Microsoft 365 est la suite cloud productivité, communication et sécurité commercialisée par Microsoft selon un modèle SaaS (Software as a Service) par abonnement mensuel ou annuel par utilisateur. Anciennement Office 365 jusqu'en 2017, Microsoft 365 regroupe désormais les applications Office (Word, Excel, PowerPoint, Outlook), les services collaboratifs (Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams), la suite identité Entra ID (anciennement Azure Active Directory), la gestion des terminaux Intune, ainsi que la plateforme de sécurité Microsoft Defender XDR et la suite gouvernance Microsoft Purview. Avec plus de 400 millions d'utilisateurs payants en 2025 et une part de marché supérieure à 48 % sur le segment productivité cloud entreprise, Microsoft 365 est devenu l'épine dorsale numérique de la majorité des organisations européennes, de la PME à l'administration. Cette adoption massive en fait également la cible privilégiée des cybercriminels — Business Email Compromise, OAuth phishing, attaques de tokens type Storm-0558 — et impose une stratégie sécurité native combinant Conditional Access, MFA résistante au phishing, Zero Trust et conformité réglementaire (RGPD, HDS, SecNumCloud, ISO 27001). Cette page décrit l'écosystème Microsoft 365, ses plans, son architecture, ses composants sécurité et les bonnes pratiques d'audit et de durcissement.

Points clés à retenir

  • Microsoft 365 est une suite SaaS regroupant Office, Exchange, SharePoint, Teams, Defender, Purview, Intune et Entra ID, facturée par utilisateur et par mois.
  • Les plans Enterprise E5 intègrent Defender for Office 365 Plan 2, Defender for Endpoint Plan 2, Microsoft Purview avancé, Entra ID P2 et Audit Premium.
  • Entra ID (ex-Azure AD) est la fondation identité unique : tout utilisateur, application et appareil M365 y est rattaché — c'est la cible numéro 1 des attaquants.
  • Le Conditional Access et la MFA résistante au phishing (FIDO2, Windows Hello, Authenticator number matching) sont les contre-mesures principales contre BEC et token theft.
  • Microsoft Purview couvre DLP, Information Protection (étiquetage, chiffrement), eDiscovery, Insider Risk Management et Communication Compliance.
  • En France, Microsoft propose une option HDS (hébergement données santé) certifiée et un futur cloud souverain opéré avec un partenaire local pour répondre aux exigences SecNumCloud.

Qu'est-ce que Microsoft 365 ? Définition

Microsoft 365 est une plateforme de productivité et de sécurité opérée par Microsoft Corporation, construite sur l'infrastructure cloud Microsoft Azure et délivrée selon le modèle Software as a Service. Elle combine trois grands ensembles fonctionnels historiques : Office 365 (les applications de productivité et de collaboration), Windows (intégré dans certains plans Enterprise sous forme de droit d'usage Windows 10/11 Enterprise) et Enterprise Mobility + Security (EMS, regroupant Entra ID Premium, Intune et Microsoft Defender for Cloud Apps).

Contrairement aux licences perpétuelles Office 2019 / Office 2021 (LTSC) achetées une fois pour toutes, Microsoft 365 fonctionne par abonnement : les utilisateurs reçoivent en continu les mises à jour fonctionnelles, les correctifs de sécurité, et l'accès aux services cloud associés (boîte aux lettres Exchange Online, espace OneDrive, sites SharePoint, salles Teams, sandbox Defender). Microsoft 365 inclut également une infrastructure d'identité, de conformité et de protection complète qui dépasse largement la simple bureautique : Entra ID gère l'authentification unique (SSO) vers plus de 10 000 applications SaaS référencées, Intune pilote les terminaux Windows, macOS, iOS et Android, et Defender XDR corrèle les signaux sur les endpoints, les boîtes mails, les identités et les applications cloud.

L'architecture est multi-tenant : chaque organisation cliente dispose d'un tenant isolé logiquement (espace dédié, base de données séparée, clés de chiffrement distinctes), accessible via un domaine initial contoso.onmicrosoft.com puis personnalisable avec un ou plusieurs domaines vérifiés.

Histoire de Microsoft 365 : d'Office 365 à la suite unifiée

L'aventure SaaS de Microsoft débute en 2008 avec Business Productivity Online Suite (BPOS), première offre cloud regroupant Exchange Online, SharePoint Online, Office Communications Online et Office Live Meeting. BPOS est commercialisée principalement aux grandes entreprises et reste relativement confidentielle.

Le tournant a lieu le 28 juin 2011 : Microsoft lance officiellement Office 365, qui remplace BPOS et démocratise l'offre cloud avec des plans dédiés aux PME (Small Business) et aux grandes entreprises (Enterprise E1/E3/E4). Office 365 introduit la facturation par utilisateur, l'auto-provisionnement et l'intégration native d'Office Professional Plus en streaming via le mécanisme Click-to-Run.

En 2013, Microsoft ajoute les plans Office 365 Education (A2/A3/A4) et étend l'offre vers le secteur public. En 2014, Skype for Business remplace Lync, OneDrive for Business succède à SkyDrive Pro, et Power BI rejoint la suite. La fusion avec Yammer (acquis en 2012) renforce le volet réseau social d'entreprise.

Le 10 juillet 2017, Microsoft annonce la suite Microsoft 365, regroupement Office 365 + Windows 10 Enterprise + Enterprise Mobility + Security. Cette nouvelle marque vise à positionner l'éditeur comme fournisseur d'un poste de travail moderne complet plutôt qu'un simple éditeur bureautique.

En avril 2020, Microsoft renomme les plans Office 365 Business en Microsoft 365 Business pour les PME (Basic, Standard, Premium), tout en conservant la marque Office 365 pour les plans Enterprise E1/E3/E5. En 2022, l'éditeur abandonne progressivement la marque Office au profit d'« Apps » : Word, Excel, PowerPoint deviennent Microsoft 365 Apps. En 2023, Azure Active Directory est rebaptisé Microsoft Entra ID, et Microsoft Compliance Center devient Microsoft Purview. En 2024-2025, Microsoft pousse l'intégration de Copilot, son assistant IA générative, comme add-on payant à 30 USD/utilisateur/mois.

Composants principaux de Microsoft 365

La suite Microsoft 365 regroupe une trentaine de services interconnectés. Les composants fondamentaux incluent :

  • Microsoft 365 Apps (ex-Office) : Word, Excel, PowerPoint, Outlook, OneNote, Publisher, Access — versions desktop, web et mobile.
  • Exchange Online : messagerie professionnelle hébergée, calendrier, contacts, règles anti-spam Exchange Online Protection (EOP), boîtes partagées et listes de distribution.
  • SharePoint Online : intranet, sites de communication, sites d'équipe, gestion documentaire avec contrôle de version, métadonnées, workflows.
  • OneDrive for Business : stockage personnel cloud (1 To minimum, jusqu'à illimité en E5) avec synchronisation, partage externe et co-édition.
  • Microsoft Teams : plateforme de communication unifiée — chat, visio, voix, partage écran, canaux d'équipe, intégrations (Planner, Loop, Stream).
  • Microsoft Entra ID : annuaire d'identité cloud, SSO, MFA, Conditional Access, Privileged Identity Management.
  • Microsoft Intune : MDM/MAM pour Windows, macOS, iOS, Android, ChromeOS — déploiement applications, profils de configuration, conformité.
  • Microsoft Defender XDR : suite extended detection & response — Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps.
  • Microsoft Purview : gouvernance — DLP, Information Protection (étiquetage et chiffrement), eDiscovery (Premium), Insider Risk, Audit avancé.
  • Power Platform (selon plan) : Power Automate, Power Apps, Power BI Pro pour automatisation et BI.
  • Viva : suite expérience employé (Insights, Engage, Goals, Glint, Learning).

Chaque service expose une console d'administration distincte (admin.microsoft.com pour la console générale, portal.azure.com pour Entra ID, security.microsoft.com pour Defender, compliance.microsoft.com pour Purview, intune.microsoft.com pour Intune).

Plans Business, Enterprise, Education, Frontline

L'offre Microsoft 365 se structure en quatre familles principales, chacune adressant un segment de clientèle différent.

Microsoft 365 Business (PME jusqu'à 300 utilisateurs)

Trois plans Business sont disponibles :

  • Business Basic (~7,20 €/u/mois) : web et mobile uniquement (pas d'apps desktop), Exchange 50 Go, OneDrive 1 To, Teams, SharePoint.
  • Business Standard (~14,30 €/u/mois) : Basic + apps desktop Word, Excel, PowerPoint, Outlook, Access, Publisher.
  • Business Premium (~25,10 €/u/mois) : Standard + Defender for Business, Intune, Entra ID P1, Information Protection P1.

Plans Enterprise (au-delà de 300 utilisateurs ou exigences avancées)

  • Microsoft 365 E3 (~37 €/u/mois) : Apps + Exchange 100 Go + SharePoint + Teams + Entra ID P1 + Intune + Information Protection P1 + Audit standard + Windows 10/11 Enterprise.
  • Microsoft 365 E5 (~60 €/u/mois) : E3 + Defender for Endpoint Plan 2 + Defender for Office 365 Plan 2 + Defender for Identity + Defender for Cloud Apps + Purview avancé (eDiscovery Premium, Insider Risk, Communication Compliance) + Entra ID P2 + Power BI Pro + Audit Premium.
  • Office 365 E1, E3, E5 : versions sans Windows ni EMS.
  • E5 Security et E5 Compliance : add-ons à E3 pour ajouter respectivement le volet Defender ou le volet Purview sans payer le E5 complet.

Plans Éducation (A1, A3, A5) et Frontline (F1, F3)

Les plans A1, A3, A5 reproduisent l'offre Enterprise (E1, E3, E5) à des tarifs très réduits pour les établissements d'enseignement éligibles, avec des fonctionnalités propres comme Microsoft Teams for Education et Class Notebook.

Les plans Frontline F1 et F3 ciblent les travailleurs de première ligne (terrain, ateliers, magasins) à 2,10 € et 8,50 €/u/mois — accès limité (boîte 2 Go pour F1, 2 Go pour F3, applications web et mobile, Teams Walkie-Talkie, Shifts).

Tenants Microsoft 365 : architecture multi-locataire

Un tenant Microsoft 365 est une instance logique unique provisionnée pour une organisation cliente. Chaque tenant dispose d'un GUID (Tenant ID), d'un domaine initial onmicrosoft.com, d'un répertoire Entra ID isolé, d'une base de données SQL Azure dédiée pour les configurations, et de clés de chiffrement distinctes (chiffrement « par locataire » via Service Encryption with Customer Key).

Microsoft applique le principe d'isolation logique : les données d'un client A ne sont jamais accessibles à un client B, même s'ils partagent la même infrastructure physique. Les requêtes API sont filtrées au niveau du token (claim tid) et les bases de données utilisent un schéma multi-tenant avec partitionnement strict.

Les tenants peuvent être de plusieurs types : Worldwide (commercial standard), GCC et GCC High (gouvernement US), DoD (Department of Defense US), Microsoft Cloud Germany (historique, fermé) ou Microsoft Cloud France (en cours de déploiement avec un partenaire souverain).

Microsoft Entra ID : fondation identité de M365

Microsoft Entra ID, anciennement Azure Active Directory, est l'annuaire d'identité cloud sur lequel repose tout l'écosystème Microsoft 365. Chaque utilisateur M365 est en réalité un compte Entra ID auquel sont rattachées des licences Exchange, SharePoint, Teams, Defender. Pour un panorama détaillé, consultez notre guide dédié Entra ID (Azure AD) : sécurité et configuration.

Les fonctionnalités clés incluent :

  • Single Sign-On (SSO) : authentification unique vers M365 et plus de 10 000 applications SaaS via SAML, OAuth 2.0, OpenID Connect.
  • Multi-Factor Authentication (MFA) : SMS, voix, app mobile (Authenticator), token matériel FIDO2, Windows Hello.
  • Conditional Access : politiques d'accès dynamiques basées sur l'utilisateur, l'appareil, la localisation, l'application et le risque.
  • Privileged Identity Management (PIM) : élévation just-in-time des rôles privilégiés (Global Admin, Exchange Admin, etc.) avec approbation et journalisation.
  • Identity Protection : détection des connexions à risque (impossible travel, leaked credentials, anonymous IP) — disponible en Entra ID P2.
  • Application Proxy : publication d'applications on-premises sans VPN.
  • External Identities (B2B/B2C) : invitation d'utilisateurs externes (partenaires, sous-traitants) ou identités clients.

Les tarifs Entra ID se déclinent en Free (inclus M365), P1 (~6 €/u/mois, inclus E3) et P2 (~9 €/u/mois, inclus E5).

Sécurité native : Conditional Access, MFA, SSO

Le triptyque SSO + MFA + Conditional Access constitue la première ligne de défense de Microsoft 365. Activer la MFA pour tous les utilisateurs réduit de plus de 99 % les compromissions par credential stuffing selon les statistiques publiées par Microsoft Security en 2023.

Le Conditional Access permet d'orchestrer des règles fines : exiger MFA pour un accès depuis une IP non corporate, bloquer les anciens protocoles (POP, IMAP, SMTP basic auth), exiger un appareil conforme Intune pour accéder à SharePoint, forcer la session web (sans cache local) pour les utilisateurs à risque. Les règles combinent des conditions (utilisateur, app, plateforme, risque, localisation) avec des controls (require MFA, require compliant device, require Hybrid Azure AD Joined, require approved client app, terms of use, session controls).

Les Security Defaults, activés automatiquement sur les tenants récents, imposent MFA aux administrateurs, bloquent l'authentification legacy et exigent MFA aux utilisateurs lors des connexions à risque. Pour les organisations matures, on remplace les Security Defaults par un jeu de politiques Conditional Access nommées (baseline, MFA all users, block legacy auth, compliant device for SharePoint, etc.).

Microsoft Defender for Office 365 (Plan 1 et Plan 2)

Defender for Office 365 (anciennement Office 365 ATP) protège les boîtes Exchange, SharePoint, OneDrive et Teams contre les menaces avancées : phishing ciblé, malware zero-day dans les pièces jointes, liens malveillants. Pour une vue globale, voir Microsoft Defender XDR : la suite sécurité.

Defender for Office 365 Plan 1 inclut :

  • Safe Attachments : exécution des pièces jointes en sandbox avant livraison.
  • Safe Links : réécriture et analyse en temps réel des URL au moment du clic.
  • Anti-phishing avancé (impersonation de boîtes, mailbox intelligence, spoof intelligence).
  • Protection en temps réel pour SharePoint, OneDrive et Teams.

Defender for Office 365 Plan 2 ajoute :

  • Threat Explorer et Real-time Detections pour la chasse aux menaces.
  • Automated Investigation and Response (AIR) : playbooks d'investigation automatisée.
  • Attack Simulation Training : simulations de phishing et formations ciblées.
  • Threat Trackers et campagnes de menaces.

Plan 1 est inclus dans M365 Business Premium et E3 ; Plan 2 est inclus dans E5 ou disponible en add-on. Pour aller plus loin sur la chasse aux menaces, voir Threat hunting sur Microsoft 365 et Sentinel.

Microsoft Purview : DLP, Information Protection, eDiscovery

Microsoft Purview, issu de la fusion en 2022 du Microsoft Compliance Center et d'Azure Purview (data governance), regroupe les fonctions de gouvernance des données, de protection de l'information et de gestion des risques internes.

Les modules majeurs incluent :

  • Data Loss Prevention (DLP) : règles bloquant l'envoi de données sensibles (numéros de carte, IBAN, NIR, secrets industriels) par email, Teams, OneDrive, SharePoint et endpoints Windows/macOS.
  • Information Protection (étiquetage de sensibilité) : labels Public, Interne, Confidentiel, Secret, avec chiffrement RMS, restrictions de transfert, watermarks, expiration.
  • eDiscovery (Standard et Premium) : recherche, mise en attente légale (legal hold), export, analyse pour litiges et investigations.
  • Insider Risk Management : détection comportementale des risques internes (vol de données, harcèlement, départ imminent).
  • Communication Compliance : analyse des emails et messages Teams pour détecter harcèlement, conflits d'intérêts, conformité financière.
  • Records Management : politiques de rétention et de suppression conformes aux obligations légales (CNIL, SEC, FINRA).
  • Compliance Manager : tableau de bord de score de conformité par référentiel (ISO 27001, NIST CSF, RGPD, HIPAA, PCI-DSS).

Microsoft Intune : MDM et MAM

Microsoft Intune est la solution de gestion unifiée des terminaux (UEM) intégrée à Microsoft 365. Elle gère deux périmètres complémentaires :

  • Mobile Device Management (MDM) : enrôlement, configuration et conformité des appareils Windows 10/11, macOS, iOS, iPadOS, Android, ChromeOS, Linux Ubuntu.
  • Mobile Application Management (MAM) : protection des applications M365 (Outlook, Word, Teams) sur appareils non managés via App Protection Policies — chiffrement, PIN, restrictions copier/coller, effacement sélectif.

Intune s'intègre étroitement avec Conditional Access via la notion de compliance policy : un appareil doit être chiffré (BitLocker, FileVault), patché, doté d'antivirus actif et conforme aux baselines de sécurité (CIS, Microsoft Security Baselines) pour accéder aux ressources M365. Les déploiements modernes utilisent Windows Autopilot pour le provisionnement zero-touch des PC.

Microsoft Entra Identity Protection

Entra Identity Protection, disponible en Entra ID P2 (donc inclus M365 E5), apporte la détection de risques basée sur le machine learning. Chaque connexion et chaque utilisateur reçoivent un score de risque calculé à partir de signaux multiples : impossible travel, anonymous IP (Tor, VPN suspects), leaked credentials (recoupement avec les bases de fuites), unfamiliar sign-in properties, password spray, atypical token issuer, primary refresh token anomalies.

Les politiques de risque déclenchent des actions automatiques : exiger MFA si le risque connexion est élevé, forcer la réinitialisation du mot de passe si le risque utilisateur est élevé, bloquer la connexion. Identity Protection alimente également Microsoft Sentinel pour la corrélation SOC. Voir Microsoft Sentinel : SIEM/SOAR cloud Azure.

Conformité internationale : ISO 27001, SOC 2, FedRAMP, RGPD

Microsoft 365 est certifié et audité selon les principaux référentiels internationaux. La Microsoft Trust Center publie l'ensemble des rapports auditeurs accessibles aux clients :

  • ISO/IEC 27001 (système de management de la sécurité de l'information), 27017 (cloud), 27018 (protection PII en cloud), 27701 (gestion vie privée).
  • SOC 1, SOC 2 Type II, SOC 3 selon les standards AICPA pour l'audit financier et opérationnel.
  • FedRAMP High pour les agences gouvernementales américaines.
  • HIPAA / HITECH pour les acteurs de santé US.
  • PCI-DSS niveau 1.
  • RGPD / GDPR : Microsoft est responsable de traitement uniquement pour les données nécessaires à la facturation, et sous-traitant pour toutes les données client (Data Processing Addendum standard).
  • Schrems II : Microsoft propose le programme EU Data Boundary garantissant le stockage et le traitement des données dans l'Union Européenne pour les principaux services M365.

Conformité française : HDS, SecNumCloud et cloud souverain

Pour le marché français et européen, plusieurs spécificités s'appliquent :

Hébergement de Données de Santé (HDS) : Microsoft Azure et certains services Microsoft 365 (Exchange Online, SharePoint Online, OneDrive, Teams) sont certifiés HDS auprès du Ministère des Solidarités et de la Santé, permettant aux acteurs de santé (hôpitaux, cliniques, éditeurs de logiciels santé) d'héberger des données patient.

SecNumCloud : qualification ANSSI ne s'applique pas directement aux offres Microsoft 365 standard. Microsoft développe via le programme Microsoft Cloud for Sovereignty et un partenariat avec Capgemini et Orange (« Bleu ») une offre M365 souveraine destinée à atteindre la qualification SecNumCloud, exigée pour certains opérateurs critiques. La date de disponibilité commerciale prévue est 2026-2027.

EU Data Boundary : depuis février 2024, les données client M365 (boîtes mail, fichiers SharePoint/OneDrive, conversations Teams) des clients européens sont stockées et traitées exclusivement dans des datacenters européens (France, Pays-Bas, Irlande, Autriche, Pologne, Allemagne, Suède). Les logs Defender et certains métadonnées suivent depuis 2025.

Les organisations soumises à la loi de programmation militaire (LPM), à NIS 2 ou à DORA doivent mener leur propre analyse de risque résiduel quant aux lois extraterritoriales américaines (CLOUD Act, FISA 702).

Audit Microsoft 365 : Unified Audit Log et Audit Premium

Le Unified Audit Log (UAL), accessible via le portail Purview ou les API Office 365 Management Activity API, centralise l'ensemble des événements d'audit M365 : connexions Entra ID, lectures et modifications SharePoint, envois de mails, suppressions de fichiers, modifications de règles Exchange, partages externes, accès Defender, opérations Intune.

L'audit standard (inclus E3) conserve les événements 90 jours et trace environ 100 types d'événements clés. L'Audit Premium (inclus E5) étend la rétention à 1 an (10 ans en option) et ajoute des événements à forte valeur forensique : MailItemsAccessed (qui a lu quel email), Send, SearchQueryInitiatedExchange. Ces événements sont essentiels lors d'un incident BEC pour reconstituer ce que l'attaquant a consulté.

Pour une méthodologie complète d'investigation et de corrélation, consultez Audit avancé Microsoft 365 et corrélation des journaux. Notre offre dédiée Audit Microsoft 365 couvre l'analyse complète d'un tenant.

Attaques courantes contre Microsoft 365

L'omniprésence de Microsoft 365 en fait la cible privilégiée des attaquants. Les schémas d'attaque récurrents en 2024-2026 incluent :

  • Business Email Compromise (BEC) : compromission d'une boîte Exchange via phishing pour usurper l'identité d'un dirigeant ou d'un fournisseur et déclencher un virement frauduleux. Coût moyen mondial annuel supérieur à 2,9 milliards USD selon le FBI IC3 2024.
  • OAuth Phishing / Illicit Consent Grant : l'attaquant pousse l'utilisateur à consentir à une application OAuth malveillante qui obtient un refresh token persistant — la MFA n'aide plus une fois le consentement donné.
  • Adversary-in-the-Middle (AiTM) / EvilGinx2 : phishing avec proxy reverse interceptant le cookie de session post-MFA. Contre-mesure : MFA résistante au phishing (FIDO2, Windows Hello, certificat) et token binding.
  • Storm-0558 (juillet 2023) : groupe affilié à la Chine ayant compromis une clé de signature MSA pour forger des tokens d'accès Outlook Web vers 25 organisations dont Department of State et Commerce US.
  • Midnight Blizzard / NOBELIUM (janvier 2024) : campagne de password spray contre Microsoft elle-même, exfiltration de boîtes mails de dirigeants.
  • Token Theft via infostealers (Lumma, RedLine) volant les cookies de session du navigateur — contournement complet de la MFA.
  • Phishing interne post-compromission : utilisation de la boîte compromise pour propager des attaques internes (« phishing de confiance »).

Notre offre pentest Microsoft 365 simule ces scénarios pour évaluer la résilience d'un tenant.

Microsoft 365 vs Google Workspace : comparatif

CritèreMicrosoft 365 E5Google Workspace Enterprise Plus
Apps desktopWord, Excel, PowerPoint installablesWeb only (Docs, Sheets, Slides)
MessagerieExchange Online 100 GoGmail 5 To pooled
StockageOneDrive 1-5 ToDrive 5 To pooled
Visio/chatTeamsMeet, Chat
IdentitéEntra ID P2Cloud Identity Premium
EDRDefender for Endpoint P2 inclusNon inclus (Chronicle séparé)
DLPPurview DLP, Information ProtectionWorkspace DLP, Drive labels
eDiscoveryPremium (review, ML)Vault (basique)
Conformité FRHDS oui, SecNumCloud en cours (Bleu)HDS oui, S3NS en cours
Tarif indicatif~60 €/u/mois~30 €/u/mois

Microsoft 365 reste plus complet sur le volet sécurité native (XDR + identité + endpoint) mais plus coûteux. Google Workspace excelle en simplicité d'administration et collaboration temps réel.

Migration tenants, B2B et External Identities

Les opérations courantes sur l'écosystème M365 incluent :

  • Migration tenant-to-tenant : fusion-acquisition, scission. Outils : Microsoft Migration Manager, Quest On Demand Migration, BitTitan MigrationWiz, AvePoint FLY. Migration des boîtes Exchange, OneDrive, SharePoint, Teams, identités Entra ID, paramètres Intune.
  • B2B Collaboration : invitation d'utilisateurs externes (clients, partenaires) via leur propre compte M365 ou personnel (Microsoft, Google). L'utilisateur invité reste dans son tenant d'origine ; un objet « guest » est créé dans le tenant invitant.
  • Cross-tenant access settings : règles fines pour autoriser/bloquer la collaboration B2B, l'accès direct B2B (Teams shared channels), le synchronization B2B (provisionnement automatique).
  • Entra External ID (ex Azure AD B2C) : identité clients (CIAM) — magasins, applications grand public.
  • Multi-Geo : réplication des boîtes et fichiers dans plusieurs zones géographiques pour les multinationales (E5 + add-on Multi-Geo).

FAQ Microsoft 365

Quelle est la différence entre Microsoft 365 et Office 365 ?

Office 365 désigne la sous-suite de productivité (apps Office, Exchange, SharePoint, OneDrive, Teams) ; les plans Office 365 E1, E3, E5 existent toujours. Microsoft 365 est la sur-suite englobante qui ajoute Windows Enterprise (droit d'usage Windows 10/11) et Enterprise Mobility + Security (Entra ID Premium, Intune, Defender). En pratique, Microsoft 365 E3 = Office 365 E3 + Windows + EMS E3.

E3 vs E5 : que vaut la différence de prix ?

L'écart E3 / E5 (environ 23 €/u/mois) couvre Defender for Endpoint Plan 2, Defender for Office 365 Plan 2, Defender for Identity, Defender for Cloud Apps, Entra ID P2 (Identity Protection, PIM), Purview Premium (eDiscovery Premium, Insider Risk, Communication Compliance, Audit Premium) et Power BI Pro. Pour une organisation de 1000 utilisateurs, E5 revient à ~22 800 €/mois supplémentaires mais évite l'achat séparé d'un EDR, d'un SIEM léger, d'une solution DLP et d'une plateforme eDiscovery — souvent rentable à partir de 500 utilisateurs.

Microsoft 365 est-il conforme HDS pour mon CHU ?

Oui : Microsoft Azure et les principaux services Microsoft 365 (Exchange Online, SharePoint Online, OneDrive for Business, Teams, Intune) sont certifiés HDS. La certification couvre l'hébergement, l'exploitation et la maintenance. Le client doit en revanche signer un avenant HDS spécifique, conserver les preuves de configuration sécurisée et désigner un DPO. Vérifiez la liste exacte des services dans le scope HDS sur le Microsoft Trust Portal.

Sans MFA activée, est-ce vraiment risqué ?

Oui, gravement. Selon Microsoft Security, plus de 99 % des compromissions de comptes M365 visent des comptes sans MFA. Les attaques de password spray automatisées (AS-REP Roasting, Credential Stuffing depuis fuites publiques, brute force lent contre l'API oauth2/v2.0/token) compromettent en quelques jours les comptes faibles. La MFA classique réduit cette surface de plus de 99 %, et une MFA résistante au phishing (FIDO2/passkey) supprime également les attaques AiTM.

Google Workspace Enterprise est-il une alternative crédible ?

Pour une PME ou une organisation cloud-native, oui — Google Workspace offre une expérience collaboration temps réel supérieure et une administration plus simple. Pour un grand compte avec exigences sécurité avancées (XDR, eDiscovery Premium, MDM unifié pour Windows et iOS, intégration Active Directory historique), Microsoft 365 reste plus complet. Le facteur décisif est souvent l'écosystème logiciel existant (applications métier Windows, intégrations Active Directory).

Quels sont les premiers durcissements à appliquer sur un tenant ?

1) Activer la MFA pour tous les utilisateurs et tous les administrateurs ; 2) Bloquer l'authentification legacy (POP, IMAP, SMTP basic, ActiveSync basic) via Conditional Access ; 3) Configurer Privileged Identity Management pour les rôles Global Admin (au moins 2 et au plus 5) ; 4) Activer Audit Premium et exporter le UAL vers Sentinel ou un SIEM externe ; 5) Mettre en place Safe Links et Safe Attachments ; 6) Restreindre les consentements OAuth aux applications validées (admin consent workflow) ; 7) Déployer des étiquettes de sensibilité Purview ; 8) Activer Defender for Endpoint sur tous les postes.

Liens approfondis et ressources