Microsoft vient d’annoncer trois évolutions majeures dans Microsoft Entra ID qui vont impacter directement la posture de sécurité de votre organisation. Ces changements de sécurité Microsoft Entra ID ne sont pas optionnels : ils s’imposent avec un calendrier précis, que nous détaillons dans cet article. Microsoft recommande d’agir dès maintenant afin d’éviter des interruptions d’accès ou des difficultés lors des déploiements.

Le calendrier 2026/27 en un coup d’œil

Avant d’entrer dans le détail, voici les échéances à retenir pour ces trois changements de sécurité Entra ID :

Changement n°1 : la dépréciation des Custom Controls au profit d’External MFA

Custom Controls vs External MFA : ce qui change

Microsoft déprécie la fonctionnalité Custom Controls présente dans les règles d’accès conditionnel, au profit d’External MFA, passée en disponibilité générale le 25 mars 2026. Cette fonctionnalité, anciennement connue sous le nom d’External Authentication Methods (EAM), repose nativement sur OpenID Connect (OIDC). De son côté, Custom Controls permettait d’intégrer un fournisseur MFA tiers (par exemple Cisco Duo) dans le flux d’authentification Entra ID.

Jusqu’à présent, les organisations qui souhaitaient utiliser un fournisseur MFA tiers avec Entra ID avaient deux options :

• Les Custom Controls. Ce mécanisme redirige l’utilisateur vers un service externe lors de l’évaluation de la règle, puis retourne un simple signal binaire. Il ne s’appuie pas sur OIDC, ne génère pas de claim MFA exploitable par Entra ID et ne permet donc pas de satisfaire les politiques Conditional Access exigeant une authentification multifacteur. En pratique, une solution limitée et difficilement pérenne.
• La fédération via AD FS. Le fournisseur MFA tiers s’intégrait directement à l’IdP fédéré. Fonctionnel, mais dépendant d’une infrastructure on-premises que Microsoft pousse les organisations à abandonner.

External MFA apporte une intégration OIDC standardisée : le fournisseur tiers devient une méthode d’authentification reconnue nativement par Entra ID. Le MFA externe peut ainsi satisfaire l’exigence « Require multifactor authentication » dans les politiques d’accès conditionnel.

À noter : la principale limite d’External MFA. External MFA n’est pas compatible (pour le moment) avec les Authentication Strengths. Une méthode MFA externe ne permet donc pas de satisfaire les politiques d’accès conditionnel reposant sur le contrôle « Require authentication strength ».

Calendrier de dépréciation des Custom Controls

Deux échéances structurent la fin de vie des Custom Controls :

• 30 septembre 2026 : les Custom Controls entrent en phase de retrait. Il ne sera plus possible de les adopter pour de nouveaux scénarios, tandis que les configurations existantes resteront fonctionnelles jusqu’à leur suppression définitive.
• Mai 2027 : suppression complète.

Les configurations existantes continueront de fonctionner pendant la période de transition, mais la fenêtre de migration reste courte. Il est recommandé d’anticiper ce changement dès que possible si vous êtes concernés.

Migrer vers External MFA : les actions à mener

Pour préparer cette migration sereinement, plusieurs étapes sont à planifier :

• Inventorier toutes les politiques d’accès conditionnel utilisant des Custom Controls.
• Vérifier la compatibilité de votre fournisseur MFA tiers avec External MFA et récupérer les trois paramètres de configuration :
  • Application ID
  • Client ID
  • Discovery URL
• Créer la méthode External MFA dans Entra ID.
• Déployer en parallèle : créer une nouvelle règle d’accès conditionnel utilisant « Require multifactor authentication » en lieu et place du Custom Control, tester avec un groupe pilote, puis basculer progressivement les utilisateurs vers cette nouvelle règle.

Besoin d’aide ? Microsoft publie deux guides pour vous accompagner : la gestion des méthodes d’authentification externes et la migration des Custom Controls vers External MFA.

Changement n°2 : SSPR, des méthodes d’authentification désormais explicitement enregistrées

SSPR : ce qui change pour vos utilisateurs

C’est probablement le changement au plus fort impact pour vos utilisateurs. Jusqu’à présent, le SSPR (Self-Service Password Reset) permettait à un utilisateur de réinitialiser son mot de passe à partir d’un numéro de téléphone ou d’une adresse e-mail renseignés dans ses attributs d’annuaire.

Ces informations étaient souvent ajoutées automatiquement lors de l’onboarding, sans action explicite de l’utilisateur. Un numéro professionnel saisi par un administrateur pouvait donc suffire à autoriser une réinitialisation de compte, sans validation préalable par l’utilisateur concerné. Cette faiblesse, longtemps acceptée, est désormais corrigée.

À partir du 7 septembre 2026, un numéro de téléphone ou une adresse e-mail renseignés uniquement dans les attributs utilisateur ne permettront plus de réinitialiser un mot de passe via SSPR. Microsoft impose que la réinitialisation de mot de passe en libre-service n’accepte plus que des méthodes explicitement enregistrées par l’utilisateur via l’URL aka.ms/mysecurityinfo. Parmi elles, on retrouve notamment le push MFA via Microsoft Authenticator, le SMS, etc.

Calendrier d’application du nouveau SSPR

La bascule s’effectue en deux temps :

• 6 juillet 2026 : début d’une campagne d’enregistrement automatique. Les utilisateurs affectés sont invités à enregistrer leurs méthodes d’authentification à chaque connexion.
• 7 septembre 2026 : enforcement complet.

Préparer le SSPR : les actions à mener

Pour limiter l’impact sur vos utilisateurs, anticipez les actions suivantes :

• Analyser les méthodes MFA actuellement utilisées depuis le centre d’administration Microsoft Entra, via le rapport d’utilisation des méthodes d’authentification, afin d’identifier les utilisateurs dépendant uniquement d’attributs non enregistrés.
• Activer, si ce n’est pas déjà fait, la campagne d’enregistrement SSPR afin d’inciter les utilisateurs à déclarer leurs méthodes d’authentification dès leur prochaine connexion, sans attendre le 6 juillet.
• Mettre en place un processus d’assistance helpdesk pour accompagner les utilisateurs qui ne peuvent pas s’enregistrer eux-mêmes ou rencontrent des difficultés.

Pour aller plus loin, consultez le guide Microsoft sur la mise en place du SSPR.

Changement n°3 : l’accès conditionnel s’étend à Windows Hello for Business et macOS Platform SSO

Accès conditionnel : ce qui change au provisioning

À compter du 6 juillet 2026, les politiques d’accès conditionnel ciblant l’action utilisateur « Register security information » s’appliqueront aussi à deux flux de provisioning jusqu’ici exclus par défaut :

• le provisioning de Windows Hello for Business ;
• l’enregistrement de macOS Platform Single Sign-On (SSO).

L’action « Register security information » a un rôle spécifique : elle ne protège pas une application, mais l’opération par laquelle un utilisateur enregistre ou modifie ses méthodes d’authentification dans aka.ms/mysecurityinfo.

Jusqu’à cette date, Windows Hello for Business et macOS Platform SSO utilisaient des flux de provisioning distincts, qui échappaient à cette évaluation d’accès conditionnel. Avec cette évolution, Microsoft aligne ces flux sur le même moteur d’évaluation. Lorsqu’un appareil tente de provisionner l’une de ces deux méthodes, Entra ID évalue d’abord les politiques d’accès conditionnel ciblant « Register security information », puis autorise ou bloque la création du passwordless.

Le risque à anticiper. Une politique « Register security information » trop restrictive pourrait empêcher un utilisateur de finaliser la configuration de Windows Hello for Business ou de macOS Platform SSO lors de l’installation de son poste.

Auditer vos politiques : les actions à mener

Deux précautions s’imposent avant l’échéance :

• Auditer vos politiques d’enregistrement et vous assurer que les utilisateurs peuvent répondre aux exigences d’accès conditionnel lors de l’enrôlement et de la configuration de l’appareil.
• Tester ces règles en mode report-only uniquement avant leur application effective, comme le recommande Microsoft.

Conclusion

Testez vos politiques « Register security information » en mode report-only avant le 6 juillet 2026, afin de vérifier qu’elles n’empêchent pas l’enrôlement des appareils.

Ces évolutions confirment une nouvelle fois la direction prise par Microsoft : renforcer les contrôles de sécurité autour des identités tout en supprimant progressivement les mécanismes historiques devenus moins robustes. Même si certaines échéances paraissent encore lointaines, les travaux d’analyse, de communication et de tests doivent commencer dès maintenant. Attendre les dates d’enforcement risquerait de transformer ces changements de sécurité en véritables incidents opérationnels.

À vous de jouer !

Retrouvez l’annonce officielle sur le blog Microsoft Entra.

FAQ : vos questions sur les changements de sécurité Entra ID

Les Custom Controls vont-ils cesser de fonctionner immédiatement ?

Non. À partir du 30 septembre 2026, il ne sera plus possible de les adopter pour de nouveaux scénarios, mais les configurations existantes continueront de fonctionner jusqu’à la suppression complète prévue en mai 2027.

External MFA remplace-t-il totalement la fédération AD FS ?

Pour le cas d’usage d’un fournisseur MFA tiers, oui : External MFA permet d’abandonner la dépendance à une infrastructure on-premises. Attention toutefois, External MFA n’est pas encore compatible avec les Authentication Strengths.

Que se passe-t-il si un utilisateur n’a pas enregistré ses méthodes avant le 7 septembre 2026 ?

À partir de cette date, les numéros ou adresses présents uniquement dans les attributs d’annuaire ne permettront plus de réinitialiser un mot de passe via SSPR. L’utilisateur devra passer par le helpdesk : d’où l’importance d’activer la campagne d’enregistrement en amont.

Comment éviter de bloquer la configuration de Windows Hello for Business ?

Testez vos politiques « Register security information » en mode report-only avant le 6 juillet 2026, afin de vérifier qu’elles n’empêchent pas l’enrôlement des appareils.