Options d’authentification sans mot de passe pour Azure Active DirectoryPasswordless authentication options for Azure Active Directory

L’authentification multifacteur (MFA) est un excellent moyen de sécuriser votre organisation, mais les utilisateurs sont souvent déçus de la couche de sécurité supplémentaire en plus de devoir se rappeler leurs mots de passe.Multi-factor authentication (MFA) is a great way to secure your organization, but users often get frustrated with the additional security layer on top of having to remember their passwords. Les méthodes d’authentification sans mot de passe sont plus pratiques, car le mot de passe est supprimé et remplacé par quelque chose que vous avez, en plus de quelque chose que vous êtes ou que vous savez.Passwordless authentication methods are more convenient because the password is removed and replaced with something you have, plus something you are or something you know.

AuthentificationAuthentication Quelque chose que vous avezSomething you have Quelque chose que vous êtes ou savezSomething you are or know
Sans mot de passePasswordless Appareil Windows 10, téléphone ou clé de sécuritéWindows 10 Device, phone, or security key Biométrie ou code confidentielBiometric or PIN

Chaque organisation a des besoins différents en matière d’authentification.Each organization has different needs when it comes to authentication. Microsoft propose les trois options d’authentification sans mot de passe suivantes qui s’intègrent à Azure Active Directory (Azure AD) :Microsoft offers the following three passwordless authentication options that integrate with Azure Active Directory (Azure AD):

  • Windows Hello EntrepriseWindows Hello for Business
  • Application Microsoft AuthenticatorMicrosoft Authenticator app
  • Clés de sécurité FIDO2FIDO2 security keys

Authentification : Sécurité et commodité

Windows Hello EntrepriseWindows Hello for Business

Windows Hello Entreprise est idéal pour les professionnels de l’information qui disposent de leur propre PC Windows.Windows Hello for Business is ideal for information workers who have their own designated Windows PC. Les données biométriques et le code PIN sont directement liés au PC de l’utilisateur. Personne à part son propriétaire ne peut donc y accéder.The biometric and PIN is directly tied to the user's PC, which prevents access from anyone other than the owner. Avec l’intégration de l’infrastructure à clé publique (PKI)et la prise en charge intégrée de l’authentification unique (SSO), Windows Hello Entreprise propose une méthode d’accès pratique aux ressources d’entreprise localement et dans le cloud.With public key infrastructure (PKI) integration and built-in support for single sign-on (SSO), Windows Hello for Business provides a convenient method for seamlessly accessing corporate resources on-premises and in the cloud.

Exemple de connexion d’un utilisateur à Windows Hello Entreprise

Les étapes suivantes montrent comment le processus de connexion fonctionne avec Azure Active Directory.The following steps show how the sign-in process works with Azure Active Directory.

Diagramme décrivant les étapes nécessaires à la connexion des utilisateurs avec Windows Hello Entreprise

  1. Un utilisateur se connecte à Windows l’aide d'un geste biométrique ou d'un code confidentiel.A user signs into Windows using biometric or PIN gesture. Cette opération déverrouille la clé privée Windows Hello Entreprise et est transmise au fournisseur SSP (Security Support Provider) d'authentification cloud, appelé fournisseur Cloud AP.The gesture unlocks the Windows Hello for Business private key and is sent to the Cloud Authentication security support provider, referred to as the Cloud AP provider.
  2. Le fournisseur Cloud AP demande un nonce à Azure AD.The Cloud AP provider requests a nonce from Azure AD.
  3. Azure AD renvoie un nonce qui est valide pendant 5 minutes.Azure AD returns a nonce that's valid for 5 minutes.
  4. Le fournisseur Cloud AP signe le nonce à l’aide de la clé privée de l’utilisateur et le renvoie signé à Azure AD.The Cloud AP provider signs the nonce using the user's private key and returns the signed nonce to the Azure AD.
  5. Azure AD vérifie le nonce signé à l’aide de la clé publique de l'utilisateur par rapport à la signature du nonce.Azure AD validates the signed nonce using the user's securely registered public key against the nonce signature. Une fois la signature validée, Azure AD valide le nonce signé renvoyé.After validating the signature, Azure AD then validates the returned signed nonce. Après avoir validé le nonce, Azure AD crée un jeton d’actualisation principal (PRT) avec la clé de session chiffrée sur la clé de transport de l’appareil et le retourne au fournisseur Cloud AP.When the nonce is validated, Azure AD creates a primary refresh token (PRT) with session key that is encrypted to the device's transport key and returns it to the Cloud AP provider.
  6. Le fournisseur Cloud AP reçoit le PRT chiffré avec la clé de session.The Cloud AP provider receives the encrypted PRT with session key. Le fournisseur Cloud AP utilise la clé de transport privée de l'appareil pour déchiffrer la clé de session et protège cette dernière à l’aide du module de plateforme sécurisée (TPM) de l’appareil.Using the device's private transport key, the Cloud AP provider decrypts the session key and protects the session key using the device's Trusted Platform Module (TPM).
  7. Le fournisseur Cloud AP renvoie une réponse d’authentification réussie à Windows.The Cloud AP provider returns a successful authentication response to Windows. L’utilisateur peut alors accéder aux applications Windows, ainsi qu’aux applications cloud et locales sans avoir à s’authentifier à nouveau (SSO).The user is then able to access Windows as well as cloud and on-premises applications without the need to authenticate again (SSO).

Le guide de planification Windows Hello Entreprise peut vous aider à déterminer le type de déploiement de Windows Hello Entreprise dont vous avez besoin, ainsi que les options à prendre en compte.The Windows Hello for Business planning guide can be used to help you make decisions on the type of Windows Hello for Business deployment and the options you'll need to consider.

Application Microsoft AuthenticatorMicrosoft Authenticator App

Autorisez le téléphone de votre employé à devenir une méthode d’authentification sans mot de passe.Allow your employee's phone to become a passwordless authentication method. Vous utilisez peut-être déjà l’application Microsoft Authenticator comme une option pratique d’authentification multifacteur en plus d’un mot de passe.You may already be using the Microsoft Authenticator App as a convenient multi-factor authentication option in addition to a password. Vous pouvez également utiliser l’application Authenticator comme option sans mot de passe.You can also use the Authenticator App as a passwordless option.

Connectez-vous à Microsoft Edge avec l’application Microsoft Authenticator

L’application Authenticator transforme n’importe quel téléphone iOS ou Android en informations d’identification fortes et sans mot de passe.The Authenticator App turns any iOS or Android phone into a strong, passwordless credential. Les utilisateurs peuvent se connecter à toute plateforme ou tout navigateur en obtenant une notification sur leur téléphone, en faisant correspondre un numéro affiché sur l’écran à celui affiché sur leur téléphone, puis en utilisant leur leurs données biométriques (toucher ou visage) ou un code confidentiel pour confirmer.Users can sign in to any platform or browser by getting a notification to their phone, matching a number displayed on the screen to the one on their phone, and then using their biometric (touch or face) or PIN to confirm. Pour plus d’informations sur l’installation, consultez Télécharger et installer l’application Microsoft Authenticator.Please refer to Download and install the Microsoft Authenticator app for installation details.

L’authentification sans mot de passe à l’aide de l’application Authenticator suit le même modèle de base que Windows Hello Entreprise.Passwordless authentication using the Authenticator App follows the same basic pattern as Windows Hello for Business. C’est un peu plus compliqué lorsque l’utilisateur a besoin d’être identifié afin qu’Azure AD puisse trouver la version de l’application Microsoft Authenticator en cours d’utilisation :It's a little more complicated as the user needs to be identified so that Azure AD can find the Microsoft Authenticator App version being used:

Diagramme décrivant les étapes nécessaires à la connexion de l’utilisateur avec l’application Microsoft Authenticator

  1. L'utilisateur entre son nom d’utilisateur.The user enters their username.
  2. Azure AD détecte que l'utilisateur dispose d'informations d'identification fortes et démarre le flux correspondant.Azure AD detects that the user has a strong credential and starts the Strong Credential flow.
  3. Une notification est envoyée à l’application via Apple Push Notification Service (APNS) sur les appareils iOS ou Firebase Cloud Messaging (FCM) sur les appareils Android.A notification is sent to the app via Apple Push Notification Service (APNS) on iOS devices, or via Firebase Cloud Messaging (FCM) on Android devices.
  4. L'utilisateur reçoit la notification Push et ouvre l'application.The user receives the push notification and opens the app.
  5. L’application appelle Azure AD et reçoit un test de preuve de présence et un nonce.The app calls Azure AD and receives a proof-of-presence challenge and nonce.
  6. L’utilisateur répond au test à l'aide en entrant un code biométrique ou un code confidentiel pour déverrouiller la clé privée.The user completes the challenge by entering their biometric or PIN to unlock private key.
  7. Le nonce est signé avec la clé privée, puis renvoyé à Azure AD.The nonce is signed with the private key and sent back to Azure AD.
  8. Azure AD procède à la validation des clés publique/privée et renvoie un jeton.Azure AD performs public/private key validation and returns a token.

Clés de sécurité FIDO2FIDO2 security keys

Les clés de sécurité FIDO2 sont une méthode d’authentification sans mot de passe basée sur une norme. Elles ne peuvent pas être usurpées et peuvent s’afficher dans n’importe quel facteur de forme.FIDO2 security keys are an unphishable standards-based passwordless authentication method that can come in any form factor. Fast Identity Online (FIDO) est une norme ouverte d’authentification sans mot de passe.Fast Identity Online (FIDO) is an open standard for passwordless authentication. Elle permet aux utilisateurs et aux organisations de tirer parti de la norme pour se connecter à leurs ressources sans nom d’utilisateur ou mot de passe, en utilisant une clé de sécurité externe ou une clé de plateforme intégrée à un appareil.FIDO allows users and organizations to leverage the standard to sign in to their resources without a username or password using an external security key or a platform key built into a device.

Avec la préversion publique, les employés peuvent utiliser des clés de sécurité pour se connecter à leurs appareils Windows 10 joints à Azure AD ou à Azure  AD hybride, et bénéficier de l’authentification unique sur leurs ressources cloud et locales.For public preview, employees can use security keys to sign in to their Azure AD or hybrid Azure AD joined Windows 10 devices and get single-sign on to their cloud and on-premises resources. Les utilisateurs peuvent également se connecter aux navigateurs pris en charge.Users can also sign in to supported browsers. Les clés de sécurité FIDO2 constituent une excellente solution pour les entreprises qui sont très sensibles à la sécurité ou ayant des scénarios ou des employés qui ne sont pas prêts à ou capables d’utiliser leur téléphone comme deuxième facteur.FIDO2 security keys are a great option for enterprises who are very security sensitive or have scenarios or employees who aren't willing or able to use their phone as a second factor.

Connectez-vous à Microsoft Edge avec une clé de sécurité

Le processus suivant est utilisé lorsqu’un utilisateur se connecte avec une clé de sécurité FIDO2 :The following process is used when a user signs in with a FIDO2 security key:

Diagramme décrivant les étapes nécessaires à la connexion de l’utilisateur avec une clé de sécurité FIDO2

  1. L’utilisateur connecte la clé de sécurité FIDO2 à son ordinateur.The user plugs the FIDO2 security key into their computer.
  2. Windows détecte la clé de sécurité FIDO2.Windows detects the FIDO2 security key.
  3. Windows envoie une requête d’authentification.Windows sends an authentication request.
  4. Azure AD renvoie un nonce.Azure AD sends back a nonce.
  5. L’utilisateur fait le geste qui convient pour déverrouiller la clé privée stockée dans l’enclave sécurisée de la clé de sécurité FIDO2.The user completes their gesture to unlock the private key stored in the FIDO2 security key's secure enclave.
  6. La clé de sécurité FIDO2 signe le nonce avec la clé privée.The FIDO2 security key signs the nonce with the private key.
  7. La demande de jeton d'actualisation principal (PRT) contenant le nonce signé est envoyée à Azure AD.The primary refresh token (PRT) token request with signed nonce is sent to Azure AD.
  8. Azure AD vérifie le nonce signé à l’aide de la clé publique FIDO2.Azure AD verifies the signed nonce using the FIDO2 public key.
  9. Azure AD renvoie le PRT pour activer l’accès aux ressources locales.Azure AD returns PRT to enable access to on-premises resources.

Bien qu’il existe de nombreuses clés FIDO2 certifiées par la FIDO Alliance, Microsoft exige que certaines des extensions facultatives de la spécification FIDO2 CTAP (Client-to-Authenticator Protocol) soient implémentées par le fournisseur, afin de garantir une sécurité maximale et la meilleure expérience possible.While there are many keys that are FIDO2 certified by the FIDO Alliance, Microsoft requires some optional extensions of the FIDO2 Client-to-Authenticator Protocol (CTAP) specification to be implemented by the vendor to ensure maximum security and the best experience.

Une clé de sécurité doit implémenter les fonctionnalités et extensions du protocole FIDO2 CTAP suivantes pour être compatible avec Microsoft :A security key MUST implement the following features and extensions from the FIDO2 CTAP protocol to be Microsoft-compatible:

# Fonctionnalité/Extension de confianceFeature / Extension trust Pourquoi cette fonctionnalité ou extension est-elle nécessaire ?Why is this feature or extension required?
11 Clé résidenteResident key Cette fonctionnalité permet à la clé de sécurité d’être portable ; vos informations d’identification sont stockées sur la clé de sécurité.This feature enables the security key to be portable, where your credential is stored on the security key.
22 Code confidentiel clientClient pin Cette fonctionnalité vous permet de protéger vos informations d’identification avec un deuxième facteur et s’applique aux clés de sécurité qui n’ont pas d’interface utilisateur.This feature enables you to protect your credentials with a second factor and applies to security keys that do not have a user interface.
33 hmac-secrethmac-secret Cette extension garantit que vous pouvez vous connecter à votre appareil lorsqu’il est hors connexion ou en mode avion.This extension ensures you can sign in to your device when it's off-line or in airplane mode.
44 Plusieurs comptes par fournisseur de ressourcesMultiple accounts per RP Cette fonctionnalité garantit que vous pouvez utiliser la même clé de sécurité dans plusieurs services, comme un compte Microsoft et Azure Active Directory.This feature ensures you can use the same security key across multiple services like Microsoft Account and Azure Active Directory.

Les fournisseurs suivants offrent des clés de sécurité FIDO2 de différents facteurs de forme, qui sont connues pour être compatibles avec l’expérience sans mot de passe.The following providers offer FIDO2 security keys of different form factors that are known to be compatible with the passwordless experience. Nous vous encourageons à évaluer les propriétés de sécurité de ces clés en contactant le fournisseur, ainsi que la FIDO Alliance.We encourage you to evaluate the security properties of these keys by contacting the vendor as well as FIDO Alliance.

FournisseurProvider ContactContact
YubicoYubico https://www.yubico.com/support/contact/
FeitianFeitian https://www.ftsafe.com/about/Contact_Us
HIDHID https://www.hidglobal.com/contact-us
EnsurityEnsurity https://www.ensurity.com/contact
Solutions TrustKeyTrustKey Solutions https://www.trustkeysolutions.com/security-keys/
AuthenTrendAuthenTrend https://authentrend.com/about-us/#pg-35-3
Gemalto (Thales Group)Gemalto (Thales Group) https://safenet.gemalto.com/multi-factor-authentication/authenticators/passwordless-authentication/
OneSpan Inc.OneSpan Inc. https://www.onespan.com/products/fido
IDmelon Technologies Inc.IDmelon Technologies Inc. https://www.idmelon.com/#idmelon

Notes

Si vous achetez des clés de sécurité NFC et que vous prévoyez de les utiliser, vous devez disposer d’un lecteur NFC pris en charge pour la clé de sécurité.If you purchase and plan to use NFC-based security keys, you need a supported NFC reader for the security key. Le lecteur NFC n’est pas une exigence ou une limitation Azure.The NFC reader isn't an Azure requirement or limitation. Pour obtenir la liste des lecteurs NFC pris en charge, contactez le fournisseur de votre clé de sécurité NFC.Check with the vendor for your NFC-based security key for a list of supported NFC readers.

Si vous êtes fournisseur et que vous voulez que votre appareil figure dans la liste des appareils pris en charge, contactez Fido2Request@Microsoft.com.If you're a vendor and want to get your device on this list of supported devices, contact Fido2Request@Microsoft.com.

Scénarios fonctionnant avec la préversionWhat scenarios work with the preview?

  • Les administrateurs peuvent activer des méthodes d’authentification sans mot de passe pour leur locataireAdministrators can enable passwordless authentication methods for their tenant
  • Les administrateurs peuvent cibler tous les utilisateurs ou sélectionner des utilisateurs/groupes au sein de leur locataire pour chaque méthodeAdministrators can target all users or select users/groups within their tenant for each method
  • Les utilisateurs finaux peuvent inscrire et gérer ces méthodes d’authentification sans mot de passe sur le portail de leur compteEnd users can register and manage these passwordless authentication methods in their account portal
  • Les utilisateurs finaux peuvent se connecter avec ces méthodes d’authentification sans mot de passeEnd users can sign in with these passwordless authentication methods
    • Application Microsoft Authenticator : fonctionne dans les scénarios où l’authentification Azure AD est utilisée, notamment sur tous les navigateurs, pendant la configuration de Windows 10 (OOBE) et avec les applications mobiles intégrées sur n’importe quel système d’exploitation.Microsoft Authenticator App: Works in scenarios where Azure AD authentication is used, including across all browsers, during Windows 10 Out Of Box (OOBE) setup, and with integrated mobile apps on any operating system.
    • Clés de sécurité : Fonctionnent sur l’écran de verrouillage Windows 10 et les navigateurs web pris en charge, comme Microsoft Edge (ancienne et nouvelle version de Edge).Security keys: Work on lock screen for Windows 10 and the web in supported browsers like Microsoft Edge (both legacy and new Edge).

Choix d’une méthode sans mot de passeChoose a passwordless method

Le choix entre ces trois options sans mot de passe dépend des exigences en matière de sécurité, de plateforme et d'applications de votre entreprise.The choice between these three passwordless options depends on your company's security, platform, and app requirements.

Voici quelques facteurs à prendre en compte au moment de choisir une technologie Microsoft sans mot de passe :Here are some factors for you to consider when choosing Microsoft passwordless technology:

Windows Hello EntrepriseWindows Hello for Business Connexion avec l’application Microsoft AuthenticatorPasswordless sign-in with the Microsoft Authenticator app Clés de sécurité FIDO2FIDO2 security keys
Conditions préalablesPre-requisite Windows 10 version 1809 ou ultérieureWindows 10, version 1809 or later
Azure Active DirectoryAzure Active Directory
Application Microsoft AuthenticatorMicrosoft Authenticator app
Téléphone (appareils iOS et Android exécutant Android version 6.0 ou ultérieure).Phone (iOS and Android devices running Android 6.0 or above.)
Windows 10 version 1809 ou ultérieureWindows 10, version 1809 or later
Azure Active DirectoryAzure Active Directory
ModeMode PlateformePlatform LogicielSoftware MatérielHardware
Systèmes et appareilsSystems and devices PC avec module de plateforme sécurisée (TPM) intégréPC with a built-in Trusted Platform Module (TPM)
Code confidentiel et reconnaissance biométriquePIN and biometrics recognition
Code confidentiel et reconnaissance biométrique sur téléphonePIN and biometrics recognition on phone Périphériques de sécurité FIDO2 compatibles MicrosoftFIDO2 security devices that are Microsoft compatible
Expérience utilisateurUser experience Connectez-vous à l’aide d’un code confidentiel ou d'une reconnaissance biométrique (faciale, iris ou empreinte digitale) aux appareils Windows.Sign in using a PIN or biometric recognition (facial, iris, or fingerprint) with Windows devices.
L'authentification Windows Hello est liée à l'appareil ; l'utilisateur a besoin de l'appareil et d'un composant de connexion tel qu'un code confidentiel ou un facteur biométrique pour accéder aux ressources de l'entreprise.Windows Hello authentication is tied to the device; the user needs both the device and a sign-in component such as a PIN or biometric factor to access corporate resources.
Connectez-vous à l’aide d’un téléphone mobile en utilisant une empreinte digitale, une reconnaissance faciale ou de l'iris, ou un code confidentiel.Sign in using a mobile phone with fingerprint scan, facial or iris recognition, or PIN.
Les utilisateurs se connectent à un compte professionnel ou personnel à partir de leur PC ou téléphone mobile.Users sign in to work or personal account from their PC or mobile phone.
Connectez-vous à l’aide du périphérique de sécurité FIDO2 (biométrie, code confidentiel et carte NFC)Sign in using FIDO2 security device (biometrics, PIN, and NFC)
L'utilisateur peut accéder à l'appareil selon les contrôles de l’organisation et s’authentifier par code confidentiel ou biométrie à l'aide de périphériques tels que des clés de sécurité USB et des cartes à puce NFC, des clés ou autres objets connectés portables.User can access device based on organization controls and authenticate based on PIN, biometrics using devices such as USB security keys and NFC-enabled smartcards, keys, or wearables.
Scénarios possiblesEnabled scenarios Expérience sans mot de passe avec appareil Windows.Password-less experience with Windows device.
Applicable pour le PC de travail dédié avec possibilité d'authentification unique à l'appareil et aux applications.Applicable for dedicated work PC with ability for single sign-on to device and applications.
Solution sans mot de passe à l'aide d'un téléphone mobile.Password-less anywhere solution using mobile phone.
Applicable pour accéder aux applications professionnelles et personnelles sur le web à partir de n’importe quel appareil.Applicable for accessing work or personal applications on the web from any device.
Expérience sans mot de passe pour les employés avec données biométriques, code confidentiel et carte à puce NFC.Password-less experience for workers using biometrics, PIN, and NFC.
Applicable pour les PC partagés et lorsqu'un téléphone mobile n’est pas une option viable (personnel du support technique, borne publique ou équipe hospitalière)Applicable for shared PCs and where a mobile phone is not a viable option (such as for help desk personnel, public kiosk, or hospital team)

Utilisez le tableau suivant pour choisir la méthode répondant à vos besoins et à ceux de vos utilisateurs.Use the following table to choose which method will support your requirements and users.

UtilisateurPersona ScénarioScenario EnvironnementEnvironment Technologie sans mot de passePasswordless technology
AdministrateurAdmin Sécuriser l’accès à un appareil pour les tâches de gestionSecure access to a device for management tasks Appareil Windows 10 attribuéAssigned Windows 10 device Windows Hello Entreprise et/ou clé de sécurité FIDO2Windows Hello for Business and/or FIDO2 security key
AdministrateurAdmin Tâches de gestion sur des appareils non WindowsManagement tasks on non-Windows devices Appareil mobile ou non WindowsMobile or non-windows device Connexion sans mot de passe avec l'application Microsoft AuthenticatorPasswordless sign-in with the Microsoft Authenticator app
Professionnel de l'informationInformation worker ProductivitéProductivity work Appareil Windows 10 attribuéAssigned Windows 10 device Windows Hello Entreprise et/ou clé de sécurité FIDO2Windows Hello for Business and/or FIDO2 security key
Professionnel de l'informationInformation worker ProductivitéProductivity work Appareil mobile ou non WindowsMobile or non-windows device Connexion sans mot de passe avec l'application Microsoft AuthenticatorPasswordless sign-in with the Microsoft Authenticator app
Employé de terrainFrontline worker Borne dans une usine, un magasin de détail ou un point d'entrée de donnéesKiosks in a factory, plant, retail, or data entry Appareils Windows 10 partagésShared Windows 10 devices Clés de sécurité FIDO2FIDO2 Security keys

Étapes suivantesNext steps

Activer les options de clé de sécurité FIDO2 sans mot de passe dans votre organisationEnable FIDO2 security key passwordless options in your organization

Activer les options sans mot de passe par téléphone dans votre organisationEnable phone-based passwordless options in your organization

FIDO AllianceFIDO Alliance

Spécification de FIDO2 CTAPFIDO2 CTAP specification