Options d’authentification sans mot de passe pour Microsoft Entra ID

Les fonctionnalités telles que l’authentification multifacteur (MFA) sont un excellent moyen de sécuriser votre organisation, mais les utilisateurs sont souvent frustrés par la couche de sécurité supplémentaire qui s’ajoute à la nécessité de se souvenir de leurs mots de passe. Les méthodes d’authentification sans mot de passe sont plus pratiques, car le mot de passe est supprimé et remplacé par quelque chose que vous avez, en plus de quelque chose que vous êtes ou que vous savez.

Authentification Quelque chose que vous avez Quelque chose que vous êtes ou savez
Sans mot de passe Appareil Windows 10, téléphone ou clé de sécurité Biométrie ou code confidentiel

Chaque organisation a des besoins différents en matière d’authentification. Microsoft Azure et Azure Government proposent les quatre options d’authentification sans mot de passe suivantes qui s’intègrent à Microsoft Entra ID :

  • Windows Hello Entreprise
  • Microsoft Authenticator
  • Clés de sécurité FIDO2
  • Authentification par certificat

Authentication: Security versus convenience

Windows Hello Entreprise

Windows Hello Entreprise est idéal pour les professionnels de l’information qui disposent de leur propre PC Windows. Les identifiants biométriques et PIN sont directement liés au PC de l’utilisateur, ce qui empêche l’accès à quiconque autre que le propriétaire. Avec l’intégration de l’infrastructure à clé publique (PKI)et la prise en charge intégrée de l’authentification unique (SSO), Windows Hello Entreprise propose une méthode d’accès pratique aux ressources d’entreprise localement et dans le cloud.

Example of a user sign-in with Windows Hello for Business

Les étapes suivantes montrent la manière dont le processus de connexion fonctionne avec Microsoft Entra ID :

Diagram that outlines the steps involved for user sign-in with Windows Hello for Business

  1. Un utilisateur se connecte à Windows l’aide d'un geste biométrique ou d'un code confidentiel. Cette opération déverrouille la clé privée Windows Hello Entreprise et est transmise au fournisseur SSP (Security Support Provider) d'authentification cloud, appelé fournisseur Cloud AP.
  2. Le fournisseur Cloud AP demande un nonce (un nombre arbitraire aléatoire qui ne peut être utilisé qu’une seule fois) à Microsoft Entra ID.
  3. Microsoft Entra ID renvoie un nonce qui est valide pendant 5 minutes.
  4. Le fournisseur Cloud AP signe le nonce à l’aide de la clé privée de l’utilisateur et le renvoie signé à Microsoft Entra ID.
  5. Microsoft Entra ID valide le nonce signé à l’aide de la clé publique de l'utilisateur par rapport à la signature du nonce. Microsoft Entra ID valide la signature et valide ensuite le nonce signé renvoyé. Après avoir validé le nonce, Microsoft Entra ID crée un jeton d’actualisation principal (PRT) avec la clé de session chiffrée sur la clé de transport de l’appareil et le retourne au fournisseur Cloud AP.
  6. Le fournisseur Cloud AP reçoit le PRT chiffré avec la clé de session. Le fournisseur Cloud AP utilise la clé de transport privée de l’appareil pour déchiffrer la clé de session et protège cette dernière à l’aide du module de plateforme sécurisée (TPM) de l’appareil.
  7. Le fournisseur Cloud AP renvoie une réponse d’authentification réussie à Windows. L’utilisateur peut alors accéder aux applications Windows, ainsi qu’aux applications cloud et locales sans avoir à s’authentifier à nouveau (SSO).

Le guide de planification Windows Hello Entreprise peut vous aider à déterminer le type de déploiement de Windows Hello Entreprise dont vous avez besoin, ainsi que les options à prendre en compte.

Microsoft Authenticator

Vous pouvez également autoriser le téléphone de votre employé à devenir une méthode d’authentification sans mot de passe. Vous utilisez peut-être déjà l’application Authenticator comme une option pratique d’authentification multifacteur en plus d’un mot de passe. Vous pouvez également utiliser l’application Authenticator comme option sans mot de passe.

Sign in to Microsoft Edge with the Microsoft Authenticator

L’application Authenticator transforme n’importe quel téléphone iOS ou Android en informations d’identification fortes et sans mot de passe. Les utilisateurs peuvent se connecter à toute plateforme ou tout navigateur en obtenant une notification sur leur téléphone, en faisant correspondre un numéro affiché sur l’écran à celui affiché sur leur téléphone, puis en utilisant leur leurs données biométriques (toucher ou visage) ou un code confidentiel pour confirmer. Pour plus d’informations sur l’installation, consultez Télécharger et installer Microsoft Authenticator.

L’authentification sans mot de passe à l’aide de l’application Authenticator suit le même modèle de base que Windows Hello Entreprise. C’est un peu plus compliqué lorsque l’utilisateur a besoin d’être identifié afin que Microsoft Entra ID puisse trouver la version de l’application Authenticator en cours d’utilisation :

Diagram that outlines the steps involved for user sign-in with the Microsoft Authenticator App

  1. L'utilisateur entre son nom d’utilisateur.
  2. Microsoft Entra ID détecte que l'utilisateur dispose d'informations d'identification fortes et démarre le flux correspondant.
  3. Une notification est envoyée à l’application via Apple Push Notification Service (APNS) sur les appareils iOS ou Firebase Cloud Messaging (FCM) sur les appareils Android.
  4. L'utilisateur reçoit la notification Push et ouvre l'application.
  5. L’application appelle Microsoft Entra ID et reçoit un test de preuve de présence et un nonce.
  6. L’utilisateur répond au test à l'aide en entrant un code biométrique ou un code confidentiel pour déverrouiller la clé privée.
  7. Le nonce est signé avec la clé privée, puis renvoyé à Microsoft Entra ID.
  8. Microsoft Entra ID procède à la validation des clés publique/privée et renvoie un jeton.

Pour prendre en main la connexion sans mot de passe, procédez comme suit :

Clés de sécurité FIDO2

La FIDO (Fast Identity Online) Alliance permet de promouvoir les normes d’authentification ouverte et de réduire l’utilisation des mots de passe en tant qu’authentification. FIDO2 est la dernière norme qui incorpore la norme d’authentification Web (WebAuthn).

Les clés de sécurité FIDO2 sont une méthode d’authentification sans mot de passe conforme aux normes et impossible à pirater, qui peut prendre n’importe quelle forme. Fast Identity Online (FIDO) est une norme ouverte d’authentification sans mot de passe. Elle permet aux utilisateurs et aux organisations de tirer parti de la norme pour se connecter à leurs ressources sans nom d’utilisateur ou mot de passe, en utilisant une clé de sécurité externe ou une clé de plateforme intégrée à un appareil.

Les utilisateurs peuvent enregistrer, puis sélectionner une clé de sécurité FIDO2 dans l’interface de connexion en tant que principal moyen d’authentification. Ces clés de sécurité FIDO2 sont généralement des périphériques USB, mais elles peuvent également utiliser les technologies Bluetooth ou NFC. Avec un périphérique matériel gérant l’authentification, la sécurité d’un compte augmente car il n’existe aucun mot de passe qui pourrait être exposé ou deviné.

Les clés de sécurité FIDO2 peuvent être utilisées pour se connecter à leurs appareils Microsoft Entra ID ou Microsoft Entra hybride joints à Windows 10 et obtenir une signature unique pour leurs ressources cloud et sur site. Les utilisateurs peuvent également se connecter aux navigateurs pris en charge. Les clés de sécurité FIDO2 constituent une excellente solution pour les entreprises qui sont très sensibles à la sécurité ou ayant des scénarios ou des employés qui ne sont pas prêts à ou capables d’utiliser leur téléphone comme deuxième facteur.

Nous proposons un document de référence sur les navigateurs qui prennent en charge l’authentification FIDO2 avec Microsoft Entra ID et les meilleures pratiques pour les développeurs qui souhaitent prendre en charge l’authentification FIDO2 dans les applications qu’ils développent.

Sign in to Microsoft Edge with a security key

Le processus suivant est utilisé lorsqu’un utilisateur se connecte avec une clé de sécurité FIDO2 :

Diagram that outlines the steps involved for user sign-in with a FIDO2 security key

  1. L’utilisateur connecte la clé de sécurité FIDO2 à son ordinateur.
  2. Windows détecte la clé de sécurité FIDO2.
  3. Windows envoie une requête d’authentification.
  4. Microsoft Entra ID renvoie une valeur nonce.
  5. L’utilisateur fait le geste qui convient pour déverrouiller la clé privée stockée dans l’enclave sécurisée de la clé de sécurité FIDO2.
  6. La clé de sécurité FIDO2 signe le nonce avec la clé privée.
  7. La requête de jeton d'actualisation principal (PRT) contenant le nonce signé est envoyée à Microsoft Entra ID.
  8. Microsoft Entra ID vérifie le nonce signé à l’aide de la clé publique FIDO2.
  9. Microsoft Entra ID renvoie le PRT pour activer l’accès aux ressources locales.

Fournisseurs de clés de sécurité FIDO2

Les fournisseurs suivants offrent des clés de sécurité FIDO2 de différents facteurs de forme, qui sont connues pour être compatibles avec l’expérience sans mot de passe. Nous vous encourageons à évaluer les propriétés de sécurité de ces clés en contactant le fournisseur, ainsi que la FIDO Alliance.

Fournisseur Biométrie USB NFC BLE
AuthenTrend y y y y
ACS n y y n
ATOS n y y n
Ciright n n y n
Composecure n n y n
Crayonic y n y y
Cryptnox n y y n
Ensurity y y n n
Excelsecu y y y y
Feitian y y y y
Fortinet n y n n
Giesecke + Devrient (G+D) y y y y
Google n y y n
GoTrustID Inc. n y y y
HID n y y n
HIDEEZ n y y y
Hypersecu n y n n
Hypr y y n y
Identiv n y y n
IDmelon Technologies Inc. y y y y
Kensington y y n n
KONA I y n y y
NeoWave n y y n
Nymi y n y n
Octatco y y n n
OneSpan Inc. n y n y
Biométrie PONE y n n y
Biométrie de précision n y n n
RSA n y n n
Sentry n n y n
SmartDisplayer y y y y
Swissbit n y y n
Thales Group y y y n
Thetis y y y y
Token2 Switzerland y y y n
Token ring y n y n
Solutions TrustKey y y n n
VinCSS n y n n
WiSECURE Technologies n y n n
Yubico y y y n

Remarque

Si vous achetez des clés de sécurité NFC et que vous prévoyez de les utiliser, vous devez disposer d’un lecteur NFC pris en charge pour la clé de sécurité. Le lecteur NFC n’est pas une exigence ou une limitation Azure. Pour obtenir la liste des lecteurs NFC pris en charge, contactez le fournisseur de votre clé de sécurité NFC.

Si vous êtes fournisseur et que vous souhaitez que votre appareil figure dans cette liste des appareils pris en charge, consultez nos conseils sur la façon de devenir fournisseur de clés de sécurité FIDO2 compatibles Microsoft.

Pour prendre en main les clés de sécurité FIDO2, procédez comme suit :

Authentification par certificat

L’authentification basée sur les certificats (CBA) de Microsoft Entra permet aux clients d’autoriser ou de demander aux utilisateurs de s’authentifier directement avec des certificats X.509 sur leur instance Microsoft Entra ID pour se connecter aux applications et aux navigateurs. CBA permet aux clients d’adopter une authentification résistante au hameçonnage, et de se connecter au moyen d’un certificat X.509 sur l’infrastructure à clé publique (PKI).

Diagram of Microsoft Entra certificate-based authentication.

Principaux avantages de l’utilisation de la CBA de Microsoft Entra

Avantages Description
Meilleure expérience utilisateur - Les utilisateurs qui ont besoin d’une authentification basée sur les certificats peuvent désormais s’authentifier directement sur Microsoft Entra ID sans avoir à investir dans des services AD FS fédérés.
- L’interface utilisateur du portail permet aux utilisateurs de configurer facilement la mise en correspondance des champs de certificat à un attribut d’objet utilisateur pour rechercher l’utilisateur dans le locataire (liaisons de noms d’utilisateur de certificat)
- L’interface utilisateur du portail pour configurer des stratégies d’authentification afin de déterminer les certificats monofacteurs et multifacteurs.
Facile à déployer et à gérer La CBA de Microsoft Entra est une fonctionnalité gratuite et vous n'avez besoin d'aucune édition payante de Microsoft Entra ID pour l'utiliser.
- Pas besoin de déploiements locaux ou de configuration réseau complexes.
- Authentifiez-vous directement par rapport à Microsoft Entra ID.
Sécuriser - Les mots de passe locaux n’ont pas besoin d’être stockés dans le cloud sous quelque forme que ce soit.
- Protège vos comptes d’utilisateur en fonctionnant de façon fluide avec les stratégies d’accès conditionnel Microsoft Entra, notamment l’authentification multifacteur anti-hameçonnage (l’authentification MFA nécessite une édition sous licence) et le blocage de l’authentification héritée.
- Prise en charge de l’authentification forte où les utilisateurs peuvent définir des stratégies d’authentification par le biais de champs de certificat tels que l’émetteur ou l’OID (identificateur d’objet) de stratégie pour déterminer quels certificats sont éligibles comme monofacteurs ou multifacteurs.
- La fonctionnalité fonctionne en toute transparence avec les fonctionnalités d’accès conditionnel et la capacité de force d’authentification pour appliquer l’authentification multifacteur pour aider à sécuriser vos utilisateurs.

Scénarios pris en charge

Les scénarios suivants sont pris en charge :

  • L’utilisateur se connecte à des applications s’appuyant sur un navigateur web sur toutes les plateformes.
  • Les utilisateurs se connectent aux applications mobiles Office sur les plateformes iOS/Android et aux applications natives Office dans Windows, notamment Outlook, OneDrive, etc.
  • Connexions utilisateur sur les navigateurs natifs mobiles.
  • Prise en charge des règles d’authentification granulaires pour l’authentification multifacteur à l’aide des OID de stratégie et d’objet de l’émetteur de certificat.
  • Configuration des liaisons de compte d’utilisateur à certificat à l’aide de l’un des champs de certificat :
    • Autre nom d’objet (SAN) PrincipalName et SAN RFC822Name
    • Identificateur de clé d’objet (SKI) et SHA1PublicKey
  • Configuration des liaisons de compte d’utilisateur à certificat à l’aide de l’un des attributs d’objet utilisateur :
    • Nom d’utilisateur principal
    • onPremisesUserPrincipalName
    • CertificateUserIds

Scénarios pris en charge

Les considérations suivantes s'appliquent :

  • Les administrateurs peuvent activer des méthodes d’authentification sans mot de passe pour leur locataire.
  • Les administrateurs peuvent cibler tous les utilisateurs ou sélectionner des utilisateurs/groupes de sécurité au sein de leur locataire pour chaque méthode.
  • Les utilisateurs peuvent inscrire et gérer ces méthodes d’authentification sans mot de passe sur le portail de leur compte.
  • Les utilisateurs peuvent se connecter avec les méthodes d’authentification sans mot de passe suivantes :
    • Application Authenticator : fonctionne dans les scénarios où l’authentification Microsoft Entra est utilisée, notamment sur tous les navigateurs, pendant la configuration de Windows 10 et avec les applications mobiles intégrées sur n’importe quel système d’exploitation.
    • Clés de sécurité : Fonctionnent sur l’écran de verrouillage Windows 10 et les navigateurs web pris en charge, comme Microsoft Edge (ancienne et nouvelle version de Edge).
  • Les utilisateurs peuvent utiliser des informations d’identification sans mot de passe pour accéder à des ressources dans des locataires dans lequel ils sont invités, mais il se peut qu’ils soient tenus d’effectuer une authentification multifacteur dans ce locataire de ressources. Pour plus d’informations, consultez Risque de redondance de l’authentification multifacteur.
  • Les utilisateurs ne peuvent pas enregistrer les informations d’identification sans mot de passe dans un locataire dans lequel ils sont invités, de la même façon qu’ils n’ont pas de mot de passe géré dans ce locataire.

Scénarios non pris en charge

Nous vous recommandons de ne pas dépasser 20 ensembles de clés pour chaque méthode sans mot de passe pour n’importe quel compte d’utilisateur. À mesure que d’autres clés sont ajoutées, la taille de l’objet utilisateur augmente et vous pouvez remarquer une dégradation de certaines opérations. Dans ce cas, vous devez supprimer les clés inutiles. Pour plus d’informations et les cmdlets PowerShell pour interroger et supprimer des clés, consultez Utiliser le module PowerShell WHffBTools pour nettoyer les clés Windows Hello Entreprise orphelines. La rubrique utilise le paramètre facultatif /UserPrincipalName pour interroger uniquement les clés d’un utilisateur spécifique. Les autorisations requises doivent s’exécuter en tant qu’administrateur ou utilisateur spécifié.

Lorsque vous utilisez PowerShell pour créer un fichier CSV avec toutes les clés existantes, identifiez soigneusement les clés que vous devez conserver et supprimez ces lignes du fichier CSV. Utilisez ensuite le CSV modifié avec PowerShell pour supprimer les clés restantes afin de ramener le nombre de clés de compte sous la limite.

Il est possible de supprimer en toute sécurité n’importe quelle clé signalée comme « Orphaned » = « True » dans le CSV. Une clé orpheline est une clé pour un appareil qui n’est plus inscrit dans Entra ID. Si la suppression de toutes les orphelines n’amène toujours pas le compte d’utilisateur au-dessous de la limite, il est nécessaire d’examiner les colonnes « DeviceId » et « CreationTime » pour identifier les clés à cibler pour la suppression. Veillez à supprimer toute ligne dans le CSV pour les clés que vous souhaitez conserver. Les clés d’un DeviceID correspondant aux appareils que l’utilisateur utilise activement doivent être supprimées du CSV avant l’étape de suppression.

Choix d’une méthode sans mot de passe

Le choix entre ces trois options sans mot de passe dépend des exigences en matière de sécurité, de plateforme et d'applications de votre entreprise.

Voici quelques facteurs à prendre en compte au moment de choisir une technologie Microsoft sans mot de passe :

Windows Hello Entreprise Connexion sans mot de passe avec l’application Authenticator Clés de sécurité FIDO2
Conditions préalables Windows 10 version 1809 ou ultérieure
Microsoft Entra ID
Application Authenticator
Téléphone (appareils iOS et Android)
Windows 10 version 1903 ou ultérieure
Microsoft Entra ID
Mode Plateforme Logiciel Matériel
Systèmes et appareils PC avec module de plateforme sécurisée (TPM) intégré
Code confidentiel et reconnaissance biométrique
Code confidentiel et reconnaissance biométrique sur téléphone Périphériques de sécurité FIDO2 compatibles Microsoft
Expérience utilisateur Connectez-vous à l’aide d’un code confidentiel ou d'une reconnaissance biométrique (faciale, iris ou empreinte digitale) aux appareils Windows.
L'authentification Windows Hello est liée à l'appareil ; l'utilisateur a besoin de l'appareil et d'un composant de connexion tel qu'un code confidentiel ou un facteur biométrique pour accéder aux ressources de l'entreprise.
Connectez-vous à l’aide d’un téléphone mobile en utilisant une empreinte digitale, une reconnaissance faciale ou de l'iris, ou un code confidentiel.
Les utilisateurs se connectent à un compte professionnel ou personnel à partir de leur PC ou téléphone mobile.
Connectez-vous à l’aide du périphérique de sécurité FIDO2 (biométrie, code confidentiel et carte NFC)
L'utilisateur peut accéder à l'appareil selon les contrôles de l’organisation et s’authentifier par code confidentiel ou biométrie à l'aide de périphériques tels que des clés de sécurité USB et des cartes à puce NFC, des clés ou autres objets connectés portables.
Scénarios possibles Expérience sans mot de passe avec appareil Windows.
Applicable pour le PC de travail dédié avec possibilité d'authentification unique à l'appareil et aux applications.
Solution sans mot de passe à l'aide d'un téléphone mobile.
Applicable pour accéder aux applications professionnelles et personnelles sur le web à partir de n’importe quel appareil.
Expérience sans mot de passe pour les employés avec données biométriques, code confidentiel et carte à puce NFC.
Applicable pour les PC partagés et lorsqu'un téléphone mobile n’est pas une option viable (personnel du support technique, borne publique ou équipe hospitalière)

Utilisez le tableau suivant pour choisir la méthode répondant à vos besoins et à ceux de vos utilisateurs.

Utilisateur Scénario Environnement Technologie sans mot de passe
Administrateur Sécuriser l’accès à un appareil pour les tâches de gestion Appareil Windows 10 attribué Windows Hello Entreprise et/ou clé de sécurité FIDO2
Administrateur Tâches de gestion sur des appareils non Windows Appareil mobile ou non Windows Connexion sans mot de passe avec l’application Authenticator
Professionnel de l'information Productivité Appareil Windows 10 attribué Windows Hello Entreprise et/ou clé de sécurité FIDO2
Professionnel de l'information Productivité Appareil mobile ou non Windows Connexion sans mot de passe avec l’application Authenticator
Employé de terrain Borne dans une usine, un magasin de détail ou un point d'entrée de données Appareils Windows 10 partagés Clés de sécurité FIDO2

Étapes suivantes

Pour prendre en main la connexion sans mot de passe dans Microsoft Entra ID, effectuez l’une des procédures suivantes :