Microsoft Entra introduit l'authentification par clé d'accès pour les utilisateurs d'entreprise Windows
Microsoft a annoncé le 24 avril 2026 qu'il déploie la prise en charge des clés d'accès pour les ressources protégées par Microsoft Entra sur les appareils Windows, marquant un changement significatif vers l'authentification sans mot de passe dans les environnements d'entreprise. Le déploiement commence fin avril 2026 et représente l'effort le plus complet de Microsoft à ce jour pour éliminer les vulnérabilités basées sur les mots de passe des flux de travail d'authentification d'entreprise.
Les clés d'accès exploitent la cryptographie à clé publique pour créer des mécanismes d'authentification résistants au phishing qui stockent les clés privées en toute sécurité sur les appareils des utilisateurs tout en partageant uniquement les clés publiques avec les serveurs d'authentification de Microsoft. Cette approche diffère fondamentalement des systèmes de mot de passe traditionnels en rendant le vol de crédentiels presque impossible, même si les attaquants compromettent les serveurs d'authentification ou interceptent le trafic réseau lors des tentatives de connexion.
L'implémentation s'intègre directement avec l'authentification biométrique Windows Hello et les clés de sécurité matérielles, permettant aux utilisateurs de s'authentifier aux applications et services protégés par Entra sans entrer de mots de passe. Les équipes d'ingénierie de Microsoft ont passé les 18 derniers mois à développer l'infrastructure pour prendre en charge les normes FIDO2 WebAuthn sur leur plateforme d'identité d'entreprise, garantissant la compatibilité avec les configurations Active Directory existantes et les configurations cloud hybrides.
Les administrateurs d'entreprise peuvent configurer les politiques de clés d'accès via le centre d'administration Microsoft Entra, en définissant des exigences pour des groupes d'utilisateurs, des applications ou des types d'appareils spécifiques. Le système prend en charge à la fois les authentificateurs de plateforme intégrés aux appareils Windows et les clés de sécurité externes de fournisseurs comme YubiKey et Google Titan, offrant une flexibilité pour les organisations avec des environnements matériels diversifiés.
L'annonce de Microsoft intervient alors que les équipes de sécurité d'entreprise font face à une pression croissante pour résoudre les violations liées aux mots de passe, qui représentent plus de 80 % des cyberattaques réussies selon les recherches de l'industrie. La société a positionné ce déploiement comme faisant partie de son cadre de sécurité Zero Trust plus large, en soulignant que les clés d'accès éliminent le maillon le plus faible dans la plupart des chaînes d'authentification.
Les utilisateurs d'entreprise Windows et les ressources protégées par Entra obtiennent un accès sans mot de passe
Le déploiement des clés d'accès affecte les organisations utilisant Microsoft Entra ID (anciennement Azure Active Directory) pour protéger les ressources d'entreprise, englobant des millions d'utilisateurs d'entreprise dans le monde entier. Les appareils Windows compatibles incluent Windows 10 version 1903 et ultérieures, ainsi que toutes les éditions de Windows 11, à condition qu'ils prennent en charge l'authentification biométrique Windows Hello ou puissent connecter des clés de sécurité FIDO2 externes via USB, NFC ou Bluetooth.
Les administrateurs d'entreprise gérant des locataires Entra bénéficieront de nouveaux contrôles de politique pour le déploiement des clés d'accès, y compris la possibilité d'exiger l'authentification par clé d'accès pour des applications spécifiques comme Microsoft 365, SharePoint et des plateformes SaaS tierces intégrées à Entra. Les organisations avec des environnements Active Directory hybrides peuvent étendre la prise en charge des clés d'accès aux ressources sur site via la synchronisation Entra Connect, bien que certaines applications héritées puissent nécessiter une configuration supplémentaire.
Le déploiement progressif donne la priorité aux organisations utilisant déjà Windows Hello for Business et celles ayant des déploiements de clés de sécurité FIDO2 existants. Microsoft estime qu'environ 60 % des clients actuels d'Entra disposent de l'infrastructure nécessaire pour prendre en charge les clés d'accès immédiatement, tandis que d'autres peuvent avoir besoin de mettre à jour les politiques de gestion des appareils ou de déployer du matériel compatible à leur base d'utilisateurs.
Les petites et moyennes entreprises utilisant Microsoft 365 Business Premium recevront automatiquement les capacités de clé d'accès, tandis que les clients Enterprise peuvent contrôler le calendrier de déploiement via les paramètres au niveau du locataire. Les organisations dans des secteurs réglementés comme la santé et la finance bénéficieront des avantages de conformité des clés d'accès, car la technologie répond aux exigences d'authentification NIST 800-63B Niveau 3 et prend en charge la journalisation des audits pour les rapports réglementaires.
Implémentation de l'authentification par clé d'accès dans les environnements Microsoft Entra
Les administrateurs d'entreprise peuvent activer la prise en charge des clés d'accès via le centre d'administration Microsoft Entra en naviguant vers Méthodes d'authentification et en configurant les politiques de clé de sécurité FIDO2. Le processus de configuration nécessite d'activer Windows Hello for Business s'il n'est pas déjà déployé, puis de créer des politiques d'accès conditionnel qui spécifient quand l'authentification par clé d'accès est requise ou optionnelle pour différents groupes d'utilisateurs et applications.
Les organisations devraient commencer par identifier des groupes d'utilisateurs pilotes avec des appareils Windows compatibles et des configurations Windows Hello existantes. Microsoft recommande de commencer avec les administrateurs informatiques et les équipes de sécurité avant de s'étendre à des populations d'utilisateurs plus larges. Le processus de migration implique l'enregistrement des clés d'accès pour chaque utilisateur, ce qui peut être fait via l'auto-inscription ou le déploiement assisté par un administrateur selon les politiques organisationnelles.
Pour les utilisateurs avec une authentification basée sur un mot de passe existante, Microsoft propose un chemin de transition progressif où les clés d'accès peuvent coexister avec les identifiants traditionnels pendant la période de migration. Les administrateurs peuvent configurer des politiques pour préférer l'authentification par clé d'accès tout en maintenant des options de secours par mot de passe jusqu'à ce que tous les utilisateurs aient terminé leurs transitions. Cette approche minimise les perturbations des opérations commerciales tout en améliorant progressivement la posture de sécurité.
L'implémentation technique nécessite la mise à jour des paramètres de stratégie de groupe pour Windows Hello for Business et s'assurer que les pare-feu d'entreprise permettent la communication avec les points de terminaison d'authentification FIDO2 de Microsoft. Les organisations utilisant des fournisseurs d'identité tiers ou des applications personnalisées peuvent avoir besoin de mettre à jour leurs configurations d'intégration pour prendre en charge les nouveaux flux d'authentification, bien que la plupart des applications modernes avec une intégration Entra existante devraient fonctionner sans modification.
