Activer la connexion sans mot de passe avec Microsoft Authenticator

Microsoft Authenticator vous permet de vous connecter à n’importe quel compte Microsoft Entra sans utiliser de mot de passe. Microsoft Authenticator utilise l’authentification par clé pour activer les identifiants de l’utilisateur qui sont liés à un appareil, où l’appareil utilise un code confidentiel ou la biométrie. Windows Hello Entreprise utilise une technologie similaire.

Cette technologie d’authentification peut être utilisée sur toutes les plateformes d’appareils, y compris sur les appareils mobiles. Cette technologie peut également être utilisée avec n’importe quelle application ou n’importe quel site web qui s’intègre aux bibliothèques d’authentification Microsoft.

Capture d’écran montrant un exemple de connexion par navigateur demandant à l’utilisateur d’approuver la connexion.

Les personnes qui ont activé la connexion par téléphone à partir de Microsoft Authenticator voient un message leur demandant d’appuyer sur un numéro dans leur application. Aucun nom d’utilisateur ou mot de passe n’est demandé. Pour terminer le processus de connexion dans l’application, un utilisateur doit ensuite effectuer les actions suivantes :

  1. Saisissez le numéro qu’il voit sur l’écran de connexion dans la boîte de dialogue Microsoft Authenticator.
  2. Choisissez Approuver.
  3. Fournir son PIN ou sa biométrie.

Plusieurs comptes

Vous pouvez activer la connexion par téléphone sans mot de passe pour plusieurs comptes dans Microsoft Authenticator sur n’importe quel appareil Android ou iOS pris en charge. Les consultants, étudiants ou autres personnes disposant de plusieurs comptes dans Microsoft Entra ID peuvent ajouter chaque compte à Microsoft Authenticator et utiliser la connexion par téléphone, sans mot de passe, pour chaque compte, et à partir du même appareil.

Auparavant, les administrateurs n’exigeaient pas nécessairement de se connecter sans mot de passe pour les utilisateurs disposant de plusieurs comptes, car cela signifiait avoir à transporter davantage d’appareils pour la connexion. En supprimant la limitation d’une connexion utilisateur à partir d’un même appareil, les administrateurs peuvent encourager les utilisateurs à inscrire la connexion par téléphone sans mot de passe et à l’utiliser comme méthode de connexion par défaut.

Les comptes Microsoft Entra peuvent se trouver dans le même client ou dans différents clients. Les comptes invités ne sont pas pris en charge pour la connexion de plusieurs comptes à partir d’un même appareil.

Prérequis

Pour utiliser la connexion par téléphone sans mot de passe avec Microsoft Authenticator, les prérequis suivants doivent être respectés :

  • Usage recommandé : l’authentification multifacteur Microsoft Entra, avec les notifications Push autorisées en tant que méthode de vérification. Les notifications Push envoyées sur votre smartphone ou votre tablette aident l’application Authenticator à empêcher tout accès non autorisé aux comptes et à arrêter les transactions frauduleuses. L’application Authenticator génère automatiquement des codes lorsqu’elle est configurée pour effectuer des notifications Push. Un utilisateur dispose d’une méthode de connexion de secours même si son appareil n’est pas connecté.
  • Installation de la dernière version de Microsoft Authenticator sur des appareils exécutant iOS ou Android.
  • L’appareil doit être inscrit auprès de chaque client où il est utilisé pour se connecter. Par exemple, l’appareil suivant doit être inscrit auprès de Contoso et Wingtiptoys pour permettre à tous les comptes de se connecter :
    • balas@contoso.com
    • balas@wingtiptoys.com et bsandhu@wingtiptoys

Pour utiliser l’authentification sans mot de passe dans Microsoft Entra ID, activez tout d’abord l’expérience d’inscription combinée, puis activez les utilisateurs pour la méthode sans mot de passe.

Activer les méthodes d’authentification sans mot de passe par téléphone

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Microsoft Entra ID permet aux administrateurs de stratégies d’authentification de choisir les méthodes d’authentification qui peuvent être utilisées pour se connecter. Ceux-ci peuvent activer Microsoft Authenticator dans la stratégie de méthodes d’authentification pour permettre de gérer à la fois la méthode d’authentification multifacteur Push traditionnelle et la méthode d’authentification sans mot de passe.

Une fois que Microsoft Authenticator est activé comme méthode d’authentification, les utilisateurs peuvent accéder à leurs informations de sécurité pour inscrire Microsoft Authenticator comme méthode de connexion. Ils pourront ainsi voir Microsoft Authenticator répertorié comme méthode dans les informations de sécurité. Ils verront par exemple Microsoft Authenticator sans mot de passe ou Microsoft Authenticator-MFA Push en fonction de ce qui est activé et inscrit.

Pour activer la méthode d’authentification pour la connexion par téléphone sans mot de passe, effectuez les étapes suivantes :

  1. Connectez-vous au Centre d'administration Microsoft Entra au minimum en tant qu’Administrateur de stratégie d’authentification.

  2. Accédez à Protection>Méthodes d’authentification>Stratégies.

  3. Sous Microsoft Authenticator, choisissez les options suivantes :

    1. Activer - Oui ou Non
    2. Cible - Tous les utilisateurs ou Sélectionner des utilisateurs
  4. Chaque groupe ou utilisateur ajouté est activé par défaut pour utiliser Microsoft Authenticator dans les modes notification Push et sans mot de passe et push (mode « Tout »). Pour modifier le mode, pour chaque ligne pour le Mode d’authentification, choisissez Tout ou Sans mot de passe. Le choix d’une notification Push empêche l’utilisation des identifiants de connexion par téléphone sans mot de passe.

  5. Pour appliquer la nouvelle stratégie, cliquez sur Enregistrer.

    Remarque

    Si une erreur apparaît lors de la tentative d'enregistrement, celle-ci peut être due au nombre d'utilisateurs ou de groupes ajoutés. En tant que solution de contournement, remplacez les utilisateurs et les groupes que vous essayez d’ajouter par un groupe unique, au cours de la même opération, puis sélectionnez à nouveau Enregistrer.

Inscription des utilisateurs

Les utilisateurs s’inscrivent eux-mêmes pour la méthode d’authentification sans mot de passe Microsoft Entra ID. Pour les utilisateurs déjà inscrits sur l’application Microsoft Authenticator pour l’authentification multifacteur, ignorez la section suivante, Activer la connexion par téléphone.

Inscription de connexion directe par téléphone

Les utilisateurs peuvent s’inscrire pour une connexion par téléphone sans mot de passe directement dans l’application Microsoft Authenticator, sans devoir inscrire d’abord Microsoft Authenticator avec leur compte, sans avoir à accumuler de mot de passe. Voici comment procéder :

  1. Obtenez un Passe d’accès temporaire auprès de votre administrateur ou de votre organisation.
  2. Téléchargez et installez l’application Microsoft Authenticator sur votre appareil mobile.
  3. Ouvrez Microsoft Authenticator, cliquez sur Ajouter un compte, puis choisissez Compte professionnel ou scolaire.
  4. Choisissez Se connecter.
  5. Suivez les instructions pour vous connecter avec votre compte en utilisant le Passe d’accès temporaire fourni par votre administrateur ou votre organisation.
  6. Une fois connecté, poursuivez les étapes supplémentaires pour configurer la connexion par téléphone.

Inscription guidée avec Mes connexions

Remarque

Les utilisateurs ne peuvent inscrire Microsoft Authenticator par l’inscription combinée que si le mode d’authentification Microsoft Authenticator est défini sur tout ou Push.

Pour s’inscrire sur l’application Microsoft Authenticator, suivez les étapes suivantes :

  1. Accédez à https://aka.ms/mysecurityinfo.
  2. Connectez-vous, puis sélectionnez Ajouter une méthode>Application Authenticator>Ajouter pour ajouter Microsoft Authenticator.
  3. Suivez les instructions pour installer et configurer l’application Microsoft Authenticator sur votre appareil.
  4. Sélectionnez Effectué pour finaliser la configuration de Microsoft Authenticator.

Activer la connexion par téléphone

Une fois que les utilisateurs se sont inscrits sur l’application Microsoft Authenticator, ils doivent activer la connexion par téléphone :

  1. Dans Microsoft Authenticator, sélectionnez le compte enregistré.
  2. Sélectionnez Activer la connexion par téléphone.
  3. Suivez les instructions de l’application pour terminer de vous inscrire à la connexion sans mot de passe.

Une organisation peut demander à ses utilisateurs de se connecter avec leur téléphone, sans utiliser de mot de passe. Pour plus d’informations sur la configuration de Microsoft Authenticator et sur l’activation de la connexion par téléphone, consultez Vous connecter à vos comptes à l’aide de l’application Microsoft Authenticator.

Remarque

Les utilisateurs que la stratégie n’autorise pas à utiliser la connexion par téléphone ne sont plus en mesure de l’activer dans Microsoft Authenticator.

Se connecter avec les identifiants sans mot de passe

Un utilisateur peut commencer à utiliser la connexion sans mot de passe une fois toutes les actions suivantes effectuées :

  • Un administrateur a activé le client de l’utilisateur.
  • L’utilisateur a ajouté Microsoft Authenticator comme méthode de connexion.

La première fois qu’un utilisateur lance le processus de connexion par téléphone, il effectue les étapes suivantes :

  1. Entre leur nom dans la page de connexion.
  2. Sélectionne Suivant.
  3. Le cas échéant, sélectionne Autres méthodes de connexion.
  4. Sélectionne Approuver une demande sur mon application Authenticator.

Un nombre est ensuite présenté à l’utilisateur. L’application invite l’utilisateur à s’authentifier en tapant le nombre approprié au lieu de saisir un mot de passe.

Une fois que l’utilisateur a utilisé la connexion par téléphone sans mot de passe, l’application continue à le guider par le biais de cette méthode. Toutefois, l’utilisateur verra l’option permettant de choisir une autre méthode.

Capture d’écran montrant un exemple de connexion par navigateur à l’aide de l’application Microsoft Authenticator.

Passe d’accès temporaire

Si l’administrateur client a activé la réinitialisation de mot de passe en libre-service (SSPR) et qu’un utilisateur configure la connexion sans mot de passe avec l’application Authenticator pour la première fois à l’aide d’un mot de passe d’accès temporaire, les étapes suivantes doivent être effectuées :

  1. L’utilisateur doit ouvrir un navigateur sur un appareil mobile ou un ordinateur de bureau et accéder à la page d’informations mySecurity.
  2. L’utilisateur doit inscrire l’application Authenticator comme méthode de connexion. Cette action lie le compte d’utilisateur à l’application.
  3. L’utilisateur doit ensuite revenir sur son appareil mobile et activer la connexion sans mot de passe via l’application Authenticator.

Gestion

La stratégie Méthodes d’authentification constitue la méthode recommandée pour gérer Microsoft Authenticator. Les administrateurs de stratégie d’authentification peuvent modifier cette stratégie pour activer ou désactiver Microsoft Authenticator. Ils ont la possibilité d’inclure ou d’exclure des utilisateurs et des groupes spécifiques.

Les administrateurs peuvent également configurer des paramètres pour mieux contrôler l’utilisation de Microsoft Authenticator. Par exemple, il leur est possible d’ajouter un emplacement ou un nom de l’application à la demande de connexion afin que les utilisateurs disposent de davantage d’informations avant de l’approuver.

Problèmes connus

Les problèmes connus suivants existent.

Aucune option pour la connexion par téléphone sans mot de passe n’est visible

Dans un scénario, un utilisateur peut avoir une vérification de connexion par téléphone sans mot de passe sans réponse qui est en attente. Si l’utilisateur tente de se reconnecter, il se peut voir qu’il ne voie que l’option de saisie de mot de passe.

Pour résoudre ce scénario, suivez les étapes suivantes :

  1. Ouvrez Microsoft Authenticator.
  2. Répondez aux invites de notification.

L’utilisateur peut alors continuer à utiliser la connexion par téléphone sans mot de passe.

AuthenticatorAppSignInPolicy non pris en charge

AuthenticatorAppSignInPolicy est une stratégie héritée qui n’est pas prise en charge avec Microsoft Authenticator. Pour permettre à vos utilisateurs de recevoir des notifications Push ou de se connecter par téléphone sans mot de passe avec l’application Authenticator, utilisez la stratégie Méthodes d’authentification.

Comptes fédérés

Lorsqu’un utilisateur a activé des identifiants sans mot de passe, le processus de connexion Microsoft Entra cesse d’utiliser l’indice login_hint. Par conséquent, le processus ne dirige plus l’utilisateur vers un emplacement de connexion fédérée.

Cette logique empêche généralement l’utilisateur d’un client hybride d’être dirigé vers les services de fédération Active Directory (AD FS) pour la vérification de la connexion. Toutefois, l’utilisateur conserve la possibilité de cliquer sur Utiliser votre mot de passe à la place.

Utilisateurs locaux

Un utilisateur final peut être activé pour l’authentification multifacteur (MFA) par le biais d’un fournisseur d’identité local. L’utilisateur peut toujours créer et utiliser une seule paire d’identifiants de connexion par téléphone sans mot de passe.

Si l’utilisateur tente de mettre à niveau plusieurs installations (supérieures à 5) de Microsoft Authenticator avec ces identifiants de connexion par téléphone sans mot de passe, cette modification peut générer une erreur.

Étapes suivantes

Pour en savoir plus sur l’authentification Microsoft Entra et les méthodes sans mot de passe, consultez les articles suivants :