• [Entra] L’enregistrement de Passkeys ou clés FIDO ne fonctionnent pas par le portail MySignIns

    Je vous partage une constatation que j’ai faite chez un client lors de la mise en place de Passkeys et de clés FIDO pour la connexion sur des services portés par Microsoft Entra.  Dans ce contexte, le client voulait :

    • Donner des clés FIDO pour ses administrateurs afin de se connecter sur différents tenants et améliorer la sécurité en plus de tous les mécanismes déjà en place (postes conformes, etc.)
    • Mettre en place plusieurs clés FIDO pour la connexion avec les comptes BreakTheGlass par des administrateurs habilités afin de rehausser la sécurité de ces derniers.

    En tentant d’enregistrer la clé par le portail MySignIns, la procédure semble se passer correctement :

    On reçoit même le message spécifiant que la passkey a été sauvegardée

    Néanmoins en revenant sur le site MySignIns, la clé n’apparaît pas dans la liste des méthodes :

    Côté portail Entra, on constate l’évènement « User started security info registration » suivant dans les journaux d’audit mais sans plus de détails :

     

    Le client utilise plusieurs solutions dont l’accès conditionnel de Microsoft Entra, du contrôle de session par Microsoft Defender for Cloud Apps, etc.
    Après investigation, je constate que la désactivation du contrôle de session "Use Conditional Access App Control" configuré en mode "Monitor Only" sur la règle d’accès conditionnel, n’engendre plus le problème :

    Lors de l’utilisation du CASB, l’URL est réécrite, engendrant parfois des redirections et des pertes de workflows :

    La solution n’est néanmoins pas satisfaisante car elle revient à désactiver le contrôle de session du CASB pour l’ensemble des applications. Pour contourner le problème lors de l’activation de cette option dans les règles d’accès conditionnel, il faut positionner une « exception » sur l’application MySignIns. Ceci permet de désactiver le contrôle pour cette application cloud uniquement sans impacter les autres services comme Microsoft Teams, etc.

    Pour ce faire, ouvrez le portail Microsoft Defender XDR et naviguez dans Cloud Apps – Cloud app catalog. Recherchez MySignIns. Cliquez sur les 3 points en bout de ligne et sélectionnez Edit app details…

    Dans l’écran suivant, décochez le contrôle de session pour cette application uniquement :

    Bien que la solution ne soit pas parfaite non plus du fait que MySignIns ne sera plus sous contrôle du CASB, elle permet de limiter l’impact.

    Vous pouvez ensuite retenter l’expérience en constatant notamment que l’URL n’est plus réécrite :

    Lorsque la clé est ajoutée, la redirection vous propose de nommer la clé et finalise l’ajout :


    Vous pouvez constater l’ajout dans la liste :