Calipia : le blog

Microsoft vient de modifier sa feuille de route concernant l’intégration des passkeys FIDO2 dans les campagnes d’enregistrement Microsoft Entra. L’annonce, publiée le 14 avril 2026 sous la référence MC1279092, mérite l’attention des équipes IAM et des DSI qui pilotent leur stratégie d’authentification sans mot de passe : les changements automatiques qui s’appliquent à certains tenants éligibles à partir de mi-mai 2026 peuvent surprendre si l’on n’y est pas préparé.

Ce qui change par rapport aux annonces précédentes

L’annonce initiale (MC1253746) prévoyait que les passkeys FIDO2 atteindraient la disponibilité générale comme méthode d’authentification ciblée dans les campagnes d’enregistrement en état « Enabled ». Ce n’est plus le cas. Microsoft indique poursuivre le raffinage de la logique d’éligibilité qui détermine quand un utilisateur doit recevoir une invitation à s’enregistrer avec un passkey lors de sa connexion. En clair : l’expérience n’est pas encore jugée suffisamment affinée pour être imposée dans tous les contextes.

En attendant, les passkeys FIDO2 avancent en tant que méthode ciblée, mais uniquement dans l’état « Microsoft Managed », et exclusivement pour les tenants qui répondent à un ensemble de critères d’éligibilité précis.

Quand et pour qui

Le déploiement en état Microsoft Managed débutera en mi-mai 2026 et devrait se terminer fin juin 2026. Il s’applique de façon incrémentale aux tenants éligibles sans action préalable requise de l’administrateur, ce qui est précisément ce qui peut créer des surprises dans les SI mal suivis.

Les conditions cumulatives pour être dans le scope sont les suivantes : la méthode d’authentification Passkeys (FIDO2) doit être activée dans le tenant ; l’option « Allow self-service setup » doit être activée ; aucune restriction AAGUID ne doit être configurée (c’est-à-dire que le tenant n’a pas restreint les passkeys à des équipements certifiés spécifiques) ; la campagne d’enregistrement doit être en état « Microsoft Managed » ; et le tenant doit compter au moins un utilisateur activé à la fois pour les passkeys synchronisés (Synced) et les passkeys liés à l’appareil (Device-bound).

Si ces cinq conditions sont toutes réunies, le tenant est impacté. Si l’une d’entre elles n’est pas remplie, rien ne se passe.

Les paramètres de campagne qui seront automatiquement modifiés

Pour les tenants qui remplissent tous les critères, Microsoft procédera à quatre modifications automatiques des paramètres de la campagne d’enregistrement, sans intervention de l’administrateur :

La méthode d’authentification ciblée passera de Microsoft Authenticator à Passkeys (FIDO2). Le délai de report autorisé (snooze) passera de 3 jours à 1 jour, et ce paramètre ne sera plus configurable. L’option « Limited number of snoozes » passera de Enabled à Disabled, et ne sera plus configurable non plus. Le ciblage par défaut des utilisateurs s’élargira : au lieu de cibler les utilisateurs utilisant des appels vocaux ou des SMS, la campagne visera tous les utilisateurs capables de réaliser une MFA.

Ce dernier point mérite une attention particulière. Un tenant qui avait soigneusement ciblé sa campagne sur une population limitée peut voir le périmètre s’élargir automatiquement à l’ensemble des utilisateurs MFA-capables. Pour les environnements avec des segments de population hétérogènes (par exemple des utilisateurs en environnement Frontline ou sous contrainte de conformité), cela peut générer des frictions inattendues.

Ce que verront les utilisateurs

Une fois les modifications entrées en vigueur, les utilisateurs ciblés commenceront à recevoir des invitations à s’enregistrer avec un passkey lors de leur connexion, immédiatement après avoir complété leur MFA. Seuls les utilisateurs activés pour les deux types de passkeys (synchronisés et liés à l’appareil) et sans restrictions de profil passkey configurées seront concernés par ces invitations.

La réduction du délai de 3 jours à 1 jour est un signal clair de la volonté de Microsoft d’accélérer le taux d’enregistrement : les utilisateurs auront moins de latitude pour repousser l’invitation à la prochaine connexion.

Ce que les équipes doivent faire maintenant

Microsoft précise qu’aucune action n’est requise dans l’immédiat. C’est vrai sur le plan technique. C’est plus discutable sur le plan de la gouvernance.

Pour les tenants qui veulent anticiper correctement, trois vérifications s’imposent avant mi-mai. D’abord, auditer la configuration des campagnes d’enregistrement actuelles pour identifier si le tenant remplit les cinq critères d’éligibilité. Ensuite, évaluer si l’élargissement automatique du ciblage à tous les utilisateurs MFA-capables est cohérent avec la politique interne d’authentification. Enfin, préparer une communication utilisateur : une invitation à s’enregistrer avec un passkey FIDO2 arrivant sans contexte peut générer de la confusion ou de la méfiance, notamment chez des populations moins habituées aux clés de sécurité physiques ou aux passkeys synchronisés.

Pour les tenants qui souhaitent, à terme, activer les passkeys en état « Enabled » (le scénario complet), Microsoft rappelle les prérequis : activer les deux types de passkeys pour les utilisateurs cibles, supprimer toute restriction de profil passkey (AAGUID, attestation), et positionner la campagne en état Microsoft Managed.

Lecture pour les architectes IAM

Cet ajustement de roadmap illustre une dynamique récurrente dans les déploiements Entra : Microsoft fait évoluer ses mécanismes « Microsoft Managed » de façon à prendre en charge automatiquement une partie du travail de configuration, en échange d’une perte partielle de contrôle sur les paramètres. Les administrateurs qui laissent leurs tenants en état Microsoft Managed s’exposent à des changements comportementaux entre deux audits. Ce n’est pas nécessairement un problème, à condition que la gouvernance interne soit suffisamment outillée pour détecter ces évolutions (alertes sur les messages du centre d’administration M365, review périodique des politiques d’authentification, tests sur des tenants non-production).

La direction prise par Microsoft est claire : accélérer l’adoption des passkeys comme alternative crédible aux mots de passe et à la MFA par SMS, tout en gérant la complexité de l’enregistrement de façon de plus en plus automatisée. La disponibilité générale en état « Enabled » viendra, mais manifestement pas avant que la mécanique de nudge soit suffisamment robuste pour ne pas générer de vagues de tickets au helpdesk.

De bonnes nouvelles à mon avis pour ceux qui veulent mettre en oeuvre les passkeys le plus rapidement possible, nous vous en parlons régulièrement lors des Briefing Calipia depuis plusieurs années !