Comme chaque mois, Microsoft publie sa synthèse des évolutions de l’écosystème Entra. Voici l’essentiel à retenir pour l’édition de juin 2026, avec un focus sur ce qui concerne directement les équipes Infrastructure et Sécurité.
Les nouveautés désormais disponibles (GA)
MFA résistante au phishing sur les postes Linux. Entra étend enfin sa prise en charge de l’authentification multifacteur résistante au phishing aux bureaux Linux, via le broker d’identité Microsoft. Linux rejoint ainsi Windows et macOS, avec un support couvrant Ubuntu 24.04 et 26.04 ainsi que RHEL 8, 9 et 10. Une lacune de longue date sur l’authentification multiplateforme est comblée.
Migration B2C vers External ID facilitée pour les très gros tenants. Le nouveau mode « High Scale Compatibility » (HSC) permet aux clients Azure AD B2C de basculer leurs applications vers Microsoft Entra External ID sans réenregistrer les utilisateurs ni réinitialiser les mots de passe, en conservant les identifiants B2C existants pendant la phase de coexistence. Il vise les tenants à grande échelle, généralement au-delà de 5 millions d’objets, pour lesquels la migration en masse standard n’est pas praticable. En dessous de ce seuil, le chemin de migration classique reste recommandé.
Authentification préférée par le système sur les deux facteurs. Entra ID applique désormais l’authentification préférée par le système à la fois au premier et au second facteur, dans l’état « Microsoft Managed ». Le système évalue les méthodes enregistrées de l’utilisateur et sélectionne automatiquement la plus robuste à chaque étape.
Refonte des pages « Mon compte ». Les pages Appareils, Informations de sécurité et Organisations du portail « Mon compte » ont été redessinées. La page Appareils met notamment en avant les clés de récupération BitLocker, réduisant la dépendance au support informatique. Ces mises à jour se déploient automatiquement d’ici la fin juin 2026, sans action requise des administrateurs.
Synchronisation de groupes inter-tenants. Il devient possible de synchroniser les groupes de sécurité et leurs appartenances entre plusieurs tenants, pour une gestion centralisée et un contrôle d’accès cohérent. Utile pour la collaboration comme pour étendre la gouvernance au-delà des frontières d’un tenant.
Découverte de comptes pour les applications connectées (Entra ID Governance). Les administrateurs gagnent en visibilité sur l’ensemble des comptes présents dans les applications connectées, y compris les comptes orphelins. Des rapports de découverte se génèrent directement depuis l’expérience de provisioning. Nécessite une licence Entra ID Governance ou Entra Suite.
Transitions automatisées du parrainage des identités d’agents. Grâce aux Lifecycle Workflows, lorsqu’un parrain quitte l’organisation, le parrainage d’une identité d’agent est automatiquement transféré à son responsable, garantissant la continuité et réduisant la supervision manuelle.
Adoption des passkeys via les campagnes d’enregistrement. Les campagnes d’enregistrement Entra prennent désormais en charge les passkeys (FIDO2). Les administrateurs peuvent inciter les utilisateurs à enregistrer une passkey lors de la connexion, pour accélérer leur adoption.
Désactivation d’applications. Une nouvelle option sûre, réversible et en libre-service permet aux propriétaires d’applications et aux administrateurs de désactiver une application inutilisée, dépréciée ou sous investigation, sans la supprimer. L’application cesse immédiatement de recevoir de nouveaux jetons d’accès (les jetons existants restent valides jusqu’à expiration), tout en conservant sa configuration pour une réactivation ultérieure. Idéal pour les enquêtes de sécurité ou la suspension temporaire d’une application suspecte.
Connexion résistante au phishing avec les passkeys Entra sur Windows. Les utilisateurs enregistrent des passkeys liées à l’appareil dans le conteneur Windows Hello local et s’authentifient via la biométrie ou le code PIN. Ces passkeys fonctionnent comme des identifiants FIDO2, sans nécessiter que l’appareil soit joint ou enregistré dans Entra. À noter : la connexion interactive en console Windows n’est pas prise en charge.
Les nouveautés en préversion publique
Fédération SAML sans domaine sur les tenants workforce. La fédération SAML « sans domaine » autorise les utilisateurs externes à s’authentifier avec les identifiants gérés par leur fournisseur d’identité, quel que soit leur domaine de messagerie. La correspondance de domaine entre l’e-mail de l’utilisateur et les domaines IdP préconfigurés n’est plus nécessaire.
Étiquettes de confidentialité sur les groupes de sécurité. Entra ID permet d’appliquer les étiquettes de confidentialité Microsoft Purview aux groupes de sécurité cloud, comme cela existe déjà pour les groupes Microsoft 365. Les administrateurs peuvent ainsi gouverner des comportements tels que l’accès invité, de façon cohérente entre identités et accès.
Suppression et restauration douces des appareils (Device Soft Delete). Les objets appareils peuvent désormais être placés dans un état récupérable plutôt que supprimés définitivement. Les organisations peuvent les restaurer durant une période de rétention définie, tout en préservant l’identité de l’appareil et ses artefacts de sécurité. La fonctionnalité couvre les appareils joints, enregistrés et hybrides.
Provisioning SAP SuccessFactors basé sur les identités de charge de travail. Entra remplace les couples identifiant/mot de passe à longue durée de vie par des identifiants gérés par Entra et des jetons d’accès à courte durée de vie. La mise à niveau s’effectue directement sur les tâches de provisioning existantes, sans les recréer. Cette évolution anticipe la dépréciation de l’authentification basique des API SAP SuccessFactors prévue pour novembre 2026.
Gouvernance des rôles Azure via les access packages. Les affectations de rôles Azure (niveaux Groupe d’administration, Abonnement, Groupe de ressources) suivent désormais le même modèle de demande, d’approbation et de cycle de vie que les applications et les groupes. Une avancée pour appliquer le moindre privilège et l’accès juste-à-temps à grande échelle.
Mise à jour automatisée des attributs utilisateur dans les Lifecycle Workflows. Une nouvelle tâche « User Attribute Updates » permet de définir ou d’effacer des valeurs d’attributs, y compris personnalisés, de manière sécurisée, cohérente et auditable, directement au sein des workflows.
Réponse aux incidents renforcée pour les SOC. Le rôle Entra Security Operator est étendu pour permettre aux analystes SOC de mener des actions de réponse (désactiver un utilisateur, révoquer des sessions, marquer un compte comme compromis, forcer une réinitialisation de mot de passe, supprimer une méthode d’authentification) directement depuis l’expérience RBAC unifiée de Microsoft Defender, sans escalade de privilèges pendant un incident actif. Les permissions restent limitées aux utilisateurs non-administrateurs, pour un confinement plus rapide dans le respect du moindre privilège.
Annonces et changements à anticiper
Méthodes enregistrées obligatoires pour le SSPR (à partir du 7 septembre 2026). La réinitialisation de mot de passe en libre-service n’acceptera plus que les méthodes d’authentification explicitement enregistrées. Les coordonnées issues de l’annuaire (numéros et adresses e-mail stockés comme propriétés de l’objet utilisateur) ne seront plus acceptées si elles ne sont pas enregistrées comme méthodes. Le changement concerne tous les utilisateurs, administrateurs compris. Dès le 6 juillet 2026, une campagne d’enregistrement invitera automatiquement les utilisateurs concernés à s’enregistrer. À faire côté IT : s’assurer que chaque utilisateur dispose d’au moins une méthode enregistrée avant l’échéance.
Accès conditionnel appliqué lors de l’enregistrement des identifiants (à partir du 6 juillet 2026). Les stratégies d’accès conditionnel ciblant l’action « Enregistrer les informations de sécurité » seront évaluées lors de l’enregistrement des identifiants pour Windows Hello Entreprise et le SSO de plateforme macOS. Les utilisateurs devront satisfaire les contrôles (MFA, restrictions réseau, conformité de l’appareil…) avant de finaliser l’enregistrement. L’application sera effective au plus tard le 13 juillet 2026.
Extension de la taille et du nombre de profils de passkeys. La limite de taille de la stratégie passkey (FIDO2) passe à une allocation dédiée de 20 Ko dans la stratégie des méthodes d’authentification, au lieu d’être partagée avec les autres méthodes. Le nombre maximal de profils passkeys par tenant passe par ailleurs de 3 à 10, pour plus de souplesse dans les scénarios de ciblage avancé.
Nouvelles ressources
Guide d’exploitation Global Secure Access. Ce nouveau guide accompagne l’exploitation de GSA à grande échelle après le déploiement : alerting, contrôles de santé, gestion du changement, métriques et playbooks de reprise, avec des requêtes KQL et des modèles prêts à l’emploi. Des guides spécifiques couvrent Private Access, Internet Access, Remote Networks et Microsoft Traffic.
