Une présentation du passwordless a été faite dans ce post : Azure AD - Présentation du passwordless
Microsoft Authenticator est un logiciel pratique qui permet à la fois de faire du l'authentification multifacteur, mais également de faire du passwordless. Cet article explique comment préparer son environnement pour pouvoir se connecter en passwordless avec Microsoft Authenticator.
Les configurations ci-après sont réalisées avec un compte Global Administrator (GA).
Désactiver le MFA historique
La méthode moderne de faire du MFA est via l'accès conditionnel Azure, il est nécessaire de désactiver le MFA historique pour éviter d'avoir des conflits.
Se connecter successivement à portal.azure.com > Cliquer sur l'icône des 3 traits horizontaux > Azure Active Directory > Users > Per-user MFA
Pour chaque utilisateur qui doit pouvoir faire du passwordless, il faut désactiver le MFA
Combiner les informations de sécurité SSPR et MFA
Les étapes sont décrites dans l'article : Azure - Combiner les informations de sécurité SSPR et MFA
(Optionnel) Activer le MFA via accès conditionnel Azure
Active le MFA n'est pas obligatoire pour l'authentification via Microsoft Authenticator mais, est fortement recommandé.
Pour créer un nouvel accès conditionnel Azure ou conditional access (CA), se connecter successivement à portal.azure.com > Cliquer sur l'icône des 3 traits horizontaux > Azure Active Directory > Security > Policies > New policy
Dans Users choisir les utilisateurs qui doivent faire du passwordless, attention de toujours garder quelques comptes de bris de glace qui ne sont pas concernés par la politique
Dans Cloud apps or actions, cocher All cloud apps
Dans Conditions, uniquement, s'il faut exclure certains utilisateurs en se basant sur des critères prédéfinis
Dans Enable policy choisir On
Dans Grant, cocher Grant access et Require multifactor authenticator puis cliquer sur Select
Enfin cliquer sur Create
Dorénavant, les utilisateurs configurés dans la CA devront s'authentifier en MFA. Lors de la première connexion, il leur sera demandé d'enregistrer des facteurs d'authentifications, Microsoft Authenticator étant plus que recommandé sans quoi l'authentification passwordless ne pourra pas se faire.
Identifier les domaines fédérés et planifier la migration de l'authentification vers Azure
Dans le cas où l'environnement disposerait d'une ferme ADFS, les domaines fédérés ne peuvent pas être utilisés pour faire du passwordless.
En fonction de comment est gérer l'authentification des utilisateurs OnPremises versus Azure, les actions à réaliser peuvent être plus ou moins chronophages.
Se référer à la documentation Microsoft : Migrate from federation to cloud authentication
Il est donc nécessaire de réaliser cette transition de l'authentification vers le cloud Azure pour pouvoir faire du passwordless.
Configurer l'authentification passwordless via Microsoft Authenticator
Se connecter successivement à portal.azure.com > Cliquer sur l'icône des 3 traits horizontaux > Azure Active Directory > Security > Authentication Methods > Microsoft Authenticator
Dans Enable and Target, activer Enable
Dans Include, choisir Select groups puis choisir le groupe qui contient les utilisateurs qu'il faut déployer passwordless, ici le groupe s'appelle Passwordless-test
Dans Authentication mode choisir Any, any inclut la possibilité de faire du passwordless
Cliquer sur Save
Cela conclut la configuration de l'authentification passwordless via Microsoft Authenticator
Configuration par l'utilisateur final la possibilité de faire de l'authentification passwordless avec Microsoft Authenticator
Chaque utilisateur souhaitant s'authentifier en passwordless doit activer l'option dans son application Microsoft Authenticator
Une fois sur le compte d'entreprise, cliquer sur Enable phone sign-in
