Entra Passkeys : Guide approfondi pour les professionnels

Introduction

Les passkeys représentent une avancée majeure dans le domaine de l'authentification sécurisée sans mot de passe. En intégrant cette technologie dans l'environnement Microsoft Entra, les professionnels IT peuvent offrir à leurs utilisateurs une méthode de connexion résistante au phishing, facile à configurer et conforme à la stratégie MFA.

Microsoft Entra prend en charge deux types principaux de passkeys : les Device Bound Passkeys et les Synced Passkeys. Tandis que les premières sont stockées localement sur l'appareil de l'utilisateur, les secondes synchronisent les clés privées via un service cloud. Comprendre leurs mécanismes et applications est essentiel pour tout administrateur.

Pourquoi les Passkeys sont l'avenir de l'authentification sans mot de passe

Les passkeys proposent une solution résistante au phishing grâce à leur liaison directe avec le domaine du service légitime. Contrairement aux mots de passe, elles ne peuvent ni être réutilisées ni volées. Voici leurs principaux avantages :

Sécurité accrue : Les clés privées sont stockées dans des environnements sécurisés tels que TPM ou Secure Enclave.
Authentification contextuelle : L'authentification repose sur un mix d'éléments : biométrie ou PIN pour déverrouiller l'appareil.
Support standardisé : Elles utilisent les protocoles ouverts tels que WebAuthn pour garantir une compatibilité large.

Bon à savoir

Microsoft Entra supporte actuellement les passkeys liées à l'appareil (Device Bound) en GA et les passkeys synchronisées (Synced Passkeys) en version Public Preview.

Comprendre la satisfaction MFA avec les passkeys

Bien que les passkeys semblent être une méthode d'authentification unique, elles répondent aux critères MFA (authentification multi-facteurs) via les deux éléments suivants :

Ce que vous possédez : L'appareil contenant la clé privée (ex : smartphone, laptop).
Ce que vous êtes ou savez : La biométrie ou le PIN utilisé pour débloquer l'opération.

La sécurité des passkeys avec le protocole WebAuthn

Le protocole WebAuthn est au cœur du fonctionnement des passkeys. En quelques étapes simples, il garantit une authentification sécurisée :

Enregistrement de la passkey

Lors de la création, une paire de clés (privée/public) est générée. La clé privée est stockée localement ou synchronisée via un service cloud, tandis que la clé publique est associée au compte de l'utilisateur dans Entra ID.

Défi lors de la connexion

Entra envoie un challenge (nonce aléatoire) accompagné de l'ID du Relying Party.

Vérification locale

L'utilisateur déverrouille la clé privée via biométrie ou PIN. Pour les passkeys externes, une étape supplémentaire est requise : lecture via QR code ou connexion Bluetooth.

Signature et réponse

Le challenge signé est transmis à Entra pour vérification contre la clé publique associée. En cas de correspondance, un jeton d'accès est délivré.

⚡PowerShell

1# Commande pour vérifier les profils passkeys
2Get-AzureADPolicy | Where-Object {$_.PolicyType -eq "Passkey"}

Passkey liée à l'appareil

Types de passkeys et leurs usages

Device Bound Passkeys

Les passkeys liées à l'appareil sont indépendantes et nécessitent une nouvelle création en cas de perte de l'appareil. Cela garantit une sécurité forte mais peut augmenter la complexité d'utilisation.

Synced Passkeys

Stockées dans un cloud, elles permettent une synchronisation entre plusieurs appareils. Voici des exemples de services :

Apple Key Chain
Android Password Manager
1Password Vault

Attention

Vérifiez que les paramètres d'AutoFill sont activés sur les appareils Apple avant de créer une passkey.

Activation d'AutoFill sur Apple

Configuration des passkeys dans Microsoft Entra

Création et gestion des profils

Un administrateur peut configurer des profils pour prendre en charge une authentification par passkeys. Ces profils peuvent être adaptés à différents groupes d'utilisateurs.

Exemple de profil par défaut

Inscription utilisateur

Les utilisateurs peuvent enregistrer leurs passkeys via Mon Compte > Infos de sécurité. Voici les options disponibles :

Utiliser un authentificateur externe (ex : Microsoft Authenticator)
Créer une passkey synchronisée via un appareil mobile et le sauvegarder dans Key Chain.

Panneau d'enregistrement utilisateur

Couverture FIDO2 pour Entra Kerberos

Un aspect remarquable d'Entra Kerberos est sa compatibilité avec les passkeys FIDO2. Cela permet aux appareils intégrés Entra de s'authentifier auprès de ressources on-premises à l'aide des passkeys stockées.

À venir : amélioration des passkeys

Microsoft prévoit d'étendre la prise en charge des passkeys à Windows Hello pour les appareils non gérés. Voici la configuration recommandée :