Accès conditionnel : Transfert d’authentification (version préliminaire)

Le transfert d’authentification est un flux d’authentification qui simplifie la connexion inter-appareils de PC à mobile pour les applications Microsoft. Les utilisateurs peuvent utiliser un code QR dans une application Microsoft authentifiée sur leur PC pour se connecter à la même application sur un appareil mobile sans réentérer les informations d’identification. Le transfert d’authentification augmente l’engagement des utilisateurs en connectant les utilisateurs sur plusieurs plateformes.

Prerequisites

• Une licence Microsoft Entra ID P1 est requise pour chaque utilisateur soumis à des stratégies d’accès conditionnel qui gèrent le transfert d’authentification. Pour plus d’informations sur les licences, consultez Planifier un déploiement d’accès conditionnel.
• Pour créer ou modifier des stratégies d’accès conditionnel qui gèrent le transfert d’authentification, connectez-vous en tant qu’administrateur d’accès conditionnel au moins.
• Le transfert d’authentification est activé par défaut pour tous les utilisateurs. Aucune configuration initiale n’est requise pour que les utilisateurs utilisent la fonctionnalité.

Fonctionnement du transfert d’authentification

Le transfert d’authentification vous permet de transférer des revendications d’authentification d’un appareil à un autre, comme d’un PC de bureau vers un appareil mobile. Les étapes suivantes décrivent le flux :

1. Un utilisateur se connecte à une application Microsoft prise en charge sur son PC et termine toute authentification requise, y compris l’authentification multifacteur (MFA).
2. L’application affiche un code QR que l’utilisateur peut analyser avec son appareil mobile.
3. L’utilisateur analyse le code QR à l’aide d’une application Microsoft prise en charge sur son appareil mobile.
4. Microsoft Entra ID évalue toutes les stratégies d’accès conditionnel applicables pour l’application mobile cible.
5. Si les stratégies sont satisfaites, les revendications d’authentification sont transférées vers l’appareil mobile et l’utilisateur est connecté automatiquement.
6. Si les stratégies ne sont pas satisfaites, le transfert échoue et l’utilisateur est invité à se connecter manuellement sur l’appareil mobile.

Le transfert d’authentification transfère uniquement les revendications d’authentification. Les revendications liées à l’appareil, comme l’état de conformité de l’appareil, ne sont pas transférées vers l’appareil cible. L’appareil mobile doit satisfaire indépendamment à toutes les exigences d’accès conditionnel basées sur l’appareil.

Lorsqu’un utilisateur effectue un transfert d’authentification, la session est considérée comme suivie par protocole. Le suivi du protocole signifie que l’état de session persiste via les actualisations de jeton suivantes. Les tentatives de connexion suivantes au sein de la même session peuvent être soumises à l’application de la stratégie de flux d’authentification, même si elles n’utilisent pas le transfert d’authentification.

Applications prises en charge

Le transfert d’authentification est disponible pour les applications Microsoft qui prennent en charge le flux de code QR inter-appareils. Par exemple, les utilisateurs peuvent voir un code QR dans la version de bureau d’Outlook qui, lorsqu’il est scanné avec leur appareil mobile, transfère leur session authentifiée à la version mobile d’Outlook. La prise en charge varie selon l’application et la version. Consultez la documentation pertinente de l’application Microsoft pour vérifier s’il prend en charge le transfert d’authentification.

Expérience de l’utilisateur final

L’expérience de transfert d’authentification est conçue pour réduire les frictions pour les utilisateurs qui travaillent sur plusieurs appareils.

Sur le bureau (appareil source) :

• L’utilisateur est connecté à une application Microsoft prise en charge sur son PC.
• Un code QR apparaît dans l’application, offrant de transférer la session vers un appareil mobile.

Sur l’appareil mobile (appareil cible) :

• L’utilisateur ouvre une application Microsoft prise en charge et analyse le code QR.
• Si toutes les stratégies d’accès conditionnel sont satisfaites, l’utilisateur est connecté automatiquement sans réentérer les informations d’identification ou terminer à nouveau l’authentification multifacteur.
• Si aucune stratégie d’accès conditionnel n’est satisfaite pour l’appareil mobile, l’utilisateur est invité à se connecter manuellement. L’utilisateur peut avoir besoin d’effectuer l’authentification multifacteurs ou de répondre à d’autres exigences sur l’appareil mobile.

Transfert d’authentification et accès conditionnel

Pendant le transfert d’authentification, toutes les stratégies d’accès conditionnel Microsoft Entra sont évaluées. Comprendre comment les stratégies interagissent avec le transfert d’authentification vous aide à sécuriser votre organisation tout en conservant la productivité des utilisateurs.

Les revendications d'authentification se transfèrent, les revendications de l'appareil ne se transférent pas :

• Le transfert d’authentification transfère uniquement les revendications d’authentification. Il ne transfère pas les revendications liées à l’appareil, telles que l’état de conformité ou l’état managé.
• Si une stratégie d’accès conditionnel nécessite la conformité des appareils ou un appareil géré, l’appareil mobile doit répondre à ces exigences indépendamment.

L'authentification multifacteur déjà finalisée n'est pas requise de nouveau :

• Si les utilisateurs terminent l’authentification multifacteur sur leur PC, ils n’ont pas besoin d’effectuer une nouvelle authentification multifacteur sur leur appareil mobile lors du transfert d’authentification.

Les stratégies d’accès conditionnel sont évaluées avant le transfert :

• Les stratégies d’accès conditionnel sont évaluées avant la fin du transfert d’authentification. Si une stratégie n’est pas respectée pour l’appareil mobile, l’utilisateur est invité à se connecter manuellement.

Contournement MDM non-Microsoft :

• Le transfert d’authentification contourne les solutions de gestion des appareils mobiles (GPM) non Microsoft lors du transfert de l’authentification vers des appareils mobiles. Ce contournement signifie que les organisations qui s’appuient sur des solutions GPM non-Microsoft pour appliquer des contrôles d’accès peuvent avoir un écart de sécurité pendant le transfert d’authentification. Si votre organisation utilise une solution GPM non-Microsoft, envisagez de bloquer le transfert d’authentification pour les utilisateurs ou applications concernés.

Réauthentification du jeton d’actualisation principal (PRT) :

• Les utilisateurs doivent se réauthentifier sur leur PC pour lancer le transfert d’authentification, même s’ils ont des jetons de session protégés comme le jeton d’actualisation principal. Après la réauthentification sur le PC, les utilisateurs n’ont pas besoin de se réauthentifier sur l’application mobile.

Limitations connues

Passez en revue les limitations suivantes avant d’activer ou de gérer le transfert d’authentification dans votre organisation :

• Les réclamations d'appareils ne se transfèrent pas. Seules les revendications d’authentification sont transférées vers l’appareil mobile. La conformité de l’appareil, l’état managé et d’autres revendications liées à l’appareil doivent être satisfaites indépendamment sur l’appareil mobile.
• Contournement MDM non-Microsoft. Le transfert d’authentification contourne les solutions GPM non Microsoft. Les organisations qui dépendent de gPM non-Microsoft pour le contrôle d’accès mobile doivent évaluer les implications en matière de sécurité. Pour plus d’informations, consultez les instructions de confiance zéro sur le blocage du transfert d’authentification.
• Applications Microsoft uniquement. Le transfert d’authentification est disponible uniquement pour les applications Microsoft. Les applications non-Microsoft ne prennent pas en charge ce flux.
• Suivi du protocole. Une fois qu’un utilisateur effectue le transfert d’authentification, la session est suivie par protocole. D’autres tentatives de connexion au sein de la même session peuvent être soumises à des stratégies de flux d’authentification, même si elles utilisent un autre flux d’authentification.
• Réauthentification PRT requise. Les utilisateurs doivent se réauthentifier sur leur PC pour démarrer le transfert d’authentification, même avec une session de jeton d’actualisation principale existante.

Considérations relatives à la sécurité

Microsoft recommande aux organisations d’évaluer si le transfert d’authentification est nécessaire pour leurs utilisateurs. Les conseils de confiance zéro pour la protection des identités recommandent de bloquer le transfert d’authentification en tant que meilleure pratique de sécurité.

Le blocage du transfert d’authentification aide à protéger contre le vol de tokens et les attaques de relecture en empêchant l’utilisation de jetons d’appareil pour s’authentifier silencieusement sur d’autres appareils. Lorsque le transfert d’authentification est activé, un acteur de menace qui obtient l’accès à un appareil peut potentiellement accéder aux ressources sur des appareils non approuvés, en contournant l’authentification standard et les vérifications de conformité des appareils.

Tenez compte des recommandations suivantes :

• Bloquer le transfert d’authentification sauf si vous avez une justification d'entreprise documentée pour la connexion inter-appareils. Utilisez une stratégie d’accès conditionnel pour bloquer le transfert d’authentification.
• Utilisez d’abord le mode rapport uniquement pour comprendre comment le transfert d’authentification est utilisé dans votre organisation avant d’appliquer un bloc.
• Excluez les comptes d’accès d’urgence de toute stratégie qui bloque le transfert d’authentification.

Transfert d’authentification dans les journaux de connexion

Les administrateurs peuvent vérifier les journaux de connexion Microsoft Entra pour voir si les utilisateurs utilisent le transfert d’authentification pour se connecter. Les événements de transfert d’authentification apparaissent successivement, le premier événement montrant un code QR comme méthode d’authentification.

Pour vérifier l’état de suivi du protocole d’une connexion, sélectionnez l’événement de connexion et recherchez la propriété de méthode de transfert d’origine dans le volet des détails de l'activité : Connexions. Pour une session dans laquelle le transfert d’authentification a été effectué, la méthode de transfert d’origine est définie sur Transfert d’authentification.

Gérer le transfert d’authentification pour des utilisateurs et des applications spécifiques

Le transfert d’authentification est activé par défaut pour tous les utilisateurs. Les administrateurs gèrent le transfert d’authentification à l’aide de stratégies d’accès conditionnel et de la condition de flux d’authentification . Cette condition limite le transfert d’authentification à des utilisateurs, applications spécifiques ou désactive entièrement les fonctionnalités.

Le transfert d’authentification vérifie toutes les stratégies d’accès conditionnel applicables avant de connecter l’utilisateur à une application mobile. Si les conditions requises ne sont pas remplies, l’utilisateur est invité à se connecter à l’application mobile.

Pour créer une stratégie qui utilise la condition de transfert d’authentification, consultez Bloquer le transfert d’authentification avec la stratégie d’accès conditionnel.

Résolution des problèmes

Procédez comme suit pour résoudre les problèmes liés au transfert d’authentification.

Le transfert d’authentification échoue pour un utilisateur :

1. Vérifiez les journaux de connexion pour les événements de transfert d’authentification. Recherchez l’entrée de la méthode d’authentification par code QR.
2. Sélectionnez l’événement de connexion et accédez à l’onglet Accès conditionnel pour identifier les stratégies qui ont été évaluées et si le transfert a été bloqué.
3. Vérifiez que l’appareil mobile cible répond à toutes les exigences d’accès conditionnel, notamment la conformité des appareils et les stratégies d’emplacement.

Blocs inattendus après l’utilisation du transfert d’authentification :

1. Vérifiez si la connexion est bloquée par un état de suivi de protocole résultant d’une session antérieure de flux de code pour appareil ou de transfert d’authentification.
2. Dans les journaux de connexion, sélectionnez la connexion bloquée et vérifiez la propriété de méthode de transfert d’origine dans la section Informations de base . S’il affiche le transfert d’authentification ou le flux de code de l’appareil, la session a été suivie par le protocole.
3. Si votre stratégie de flux d’authentification s’applique à toutes les applications, le code AADSTS530036d’erreur peut s’afficher. Cette erreur indique que le jeton d’actualisation n’est pas valide en raison des vérifications de flux d’authentification par l’accès conditionnel.

Les utilisateurs ne peuvent pas lancer le transfert d’authentification :

• Si une stratégie d’accès conditionnel gère le transfert d’authentification pour l’utilisateur, vérifiez que l’utilisateur dispose d’une licence Microsoft Entra ID P1 attribuée.
• Vérifiez qu'aucune stratégie d'accès conditionnel ne bloque le transfert d'authentification pour le groupe de l'utilisateur ou l'application cible.
• Vérifiez que l’utilisateur utilise une application Microsoft prise en charge sur les appareils source et cible.

Pour plus d’informations sur la résolution des problèmes de flux d’authentification, consultez Résolution des problèmes de blocs inattendus.

Contenu connexe

• Bloquer le transfert d’authentification avec une stratégie d’accès conditionnel
• Accès conditionnel : flux d’authentification
• Accès conditionnel : conditions
• Planifier un déploiement d’accès conditionnel
• Conseils de confiance zéro : Protéger les identités