Introduction
Microsoft continue de renforcer l'authentification sans mot de passe à grande échelle avec la présentation des Microsoft Entra Passkeys. À partir de mars 2026, cette mise à jour permettra aux utilisateurs d'utiliser le conteneur Windows Hello pour une authentification résistante au phishing sur les ressources protégées par Entra, incluant même les appareils personnels et non gérés.
[IMAGE:index:url:alt]
Amélioration de la sécurité avec Windows Hello
Avec cette mise à jour, les passkeys liées aux appareils sont intégrées dans le conteneur Windows Hello. Cela permet aux utilisateurs de s'authentifier à l'aide de méthodes biométriques telles que la reconnaissance faciale, l'empreinte digitale ou des codes PIN sécurisés.
Bon à savoir
Fonctionnalités principales des Entra Passkeys
- Sécurité liée à l'appareil : Les passkeys sont stockées localement et ne se synchronisent pas entre les appareils.
- Prise en charge multi-comptes : Possibilité de connecter plusieurs comptes Entra sur un même appareil Windows.
- Complément à Windows Hello for Business : Tout en restant recommandé pour les dispositifs gérés, les passkeys ajoutent une sécurité supplémentaire pour les scénarios non gérés.
- Coexistence avec WHfB : Une passkey ne peut pas être enregistrée sur un appareil si des identifiants WHfB existent pour le même compte, sauf en cas de dépassement de 50 identifiants parmi FIDO2, WHfB, et Mac Platform Credentials.
Activer les Entra Passkeys dans votre tenant
Cette fonctionnalité étant disponible en avant-première publique, elle nécessite une configuration manuelle à partir du Centre d'administration Microsoft Entra.
Activer l'authentification FIDO2
Vérifiez que la méthode Passkey (FIDO2) est activée dans vos politiques d'authentification.
Configurer les AAGUIDs
Ajoutez explicitement les AAGUIDs suivants à votre liste autorisée :
1# Identifiants AAGUID de Windows Hello208987058-cadc-4b81-b6e1-30de50dcbe9639ddd1817-af5a-4672-a2b9-3e3dd95000a946028b017-b1d4-4c02-b4b3-afcdafc96bb2Examiner les politiques d'accès conditionnel
Assurez-vous que vos politiques de niveau de sécurité requises prennent en charge l'authentification par passkey.
Configuration détaillée des Passkeys dans Microsoft Entra
- Connectez-vous au Centre d'administration Microsoft Entra, naviguez vers Méthodes d'authentification, puis sélectionnez Politiques.
- Activez Passkey (FIDO2) : Ajoutez la méthode et ciblez les groupes de votre choix.
- Sous l'onglet Configurer, ajoutez un profil et définissez les paramètres suivants :
- Enforcer l'attestation : Non
- Types cibles : Liés à l'appareil
- Comportement : Autoriser
- Ajoutez les AAGUIDs.
- Sous Activer et cible, assignez cette nouvelle configuration aux utilisateurs ciblés.
Astuce
Liens utiles
- Documentation officielle Microsoft Entra
- Présentation des méthodes d'authentification
- Sécurité Windows Hello
Glossaire
- Passkey : Identifiant sans mot de passe basé sur FIDO2, lié à l'appareil.
- Windows Hello : Technologie Windows pour authentification biométrique ou PIN.
- WHfB (Windows Hello for Business) : Version entreprise de Windows Hello pour les appareils gérés.
- AAGUID : Identificateur unique pour un type spécifique d'authentificateur matériel ou logiciel.