Microsoft Entra Passkeys : Enregistrement et Retards Explores

Introduction

Les Passkeys dans Microsoft Entra (basees sur FIDO2) representent une avancée majeure en matiere de securite, en offrant une authentification robuste et sans mot de passe. Pourtant, leur mise en disponibilite generale rencontre des retards lies principalement aux campagnes d'enregistrement. Dans cet article, nous detaillons les raisons de ces obstacles, les statuts de configuration disponibles et les strategies pratiques pour une adoption efficace.

Le statut 'Actif' (Enabled) et ses limitations

Quoique prevu pour une sortie en avril 2026, le statut 'Enabled' dans les campagnes d'enregistrement des Passkeys a ete suspendu par Microsoft. Voici les points cles expliquant ce retard :

• La logique sous-jacente ne gere pas correctement les cas limites, notamment pour les utilisateurs ayant des restrictions specifiques comme les AAGUID (Apparatus Authentication GUID).
• L'activation manuelle des campagnes dans ce statut 'Enabled' n'entraine pas actuellement le comportement attendu.
• Une mauvaise experience utilisateur a incite Microsoft à revoir ces implementations. Des mises à jour seront communiquees lorsque ce statut deviendra operationnel.

Le statut 'Microsoft-managed' (Gestion Microsoft)

A partir de mai 2026, les campagnes d'enregistrement des Passkeys sous le statut 'Microsoft-managed' seront déployées dans les tenants répondant aux critères suivants :

• Politique d’authentification FIDO2 activée dans votre tenant.
• Configuration autorisant l'auto-enregistrement par les utilisateurs.
• Aucune restriction d'AAGUID (la cible spécifique pour certains AAGUID ne doit pas être activée).
• Le statut de campagne configuré en 'Microsoft-managed'.
• Au moins un utilisateur activé pour les Passkeys synchronisées et liées au périphérique.

Impact du statut 'Microsoft-managed' sur les utilisateurs

Voici les changements principaux pour les tenants qualifiés :

• Les utilisateurs MFA-recepteurs seront progressivement invites a enregistrer des Passkeys.
• La periode de report sera reduite à une seule journee, avec possibilite de re-soumettre indefiniment.
• Tous les utilisateurs compatibles MFA qui repondent aux criteres recevront ces demandes.

Strategies pratiques pour l'adoption des Passkeys

Des alternatives efficaces existent pour faciliter la transition vers les Passkeys et augmenter leur adoption sans dépendre uniquement des campagnes d'enregistrement. Voici trois approches :

1. Utilisation de Passe temporaire (TAP)

Les Temporary Access Passes (TAPs) assurent une authentification temporaire forte. Ils simplifient :

• L’onboarding des utilisateurs.
• La récupération d'accès pour les scenarios post-perte ou reinitialisation de dispositif.

Etapes clefs :

1New-AzureADTemporaryAccessPass -UserPrincipalName "user@example.com"

2. Politiques d'accès conditionnel via Authentication Strengths

Imposez la securite au moment de l'accès en configurant une capacité MFA résistante au phishing via une politique d'accès conditionnel.

Exemple de politique :

1# Creation de politique MFA forte resistante
2New-AzureADConditionalAccessPolicy -Name "PhishingResistantMFA" -AuthenticationStrength "Phishing-resistant MFA"

3. Communications directes aux utilisateurs

Facilitez l'adoption en envoyant des communications ciblées :

• Documents internes expliquant les avantages et instructions.
• Guides pratiques inclus dans les kits pour les FIDO2 physiques.
• Liens directs vers la page d’inscription des Passkeys.

Conclusion

Bien que le statut 'Enabled' rencontre des retards, le statut 'Microsoft-managed' permet des ajustements automatiques des campagnes de Passkeys pour les tenants qualifies. Adoptez des solutions proactives telles que les TAPs, les politiques d’accès conditionnel et les communications ciblées pour debuter la transition.

Pour aller plus loin, n’hésitez pas à consulter nos autres articles sur les strategies d'authentification MFA dans Microsoft 365.