants dans les écoles où les appareils mobiles sont autorisés	✔️ Clés de clé de sécurité✔️ FIDO2 du pass✔️ d’accès temporaire Microsoft Authenticator ✔️
Aucun accès aux appareils mobiles	Élèves de la maternelle à la 12e année	✔️ Clés de sécurité ✔️ FIDO2 du pass ✔️ d’accès temporaire

Pour plus d’informations sur les méthodes d’authentification disponibles dans Entra, consultez Méthodes d’authentification.

Configurer des méthodes d’authentification

1. Configurer Entra pour utiliser des stratégies de méthodes d’authentification

   Les méthodes d’authentification peuvent être configurées après la migration des paramètres de stratégie d’authentification multifacteur et de réinitialisation de mot de passe en libre-service vers la fonctionnalité Méthodes d’authentification. Pour plus d’informations, consultez Comment migrer les paramètres de stratégie MFA et de réinitialisation de mot de passe en libre-service vers la stratégie méthodes d’authentification pour l’ID Microsoft Entra.

2. Configurer les méthodes d’authentification en fonction de vos besoins

   Utilisez des méthodes d’authentification pour cibler la configuration requise sur des groupes d’utilisateurs. Pour plus d’informations, consultez Méthodes d’authentification. Par exemple :

   • Modifiez les groupes cibles pour les méthodes Téléphone, SMS et Microsoft Authenticator pour inclure le personnel et exclure les étudiants.
   • Modifiez le groupe cible du pass d’accès temporaire pour inclure les étudiants.

3. Émettre un passe d’accès temporaire

   Les administrateurs peuvent émettre des passes d’accès temporaires et les distribuer aux utilisateurs. Pour plus d’informations, consultez Créer une passe d’accès temporaire.

Configurer des appareils

Configurez la méthode de connexion sans mot de passe pour chaque système d’exploitation afin de répondre à vos besoins.

Windows

Pour les appareils gérés par Intune, il existe deux méthodes de configuration de Windows Hello Entreprise :

• À l’échelle du locataire. Les stratégies Windows Hello Entreprise à l’échelle du locataire dans Appareils>Windows>Inscription > Windows Windows Windows Hello Entreprise. Il est courant pour les établissements scolaires de désactiver Windows Hello Entreprise afin d’éviter que les étudiants ne soient invités à configurer l’authentification multifacteur lors de la connexion.
• Ciblé à l’aide de stratégies. Les stratégies ciblées sont prioritaires sur la stratégie à l’échelle du locataire, ce qui permet aux paramètres d’être ciblés sur les groupes ou de préparer le déploiement.

Pour plus d’informations, consultez Configurer Windows Hello Entreprise.

Des étapes supplémentaires sont nécessaires pour configurer l’accès à l’authentification unique aux ressources locales avec des informations d’identification Windows Hello Entreprise. Pour plus d’informations, consultez Configurer l’authentification unique pour les appareils joints à Microsoft Entra.

Personnaliser l’expérience Windows Hello Entreprise

Ces paramètres sont facultatifs, mais peuvent être utilisés pour personnaliser l’expérience Windows Hello Entreprise.

• DisablePostLogonProvisioning : par défaut, Windows Hello Entreprise nécessite un approvisionnement lors de la connexion. Avec ce paramètre activé, l’invite de connexion est désactivée. Les utilisateurs peuvent configurer Windows Hello Entreprise dans l’application paramètres.

  Configuration	Valeur
  OMA-URI :	./Device/Vendor/MSFT/PassportForWork/**Microsoft Entra ID Tenant ID**/Policies/DisablePostLogonProvisioning
  Type de données:	Valeur booléenne
  Valeur :	Vrai

• EnablePasswordlessExperience : lorsque la stratégie est activée sur Windows 11, certains scénarios d’authentification Windows n’offrent pas aux utilisateurs la possibilité d’utiliser un mot de passe, aidant les organisations et préparant les utilisateurs à s’éloigner progressivement des mots de passe. Pour plus d’informations, consultez Expérience sans mot de passe Windows.

  Configuration	Valeur
  OMA-URI :	./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience
  Type de données:	Entier
  Valeur :	1

Pour connaître les étapes de création d’une stratégie personnalisée, consultez Ajouter des paramètres personnalisés pour les appareils Windows 10/11 dans Microsoft Intune.

MacOS

Pour utiliser des informations d’identification sans mot de passe sur macOS, vous pouvez configurer l’authentification unique platform avec enclave sécurisée. Pour plus d’informations sur la configuration de l’authentification unique de plateforme avec Intune, consultez https://learn.microsoft.com/mem/intune/configuration/platform-sso-macos.

Surveiller l’authentification Passworldess

Entra inclut des rapports pour la surveillance des méthodes d’authentification. Pour plus d’informations, consultez Activité des méthodes d’authentification.

Utilisez les rapports pour voir la progression de votre déploiement et identifier quand les utilisateurs utilisent des informations d’identification sans mot de passe.

Appliquer la force de l’authentification avec l’accès conditionnel

L’accès aux services qui utilisent l’ID Microsoft Entra pour l’authentification peut être limité en fonction de la force de la méthode d’authentification, entre autres conditions, à l’aide de l’accès conditionnel.

Par exemple, pour exiger que les services d’accès des étudiants utilisant l’ID Microsoft Entra pour l’authentification utilisent un appareil géré avec des informations d’identification sans mot de passe, configurez une stratégie d’accès conditionnel avec les paramètres suivants :

Configuration	Valeur
Name	Étudiants
Target (Cible)	Tous les étudiants
Accorder	Appareil de plainte : oui Force d’authentification : résistant au hameçonnage

Pour plus d’informations sur la force d’authentification dans les stratégies d’accès conditionnel, consultez Vue d’ensemble de la force d’authentification Microsoft Entra.

Pour obtenir des instructions sur la configuration des stratégies d’accès conditionnel, consultez Qu’est-ce que l’accès conditionnel dans l’ID Microsoft Entra ?.

Conseil

Dans les scénarios où les appareils sont partagés entre plusieurs utilisateurs, une autre option d’authentification sans mot de passe est les clés de sécurité FIDO 2. Les appareils partagés peuvent être exclus des stratégies d’accès conditionnel en fonction de l’emplacement, mais ce n’est pas recommandé.

Gérer les informations d’identification sans mot de passe

Les informations d’identification sans mot de passe ne sont pas affectées par les modifications, réinitialisations ou stratégies de mot de passe. Si un appareil est compromis ou volé, vous devez suivre les procédures requises par votre équipe de sécurité. Voici quelques exemples d’actions :

• N’entreprendre aucune action tant qu’un compromis n’est pas examiné.
• Déclenchement d’une réinitialisation à distance de l’appareil compromis.
• Désactivation des informations d’identification ou du compte d’utilisateur.

Si un appareil est compromis, vous pouvez choisir de supprimer les informations d’identification sans mot de passe associées de l’ID Microsoft Entra pour empêcher toute utilisation non autorisée.

Pour supprimer une méthode d’authentification associée à un compte d’utilisateur, supprimez la clé de la méthode d’authentification de l’utilisateur. Vous pouvez identifier l’appareil associé dans la colonne Détails .

1. Connectez-vous au Centre d’administration Microsoft Entra et recherchez l’utilisateur dont la clé d’accès doit être supprimée.
2. Sélectionnez Méthodes >d’authentification en regard de la méthode d’authentification appropriée, puis sélectionnez le bouton « ... » puis sélectionnez Supprimer.

Étapes suivantes

Pour plus d’informations sur l’inscription de vos appareils dans Intune, consultez :

• Didacticiel : Configurer un point de terminaison Windows natif cloud avec Microsoft Intune
• Guide de bout en bout pour bien démarrer avec les points de terminaison macOS