Mises à jour de sécurité Microsoft Entra ID : Ce que vous devriez vérifier sans trop tarder

Teruin laurent

Comme vous le savez ou pas, Microsoft prépare trois évolutions de sécurité dans Entra ID, qui s’inscrivent dans sa Secure Future Initiative. (https://www.microsoft.com/en-us/trust-center/security/secure-future-initiative)

Aucune n’est anodine : elles touchent les contrôles personnalisés (Custom controls) de l’accès conditionnel, l’enregistrement des informations d’identification, et l’application stricte de la réinitialisation de mot de passe en libre-service (SSPR).

Si vous utilisez ces fonctionnalités ,mieux vaut s’y préparer pour éviter les blocages d’utilisateurs et l’afflux de tickets au support.

1. Fin des « Custom controls » de l’accès conditionnel

Les contrôles personnalisés (qui redirigeaient l’utilisateur vers un service externe pour satisfaire une exigence d’authentification) sont en voie de dépréciation :

  • À partir de septembre 2026, il ne sera plus possible d’en créer de nouveaux ni de modifier ceux existants.
  • Le retrait complet est prévu début 2027.

Je vous conseille donc de planifier dès maintenant la migration vers les méthodes MFA externes et les méthodes d’authentification (authentication strengths) intégrées à l’accès conditionnel, qui remplacent ce mécanisme.

2. L’accès conditionnel s’applique désormais à l’enregistrement des identifiants

À partir du 6 juillet 2026, les stratégies d’accès conditionnel ciblant l’action « Enregistrer les informations de sécurité » s’appliqueront aussi lors de l’enregistrement des identifiants Windows Hello Entreprise et Platform SSO macOS. Jusqu’ici, ces parcours d’enregistrement échappaient à ces stratégies — un angle mort de sécurité que Microsoft vient combler.

Concrètement, après cette date, un utilisateur qui enregistre ces identifiants devra satisfaire les contrôles d’octroi de la stratégie (force d’authentification, emplacement approuvé, méthode MFA spécifique, etc.) avant de terminer l’enrôlement. À noter : le MFA reste exigée par défaut pour tout enregistrement d’identifiant sans mot de passe, qu’une stratégie soit configurée ou non. Les organisations sans stratégie ciblant cette action ne sont pas concernées.

La liste de vos tâches.

  • Repérer les stratégies dont la cible est Actions utilisateur > Enregistrer les informations de sécurité.
  • Vérifier leurs contrôles d’octroi et le périmètre d’utilisateurs concernés.
  • S’assurer qu’un utilisateur configurant un nouvel appareil pourra satisfaire les exigences (sinon, ajuster les conditions ou prévoir des exclusions ; le Temporary Access Pass est utile pour l’amorçage).
  • Tester en mode rapport seul (report-only) avant l’entrée en vigueur.

3. Le SSPR n’acceptera plus que les méthodes enregistrées

Aujourd’hui, certains utilisateurs peuvent réinitialiser leur mot de passe à partir de coordonnées présentes dans l’annuaire (mobile, téléphone professionnel, e-mail secondaire) même si elles n’ont pas été enregistrées comme méthodes d’authentification de confiance. Ce comportement disparaît (avis MC1325414). Ces coordonnées pourront toujours servir, mais uniquement une fois enregistrées comme méthodes fiables.

Calendrier des changements annoncés par Microsoft :

  • 6 juillet 2026 : début des invitations aux utilisateurs concernés à enregistrer leurs méthodes.
  • 7 septembre 2026 : début de l’application stricte — les méthodes non enregistrées cesseront de fonctionner.
  • Septembre 2026 : disponibilité générale.

Microsoft indique que 86 % des utilisateurs SSPR s’appuient déjà sur des méthodes enregistrées : la majorité ne verra aucun changement. Le risque concerne ceux qui dépendent encore d’anciens attributs de contact ; après l’application stricte, leurs tentatives de réinitialisation échoueront tant qu’ils n’auront pas enregistré une méthode valide.

Ce que vous devez faire :

  • Dans le centre d’administration Entra, vérifier la couverture SSPR via Méthodes d’authentification > Détails d’inscription des utilisateurs.
  • S’assurer que chaque utilisateur dispose d’au moins une méthode enregistrée conforme à la stratégie SSPR.
  • Porter une attention particulière aux comptes d’administration : la perte d’accès à la réinitialisation pour des comptes à privilèges crée des risques de sécurité et de support plus importants.

Si l’on résume

ChangementDate cléAction prioritaire
Fin des Custom controlsSept. 2026 (gel) → début 2027 (retrait)Migrer vers MFA externe / forces d’authentification
Accès conditionnel à l’enregistrement6 juillet 2026Revoir les stratégies « Enregistrer les infos de sécurité », tester en report-only
SSPR : méthodes enregistrées uniquementInvites 6 juil. → application 7 sept. 2026Garantir une méthode enregistrée par utilisateur, surveiller les comptes admin

L’article original : https://techcommunity.microsoft.com/blog/microsoft-entra-blog/microsoft-entra-id-security-updates-what-organizations-need-to-do-now/4522024

Publié par Teruin laurent

Laisser un commentaire