À partir de la fin avril, Microsoft lancera un support pour les passkeys, permettant une authentification sans mot de passe résistante à la phishing, sur les ressources protégées par Microsoft Entra pour les dispositifs Windows.
Cette fonctionnalité devrait être disponible en général d’ici mi-juin 2026, étendant l’authentification sans mot de passe aux dispositifs Windows non gérés.
Les passkeys d’Entra sur Windows prendront en charge les dispositifs corporatifs, personnels et partagés, avec des contrôles administratifs via les politiques d’accès conditionnel et de méthodes d’authentification.
Les utilisateurs pourront créer des passkeys liées aux appareils, stockées dans le conteneur Windows Hello, et s’authentifier par le biais de méthodes telles que la reconnaissance faciale, les empreintes digitales ou un code PIN.
Cette avancée vise à renforcer la sécurité des dispositifs non enregistrés ou non joints à Microsoft Entra, réduisant ainsi la dépendance aux mots de passe dans divers scénarios d’utilisation.
La nouvelle fonctionnalité sera accessible aux organisations ayant activé Microsoft Entra ID avec passkeys dans leur politique de méthodes d’authentification, à condition que les politiques d’accès conditionnel l’autorisent. Cela inclut les dispositifs gérés par l’entreprise, personnels ou partagés.
Les passkeys FIDO2 seront stockées dans un conteneur de données sécurisé sur l’appareil, exclusivement utilisées pour s’authentifier sur Microsoft Entra ID via Windows Hello.
| Fonctionnalité | Microsoft Entra passkey sur Windows | Windows Hello for Business |
|---|---|---|
| Base standard | FIDO2 | FIDO2 pour authentification, premier protocole (1P) pour connexion à l’appareil |
| Enregistrement | Initié par l’utilisateur, sans besoin d’enregistrement d’appareil | Provisionné automatiquement sur certains appareils joints ou enregistrés à Microsoft Entra |
| Connexion d’appareil et SSO | N/A | Permet la connexion d’appareil et le SSO aux ressources intégrées à Microsoft Entra |
| Liaison d’identifiants | Liés à l’appareil, stockés dans le conteneur local Windows Hello | Méthode de connexion principalement liée à la confiance de l’appareil |
| Gestion | Politique de méthodes d’authentification de Microsoft Entra ID | Microsoft Intune, Politique de Groupe |
De plus, les passkeys sont cryptographiquement liées à chaque appareil et ne sont jamais envoyées sur le réseau, ce qui empêche leur vol lors d’attaques de phishing ou de malware.
Bien que les raisons de l’ajout de cette fonctionnalité restent floues, les passkeys d’Entra sur Windows comblent une lacune de sécurité pour les dispositifs personnels et partagés, auparavant dépendants d’une authentification par mot de passe.
Récemment, des acteurs malveillants ont ciblé de manière intense les comptes SSO de Microsoft Entra à l’aide de données d’identification volées, entraînant une série d’attaques sur les données SaaS.
En octobre 2024, Microsoft a annoncé qu’il renforcerait encore la sécurité des locataires Entra en rendant l’enregistrement à l’authentification multifactorielle (MFA) obligatoire, dans le cadre de son initiative Secure Future, lancée en novembre 2023.
Par ailleurs, en mai 2025, la société a indiqué que tous les nouveaux comptes Microsoft seraient par défaut « sans mot de passe » pour les protéger contre les attaques par force brute, par injection de données d’identification et par phishing.