Configurez l'authentification sans mot de passe sur votre compte Microsoft.

La Authentification sans mot de passe pour les comptes Microsoft Ce n'est plus une technologie futuriste ni réservée aux environnements de pointe. Aujourd'hui, chacun peut se connecter à Microsoft 365, Entra ID (anciennement Azure AD) ou à son compte Microsoft personnel à l'aide de son téléphone mobile, de la biométrie ou de clés de sécurité, sans saisir un seul mot de passe. Outre le confort accru, c'est une mesure essentielle pour lutter contre le vol d'identifiants et les attaques de phishing.

Dans cet article, nous examinerons en détail, Comment fonctionne la connexion sans mot de passe avec Microsoft Authenticator et PasskeysNous aborderons les prérequis de votre organisation pour la mise en œuvre, la procédure d'activation en tant qu'administrateur dans Microsoft Entra ID, les actions possibles pour les utilisateurs finaux, ainsi que les limitations et problèmes connus. Nous verrons également pourquoi Microsoft insiste autant sur l'abandon du mot de passe traditionnel et comment cela s'intègre dans une stratégie de sécurité Zero Trust.

Pourquoi Microsoft veut supprimer les mots de passe

Les mots de passe sont devenus les principal vecteur d'attaque dans les environnements professionnels et personnelsElles sont réutilisées, divulguées lors de fuites de données, devinées, volées par hameçonnage ou logiciels malveillants, et à la moindre occasion, un attaquant obtient un accès complet aux comptes de messagerie, aux documents et aux applications critiques.

Les modèles de sécurité classiques basés sur « Nom d'utilisateur + mot de passe » plus un deuxième facteur de base (Par exemple, un SMS) est mieux qu'un simple mot de passe, mais il présente encore de nombreuses faiblesses : les SMS peuvent être interceptés, les utilisateurs tombent encore dans le piège des sites web d'hameçonnage et le vol d'identifiants à grande échelle persiste.

Pour réduire tous ces risques, Microsoft recommande de passer à Méthodes d'authentification sans mot de passe résistantes à l'usurpation d'identitéCes méthodes reposent sur des identifiants liés à un appareil physique (téléphone portable, ordinateur portable, clé, etc.) et nécessitent quelque chose que vous possédez (l'appareil) et quelque chose que vous connaissez ou êtes (code PIN, empreinte digitale, visage), assurant ainsi une authentification multifacteur intégrée, sans obliger l'utilisateur à se souvenir de quoi que ce soit.

De plus, les connexions utilisant des clés d'accès ou des identifiants FIDO2 sont beaucoup plus rapides. Selon des données internes de Microsoft, L'authentification par mot de passe peut prendre environ 24 secondes.Alors qu'une clé d'accès classique est validée en environ 8 secondes, et même moins (environ 3 secondes) s'il s'agit d'une clé d'accès synchronisée dans des gestionnaires tels que Google Password Manager ou iCloud Keychain.

Cette combinaison de Plus de sécurité et moins de frottements Pour l'utilisateur final, c'est la raison pour laquelle Microsoft promeut si activement sa plateforme sans mot de passe dans Microsoft Sign In ID et dans l'ensemble de l'écosystème Microsoft 365 et Windows.

Options d'authentification sans mot de passe dans Microsoft Sign In ID

Microsoft Entra ID propose plusieurs façons de Se connecter sans saisir de mot de passeConçue pour les appareils personnels et professionnels, et pour différents types d'utilisateurs et de scénarios, elle comprend actuellement les principales catégories suivantes :

Il y a tout d'abord les clés d'accès (FIDO2 / clés d'accès)Il s'agit d'identifiants basés sur la norme FIDO2 et stockés sur un appareil (par exemple, une clé de sécurité ou une clé d'accès à une plateforme). Ces clés peuvent être synchronisées via des gestionnaires comme Google Password Manager ou iCloud, ou être des clés physiques telles que YubiKey et autres dispositifs similaires.

Deuxièmement, Microsoft inclut Windows Hello pour les entreprisesCette technologie crée une authentification liée à l'ordinateur Windows, protégée par un code PIN ou par des données biométriques (empreinte digitale ou reconnaissance faciale). Elle permet de se connecter sans mot de passe au bureau Windows lorsque l'appareil est associé à un compte Microsoft ou correctement géré.

Une autre option est la Clés de connexion Microsoft. Se connecter à Windows. (dans une version préliminaire) et le Identifiants de plateforme pour macOS (Également disponible en préversion). Ces deux fonctionnalités permettent au système d'exploitation de gérer les identifiants sans mot de passe directement intégrés à Entra ID, simplifiant ainsi la connexion sécurisée dans les environnements modernes.

Dans le monde du mobile, les éléments suivants se distinguent : clés d'accès dans l'application Microsoft AuthenticatorC’est là qu’intervient la connexion téléphonique sans mot de passe : l’utilisateur approuve une notification dans l’application, saisit le numéro affiché à l’écran et confirme avec un code PIN ou les données biométriques de l’appareil, sans avoir à saisir le mot de passe du compte.

Enfin, Microsoft continue de prendre en charge cartes à puce et authentification par certificatqui peuvent être considérés comme des identifiants sans mot de passe dans de nombreux environnements professionnels et qui résistent également bien aux tentatives d'hameçonnage lorsqu'ils sont correctement mis en œuvre.

Comment fonctionne Microsoft Authenticator pour se connecter sans mot de passe

Application Authentificateur Microsoft Il s'agit d'un élément clé de la stratégie sans mot de passe de Microsoft. Disponible pour iOS et Android, il prend en charge à la fois l'authentification multifacteur classique (MFA avec notifications push ou codes) et l'authentification multifacteurs. Connexion par téléphone sans mot de passe.

Derrière l'authentificateur se cache un authentification par cléEn résumé, une authentification est générée pour l'utilisateur et associée à un appareil spécifique. Pour utiliser cette authentification, l'appareil requiert un facteur d'authentification local, tel qu'un code PIN, une empreinte digitale ou la reconnaissance faciale. Windows Hello Entreprise utilise une technologie très similaire, mais elle est axée sur l'ordinateur Windows lui-même.

Le flux d'utilisation typique de connexion par téléphone C'est très simple. Sur l'écran de connexion Microsoft 365 ou dans toute application intégrant Entra ID, l'utilisateur saisit uniquement son nom d'utilisateur (adresse e-mail professionnelle ou scolaire). Ensuite, au lieu de saisir son mot de passe, il sélectionne l'option permettant d'approuver une demande dans l'application Authenticator.

À ce moment-là, un numéro sur l'écran de connexionL'appareil mobile affiche une notification d'authentification demandant une confirmation d'accès. L'utilisateur doit sélectionner le compte approprié et saisir dans l'application le numéro affiché sur le site web. Cette vérification croisée empêche toute approbation accidentelle d'une notification qui ne lui est pas destinée.

Une fois le numéro saisi, l'appareil vous demandera Code PIN ou biométrie Afin de vérifier que la personne qui approuve l'accès est bien le propriétaire de l'appareil mobile, la connexion est validée et l'accès au compte est accordé sans que le mot de passe ait été saisi.

Un détail important est que Plusieurs comptes d'identification Microsoft peuvent être configurés. Dans la même application Authenticator, activez la connexion téléphonique sans mot de passe pour tous les comptes, à condition que l'appareil soit enregistré auprès du locataire correspondant. Cependant, les comptes invités ne sont pas pris en charge pour le modèle multi-comptes sur un même appareil.

Prérequis pour l'utilisation de la connexion téléphonique sans mot de passe

Avant de vous précipiter pour activer la connexion sans mot de passe pour tout le monde, vous devez vous assurer que certaines conditions sont remplies. exigences techniques et organisationnelles minimalesMicrosoft recommande de prendre en compte ces points afin d'éviter tout problème ultérieur.

D'une part, il est fortement conseillé d'avoir Microsoft introduit l'authentification multifacteurs (MFA) Configurée au sein de l'organisation, cette fonctionnalité permet l'utilisation des notifications push comme méthode de vérification. Ces notifications contribuent à bloquer les accès non autorisés et les transactions frauduleuses. L'application Authenticator génère également automatiquement des codes afin de fournir une solution de secours en cas de perte de connexion de l'appareil.

De plus, il est obligatoire que L'appareil sur lequel l'authentificateur sera utilisé doit être enregistré auprès de chaque locataire Entra ID. Vous devez activer la connexion par téléphone. Par exemple, si une personne utilise des comptes comme balas@contoso.com et balas@wingtiptoys.com, son téléphone portable doit être enregistré auprès des deux fournisseurs (Contoso et Wingtip Toys) pour permettre un accès sans mot de passe avec ces identités.

Pour la partie administrative, il est préférable d'activer l'appel au préalable. expérience d'inscription combinée Dans l'identifiant de connexion Microsoft. Cette expérience unifie l'enregistrement des méthodes de sécurité (authentification multifacteur, réinitialisation du mot de passe, etc.) et simplifie l'intégration d'Authenticator comme méthode sans mot de passe.

Du point de vue des licences, le simple fait de Inscrivez-vous et connectez-vous sans mot de passe. Aucune licence spécifique n'est requise. Toutefois, Microsoft recommande de disposer au minimum d'une licence Microsoft Entra ID P1 pour exploiter pleinement toutes les fonctionnalités : accès conditionnel pour garantir la sécurité des identifiants face au phishing, rapports d'utilisation des méthodes d'authentification, etc.

Enfin, il est essentiel d'identifier les équipes de travail qui participeront au projetGestion des identités et des accès, architecture de sécurité, opérations de sécurité, équipe d'audit, support technique et communication avec les utilisateurs finaux : si ces groupes ne sont pas coordonnés, la mise en œuvre risque d'être incomplète ou de générer un nombre excessif d'incidents.

Comment activer Microsoft Authenticator sans mot de passe en tant qu'administrateur

Depuis la console de gestion Microsoft Entra ID, les administrateurs ont la possibilité de définir les méthodes d'authentification autorisées pour l'organisation. C'est ici que Microsoft Authenticator est activé pour l'authentification multifacteur traditionnelle et le mode sans mot de passe.

Le point de départ est d'accéder à Centre d'administration Microsoft Connexion Vous devez disposer d'un compte possédant au minimum le rôle d'administrateur de la stratégie d'authentification. Une fois connecté, accédez à la section « Identifiant de connexion », puis à « Méthodes et stratégies d'authentification », où sont gérées les règles d'utilisation de chaque méthode.

Dans la configuration de la méthode, vous pouvez Activer Microsoft Authenticator et décider d'autoriser ou non l'authentification multifacteur classique (notification push pour confirmation du mot de passe) et/ou la connexion téléphonique sans mot de passe. Chaque groupe d'utilisateurs peut être configuré pour utiliser l'un ou l'autre mode, ou pour le restreindre en fonction des besoins de sécurité.

Par défaut, les groupes sont généralement configurés pour utiliser « n'importe comment » avec AuthenticatorCela signifie que vos membres peuvent se connecter soit en approuvant une notification push standard, soit en utilisant la connexion téléphonique sans mot de passe, s'ils l'ont enregistrée avec succès dans votre application.

Une question très courante chez les administrateurs est de savoir si c'est possible L'utilisation sans mot de passe est absolument obligatoire.Cela empêche l'utilisateur de se réauthentifier avec son mot de passe, même après avoir tout configuré. En réalité, bien qu'il soit possible de promouvoir fortement un modèle sans mot de passe grâce à des stratégies d'accès conditionnel et des restrictions sur les méthodes autorisées, Microsoft conserve la possibilité d'utiliser un mot de passe dans certains cas, notamment pour la récupération ou la compatibilité avec certaines applications anciennes.

Néanmoins, en utilisant la combinaison de politique relative aux méthodes d'authentification et à l'accès conditionnelOn peut alors se rapprocher d'un scénario où les nouveaux utilisateurs, après s'être inscrits auprès d'Authenticator et avoir effectué leur première connexion, utilisent presque toujours leur téléphone ou d'autres méthodes sans mot de passe, réduisant ainsi l'utilisation des mots de passe à des circonstances exceptionnelles.

Inscription de l'utilisateur dans l'application Authenticator

Une fois Microsoft Authenticator activé comme méthode d'authentification au sein de l'organisation, il est temps de s'attaquer au problème suivant : inscription de l'utilisateur finalce qui peut se faire de deux manières principales : soit par une inscription guidée depuis la page Informations de sécurité, soit en utilisant un laissez-passer d’accès temporaire fourni par l’administrateur.

Dans le cadre de l'inscription guidée standard, l'utilisateur accède à la page via un navigateur. Informations de sécurité de votre compteConnectez-vous avec vos identifiants actuels et sélectionnez l'option « Ajouter une méthode ». Choisissez ensuite « Application d'authentification » et suivez les instructions pour l'installer sur votre appareil et lier votre compte à l'aide d'un code QR ou d'une procédure similaire.

Une fois ce processus terminé, Authenticator est enregistré au moins comme Méthode MFADans la section Informations de sécurité du compte, une méthode de type Microsoft Authenticator apparaîtra, qui peut être « aucun mot de passe » ou « insertion MFA » selon ce qui est autorisé et enregistré.

Si l'organisation souhaite que l'utilisateur n'ait même pas à utiliser de mot de passe au début, elle peut opter pour la Inscription directe avec laissez-passer d'accès temporaireDans ce cas, l'administrateur génère d'abord un laissez-passer d'accès temporaire (TAP) pour l'utilisateur, qui sert d'identifiant temporaire sécurisé pour la configuration initiale.

Grâce à ce laissez-passer d'accès temporaire, l'utilisateur installe Microsoft Authenticator sur son appareil mobile, ouvre l'application, sélectionne « Ajouter un compte », choisit un compte professionnel ou scolaire et s'authentifie par simple pression sur un bouton, sans mot de passe. Il suit ensuite les instructions de l'application pour activer la connexion téléphonique sans mot de passe.

Dans les environnements où le réinitialisation de mot de passe en libre-serviceLe TAP peut également être utilisé pour permettre à l'utilisateur d'enregistrer Authenticator comme méthode de connexion sans jamais avoir besoin de connaître ni d'utiliser un mot de passe traditionnel, renforçant ainsi l'approche totalement sans mot de passe dès le premier jour.

Activer la connexion par téléphone dans l'application Authenticator

L’enregistrement de l’application ne suffit pas : l’utilisateur doit Activer explicitement la connexion téléphonique sans mot de passe pour chaque compte que vous souhaitez utiliser de cette manière. Cette étape passe souvent inaperçue, mais elle est essentielle.

Pour l'activer, l'utilisateur ouvre l'application Microsoft Authenticator sur son appareil mobile et sélectionne compte professionnel ou éducatif enregistré précédemmentParmi les options disponibles, vous verrez quelque chose comme « Configurer les demandes de connexion sans mot de passe » ou « Activer la connexion par téléphone ».

En sélectionnant cette option, l'application lance un bref processus de configuration qui peut nécessiter confirmer l'identité de l'utilisateur Cela implique de se connecter via un navigateur, d'approuver une notification ou de valider des informations supplémentaires. Une fois ces étapes terminées, le compte est autorisé à se connecter sans mot de passe depuis un téléphone.

À partir de ce moment, lorsque l'utilisateur tentera de se connecter à Microsoft 365, à Entra ID ou à toute application intégrée, après avoir saisi son nom d'utilisateur, il pourra choisir l'option permettant de « Approuver une demande dans mon application Authenticator »Le site web affichera un numéro, et l'application demandera à l'utilisateur de sélectionner ce numéro et de confirmer avec un code PIN ou par biométrie.

Une fois que l'utilisateur a commencé à se connecter de cette manière, le système généralement maintenir cette méthode comme préféréeL'option permettant d'approuver la demande par téléphone est toujours affichée, même s'il reste possible de choisir une autre méthode alternative si nécessaire.

Pour les organisations qui souhaitent accompagner activement leurs utilisateurs, une documentation interne peut être fournie indiquant qu'après l'enregistrement d'Authenticator, ils doivent accéder à l'application et activer expressément la connexion téléphoniqueafin que leurs obligations soient clairement définies et que le nombre d'incidents nécessitant une assistance soit réduit.

Expérience de connexion sans mot de passe pour l'utilisateur

Une fois tous les éléments configurés (locataire activé, authentificateur enregistré et connexion par téléphone activée), l'expérience utilisateur change radicalement. Au lieu de s'appuyer sur un mot de passe, l'utilisateur utilise presque toujours son identifiant et sa clé USB. appareils mobiles et biométrie.

Dans une première tentative typique, la personne écrit son nom d'utilisateur dans le panneau de connexion Depuis Microsoft 365 ou l'application concernée, appuyez sur Suivant. Si l'option n'apparaît pas par défaut, appuyez sur Autres méthodes de connexion pour sélectionner « Approuver une demande dans mon application Authenticator ».

L'écran affichera un Nombre aléatoirePresque simultanément, l'appareil mobile de l'utilisateur recevra une notification d'Authenticator l'informant d'une tentative de connexion. En ouvrant la notification, l'application invitera l'utilisateur à sélectionner le numéro correct affiché sur son ordinateur ou son navigateur, contribuant ainsi à prévenir les approbations à l'aveugle ou frauduleuses.

Dans la dernière étape, le système demandera à l'utilisateur de Déverrouillez votre appareil avec votre code PIN, votre empreinte digitale ou votre visage.Cette combinaison d'un élément que vous possédez (le téléphone portable) et d'un élément que vous êtes ou que vous connaissez (code PIN ou données biométriques) permet une authentification robuste par MFA, sans dépendre de codes envoyés par SMS ou par e-mail, qui sont plus vulnérables.

Après plusieurs tentatives de connexion avec cette méthode, la plupart des utilisateurs finissent par… oublier son mot de passe quotidiennementcar le flux de travail de l'authentificateur devient leur moyen naturel de se connecter à Office, Teams, OneDrive ou à toute autre application liée à l'organisation.

Si une autre méthode s'avère nécessaire pour une raison quelconque (par exemple, si le téléphone portable a été perdu ou si sa batterie est déchargée), il est toujours possible de recourir à autres facteurs d'authentification Si l’administrateur les a autorisés : clés d’accès, clés de sécurité FIDO2, Windows Hello, cartes à puce ou autres mécanismes configurés.

Gestion, contrôle et équipes impliquées dans le projet sans mot de passe

La méthode la plus recommandée pour gérer Microsoft Authenticator et les différentes méthodes d'authentification consiste à utiliser Stratégie de connexion aux méthodes d'authentification MicrosoftÀ partir de là, les administrateurs peuvent activer ou désactiver l'authentificateur, ainsi qu'inclure ou exclure des utilisateurs et des groupes spécifiques.

Dans cette directive, des paramètres peuvent être définis pour fournir davantage d'informations. contexte des demandes de connexionPar exemple, en ajoutant la localisation approximative ou le nom de l'application demandant l'accès, afin que l'utilisateur dispose de plus d'informations avant d'appuyer sur Approuver ou Refuser sur son appareil mobile.

D'un point de vue organisationnel, il est essentiel que l'équipe de Gestion des identités et des accès (IAM) La configuration quotidienne est assurée par l'équipe d'architecture de sécurité, qui conçoit également la stratégie sans mot de passe dans le cadre de sécurité global. L'équipe des opérations de sécurité, quant à elle, surveille les événements d'authentification, analyse les menaces potentielles et met en œuvre des mesures correctives en cas d'anomalies.

L'équipe Sécurité et Audit est responsable de vérifier la conformité aux réglementations internes et externesCela implique de revoir régulièrement les processus d'authentification, d'évaluer les risques et de proposer des améliorations. Ce travail est complété par l'assistance technique, qui accompagne les utilisateurs finaux dans leurs premiers pas avec l'authentification sans mot de passe et résout les problèmes spécifiques.

Enfin, la zone de communications avec l'utilisateur final Elle joue un rôle fondamental. Un changement aussi important que l'abandon des mots de passe exige une communication claire : ce qui va changer, ce que l'utilisateur doit faire, pourquoi c'est plus sûr et que faire en cas de perte de téléphone ou de changement d'appareil.

Parallèlement, l'intégration des applications avec Microsoft Entra ID est un autre aspect essentiel. Plus le nombre d'applications (SaaS, applications métier, applications déployées sur site, etc.) intégrées à Entra ID est élevé, plus les résultats obtenus sont importants. Tirer parti de l'authentification sans mot de passe et appliquer l'accès conditionnel exiger des méthodes de résistance au phishing de manière uniforme.

Problèmes et limitations connus de l'authentification sans mot de passe

Bien que le modèle sans mot de passe soit très robuste, Microsoft documente plusieurs Problèmes et restrictions connus Il convient de garder cela à l'esprit afin d'éviter les surprises lors de la mise en œuvre ou du support.

L'un des cas les plus fréquents est celui où un utilisateur L'option permettant de se connecter par téléphone sans mot de passe n'est pas disponible. Sur l'écran d'authentification, même si Authenticator est configuré, il arrive que l'utilisateur ne puisse pas se connecter. Cela peut être dû à une vérification en cours dans Authenticator ; si l'utilisateur tente de se connecter à nouveau alors que cette demande reste sans réponse, le système peut n'afficher que l'option permettant de saisir le mot de passe.

La solution dans ce cas est simple : l'utilisateur doit Ouvrez l'application Microsoft Authenticator Sur votre appareil mobile, répondez (approuvez ou refusez) aux notifications en attente. Une fois ces demandes traitées, l'option « téléphone sans mot de passe » réapparaîtra normalement lors de vos prochaines tentatives de connexion.

Une autre limitation importante est que l'ancien Directive AuthenticatorAppSignInPolicy Cette méthode est obsolète et n'est plus prise en charge pour la gestion d'Authenticator. Pour autoriser les notifications push ou la connexion téléphonique sans mot de passe, vous devez impérativement utiliser la stratégie « Méthodes d'authentification », gérée et mise à jour par Microsoft.

Dans les environnements avec des comptes fédérés ou hybrides (par exemple, avec Active Directory Federation Services, AD FS), lorsqu'un utilisateur active une authentification sans mot de passe, le processus de connexion Microsoft entre en jeu. Cessez d'utiliser le paramètre login_hintCela signifie que le flux ne force plus automatiquement l'utilisateur à se connecter via un point d'authentification fédéré, comme c'était le cas auparavant.

Ce comportement empêche généralement un utilisateur de Le locataire hybride sera redirigé vers AD FS pour valider ses informations d'identification.Entra ID privilégie l'authentification directe sans mot de passe. Toutefois, l'option manuelle « Utiliser un mot de passe » reste généralement disponible si la configuration le permet.

Dans le cas des utilisateurs gérés par un fournisseur d'identité local Cependant, même avec l'authentification multifacteur activée, ces utilisateurs ne pourront créer et utiliser qu'un seul identifiant de connexion téléphonique sans mot de passe. S'ils tentent de mettre à jour un trop grand nombre d'installations d'Authenticator (par exemple, sur plus de cinq appareils différents) avec le même identifiant, des erreurs peuvent survenir lors de l'enregistrement de nouvelles instances.

Comme pour tout projet de sécurité, ces limitations n'empêchent pas l'adoption du modèle sans mot de passe, mais elles exigent… bien planifier l'architecture des identitésnotamment dans les très grandes organisations hybrides ou celles ayant des besoins particuliers en matière de fédération et d'authentification locale.

En définitive, l'authentification sans mot de passe dans Microsoft Entra ID, notamment grâce à Microsoft Authenticator et aux clés d'accès, permet aux organisations de réduire considérablement les risques liés aux mots de passe faibles ou volés, tout en simplifiant et en accélérant la connexion pour les utilisateurs. En combinant des politiques d'authentification efficaces, un contrôle d'accès conditionnel et une bonne communication interne, le mot de passe perd de son importance et les solutions mobiles, biométriques et les clés de sécurité deviennent les piliers d'une identité plus sûre et moins vulnérable à l'usurpation d'identité.