Activer la connexion sans mot de passe avec l’application Microsoft AuthenticatorEnable passwordless sign-in with the Microsoft Authenticator app

L’application Microsoft Authenticator vous permet de vous connecter à n’importe quel compte Azure AD sans utiliser de mot de passe.The Microsoft Authenticator app can be used to sign in to any Azure AD account without using a password. Microsoft Authenticator utilise l’authentification par clé pour activer les informations d’identification de l’utilisateur qui sont liées à un appareil, où l’appareil utilise un code confidentiel ou la biométrie.Microsoft Authenticator uses key-based authentication to enable a user credential that is tied to a device, where the device uses a PIN or biometric. Windows Hello Entreprise utilise une technologie similaire.Windows Hello for Business uses a similar technology.

Cette technologie d’authentification peut être utilisée sur toutes les plateformes d’appareils, y compris sur les appareils mobiles.This authentication technology can be used on any device platform, including mobile. Cette technologie peut également être utilisée avec n’importe quelle application ou n’importe quel site web qui s’intègre aux bibliothèques d’authentification Microsoft.This technology can also be used with any app or website that integrates with Microsoft Authentication Libraries.

Exemple de connexion au navigateur demandant à l’utilisateur d’approuver la connexion.

Les personnes qui ont activé la connexion par téléphone à partir de l’application Microsoft Authenticator voient un message leur demandant d’appuyer sur un nombre dans leur application.People who enabled phone sign-in from the Microsoft Authenticator app see a message that asks them to tap a number in their app. Aucun nom d’utilisateur ou mot de passe n’est demandé.No username or password is asked for. Pour terminer le processus de connexion dans l’application, un utilisateur doit ensuite effectuer les actions suivantes :To complete the sign-in process in the app, a user must next take the following actions:

  1. Choisir le nombre correspondant.Match the number.
  2. Choisissez Approuver.Choose Approve.
  3. Fournir son code confidentiel ou sa biométrie.Provide their PIN or biometric.

PrérequisPrerequisites

Pour utiliser la connexion par téléphone sans mot de passe avec l’application Microsoft Authenticator, les prérequis suivants doivent être satisfaits :To use passwordless phone sign-in with the Microsoft Authenticator app, the following prerequisites must be met:

  • Azure AD Multi-Factor Authentication, avec notifications Push autorisées en tant que méthode de vérification.Azure AD Multi-Factor Authentication, with push notifications allowed as a verification method.
  • Installation de la dernière version de Microsoft Authenticator sur des appareils exécutant iOS 8.0 ou une version ultérieure, ou Android 6.0 ou une version ultérieure.Latest version of Microsoft Authenticator installed on devices running iOS 8.0 or greater, or Android 6.0 or greater.

Notes

Si vous avez activé la connexion sans mot de passe Microsoft Authenticator en utilisant Azure AD PowerShell, elle a été activée pour l’ensemble de votre annuaire.If you enabled Microsoft Authenticator passwordless sign-in using Azure AD PowerShell, it was enabled for your entire directory. Si vous activez l’utilisation de cette nouvelle méthode, elle remplace la stratégie PowerShell.If you enable using this new method, it supercedes the PowerShell policy. Nous vous recommandons d’activer cette fonctionnalité pour tous les utilisateurs de votre locataire par le biais du nouveau menu Méthodes d’authentification, sinon les utilisateurs ne figurant pas dans la nouvelle stratégie ne pourront plus se connecter sans mot de passe.We recommend you enable for all users in your tenant via the new Authentication Methods menu, otherwise users not in the new policy are no longer be able to sign in without a password.

Activer les méthodes d’authentification sans mot de passeEnable passwordless authentication methods

Pour utiliser l’authentification sans mot de passe dans Azure AD, activez tout d’abord l’expérience d’inscription combinée, puis activez les utilisateurs pour la méthode sans mot de passe.To use passwordless authentication in Azure AD, first enable the combined registration experience, then enable users for the password less method.

Activer l’expérience d’inscription combinéeEnable the combined registration experience

Les fonctionnalités d’inscription pour les méthodes d’authentification sans mot de passe s’appuient sur la fonctionnalité d'inscription combinée.Registration features for passwordless authentication methods rely on the combined registration feature. Pour permettre aux utilisateurs d’effectuer eux-mêmes l’inscription combinée, suivez les étapes pour activer l’inscription combinée des informations de sécurité.To let users complete the combined registration themselves, follow the steps to enable combined security information registration.

Activer les méthodes d’authentification sans mot de passe par téléphoneEnable passwordless phone sign-in authentication methods

Azure AD vous permet de choisir les méthodes d’authentification qui peuvent être utilisées pendant le processus de connexion.Azure AD lets you choose which authentication methods can be used during the sign-in process. Les utilisateurs s’inscrivent ensuite pour les méthodes qu’ils souhaitent utiliser.Users then register for the methods they'd like to use.

Pour activer la méthode d’authentification pour la connexion par téléphone sans mot de passe, effectuez les étapes suivantes :To enable the authentication method for passwordless phone sign-in, complete the following steps:

  1. Connectez-vous au portail Azure avec un compte d’administrateur général.Sign in to the Azure portal with a global administrator account.
  2. Recherchez et sélectionnez Azure Active Directory, puis accédez à Sécurité > Méthodes d’authentification > Stratégies.Search for and select Azure Active Directory, then browse to Security > Authentication methods > Policies.
  3. Sous Microsoft Authenticator, choisissez les options suivantes :Under Microsoft Authenticator, choose the following options:
    1. Activer - Oui ou NonEnable - Yes or No
    2. Cible - Tous les utilisateurs ou les utilisateurs sélectionnésTarget - All users or Select users
  4. Chaque groupe ou utilisateur ajouté est activé par défaut pour utiliser Microsoft Authenticator dans les modes de notifications sans mot de passe et push (mode « Tout »).Each added group or user is enabled by default to use Microsoft Authenticator in both passwordless and push notification modes ("Any" mode). Pour modifier cela, pour chaque ligne :To change this, for each row:
    1. Accédez à ... > Configurer.Browse to ... > Configure.
    2. Pour Mode d’authentification : Tout, Sans mot de passe ou PushFor Authentication mode - Any, Passwordless, or Push
  5. Pour appliquer la nouvelle stratégie, sélectionnez Enregistrer.To apply the new policy, select Save.

Inscription des utilisateurs et gestion de Microsoft AuthenticatorUser registration and management of Microsoft Authenticator

Les utilisateurs s’inscrivent à la méthode d’authentification sans mot de passe d’Azure AD en procédant comme suit :Users register themselves for the passwordless authentication method of Azure AD by using the following steps:

  1. Accédez à https://aka.ms/mysecurityinfo .Browse to https://aka.ms/mysecurityinfo.
  2. Connectez-vous, puis ajoutez l’application Authenticator en sélectionnant Ajouter une méthode > Application d’authentification, puis Ajouter.Sign in, then add the Authenticator app by selecting Add method > Authenticator app, then Add.
  3. Suivez les instructions pour installer et configurer l’application Microsoft Authenticator sur votre appareil.Follow the instructions to install and configure the Microsoft Authenticator app on your device.
  4. Sélectionnez Terminé pour terminer la configuration d’Authenticator.Select Done to complete Authenticator configuration.
  5. Dans Microsoft Authenticator, choisissez Activer la connexion par téléphone dans le menu déroulant du compte inscrit.In Microsoft Authenticator, choose Enable phone sign-in from the drop-down menu for the account registered.
  6. Suivez les instructions de l’application pour terminer de vous inscrire à la connexion sans mot de passe.Follow the instructions in the app to finish registering the account for passwordless phone sign-in.

Une organisation peut demander à ses utilisateurs de se connecter avec leur téléphone, sans utiliser de mot de passe.An organization can direct its users to sign in with their phones, without using a password. Pour plus d’informations sur la configuration de l’application Microsoft Authenticator et sur l’activation de la connexion par téléphone, consultez Vous connecter à vos comptes à l’aide de l’application Microsoft Authenticator.For further assistance configuring the Microsoft Authenticator app and enabling phone sign-in, see Sign in to your accounts using the Microsoft Authenticator app.

Notes

Les utilisateurs que la stratégie n’autorise pas à utiliser la connexion par téléphone ne sont plus en mesure de l’activer dans l’application Microsoft Authenticator.Users who aren't allowed by policy to use phone sign-in are no longer able to enable it within the Microsoft Authenticator app.

Se connecter avec les informations d’identification sans mot de passeSign in with passwordless credential

Un utilisateur peut commencer à utiliser la connexion sans mot de passe une fois que toutes les actions suivantes ont été effectuées :A user can start to utilize passwordless sign-in after all the following actions are completed:

  • Un administrateur a activé le locataire de l’utilisateur.An admin has enabled the user's tenant.
  • L’utilisateur a mis à jour son application Microsoft Authenticator pour activer la connexion par téléphone.The user has updated her Microsoft Authenticator app to enable phone sign-in.

La première fois qu’un utilisateur lance le processus de connexion par téléphone, il effectue les étapes suivantes :The first time a user starts the phone sign-in process, the user performs the following steps:

  1. Entre son nom dans la page de connexion.Enters her name at the sign-in page.
  2. Sélectionne Suivant.Selects Next.
  3. Le cas échéant, sélectionne Autres méthodes de connexion.If necessary, selects Other ways to sign in.
  4. Sélectionne Approuver une demande sur mon application Microsoft Authenticator.Selects Approve a request on my Microsoft Authenticator app.

Un nombre est ensuite présenté à l’utilisateur.The user is then presented with a number. L’application invite l’utilisateur à s’authentifier en sélectionnant le nombre approprié au lieu d’entrer un mot de passe.The app prompts the user to authenticate by selecting the appropriate number, instead of by entering a password.

Une fois que l’utilisateur a utilisé la connexion par téléphone sans mot de passe, l’application continue à le diriger par le biais de cette méthode.After the user has utilized passwordless phone sign-in, the app continues to guide the user through this method. Toutefois, l’utilisateur verra l’option permettant de choisir une autre méthode.However, the user will see the option to choose another method.

Exemple de connexion au navigateur à l’aide de l’application Microsoft Authenticator.

Problèmes connusKnown Issues

Les problèmes connus suivants existent.The following known issues exist.

Aucune option pour la connexion par téléphone sans mot de passe n’est visibleNot seeing option for passwordless phone sign-in

Dans un scénario, un utilisateur peut avoir une vérification de connexion par téléphone sans mot de passe sans réponse qui est en attente.In one scenario, a user can have an unanswered passwordless phone sign-in verification that is pending. Pourtant, l’utilisateur peut tenter de se reconnecter.Yet the user might attempt to sign in again. Dans ce cas, il est possible que l’utilisateur ne voie que la possibilité de saisir un mot de passe.When this happens, the user might see only the option to enter a password.

Pour résoudre ce scénario, vous pouvez utiliser les étapes suivantes :To resolve this scenario, the following steps can be used:

  1. Ouvrez l’application Microsoft Authenticator.Open the Microsoft Authenticator app.
  2. Répondez aux invites de notification.Respond to any notification prompts.

L’utilisateur peut ensuite continuer à utiliser la connexion par téléphone sans mot de passe.Then the user can continue to utilize passwordless phone sign-in.

Comptes fédérésFederated Accounts

Lorsqu’un utilisateur a activé des informations d’identification sans mot de passe, le processus de connexion Azure AD cesse d’utiliser le login_hint.When a user has enabled any passwordless credential, the Azure AD login process stops using the login_hint. Par conséquent, le processus ne dirige plus l’utilisateur vers un emplacement de connexion fédérée.Therefore the process no longer accelerates the user toward a federated login location.

Cette logique empêche généralement l’utilisateur d’un locataire hybride d’être dirigé vers les services de fédération Active Directory (AD FS) pour la vérification de la connexion.This logic generally prevents a user in a hybrid tenant from being directed to Active Directory Federated Services (AD FS) for sign-in verification. Toutefois, l’utilisateur conserve la possibilité de cliquer sur Utiliser votre mot de passe à la place.However, the user retains the option of clicking Use your password instead.

Serveur Azure MFAAzure MFA server

Un utilisateur final peut être en mesure d’utiliser l’authentification multifacteur (MFA) via un serveur Azure MFA local.An end user can be enabled for multi-factor authentication (MFA), through an on-premises Azure MFA server. L’utilisateur peut toujours créer et utiliser une seule paire d’informations d’identification de connexion par téléphone.The user can still create and utilize a single passwordless phone sign-in credential.

Si l’utilisateur tente de mettre à niveau plusieurs installations (supérieures à 5) de l’application Microsoft Authenticator avec ces informations d’identification de connexion par téléphone sans mot de passe, cette modification peut générer une erreur.If the user attempts to upgrade multiple installations (5+) of the Microsoft Authenticator app with the passwordless phone sign-in credential, this change might result in an error.

Enregistrement de l’appareilDevice registration

Avant de pouvoir créer des informations d’identification fortes, vous devez remplir les conditions préalables.Before you can create this new strong credential, there are prerequisites. L’une des conditions requises est que l’appareil sur lequel l’application Microsoft Authenticator est installée doit être inscrite dans le locataire Azure AD pour un utilisateur individuel.One prerequisite is that the device on which the Microsoft Authenticator app is installed must be registered within the Azure AD tenant to an individual user.

Actuellement, un appareil ne peut être inscrit que dans un seul locataire.Currently, a device can only be registered in a single tenant. Cette limite signifie qu’un seul compte professionnel ou scolaire de l’application Microsoft Authenticator peut être activé pour la connexion par téléphone.This limit means that only one work or school account in the Microsoft Authenticator app can be enabled for phone sign-in.

Notes

L’inscription de l’appareil n’est pas la même que la gestion des appareils ou la gestion des périphériques mobiles (GPM).Device registration is not the same as device management or mobile device management (MDM). Elle associe uniquement un ID d’appareil et un identifiant utilisateur dans le répertoire Azure AD.Device registration only associates a device ID and a user ID together, in the Azure AD directory.

Étapes suivantesNext steps

Pour en savoir plus sur l’authentification Azure AD et les méthodes sans mot de passe, consultez les articles suivants :To learn about Azure AD authentication and passwordless methods, see the following articles: