Activer les clés d’accès dans Microsoft Authenticator (préversion)

Cet article réunit les étapes permettant d’activer et d’appliquer l’utilisation de clés d’accès dans Authenticator pour Microsoft Entra ID. Tout d’abord, mettez à jour la stratégie des méthodes d’authentification pour permettre aux utilisateurs finaux de s’inscrire et de se connecter avec des clés d’accès dans Authenticator. Vous pouvez ensuite utiliser des stratégies de force d’authentification d’accès conditionnel pour appliquer la connexion avec clé d’accès lorsque les utilisateurs accèdent à une ressource sensible.

Spécifications

• Authentification multifacteur (MFA) Microsoft Entra
• Android 14 et versions ultérieures ou iOS 17 et versions ultérieures
• Connexion Internet active sur n’importe quel appareil qui fait partie du processus d’inscription/d’authentification de clé secrète. La connectivité à ces deux points de terminaison doit être autorisée dans votre organisation pour activer l’inscription et l’authentification entre appareils :
  • cable.ua5v.com
  • cable.auth.com
• Pour l’inscription/l’authentification inter-appareils, le Bluetooth doit être activé sur les deux appareils

Pour en savoir plus sur où vous pouvez utiliser des clés secrètes dans Authenticator pour vous connecter, consultez Support de l’authentification FIDO2 avec Microsoft Entra ID.

Activer les clés d’accès dans Authenticator depuis le centre d’administration

Un administrateur de stratégie d’authentification doit donner son consentement pour autoriser Authenticator dans les paramètres FIDO2 (Passkey) de la stratégie de méthodes d’authentification. Ils doivent autoriser explicitement les GUID d’attestation d’authentificateur (AAGUID) pour Microsoft Authenticator à permettre aux utilisateurs d’inscrire des clés secrètes dans l’application Authenticator. Il n’existe aucun paramètre pour activer les clés secrètes dans la section de l’application Microsoft Authenticator de la stratégie Méthodes d’authentification.

1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.

2. Accédez à Protection>Méthodes d’authentification>Stratégie de méthode d'authentification.

3. Sous la méthode Clé d’accès (FIDO2),sélectionnez Tous les utilisateurs ou Ajouter des groupes pour sélectionner des groupes spécifiques. Seuls les groupes de sécurité sont pris en charge.

4. Sous l’onglet Configurer :

   • Définissez Autoriser le libre-service configuré sur Oui. Si la valeur est Non, les utilisateurs ne peuvent pas inscrire de clé secrète à l’aide des informations de sécurité, même si les clés secrètes (FIDO2) sont activées par la stratégie de méthodes d’authentification.

   • Définissez Appliquer l’attestation sur Oui.

     Lorsque l’attestation est activée dans la stratégie FIDO (Passkey), l’ID Microsoft Entra tente de vérifier la légitimité de la clé secrète en cours de création. Lorsque l’utilisateur inscrit une clé secrète dans Authenticator, l’attestation vérifie que l’application Microsoft Authenticator légitime a créé la clé secrète à l’aide des services Apple et Google. Voici plus d’informations :

     • iOS : l’attestation d’authentificateur utilise le service d’attestation d’application iOS pour garantir la légitimité de l’application Authenticator avant d’inscrire la clé d’accès.

       Remarque

       Prise en charge de l’inscription de clés secrètes dans Authenticator lorsque l’attestation est appliquée est actuellement déployée pour les utilisateurs de l’application iOS Authenticator. La prise en charge de l’inscription de clés secrètes attestées dans Authenticator sur les appareils Android est disponible pour tous les utilisateurs de la dernière version de l’application.

     • Android :

       • Pour l’attestation d’intégrité de play, l’attestation Authenticator utilise l’API Intégrité play pour garantir la légitimité de l’application Authenticator avant d’inscrire la clé secrète.
       • Pour l’attestation de clé, l’attestation Authenticator utilise l’attestation de clé par Android pour vérifier que la clé secrète inscrite est sauvegardée sur le matériel.

     Remarque

     Pour iOS et Android, l’attestation Authenticator s’appuie sur les services Apple et Google pour vérifier l’authenticité de l’application Authenticator. L’utilisation intensive du service peut faire échouer l’inscription de clé secrète et les utilisateurs peuvent avoir besoin de réessayer. Si les services Apple et Google sont arrêtés, l’attestation Authenticator bloque l’inscription qui nécessite une attestation jusqu’à ce que les services soient restaurés. Pour surveiller l’état du service d’intégrité Google Play, consultez le tableau de bord d’état Google Play. Pour surveiller l’état du service d’attestation d’application iOS, consultez État du système.

   • Les restrictions de clé définissent la facilité d’utilisation des clés d’accès spécifiques pour l’inscription et l’authentification. Définissez Appliquer les restrictions de clé sur Oui pour autoriser ou bloquer uniquement certaines clés secrètes, qui sont identifiées par leurs AAGUID.

     Ce paramètre doit être Oui et vous devez ajouter les AAGUID Microsoft Authenticator pour permettre aux utilisateurs d’inscrire des clés secrètes dans l’authentificateur, soit en vous connectant à l’application Authenticator, soit en ajoutant Passkey dans Microsoft Authenticator à partir de leurs informations de sécurité.

     Les informations de sécurité nécessitent que ce paramètre soit défini sur Oui pour que les utilisateurs puissent choisir Passkey dans Authenticator et passer par un flux d’inscription de clé secrète Authenticator dédié. Si vous choisissez Non, les utilisateurs peuvent toujours ajouter une clé secrète dans Microsoft Authenticator en choisissant la clé de sécurité ou la méthode de clé secrète , en fonction de leur système d’exploitation et de leur navigateur. Toutefois, nous ne nous attendons pas à ce que de nombreux utilisateurs découvrent et utilisent cette méthode.

     Si votre organisation n’applique actuellement pas de restrictions de clé et dispose déjà d’une utilisation active de la clé d’accès, vous devez collecter les AAGUID des clés utilisées aujourd’hui. Incluez ces utilisateurs et les AAGUID Authenticator pour activer cette préversion. Pour ce faire, vous pouvez utiliser un script automatisé qui analyse les journaux, tels que les détails de l’inscription et les journaux de connexion.

     Si vous modifiez les restrictions de clé et supprimez un AAGUID que vous avez précédemment autorisé, les utilisateurs qui ont précédemment inscrit une méthode autorisée ne peuvent plus l’utiliser pour la connexion.

   • Réglez Restriction de certaines clés sur Autoriser.

   • Sélectionnez Microsoft Authenticator (préversion) pour ajouter automatiquement l’application Authenticator AAGUID à la liste des restrictions de clé, ou ajoutez manuellement les AAGUID suivants pour permettre aux utilisateurs d’inscrire des clés secrètes dans l’authentificateur en vous connectant à l’application Authenticator ou en accédant à un flux guidé sur la page Informations de sécurité :

     • Authenticator pour Android : de1e552d-db1d-4423-a619-566b625cdc84
     • Authenticator pour iOS : 90a3ccdf-635c-4729-a248-9b709135078f

     Remarque

     Si vous désactivez les restrictions de clé, décochez la case Microsoft Authenticator (préversion) afin que les utilisateurs ne soient pas invités à configurer une clé secrète dans l’application Authenticator dans les informations de sécurité.

   

5. Une fois la configuration terminée, sélectionnez Enregistrer.

   Remarque

   Si vous voyez une erreur lorsque vous essayez d’enregistrer, remplacez plusieurs groupes par un seul groupe en une seule opération, puis cliquez sur Enregistrer à nouveau.

Activer les clés d’accès dans Authenticator à l’aide de l’Afficheur Graph

Outre l’utilisation du centre d’administration Microsoft Entra, vous pouvez également activer les clés d’accès dans Authenticator à l’aide de l’Afficheur Graph. Les personnes ayant au moins le rôle d’administrateur(-trice) de la stratégie d’authentification peuvent mettre à jour la stratégie de gestion des risques internes des méthodes d’authentification afin d’autoriser les AAGUID pour Authenticator.

Pour configurer la stratégie à l’aide d’Afficheur Graph :

1. Connectez-vous à Afficheur Graph et acceptez les autorisations Policy.Read.All et Policy.ReadWrite.AuthenticationMethod.

2. Récupérez la stratégie des méthodes d’authentification :

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. Pour désactiver l’application de l’attestation et appliquer des restrictions de clé afin d’autoriser uniquement les AAGUID pour Microsoft Authenticator, effectuez une opération PATCH à l’aide du corps de la demande suivante :

   PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": true,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "90a3ccdf-635c-4729-a248-9b709135078f",
               "de1e552d-db1d-4423-a619-566b625cdc84"
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. Vérifiez que la stratégie de clé d’accès (FIDO2) est correctement mise à jour.

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

Restreindre l’utilisation bluetooth aux clés secrètes dans Authenticator

Certaines organisations limitent l’utilisation du Bluetooth, notamment l’utilisation de clés secrètes. Dans ce cas, les organisations peuvent autoriser les clés secrètes en autorisant le jumelage Bluetooth exclusivement avec les authentificateurs FIDO2 compatibles avec la clé de passe. Pour plus d’informations sur la configuration de l’utilisation bluetooth uniquement pour les clés secrètes, consultez Passkeys dans les environnements bluetooth restreints.

Supprimer une clé d’accès

Si un utilisateur supprime une clé secrète dans Authenticator, la clé secrète est également supprimée des méthodes de connexion de l’utilisateur. Un administrateur de stratégie d’authentification peut également suivre ces étapes pour supprimer une clé secrète des méthodes d’authentification de l’utilisateur, mais elle ne supprime pas la clé secrète de Authenticator.

1. Connectez-vous au Centre d’administration Microsoft Entra et recherchez l’utilisateur dont la clé d’accès doit être supprimée.
2. Sélectionnez Méthodes d’authentification>, cliquez avec le bouton droit sur Clé de sécurité FIDO2 et sélectionnez Supprimer.

Appliquer la connexion avec des clés d’accès dans Authenticator

Pour que les utilisateurs se connectent avec une clé d’accès lorsqu’ils accèdent à une ressource sensible, utilisez la force d’authentification intégrée résistante au hameçonnage, ou créez une force d’authentification personnalisée en suivant ces étapes :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de l’accès conditionnel.

2. Accédez à Protection>Méthodes d’authentification>Forces d’authentification.

3. Sélectionnez Nouvelle force d’authentification.

4. Fournissez un nom descriptif pour votre nouvelle force d’authentification.

5. Fournissez une Description si vous le souhaitez.

6. Sélectionnez Clés d’accès (FIDO2), puis sélectionnez Options avancées.

7. Vous pouvez sélectionner la force MFA résistante au hameçonnage ou ajouter des AAGUID pour les clés secrètes dans Authenticator :

   • Authenticator pour Android : de1e552d-db1d-4423-a619-566b625cdc84
   • Authenticator pour iOS : 90a3ccdf-635c-4729-a248-9b709135078f

8. Choisissez Suivant et passez en revue la configuration de la stratégie.

Étapes suivantes

Prise en charge de la clé d’accès dans Windows