Passkeys Android 14 : résoudre l’impossibilité d’utiliser Microsoft Authenticator sur Samsung Galaxy Tab S9 FE (One UI 6)

Vous n’arrivez pas à utiliser Microsoft Authenticator comme fournisseur de passkeys sur une Galaxy Tab S9 FE (Android 14 / One UI 6) ? Ce guide pratique explique les causes, la logique sous‑jacente côté Android et les étapes fiables pour rétablir l’invite Microsoft dans les flux WebAuthn.

Contexte et périmètre

Sur Android 14, la gestion des passkeys (FIDO2/WebAuthn) s’appuie sur l’API Credential Manager. Cette couche sélectionne dynamiquement un fournisseur de jetons (Google Password Manager, Microsoft Authenticator, Samsung Pass/Wallet, etc.) pour répondre aux demandes d’un navigateur ou d’une application. Sur certains appareils Samsung sous One UI 6, vous pouvez constater que l’Authenticator n’apparaît pas ou n’est pas invoqué, même s’il est configuré par défaut. L’article détaille : symptômes, causes les plus probables et une procédure de résolution pas‑à‑pas éprouvée.

Symptômes typiques observés

• Dans les paramètres Android, Microsoft Authenticator est défini comme service par défaut pour « Mots de passe, clés d’accès et saisie auto », et l’option Saisie auto est activée dans l’application. Pourtant, lors d’un enregistrement de passkey, le système ne propose pas ce fournisseur.
• Après création manuelle d’une passkey dans Authenticator via Configurer sur cet appareil, une tentative d’authentification par QR Code continue d’appeler Google Credential Manager (ou Samsung Pass/Wallet) au lieu d’Authenticator.
• L’ancien indicateur navigateur edge://flags/#web-authentication-android-credential-management a disparu ; les versions récentes n’en ont plus besoin, mais le comportement attendu n’est pas au rendez‑vous.

Ce qu’il faut comprendre côté Android

Android 14 a unifié les parcours d’authentification via l’API Credential Manager. Trois éléments conditionnent quel fournisseur s’affiche :

1. Le service préféré de crédentials déclaré au niveau système (Paramètres > Mots de passe et clés d’accès).
2. La disponibilité effective du fournisseur : version, activation des fonctionnalités en préversion, capacités WebAuthn côté app.
3. La politique OEM et du profil : One UI peut prioriser Samsung Pass/Wallet ; un Work Profile (Android Enterprise) ou une politique MDM peut aussi imposer Google.

Si l’un de ces points n’est pas pleinement aligné, le chooser d’Android bascule vers un autre fournisseur disponible, d’où l’expérience incohérente.

Causes probables (et comment les reconnaître rapidement)

Piste	Explication succincte	Indicateurs / Signes
a. Implémentation du Credential Manager	Depuis Android 14, toutes les passkeys passent par l’API ; chaque fournisseur doit déclarer ses capacités et être reconnu.	Le dialogue système affiche uniquement Google ou Samsung ; Authenticator ne figure pas dans la liste au moment de l’invite.
b. Limitation Samsung One UI	One UI active ses services maison (Samsung Pass / Wallet) et peut ré‑attribuer le fournisseur préféré après une mise à jour.	Après redémarrage ou mise à jour système, Samsung Pass reprend la main ; le sélecteur repasse sur Samsung malgré votre choix.
c. Version de l’application	Le support des passkeys dans Microsoft Authenticator est en preview ; il faut une version récente (≥ 6.24.05/06xxx) et parfois rejoindre la bêta.	Le menu Fonctionnalités en préversion n’existe pas ou l’option « Utiliser Authenticator pour les passkeys » est absente/inactive.
d. Navigateur / WebAuthn	Chrome / Edge récents (≥ v125) invocent correctement les fournisseurs tiers via Credential Manager ; plus de flag nécessaire.	Sur un navigateur non à jour, l’invite n’offre que Google ; vider cache/forcer l’arrêt rétablit parfois l’option manquante.

Checklist d’environnement avant dépannage

• Appareil : Samsung Galaxy Tab S9 FE, Android 14, One UI 6.0.
• Navigateur principal : Chrome ou Microsoft Edge en version 125 ou ultérieure.
• Microsoft Authenticator : version récente, idéalement preview/bêta ≥ 6.24.06xxx, avec Saisie auto activée.
• Autres gestionnaires : Google Password Manager et Samsung Pass/Wallet présents ? Noter leur état (activé/désactivé).
• Profil de travail/MDM : si l’appareil est géré, vérifier que la stratégie n’impose pas un fournisseur spécifique.

Procédure de résolution pas‑à‑pas

Vérifier et forcer le fournisseur par défaut

1. Ouvrez Paramètres > Mots de passe et clés d’accès (ou Gestion des mots de passe selon One UI).
2. Choisissez Service préféré et sélectionnez Microsoft Authenticator.
3. Revenez puis ouvrez Remplissage automatique : assurez‑vous que Microsoft Authenticator est coché.
4. Si Google ou Samsung réapparaît après validation : désactivez temporairement ces services (voir section suivante).

Neutraliser Samsung Pass / Samsung Wallet (temporairement)

Pour éviter que One UI ne « reprenne » l’association :

1. Paramètres > Applications > rechercher Samsung Pass et Samsung Wallet.
2. Ouvrir la fiche > Désactiver (ou Forcer l’arrêt + Supprimer les mises à jour si Désactiver n’est pas proposé).
3. Redémarrer la tablette.
4. Repasser Microsoft Authenticator en Service préféré (comme ci‑dessus).

Astuce : si vous devez conserver Samsung Wallet pour d’autres usages, réactivez‑le après avoir validé le fonctionnement d’Authenticator ; dans bien des cas, Android conserve votre fournisseur actif.

Rejoindre/activer la bêta Microsoft Authenticator

1. Ouvrez le Play Store et accédez à la page de l’application Microsoft Authenticator.
2. Inscrivez‑vous au Programme bêta, attendez l’activation, puis mettez à jour l’application en preview.
3. Dans Microsoft Authenticator > Paramètres > Fonctionnalités en préversion, activez Utiliser Authenticator pour les passkeys.
4. Vérifiez également que Saisie auto est activée et que l’app a les autorisations « remplissage auto ».

Mettre à jour et « réinitialiser » le navigateur

1. Assurez‑vous d’avoir Chrome ou Edge en version 125+ (Android 14).
2. Si le mauvais fournisseur s’affiche encore, allez dans Paramètres > Applications > Chrome/Edge :
3. Exécutez Forcer l’arrêt, puis Stockage > Vider le cache (inutile d’effacer les données de l’appli).
4. Relancez le test d’authentification (voir section « Scénarios de test »).

Réinitialiser les associations de liens

Certains parcours QR/liaisons d’URL (passkey://) peuvent s’ouvrir via Google Credential Manager. Pour remettre à plat :

1. Paramètres > Applications > ⋮ (menu) > Applications par défaut > Lier aux URL.
2. Repérez tout choix par défaut attribué à Google Credential Manager ou Samsung Wallet pour les schémas liés aux passkeys et supprimez‑le.
3. Au prochain parcours, Android vous redemandera quel fournisseur utiliser ; choisissez Microsoft Authenticator et cochez « Toujours » si proposé.

Créer et valider une passkey « locale » de contrôle

1. Dans Microsoft Authenticator : Configurer sur cet appareil pour créer une passkey de test.
2. Puis, dans un site/app compatible FIDO2 (idéalement un tenant de test Entra ID), déclenchez un enregistrement de passkey : le chooser Android doit proposer Microsoft Authenticator en premier choix.
3. Validez ensuite un login par QR (passkey sur un autre appareil) pour vérifier que l’invocation ne repasse pas par Google Credential Manager.

Tableau de décision rapide

Observation	Action immédiate	Étape suivante si échec
Authenticator n’apparaît pas dans la liste des fournisseurs	Le définir en Service préféré + activer Saisie auto	Désactiver temporairement Samsung Pass/Wallet, redémarrer
L’invite passe toujours par Google Credential Manager	Vider cache + forcer l’arrêt du navigateur	Supprimer les associations de liens / réinitialiser défauts
Option passkeys absente dans Authenticator	Rejoindre la bêta, mettre à jour ≥ 6.24.06xxx	Vérifier profil professionnel/MDM, politiques de sécurité
Ça marche après redémarrage puis « re‑regresse »	Vérifier que Samsung Pass ne se réactive pas	Désactiver Pass/Wallet et revalider l’association par défaut

Scénarios de test reproductibles

Pour objectiver le résultat et éviter les biais, exécutez ces scénarios sur la même tablette :

1. Enregistrement local : sur un site de test FIDO2, « Créer une passkey ». Attendu : Microsoft Authenticator s’ouvre ou apparaît en premier dans le chooser.
2. Authentification par QR (passkey sur un autre appareil) : scannez le QR depuis la tablette. Attendu : l’Authenticator capture la demande, pas Google/Samsung.
3. Parcours navigateur alternatif : répétez sur Chrome puis sur Edge après cache‑clear. Attendu : comportement identique si Credential Manager est correctement configuré.

Comparatif des fournisseurs sur Android 14

Fournisseur	Intégration Credential Manager	Enregistrement & Login WebAuthn	Gestion QR / Cross‑device	Notes terrain
Google Password Manager	Natif	Stable	Très fiable	Souvent priorisé par défaut
Microsoft Authenticator	Preview en cours	OK si bêta activée	OK, parfois supplanté par Google	Nécessite version récente + réglage par défaut
Samsung Pass / Wallet	Intégration OEM	Stable sur One UI	OK	Peut reprendre la main après MAJ

Cas d’école : environnement One UI « tenace »

Vous mettez Authenticator par défaut ; tout marche. Le lendemain, Samsung Pass revient. Ce comportement est souvent lié à une mise à jour de composants One UI. La parade efficace :

1. Désactiver Samsung Pass et Samsung Wallet (au moins le temps de valider le flux Authenticator).
2. Forcer l’arrêt + vider le cache du navigateur.
3. Réaffecter Microsoft Authenticator comme Service préféré.
4. Réaliser un enregistrement et un login pour « verrouiller » le choix.

Une fois le flux validé et « routinisé », vous pouvez réactiver les apps Samsung si nécessaire ; Android conserve généralement le fournisseur effectif tant que vous ne changez pas explicitement le service préféré.

Diagnostic avancé (facultatif)

Si vous avez accès à adb (débogage USB), ces commandes non destructives peuvent aider à comprendre qui est appelé :

adb logcat | grep -iE "credman|webauthn|fido2|authenticator"

Filtrez pendant que vous lancez un parcours d’authentification ; vous verrez quel provider est choisi et si une exception est levée. Pour remettre à zéro certains défauts d’ouverture sans supprimer de données :

adb shell cmd package clear-preferred-activities com.google.android.gms
adb shell cmd package clear-preferred-activities com.samsung.android.samsungpass

Attention : ne désinstallez pas les services Google/Samsung critiques. Les commandes ci‑dessus n’effacent que les activités préférées (associations de liens).

Interférences fréquentes et parades

• Profil professionnel (Work Profile) : si Authenticator n’est installé que dans le profil perso mais que le navigateur pro déclenche l’invite, le chooser peut ne pas lister Authenticator. Installez/activez l’app dans le bon profil.
• Politiques MDM : certaines stratégies exigent Google Password Manager. Vérifiez la Device Policy et les restrictions d’authentification.
• Clonage d’apps : des fonctionnalités de clonage peuvent perturber Credential Manager. Conservez une seule instance d’Authenticator.
• Langue/région : des fonctionnalités preview sont déployées par vagues. Rejoindre la bêta accélère l’accès.

Bonnes pratiques supplémentaires

• Sauvegarder/Exporter vos passkeys depuis Google Password Manager avant les tests, pour éviter toute perte en cas de manipulation hasardeuse.
• Documenter la variante One UI : le chemin des menus diffère légèrement de la documentation générique Android ; capturez vos écrans pour vos procédures internes.
• Surveiller l’évolution de la preview : le support passkeys d’Authenticator progresse rapidement ; une mise à jour d’app ou de services Google Play peut suffire à stabiliser l’invocation.

FAQ express

« Pourquoi l’option de drapeau navigateur a disparu ? »
Parce que les versions récentes de Chrome/Edge intègrent nativement Credential Manager pour WebAuthn ; le flag de tests n’est plus requis.

« Faut‑il absolument la version bêta ? »
Sur certains appareils/versions, oui : l’option passkeys d’Authenticator reste sous Fonctionnalités en préversion. Tant qu’elle n’est pas généralisée, la bêta apporte les composants nécessaires.

« Désactiver Samsung Pass est‑il obligatoire ? »
Non, mais c’est le moyen le plus rapide d’écarter une réattribution automatique du fournisseur. Vous pouvez le réactiver après validation du flux Microsoft.

« La passkey créée dans Authenticator suffit‑elle ? »
Elle prouve la capacité locale. Mais c’est la sélection dynamique du fournisseur par Credential Manager durant les parcours WebAuthn qui compte ; d’où l’importance de l’ordre des fournisseurs et des associations de liens.

Plan de remédiation recommandé

1. Mettre à jour Edge/Chrome en 125+ ; forcer l’arrêt et vider le cache.
2. Basculer Microsoft Authenticator comme Service préféré et activer Saisie auto.
3. Rejoindre la bêta d’Authenticator et activer Utiliser Authenticator pour les passkeys.
4. Désactiver temporairement Samsung Pass/Wallet, redémarrer, puis tester enregistrement + login.
5. Réinitialiser les associations de liens si le QR invoque Google Credential Manager.
6. Documenter votre chemin One UI et consigner la version des composants au moment où cela fonctionne.

Conclusion

Le dysfonctionnement ne vient pas d’un « bug isolé », mais d’une combinaison : l’implémentation encore en preview du parcours passkeys côté Microsoft Authenticator et la priorisation des services Samsung sur One UI 6. En alignant quatre leviers — version preview d’Authenticator, choix explicite du service préféré, neutralisation provisoire de Samsung Pass/Wallet et navigateur à jour — vous obtenez, dans la grande majorité des cas, l’invocation correcte de Microsoft Authenticator comme fournisseur de passkeys sur Galaxy Tab S9 FE (Android 14).

---

Récapitulatif opérationnel

• Symptôme : le système n’affiche pas Microsoft Authenticator et invoque Google/Samsung lors des parcours WebAuthn.
• Causes : Credential Manager d’Android 14 ; priorités One UI ; version d’Authenticator encore en preview ; navigateur non à jour.
• Correctifs : service préféré = Authenticator ; bêta + activation passkeys ; Edge/Chrome 125+ avec cache vidé ; Samsung Pass/Wallet désactivé ; réinitialisation des liens.
• Validation : créer une passkey locale puis tester enregistrement + login (y compris QR) sur un tenant de démonstration.

---

Annexe : script de contrôle minimal

Si vous administrez plusieurs tablettes, ce « mini‑runbook » vous aide à fiabiliser les déploiements :

1. Installer/mettre à jour Microsoft Authenticator (bêta si disponible).
2. Activer Fonctionnalités en préversion > passkeys + Saisie auto.
3. Configurer Service préféré = Authenticator.
4. Désactiver Samsung Pass/Wallet (temporaire), redémarrer.
5. Chrome/Edge en 125+ ; forcer l’arrêt, vider le cache.
6. Créer une passkey de test dans Authenticator, puis valider un login par QR.
7. Consigner les versions : One UI, numéro d’app, version navigateur.

---

En résumé

La non‑sélection de Microsoft Authenticator comme fournisseur de passkeys sur Android 14 / One UI 6 tient à la fois à l’intégration progressive d’Authenticator avec Credential Manager et à la préférence OEM de Samsung pour ses propres services. En pratique, une mise à jour d’Authenticator en bêta, la désactivation provisoire de Samsung Pass/Wallet, le réglage du service préféré et un navigateur 125+ suffisent habituellement à corriger le comportement.