Microsoft vient d’annoncer un renforcement de l’application des stratégies Conditional Access (CA) pour certains scénarios d’authentification spécifiques, afin d’améliorer la posture de sécurité globale et de s’aligner avec l’initiative Secure Future Initiative.

1         Ce qui change

Aujourd’hui, lorsqu’un utilisateur se connecte via une application cliente qui demande uniquement :

• des scopes OIDC, ou
• un ensemble limité de scopes directory,

… les stratégies CA ciblant “All resources” ne sont pas appliquées si la stratégie comporte une ou plusieurs exclusions de ressources.

À partir du changement annoncé, ces stratégies seront tout de même appliquées, même en présence d’exclusions. L’objectif est d’assurer une cohérence totale dans l’application des politiques, quel que soit le périmètre de scopes demandé par l’application.

1.1      Calendrier

• Début du déploiement : 27 mars 2026
• Déploiement progressif sur tous les clouds jusqu’en juin 2026
  [techcommun…rosoft.com]

1.2     Qui est concerné ?

Seuls les tenants qui :

• disposent d’une stratégie CA ciblant “All resources”,
• avec une ou plusieurs exclusions de ressources,

… seront impactés.

Les tenants seront informés via le Message Center M365.

1.3      Impact pour les utilisateurs

Dans les flux d’authentification concernés, les utilisateurs pourront désormais recevoir :

• une demande de MFA,
• ou un contrôle de conformité du device (selon la stratégie CA),

… alors qu’ils pouvaient auparavant se connecter sans défi supplémentaire.

Le type exact de défi dépend des contrôles CA configurés dans les stratégies ciblant :

• All resources, ou
• spécifiquement Azure AD Graph.
  [techcommun…rosoft.com]

1.4     Actions recommandées

Pour la majorité des clients : aucune action nécessaire

La plupart des applications demandent déjà des scopes étendus et sont donc déjà soumises à l’application des stratégies CA.