Méthodes d’authentification dans Microsoft Entra ID - Application Microsoft Authenticator
Microsoft Authenticator fournit un autre niveau de sécurité à votre compte professionnel ou scolaire Microsoft Entra ou à votre compte Microsoft. Il est disponible pour Android et iOS. Avec l’application Microsoft Authenticator, les utilisateurs peuvent s’authentifier de manière sans mot de passe pendant la connexion. Ils peuvent également l’utiliser comme option de vérification pendant les événements de réinitialisation de mot de passe en libre-service (SSPR) ou d’authentification multifacteur (MFA).
Microsoft Authenticator prend en charge la clé secrète, la connexion sans mot de passe et l’authentification multifacteur à l’aide de notifications et de codes de vérification.
- Les utilisateurs peuvent se connecter avec une clé secrète dans l’application Authenticator et effectuer l’authentification par hameçonnage avec leur code confidentiel de connexion biométrique ou d’appareil.
- Les utilisateurs peuvent configurer des notifications Authenticator et se connecter avec Authenticator au lieu de leur nom d’utilisateur et de leur mot de passe.
- Les utilisateurs peuvent recevoir une demande MFA sur leur appareil mobile et approuver ou refuser la tentative de connexion à partir de leur téléphone.
- Ils peuvent également utiliser un code de vérification OATH dans l’application Authenticator et l’entrer dans une interface de connexion.
Pour plus d’informations, consultez Activer la connexion sans mot de passe avec Microsoft Authenticator.
Remarque
Les utilisateurs n’ont pas la possibilité d’enregistrer leur application mobile lorsqu’ils activent la réinitialisation de mot de passe en libre-service. En revanche, les utilisateurs peuvent inscrire leur application mobile sur https://aka.ms/mfasetup ou dans le cadre de l’inscription d’informations de sécurité combinée sur https://aka.ms/setupsecurityinfo. L’application Authenticator peut ne pas être prise en charge sur les versions bêta d’iOS et d’Android. En outre, à compter du 20 octobre 2023, l’application Authenticator sur Android ne prend plus en charge les anciennes versions du Portail d’entreprise Android. Les utilisateurs Android avec les versions du portail d’entreprise inférieures à 2111 (5.0.5333.0) ne peuvent pas réinscrire ou inscrire de nouvelles instances de Microsoft Authenticator tant qu’ils ne mettent pas à jour leur application de portail d’entreprise vers une version plus récente.
Connexion avec une clé d’accès (préversion)
Authenticator est une solution de clé d’accès gratuite qui permet aux utilisateurs d’effectuer des authentifications résistantes au hameçonnage sans mot de passe à partir de leurs propres téléphones. Voici quelques avantages clés de l’utilisation de clés d’accès dans l’application Authenticator :
- Les clés d’accès peuvent être facilement déployées à grande échelle. Les clés d’accès sont alors disponibles sur le téléphone d’un utilisateur pour les scénarios de gestion des périphériques mobiles (GPM) et les scénarios BYOD (apportez votre propre appareil).
- Les clés d’accès dans Authenticator ne sont pas plus coûteuses et voyagent avec les utilisateurs où qu’ils aillent.
- Les clés d’accès dans Authenticator sont liées à l’appareil, ce qui garantit que la clé d’accès ne disparaisse pas de l’appareil sur lequel il a été créé.
- Les utilisateurs restent à jour avec la dernière innovation de clé d’accès basée sur les normes WebAuthn ouvertes.
- Les entreprises peuvent calquer d’autres fonctionnalités en plus des flux d’authentification tels que la conformité FIPS (Federal Information Processing Standards) 140.
Clé d’accès liée à l’appareil
Les clés d’accès dans l’application Authenticator sont liées à l’appareil pour s’assurer qu’elles ne quittent jamais l’appareil sur lequel elles ont été créées. Sur un appareil iOS, Authenticator utilise l’enclave sécurisée pour créer la clé d’accès. Sur Android, nous créons la clé d’accès dans l’élément sécurisé sur les appareils qui le prennent en charge, ou revenons à l’environnement d’exécution de confiance (TEE).
Fonctionnement de l’attestation de clé d’accès avec Authenticator
Lorsque l’attestation est activée dans la stratégie Passkey (FIDO2), Microsoft Entra ID tente de vérifier la légitimité du modèle de clé de sécurité ou du fournisseur de clé secrète où la clé secrète est créée. Lorsqu’un utilisateur inscrit une clé secrète dans Authenticator, l’attestation vérifie que l’application Microsoft Authenticator légitime a créé la clé secrète à l’aide des services Apple et Google. Voici des détails sur le fonctionnement de l’attestation pour chaque plateforme :
iOS : l’attestation d’authentificateur utilise le service d’attestation d’application iOS pour garantir la légitimité de l’application Authenticator avant d’inscrire la clé d’accès.
Android :
- Pour l’attestation d’intégrité de play, l’attestation Authenticator utilise l’API Intégrité play pour garantir la légitimité de l’application Authenticator avant d’inscrire la clé secrète.
- Pour l’attestation de clé, l’attestation Authenticator utilise l’attestation de clé par Android pour vérifier que la clé secrète inscrite est sauvegardée sur le matériel.
Remarque
Pour iOS et Android, l’attestation Authenticator s’appuie sur les services Apple et Google pour vérifier l’authenticité de l’application Authenticator. L’utilisation intensive du service peut faire échouer l’inscription de clé secrète et les utilisateurs peuvent avoir besoin de réessayer. Si les services Apple et Google sont arrêtés, l’attestation Authenticator bloque l’inscription qui nécessite une attestation jusqu’à ce que les services soient restaurés. Pour surveiller l’état du service d’intégrité Google Play, consultez le tableau de bord d’état Google Play. Pour surveiller l’état du service d’attestation d’application iOS, consultez État du système.
Pour plus d’informations sur la configuration de l’attestation, consultez Comment activer les clés secrètes dans Microsoft Authenticator pour Microsoft Entra ID.
Connexion sans mot de passe via des notifications
Au lieu d’obtenir une invite de mot de passe après avoir entré un nom d’utilisateur, les utilisateurs qui activent la connexion par téléphone dans l’application Authenticator voient s’afficher un message demandant d’entrer un nombre dans son application. Lorsque le nombre correct est sélectionné, le processus de connexion est terminé.
Cette méthode d’authentification offre un niveau élevé de sécurité et évite à l’utilisateur de fournir un mot de passe lors de la connexion.
Pour commencer à utiliser la connexion sans mot de passe, consultez Activer la connexion sans mot de passe avec Microsoft Authenticator.
MFA via des notifications via l’application mobile
L’application Authenticator peut aider à empêcher tout accès non autorisé aux comptes et à arrêter les transactions frauduleuses en envoyant une notification à votre smartphone ou tablette. Les utilisateurs voient la notification et, si elle est légitime, sélectionnent Vérifier. Sinon, ils peuvent sélectionner Refuser.
Note
À compter d’août 2023, les connexions anormales ne génèrent pas de notifications, de la même façon que les connexions à partir d’emplacements inconnus ne génèrent pas de notifications. Pour approuver une connexion anormale, les utilisateurs peuvent ouvrir Microsoft Authenticator ou Authenticator Lite dans une application complémentaire appropriée comme Outlook. Ensuite, ils peuvent extraire pour actualiser ou appuyer sur Actualiser, puis approuver la demande.
En Chine, la méthode Notification via une application mobile sur les appareils Android ne fonctionne pas car les services Google Play (y compris les notifications Push) sont bloqués dans la région. En revanche, les notifications iOS fonctionnent. Pour les appareils Android, d’autres méthodes d’authentification doivent être proposées à ces utilisateurs.
Code de vérification de l’application mobile
L’application Authenticator peut être utilisée comme jeton logiciel pour générer un code de vérification OATH. Après avoir saisi votre nom d’utilisateur et votre mot de passe, vous entrez le code fourni par l’application Authenticator dans l’interface de connexion. Le code de vérification fournit un deuxième formulaire d’authentification.
Note
Les codes de vérification OATH générés par Authenticator ne sont pas pris en charge pour l’authentification basée sur les certificats.
Les utilisateurs peuvent combiner jusqu’à cinq jetons matériels OATH ou applications d’authentification, comme l’application Authenticator, configurées pour une utilisation à tout moment.
Conforme à FIPS 140 pour l’authentification Microsoft Entra
Conformément aux directives décrites dans la publication spéciale NIST 800-63B, les authentificateurs utilisés par les agences gouvernementales américaines doivent utiliser le chiffrement validé FIPS 140. Cette directive aide les agences gouvernementales américaines à répondre aux exigences de l’Ordre exécutif (EO) 14028. En outre, cette directive aide d’autres secteurs réglementés tels que les organismes de santé travaillant avec des prescriptions électroniques pour les substances contrôlées (EPCS) afin de répondre à leurs exigences réglementaires.
FIPS 140 est une norme gouvernementale américaine qui définit les exigences de sécurité minimales pour les modules cryptographiques dans les produits et systèmes des technologies de l’information. Le programme CMVP (Cryptographic Module Validation Program) gère les tests par rapport à la norme FIPS 140.
Microsoft Authenticator pour iOS
À compter de la version 6.6.8, Microsoft Authenticator pour iOS utilise le module Apple CoreCrypto natif pour le chiffrement validé FIPS sur les appareils Apple iOS conformes à la norme FIPS 140. Toutes les authentifications Microsoft Entra utilisant des clés d’accès liées à l’appareil et résistant à l’hameçonnage, les authentifications multifacteur (MFA) de type Push, les connexions par téléphone sans mot de passe (PSI) et les codes secrets à usage unique (TOTP) utilisent le chiffrement FIPS.
Pour plus d’informations sur les modules de chiffrement validés FIPS 140 utilisés et sur les appareils iOS conformes, consultez Certifications de sécurité Apple iOS.
Microsoft Authenticator pour Android
À compter de la version 6.2409.6094 sur Microsoft Authenticator pour Android, toutes les authentifications dans Microsoft Entra ID, y compris les clés secrètes, sont considérées comme conformes à FIPS. Authenticator utilise le module de chiffrement wolfSSL Inc. pour atteindre la conformité FIPS 140, niveau de sécurité 1 sur les appareils Android. Pour plus d’informations sur la certification, consultez le programme de validation de module de chiffrement.
Détermination du type d’inscription Microsoft Authenticator dans Informations de sécurité
Les utilisateurs peuvent accéder aux informations de sécurité (consultez les URL de la section suivante) ou en sélectionnant Informations de sécurité dans MyAccount pour gérer et ajouter d’autres inscriptions Microsoft Authenticator. Des icônes spécifiques sont utilisées pour déterminer si l’inscription Microsoft Authenticator est une connexion par téléphone sans mot de passe ou l’authentification multifacteur (MFA).
| Type d’inscription Authenticator | Icône |
|---|---|
| Microsoft Authenticator : connexion par téléphone sans mot de passe |  |
| Microsoft Authenticator : (Notification/Code) |  |
Liens SecurityInfo
| Cloud | URL des informations de sécurité |
|---|---|
| Commercial Azure (inclut Government Community Cloud (GCC)) | https://aka.ms/MySecurityInfo |
| Azure pour le gouvernement des États-Unis (y compris GCC High et DoD) | https://aka.ms/MySecurityInfo-us |
Mises à jour d’Authenticator
Microsoft met à jour en permanence Authenticator pour maintenir un niveau de sécurité élevé. Pour vous assurer que vos utilisateurs bénéficient de la meilleure expérience possible, nous vous recommandons de leur demander de mettre continuellement à jour leur application Authenticator. Dans le cas des mises à jour de sécurité critiques, les versions d’application qui ne sont pas à jour peuvent ne pas fonctionner et peuvent empêcher les utilisateurs d’effectuer leur authentification. Si un utilisateur utilise une version de l’application qui n’est pas prise en charge, il est invité à effectuer une mise à niveau vers la dernière version avant de continuer à se connecter.
Microsoft met régulièrement hors service les versions antérieures de l’application Authenticator pour maintenir une barre de sécurité élevée pour votre organisation. Si l’appareil d’un utilisateur ne prend pas en charge les versions modernes de Microsoft Authenticator, il ne peut pas se connecter avec l’application. Nous recommandons à ces utilisateurs de se connecter avec un code de vérification OATH dans Microsoft Authenticator pour terminer l’authentification multifacteur.
Étapes suivantes
Pour commencer à utiliser des clés secrètes, consultez Comment activer les clés secrètes dans Microsoft Authenticator pour l’ID Microsoft Entra.
Pour plus d’informations sur la connexion sans mot de passe, consultez Activer la connexion sans mot de passe avec Microsoft Authenticator.
Découvrez comment configurer les méthodes d’authentification à l’aide de l’API REST Microsoft Graph.