Introduction
Les passkeys représentent une avancée majeure dans le domaine de l'authentification sécurisée sans mot de passe. En intégrant cette technologie dans l'environnement Microsoft Entra, les professionnels IT peuvent offrir à leurs utilisateurs une méthode de connexion résistante au phishing, facile à configurer et conforme à la stratégie MFA.
Microsoft Entra prend en charge deux types principaux de passkeys : les Device Bound Passkeys et les Synced Passkeys. Tandis que les premières sont stockées localement sur l'appareil de l'utilisateur, les secondes synchronisent les clés privées via un service cloud. Comprendre leurs mécanismes et applications est essentiel pour tout administrateur.
Pourquoi les Passkeys sont l'avenir de l'authentification sans mot de passe
Les passkeys proposent une solution résistante au phishing grâce à leur liaison directe avec le domaine du service légitime. Contrairement aux mots de passe, elles ne peuvent ni être réutilisées ni volées. Voici leurs principaux avantages :
- Sécurité accrue : Les clés privées sont stockées dans des environnements sécurisés tels que TPM ou Secure Enclave.
- Authentification contextuelle : L'authentification repose sur un mix d'éléments : biométrie ou PIN pour déverrouiller l'appareil.
- Support standardisé : Elles utilisent les protocoles ouverts tels que WebAuthn pour garantir une compatibilité large.
Bon Ă savoir
Comprendre la satisfaction MFA avec les passkeys
Bien que les passkeys semblent être une méthode d'authentification unique, elles répondent aux critères MFA (authentification multi-facteurs) via les deux éléments suivants :
- Ce que vous possédez : L'appareil contenant la clé privée (ex : smartphone, laptop).
- Ce que vous êtes ou savez : La biométrie ou le PIN utilisé pour débloquer l'opération.
La sécurité des passkeys avec le protocole WebAuthn
Le protocole WebAuthn est au cœur du fonctionnement des passkeys. En quelques étapes simples, il garantit une authentification sécurisée :
Enregistrement de la passkey
Lors de la création, une paire de clés (privée/public) est générée. La clé privée est stockée localement ou synchronisée via un service cloud, tandis que la clé publique est associée au compte de l'utilisateur dans Entra ID.
Défi lors de la connexion
Entra envoie un challenge (nonce aléatoire) accompagné de l'ID du Relying Party.
Vérification locale
L'utilisateur déverrouille la clé privée via biométrie ou PIN. Pour les passkeys externes, une étape supplémentaire est requise : lecture via QR code ou connexion Bluetooth.
Signature et réponse
Le challenge signé est transmis à Entra pour vérification contre la clé publique associée. En cas de correspondance, un jeton d'accès est délivré.
1# Commande pour vérifier les profils passkeys2Get-AzureADPolicy | Where-Object {$_.PolicyType -eq "Passkey"}
Types de passkeys et leurs usages
Device Bound Passkeys
Les passkeys liées à l'appareil sont indépendantes et nécessitent une nouvelle création en cas de perte de l'appareil. Cela garantit une sécurité forte mais peut augmenter la complexité d'utilisation.
Synced Passkeys
Stockées dans un cloud, elles permettent une synchronisation entre plusieurs appareils. Voici des exemples de services :
- Apple Key Chain
- Android Password Manager
- 1Password Vault
Attention

Configuration des passkeys dans Microsoft Entra
Création et gestion des profils
Un administrateur peut configurer des profils pour prendre en charge une authentification par passkeys. Ces profils peuvent être adaptés à différents groupes d'utilisateurs.

Inscription utilisateur
Les utilisateurs peuvent enregistrer leurs passkeys via Mon Compte > Infos de sécurité. Voici les options disponibles :
- Utiliser un authentificateur externe (ex : Microsoft Authenticator)
- Créer une passkey synchronisée via un appareil mobile et le sauvegarder dans Key Chain.

Couverture FIDO2 pour Entra Kerberos
Un aspect remarquable d'Entra Kerberos est sa compatibilité avec les passkeys FIDO2. Cela permet aux appareils intégrés Entra de s'authentifier auprès de ressources on-premises à l'aide des passkeys stockées.
À venir : amélioration des passkeys
Microsoft prévoit d'étendre la prise en charge des passkeys à Windows Hello pour les appareils non gérés. Voici la configuration recommandée :
1# Exemple de configuration via PowerShell2Set-MsolUserAuthenticationPolicy -UserPrincipalName "user@example.com" -Policy "PasskeyPolicy"Glossaire des termes
- WebAuthn : Protocole standard permettant l'authentification sécurisée via des clés publiques.
- FIDO2 : Norme d'authentification sans mot de passe basée sur la biométrie et les passkeys.
- TPM : Enclave matérielle sécurisée utilisée pour stocker les clés privées.



