📘 Authentification Microsoft 365 & Protocoles

🧭 Vue d’ensemble

Microsoft 365 (via Azure AD / Entra ID) prend en charge plusieurs méthodes d'authentification. Chaque méthode repose sur des protocoles spécifiques selon qu'elle concerne une authentification utilisateur, applicative, ou multifactorielle.

🔐 MĂ©thodes d’Authentification et Protocoles

MĂ©thode Type Protocoles DĂ©tails
Application (app-only) Machine-to-Machine OAuth2 (Client Credentials) Client_id + secret ou certificat
Mot de passe seul Utilisateur OAuth2 + Password Grant Déconseillé sans MFA
SMS / Appel téléphonique MFA Utilisateur OAuth2 + Azure MFA Second facteur
App mobile Authenticator MFA Utilisateur OAuth2 + TOTP ou Push App Microsoft
FIDO2 (clé / biométrie) Passwordless FIDO2 (WebAuthn + CTAP) + OAuth2 Sans mot de passe
Carte Ă  puce / certificat (CBA) Utilisateur TLS + X.509 + CBA/ADFS Authentification par certificat
Windows Hello for Business Passwordless FIDO2, Kerberos, OAuth2 SSO + biométrie
Security Key (Yubikey) Utilisateur FIDO2 (WebAuthn) Authentification forte

🔄 SchĂ©ma Textuel

Utilisateur → Application (Outlook, WebApp) → Redirection vers Azure AD
      |
      └→ Azure AD demande authentification :
             ├─ Password
             ├─ Password + MFA
             ├─ FIDO2
             ├─ Certificat
             └─ App-only OAuth2

Azure AD → dĂ©livre un Token (JWT) → Application → Microsoft 365 APIs

📌 Protocoles utilisĂ©s

ProtocoleRĂŽle
OAuth2Authentification / Autorisation
OIDCExtension OAuth2 pour l’identitĂ©
FIDO2 / WebAuthnAuthentification forte sans mot de passe
TLS + X.509Authentification par certificat
TOTP / PushFacteur secondaire via Authenticator

✅ Recommandations

BesoinMéthode recommandée
Authentification utilisateur sécuriséeFIDO2 ou MFA
Sans mot de passeFIDO2 ou Windows Hello
Service-to-serviceOAuth2 client credentials
Environnement entreprise avec certificatsCBA (Certificate-Based Authentication)

📎 À retenir