Microsoft active le déploiement des passkeys Entra sur Windows
Microsoft a décidé d’accélérer la fin des mots de passe traditionnels pour l’authentification sur Windows en annonçant la prise en charge des passkeys Entra sur les appareils Windows. Le déploiement de cette nouveauté va débuter dès la fin avril 2026. Voici ce que ça change pour les entreprises.
Prise en charge des passkeys Entra sur Windows
Microsoft a décidé d’étendre la prise en charge des passkeys (clés d’accès) pour l’authentification à Windows. Cette nouveauté importante s’applique aux appareils gérés par une entreprise, mais également aux appareils personnels ou partagés, y compris s’ils ne sont pas enregistrés ou joints à Microsoft Entra. Si l’on remet ça dans le contexte professionnel, sont concernées les organisations qui utilisent Microsoft Entra ID avec les passkeys activées dans la stratégie “Méthodes d’authentification”. Un contrôle est également possible via les stratégies d’accès conditionnel.
En pratique, grâce à l’arrivée en disponibilité générale de cette évolution, Windows va prendre en charge une nouvelle méthode de connexion sans mot de passe. Surtout, c’est une méthode résistante au phishing en comparaison des mots de passe traditionnels. La firme de Redmond va commencer le déploiement de cette nouveauté rapidement puisque la fin avril 2026 est mentionnée. Le déploiement devrait être terminé à partir de mi-juin 2026 auprès de tous les environnements, d’après Microsoft.
Dans le centre de messages Microsoft 365 (MC1282568), il est précisé ce qui suit : “Les utilisateurs peuvent créer des passkeys liés à l’appareil et stockés dans le conteneur Windows Hello, puis s’authentifier à l’aide des méthodes Windows Hello (visage, empreinte digitale ou code PIN).”
Comment fonctionnent ces nouveaux passkeys Entra ?
Cette nouveauté s’appuie sur la norme FIDO2, développée par la FIDO Alliance, au sein de laquelle on retrouve de grandes sociétés comme Microsoft, Apple, Google, Samsung et Amazon. Les clés d’accès générées sont stockées localement et de façon sécurisée. Cette méthode présente l’avantage d’être résistante au phishing, car une passkey est liée de façon cryptographique à l’appareil.
La documentation de Microsoft propose un comparatif intéressant entre les clés d’accès Microsoft Entra pour se connecter à Windows et Windows Hello Enterprise en lui-même. Voici le tableau que vous pourrez y trouver :
| Fonctionnalité | Clé d’accès Microsoft Entra sur Windows | Windows Hello Entreprise |
|---|---|---|
| Base standard | FIDO2 | FIDO2 pour l’authentification, protocole 1P (first-party) pour la connexion de l’appareil |
| Inscription | Initié par l’utilisateur, ne nécessite pas de jointure ou d’inscription d’appareil | Provisionné automatiquement sur certains appareils joints à Microsoft Entra ou inscrits lors de l’inscription de l’appareil |
| Connexion de l’appareil et authentification unique (SSO) | N/A | Active la connexion de l’appareil et l’authentification unique aux ressources intégrées à Microsoft Entra après la connexion de l’appareil |
| Type de clé de passe | Lié à l’appareil | Lié à l’appareil |
| Liaison d’informations d’identification | Lié à l’appareil et stocké dans le conteneur Windows Hello local. Les utilisateurs peuvent inscrire plusieurs clés secrètes pour plusieurs comptes professionnels ou scolaires sur le même appareil. | Principalement une méthode de connexion liée à l’appareil basée sur la confiance de l’appareil. Les informations d’identification sont liées uniquement au compte professionnel ou scolaire utilisé pour inscrire l’appareil. |
| Gestion | Stratégie des méthodes d’authentification de Microsoft Entra ID | Microsoft Intune Stratégie de groupe |
La firme de Redmond indique d’ailleurs que sa documentation sera prochainement actualisée pour tenir compte du déploiement de cette nouveauté.
“Les clés d’accès Microsoft Entra sous Windows ne nécessiteront plus d’autorisation explicite via l’ajout des AAGUID de Windows Hello à la liste blanche dans un profil de clé d’accès (FIDO2). Cela marque un changement par rapport au comportement de la préversion publique, où les administrateurs devaient explicitement autoriser les AAGUID de Windows Hello dans un profil de clé d’accès pour que les clés d’accès Microsoft Entra sous Windows puissent fonctionner.”, précise Microsoft.