Microsoft Entra ID : Identité Cloud (ex-Azure AD) 2026

Microsoft Entra ID est la plateforme d'identité et de gestion des accès cloud (IDaaS, Identity as a Service) opérée par Microsoft Corporation. Anciennement connue sous le nom d'Azure Active Directory jusqu'en juillet 2023, elle constitue la fondation d'identité unique de l'écosystème Microsoft 365, Azure, Dynamics 365, Power Platform, et de plus de 10 000 applications SaaS tierces référencées dans son catalogue (App Gallery). Avec plus d'un milliard d'identités gérées dans le monde, Entra ID authentifie quotidiennement plusieurs dizaines de milliards de connexions et bloque plus de 4 000 attaques par seconde grâce à ses moteurs Identity Protection et Conditional Access. Pour toute organisation utilisant Microsoft 365, Entra ID n'est pas un composant optionnel mais le système nerveux central : compromettre un compte Entra ID privilégié, c'est compromettre l'ensemble des données, applications et services rattachés au tenant. Cette criticité en fait également la cible numéro un des cybercriminels — Storm-0558, Midnight Blizzard, attaques de tokens, illicit consent grant, password spraying — et impose une stratégie d'authentification forte (FIDO2, Windows Hello), de gouvernance privilégiée (PIM) et de surveillance continue (Identity Protection, Sentinel UEBA). Cette page décrit l'architecture Entra ID, ses fonctionnalités, ses plans de licence, ses attaques courantes et ses bonnes pratiques de durcissement.

Qu'est-ce que Microsoft Entra ID ? Définition

Microsoft Entra ID est un service d'annuaire cloud (Cloud Directory Service) et un fournisseur d'identité (Identity Provider, IdP) opéré en mode multi-tenant par Microsoft. Contrairement à l'Active Directory on-premise qui repose sur des contrôleurs de domaine LDAP/Kerberos déployés dans le réseau de l'entreprise, Entra ID est un service entièrement géré et accessible via des protocoles Web modernes : OAuth 2.0, OpenID Connect (OIDC), SAML 2.0, WS-Federation, SCIM 2.0 pour le provisionnement.

Entra ID gère trois grandes catégories d'objets : les utilisateurs (membres internes, invités B2B, comptes de service), les applications (apps Microsoft, apps SaaS tierces, apps maison enregistrées via App Registration) et les appareils (Windows joints à Entra, joints hybrides, enregistrés). Chaque objet est identifié par un GUID unique et appartient à un tenant. Le tenant est lui-même identifié par un Tenant ID (GUID) et un nom de domaine initial sous la forme contoso.onmicrosoft.com, complété par des domaines vérifiés personnalisés (contoso.com).

Les fonctionnalités cœur d'Entra ID couvrent l'authentification (single sign-on, MFA, FIDO2), l'autorisation (rôles RBAC Azure et rôles Entra), la gouvernance (PIM, Access Reviews, Entitlement Management), la protection (Identity Protection, Conditional Access) et la collaboration externe (B2B Direct Connect, External Identities, B2C). Entra ID est ainsi à la fois un IDP, un IDaaS, un système de gouvernance des identités (IGA) et une fondation Zero Trust.

Histoire d'Entra ID : d'Azure AD à la suite Microsoft Entra

L'histoire d'Entra ID commence en 2010 avec la première version d'Azure Active Directory, alors composant interne du service Microsoft Online Services destiné à authentifier les utilisateurs Office 365 (alors BPOS, Business Productivity Online Suite). Azure AD est officiellement lancé en disponibilité générale en avril 2013 lorsque Microsoft ouvre l'accès aux développeurs tiers via Azure AD Graph API, prédécesseur de Microsoft Graph.

Entre 2014 et 2017, Microsoft enrichit Azure AD avec les fonctionnalités Premium : Azure AD Premium P1 (2014) ajoute le Conditional Access, le Self-Service Password Reset (SSPR) avec écriture vers AD on-prem, le MFA cloud illimité ; Azure AD Premium P2 (2016) introduit Identity Protection (risk-based) et Privileged Identity Management. En 2018, Microsoft pousse Azure AD B2C pour la gestion d'identités clients/grand public et lance la preview de FIDO2 sans mot de passe.

Le tournant majeur a lieu le 11 juillet 2023 : Microsoft annonce le rebranding d'Azure AD en Microsoft Entra ID, dans le cadre d'une famille élargie de produits identité baptisée Microsoft Entra family. Cette famille inclut désormais Entra ID (ex-Azure AD), Entra Permissions Management (acquis avec CloudKnox en 2021, CIEM multi-cloud), Entra Verified ID (identité décentralisée), Entra ID Governance (gouvernance avancée), puis en 2024 Entra Internet Access et Entra Private Access (Microsoft Security Service Edge — SSE).

Le rebranding Entra ID vise plusieurs objectifs : sortir Azure AD de la confusion avec Azure (le cloud) et avec Active Directory on-prem (le service annuaire historique), positionner Microsoft sur le marché identité-as-a-service face à Okta et Ping Identity, et afficher l'ambition d'unifier identité humaine, identité machine, gouvernance et accès réseau dans une seule plateforme.

En 2024, Microsoft lance la Microsoft Entra Suite, bundle commercial regroupant Entra ID Governance, Entra Internet Access, Entra Private Access, Entra Verified ID et Identity Protection, à environ 12 USD par utilisateur et par mois. En 2025-2026, l'éditeur étend Entra avec la gouvernance Copilot et les passkeys natives synchronisées via Entra ID.

Architecture multi-tenant : tenant, directory, domain

L'architecture d'Entra ID est multi-tenant : Microsoft opère une infrastructure mondiale partagée, mais chaque client dispose d'un espace isolé logiquement, le tenant. Un tenant correspond à une organisation et constitue la frontière de sécurité : un utilisateur du tenant A ne peut accéder aux ressources du tenant B que via des mécanismes explicites (B2B, applications multi-tenant, federation).

Chaque tenant possède :

• Un Tenant ID (GUID immuable) — identifiant universel utilisé dans les jetons OAuth/OIDC.
• Un nom de domaine initial sous la forme contoso.onmicrosoft.com attribué à la création.
• Un ou plusieurs domaines vérifiés personnalisés (contoso.com, contoso.fr) confirmés par enregistrement DNS TXT ou MX.
• Un directory (annuaire) regroupant utilisateurs, groupes, applications, appareils, rôles et politiques.
• Un Region géographique (Europe, US, Asia, Government, China) déterminant l'emplacement de stockage primaire des données.

Les applications dans Entra ID se déclinent en deux objets liés : l'App Registration (objet global décrivant l'application — URI, scopes, certificats) et le Service Principal (instance de l'application dans le tenant local, équivalent du compte machine en AD). Cette dualité permet à une application multi-tenant (publiée dans un tenant Microsoft, par exemple) d'être instanciée dans des milliers de tenants clients via le mécanisme de consentement utilisateur ou administrateur. Pour comprendre les enjeux récents autour des Service Principals, voir notre article sur la fin de service annoncée des Service Principals legacy par Microsoft.

Méthodes d'authentification : cloud-only, hybride, fédérée

Entra ID prend en charge plusieurs modèles d'authentification, choisis selon le degré d'intégration avec un Active Directory on-premise existant.

Cloud-only (identité cloud pure)

Les utilisateurs sont créés et gérés directement dans Entra ID, sans lien avec un AD on-prem. Les mots de passe sont stockés (hachés) dans Entra ID. C'est le modèle recommandé pour les organisations greenfield, les startups et les filiales sans IT historique.

Password Hash Synchronization (PHS)

Le hash du hash NT du mot de passe AD on-prem est synchronisé toutes les 2 minutes vers Entra ID via Entra Connect. L'utilisateur peut s'authentifier sur Entra ID même si l'AD on-prem est indisponible. C'est la méthode hybride la plus simple et la plus résiliente, recommandée par défaut par Microsoft.

Pass-through Authentication (PTA)

Entra ID transmet les credentials à un agent PTA déployé sur un serveur de l'entreprise, qui interroge l'AD on-prem en temps réel. Le mot de passe ne quitte jamais le réseau interne (sous forme de hash). Plus complexe à opérer et plus sensible à la disponibilité réseau, mais utile pour les organisations refusant la synchronisation de hash.

Federation (AD FS, ADFS, third-party IdP)

Entra ID redirige l'utilisateur vers un fournisseur d'identité externe (AD FS, Okta, Ping) qui réalise l'authentification puis renvoie une assertion SAML/WS-Fed. Microsoft pousse activement le démantèlement d'AD FS au profit du PHS + Conditional Access — l'incident Storm-0558 et plusieurs compromissions de signing keys ont démontré la complexité de sécuriser AD FS.

Conditional Access : moteur Zero Trust d'Entra ID

Le Conditional Access (Accès conditionnel) est le moteur de politiques au cœur d'Entra ID. Il évalue chaque tentative de connexion sur la base de signaux et applique des contrôles conditionnels.

Les signaux évalués incluent :

• Utilisateur ou groupe : appartenance à un groupe dynamique, rôle d'annuaire.
• Application cloud ciblée : Office 365, Azure portal, application SaaS spécifique.
• Localisation : pays, plage IP de confiance, IP nommée.
• Plateforme appareil : Windows, macOS, iOS, Android, Linux.
• État de l'appareil : conforme Intune, joint à Entra hybride, non-conforme.
• Risque de connexion (sign-in risk) : low, medium, high — calculé par Identity Protection.
• Risque utilisateur (user risk) : indicateur cumulé de compromission (P2 requis).
• Application client : navigateur, application mobile, client legacy (POP/IMAP).

Les contrôles d'accès (grant controls) imposés peuvent être :

• Bloquer l'accès (deny) : interdire la connexion si conditions remplies.
• Exiger MFA : forcer une seconde méthode d'authentification.
• Exiger un appareil conforme : Intune compliance ou hybrid join.
• Exiger une force d'authentification (Authentication Strength) : ex. uniquement FIDO2 ou Windows Hello.
• Exiger Terms of Use : acceptation d'une charte avant accès.
• Bloquer le téléchargement via session control (intégration Defender for Cloud Apps).

Le mode Report-only permet de tester une politique en consignant les évaluations sans appliquer le blocage, indispensable pour valider l'impact avant le passage en production. Les politiques sont évaluées dans un ordre déterministe et le résultat le plus restrictif l'emporte (deny gagne sur grant). Pour l'audit complet du Conditional Access, voir notre guide Entra ID : sécurité et configuration.

MFA : méthodes 2026 et phishing-resistant

Microsoft Entra ID propose plusieurs méthodes d'authentification multifacteur (MFA), classées par niveau de sécurité.

Méthodes phishing-resistant (recommandées)

• FIDO2 / Passkey : clés de sécurité matérielles (YubiKey, Feitian, Token2) ou passkeys synchronisées (iCloud Keychain, Google Password Manager) — résistantes au phishing par cryptographie asymétrique liée à l'origin.
• Windows Hello for Business : biométrie + TPM lié à l'appareil, certificat client cryptographique. Le standard pour le poste Windows en entreprise.
• Certificate-based authentication (CBA) : carte à puce, certificat PIV/CAC — privilégié dans les environnements gouvernementaux.

Méthodes acceptables avec garde-fous

• Microsoft Authenticator avec number matching obligatoire depuis février 2023 — l'utilisateur doit retaper le numéro affiché à l'écran, ce qui contre les attaques de MFA fatigue / push bombing.
• OATH TOTP (Google Authenticator, Authy) — code à 6 chiffres toutes les 30 s. Résistant au push bombing mais sensible au phishing relay.

Méthodes dépréciées (à supprimer)

• SMS et appel vocal — vulnérables au SIM swapping, au SS7 hijack et au phishing AiTM. Microsoft recommande explicitement leur retrait depuis 2022. Plusieurs incidents en 2025 ont accéléré cette dépréciation.
• Security questions — uniquement pour SSPR, jamais pour authentification primaire.

Microsoft a annoncé en 2025 le retrait progressif des méthodes faibles via une politique de migration des paramètres MFA legacy vers la nouvelle Authentication Methods Policy moderne. Voir aussi notre analyse de l'attaque de jailbreak ciblant Microsoft Authenticator.

SSO et applications : App Gallery, SAML, OIDC

Le single sign-on (SSO) est l'une des fonctionnalités historiques d'Entra ID : un utilisateur s'authentifie une seule fois et accède sans nouvelle authentification à toutes les applications de son tenant. Entra ID prend en charge plusieurs protocoles :

• SAML 2.0 : protocole historique des fournisseurs d'identité, supporté par la majorité des SaaS entreprise (Salesforce, ServiceNow, Workday).
• OpenID Connect (OIDC) sur OAuth 2.0 : protocole moderne, JSON-based, recommandé pour toute nouvelle intégration.
• WS-Federation : legacy, principalement pour applications Microsoft anciennes.
• Password-based SSO : Entra ID stocke les credentials et les rejoue via une extension navigateur — solution de dernier recours.
• Linked SSO : redirection vers un IdP tiers (l'utilisateur n'utilise pas Entra ID pour l'authentification mais Entra ID porte l'icône dans son App Launcher).

L'App Gallery Entra ID référence plus de 4 000 applications SaaS pré-intégrées avec configuration SAML/OIDC validée par Microsoft, accélérant le déploiement. Pour les applications internes (lignes de business), les développeurs créent une App Registration dans le portail Entra et configurent les redirect URIs, scopes API, secrets ou certificats. La nouvelle expérience Microsoft Entra ID for customers (ex-Azure AD B2C, refondue en 2024) permet aussi de gérer des identités clients/grand public dans un workforce tenant moderne.

Identity Protection : risk-based authentication

Identity Protection (inclus dans Entra ID P2) est le moteur de détection de risque d'Entra. Il analyse les signaux d'authentification et calcule deux scores de risque : le sign-in risk (risque de la connexion en cours) et le user risk (risque cumulé sur l'utilisateur).

Les détections incluent :

• Atypical travel : connexion depuis deux pays distants en un temps physiquement impossible.
• Anonymous IP : Tor, VPN anonymisant, proxy résidentiel détecté.
• Malware-linked IP : IP référencée comme C2 par les threat feeds Microsoft.
• Unfamiliar sign-in properties : combinaison appareil/IP/browser jamais vue.
• Password spray : pattern d'attaque sur de nombreux comptes.
• Leaked credentials : credentials trouvés dans un dump public (Microsoft surveille les sources).
• Token theft / Anomalous token : token utilisé dans un contexte inhabituel.
• Threat intelligence Microsoft : indicateur direct depuis MSTIC.

Les politiques d'Identity Protection peuvent être appliquées via le Conditional Access : par exemple, exiger MFA si sign-in risk medium ou high, et forcer un changement de mot de passe sécurisé si user risk high. Cette approche risk-based réduit drastiquement les frictions pour les utilisateurs légitimes tout en bloquant les compromissions.

Privileged Identity Management : JIT et approbation

Privileged Identity Management (PIM, inclus dans Entra ID P2) gère le cycle de vie des rôles privilégiés. Au lieu d'attribuer un rôle de manière permanente (active assignment), PIM permet d'attribuer un rôle éligible (eligible) que l'utilisateur active à la demande pour une durée limitée.

Le workflow PIM standard :

1. L'administrateur attribue le rôle Global Administrator en mode Eligible à un utilisateur.
2. Lorsque l'utilisateur a besoin du rôle, il se connecte au portail PIM et demande une activation.
3. L'utilisateur fournit une justification (texte libre ou ticket ITSM).
4. Selon la configuration : MFA exigée (toujours recommandée), approbation par un autre administrateur ou un manager, ouverture d'un ticket ServiceNow.
5. Le rôle est activé pour 1 à 8 heures (durée maximale paramétrable).
6. Toute activation est journalisée dans Entra Audit Log et déclenche une alerte (configurable).

PIM gère également les Access Reviews récurrentes : un manager ou un administrateur valide périodiquement (mensuellement, trimestriellement) si chaque utilisateur a toujours besoin de son rôle privilégié. Les rôles non revalidés sont automatiquement révoqués. Cette gouvernance est exigée par les frameworks ISO 27001, SOC 2, HDS et SecNumCloud.

Microsoft recommande de placer en PIM Eligible tous les rôles à fort impact : Global Administrator, Privileged Role Administrator, Security Administrator, User Administrator, Exchange Administrator, SharePoint Administrator, Conditional Access Administrator, Application Administrator.

Entra Permissions Management : CIEM multi-cloud

Microsoft Entra Permissions Management (anciennement CloudKnox, acquis en juillet 2021) est la solution Cloud Infrastructure Entitlement Management (CIEM) de Microsoft. Elle gouverne les permissions sur les trois principaux clouds publics :

• Microsoft Azure : rôles RBAC, custom roles, scopes management groups / subscriptions / resource groups / resources.
• Amazon Web Services (AWS) : IAM users, roles, policies, permission boundaries, SCPs.
• Google Cloud Platform (GCP) : IAM bindings, custom roles, service accounts.

L'outil calcule le Permission Creep Index (PCI) : ratio entre les permissions accordées et les permissions effectivement utilisées sur 90 jours. Un PCI élevé révèle un over-permissioning et permet de générer automatiquement une politique IAM right-sized. Permissions Management détecte également les comptes inactifs, les rôles toxiques (ex. CreateRole + AttachPolicy) et les chemins d'élévation de privilège possibles.

Entra Verified ID : identité décentralisée (DID)

Microsoft Entra Verified ID est l'offre d'identité décentralisée (Self-Sovereign Identity, SSI) de Microsoft, fondée sur les standards W3C Decentralized Identifiers (DID) et Verifiable Credentials (VC). Le service permet à une organisation (issuer) d'émettre des credentials cryptographiquement signés à un utilisateur (holder), qui les stocke dans un wallet Microsoft Authenticator ou compatible, puis les présente à un vérifieur (verifier).

Les cas d'usage typiques incluent : vérification d'employé pour un partenaire (onboarding accéléré), preuve de diplôme dans le recrutement, badge d'accès physique numérique, KYC bancaire portable. Le service est intégré nativement à Entra ID et permet l'intégration avec les systèmes RH et la fédération avec d'autres réseaux DID.

Entra Internet Access et Private Access : Microsoft SSE

Lancée en 2024, la suite Microsoft Security Service Edge (SSE) est la réponse de Microsoft aux solutions Zscaler, Netskope et Cloudflare. Elle se compose de deux produits intégrés à Entra ID :

• Microsoft Entra Internet Access : Secure Web Gateway (SWG) cloud filtrant le trafic Internet sortant — filtrage URL, anti-malware, sandbox, contrôle TLS, intégration native Conditional Access pour appliquer des politiques différentes selon le risque utilisateur.
• Microsoft Entra Private Access : Zero Trust Network Access (ZTNA) remplaçant les VPN classiques. Un connecteur Private Network Connector (héritier d'Application Proxy) déployé en interne expose les applications privées (RDP, SSH, web internes) à des utilisateurs authentifiés via Entra ID, sans ouvrir de port entrant.

L'avantage différenciant : la stack SSE Microsoft applique le Conditional Access et l'Identity Protection sur tout le trafic réseau (Internet et privé), unifiant identité et réseau dans un même plan de contrôle.

B2B et External Identities : collaboration externe

Entra ID propose plusieurs modèles de collaboration externe.

B2B Collaboration (invités)

Un utilisateur d'une organisation partenaire (avec son propre tenant Entra, un compte Microsoft, Google, ou tout IdP fédéré) est invité dans le tenant et reçoit le statut Guest. Il authentifie sur son IdP d'origine puis accède aux ressources partagées (Teams, SharePoint, applications). Les Conditional Access du tenant hôte s'appliquent.

B2B Direct Connect

Mode plus avancé permettant la collaboration native entre deux tenants Entra (typiquement Teams Shared Channels) sans création de compte invité — l'utilisateur reste exclusivement dans son tenant d'origine et accède à des ressources tagged dans le tenant partenaire via une relation cross-tenant.

External Identities (B2C)

L'ex-Azure AD B2C (rebrandé en Microsoft Entra External ID for customers en 2024) gère les identités grand public d'applications SaaS et e-commerce — des millions d'utilisateurs avec self-registration, réseaux sociaux (Google, Facebook, Apple), MFA et flows custom. Le modèle est facturé au MAU (Monthly Active User).

Entra Connect et Cloud Sync : le pont avec AD on-prem

Microsoft Entra Connect (ex-Azure AD Connect) est l'outil de synchronisation entre AD on-prem et Entra ID. Il fonctionne via un agent Windows Server installé sur un serveur de l'organisation, qui interroge AD via LDAP toutes les 30 minutes par défaut et pousse les modifications vers Entra ID via Microsoft Graph.

Les objets synchronisés incluent utilisateurs, groupes, contacts, attributs personnalisés (selon la configuration). Les mots de passe sont synchronisés en option (PHS), et l'écriture inverse (writeback) permet de répercuter le SSPR Entra vers AD on-prem (Premium P1 requis).

Microsoft Entra Cloud Sync, lancé en 2021, est l'évolution moderne d'Entra Connect : un agent léger sans serveur SQL, multi-instance pour la résilience, et une configuration entièrement cloud. Microsoft pousse activement la migration de Connect vers Cloud Sync depuis 2024. Notre article sur l'attaque Syncjacking visant Entra Connect détaille les risques de compromission de cet agent et les mesures de durcissement (Tier 0, hardening). Voir aussi l'impact de la migration DigiCert G2 sur les certificats Entra ID.

Attaques courantes contre Entra ID

L'omniprésence d'Entra ID en fait une cible de premier rang pour les attaquants étatiques et financiers.

Password spraying

L'attaquant teste un même mot de passe faible (Welcome2024!, Printemps2026!) sur des dizaines de milliers de comptes du tenant. Le débit est volontairement faible pour rester sous les seuils de blocage (Smart Lockout). Détection : Identity Protection (signal "Password spray"), pic d'événements 50053 dans Entra Audit Log.

Illicit consent grant (OAuth phishing)

L'attaquant publie une application malveillante puis envoie un lien de consentement à la victime ; en cliquant, l'utilisateur autorise l'application à accéder à Mail.Read, Files.Read.All, etc. Aucun mot de passe volé, mais persistance via OAuth tokens. Mitigation : restreindre le user consent aux applications vérifiées, utiliser Defender for Cloud Apps pour détecter les apps risquées.

Token theft (Storm-0558, AiTM)

L'attaquant intercepte le cookie de session ou le refresh token via un proxy Adversary-in-the-Middle (Evilginx, Tycoon 2FA). Une fois le token capturé, il rejoue les requêtes Microsoft Graph en contournant la MFA. Mitigation : token binding (preview), Continuous Access Evaluation (CAE), MFA phishing-resistant FIDO2/WHfB.

AS-REP roasting cloud (PHS / hybride)

Sur les comptes synchronisés depuis AD on-prem en mode hybride, l'attaquant peut tenter un AS-REP roasting Kerberos contre l'AD on-prem pour récupérer des hashes, puis tenter de pulvériser les mots de passe résultants contre Entra ID. La synchronisation hybride élargit la surface d'attaque.

Compromission de Service Principal

Les Service Principals (identités d'applications) sont souvent dotés de permissions API très larges (Mail.Read.All, Directory.Read.All) et leurs secrets/certificats sont parfois mal protégés (commités dans Git, stockés en variables d'environnement). Une compromission donne un accès large et discret. Microsoft a annoncé la fin de service de certains modes legacy de Service Principals.

Détection : Identity Protection, Defender for Identity, Sentinel

La détection des attaques sur Entra ID s'appuie sur trois couches complémentaires.

Identity Protection (Entra ID P2)

Détections en temps réel sur Entra ID : risk-based, password spray, leaked credentials, anomalous tokens. Intégration native Conditional Access pour bloquer ou exiger MFA selon le risque.

Microsoft Defender for Identity (MDI)

Capteur déployé sur les contrôleurs de domaine AD on-prem qui détecte les attaques côté AD : Pass-the-Hash, Pass-the-Ticket, Golden Ticket, DCSync, Kerberoasting, AS-REP roasting, lateral movement. Indispensable en environnement hybride pour corréler les compromissions on-prem qui transitent vers Entra ID.

Microsoft Sentinel UEBA

Le SIEM cloud Microsoft ingère les Entra Audit Logs, Sign-in Logs, Identity Protection alerts et Defender for Identity alerts, et applique l'analytique UEBA (User and Entity Behavior Analytics) pour détecter les anomalies de comportement non couvertes par les règles statiques.

L'organisation peut également exporter les logs Entra (Sign-in, Audit, Provisioning) vers un SIEM tiers via Diagnostic Settings et Event Hub.

Plans et licensing : Free, P1, P2, Suite

Microsoft Entra ID se décline en plusieurs niveaux de licence.

Microsoft Entra ID Free

Inclus avec tout abonnement Microsoft 365 ou Azure. Fonctionnalités de base : SSO pour 10 apps gallery, MFA limitée (per-user), gestion d'utilisateurs et groupes, audit log 7 jours. Pas de Conditional Access. Insuffisant pour une posture sécurité moderne.

Microsoft Entra ID P1 (~6 €/u/mois ou inclus M365 E3)

Conditional Access, MFA cloud illimitée, Self-Service Password Reset avec writeback, App Proxy, Dynamic Groups, Hybrid Identity (Entra Connect + writeback), Audit log 30 jours. C'est le minimum recommandé pour toute organisation avec exigences sécurité.

Microsoft Entra ID P2 (~9 €/u/mois ou inclus M365 E5)

P1 + Identity Protection (risk-based), Privileged Identity Management (PIM), Access Reviews, Entitlement Management de base. Recommandé pour toute organisation manipulant des données sensibles ou soumise à RGPD/HDS/NIS2.

Microsoft Entra Suite (~12 USD/u/mois)

Bundle 2024 regroupant Entra ID Governance (gouvernance avancée, lifecycle workflows), Entra Internet Access, Entra Private Access, Entra Verified ID et Identity Protection. Cible les organisations souhaitant unifier identité, gouvernance et accès réseau dans une seule licence.

Add-ons additionnels

Entra Permissions Management se facture séparément à environ 1,75 USD par ressource cloud / mois. Entra ID Governance peut être acheté seul (~7 USD/u/mois).

FAQ Microsoft Entra ID

Quelle est la différence entre Entra ID et Azure AD ?

Aucune différence technique : Entra ID est le nouveau nom marketing d'Azure Active Directory, annoncé en juillet 2023. Tous les Tenant ID, configurations, applications, scripts PowerShell AzureAD et Microsoft.Graph continuent de fonctionner. Les URL portail.azure.com basculent progressivement vers entra.microsoft.com qui devient le portail privilégié. Microsoft a renommé Azure AD pour clarifier l'écosystème (sortir de la confusion avec Azure et avec AD on-prem) et pour annoncer la famille Microsoft Entra élargie.

P1 ou P2 : quelle licence Entra ID choisir ?

P1 est le minimum vital (Conditional Access, MFA, SSPR avec writeback). P2 ajoute Identity Protection (détection risk-based) et PIM (gouvernance des privilèges Just-In-Time). Toute organisation manipulant des données sensibles, soumise à NIS2, RGPD article 32 ou ISO 27001 devrait viser P2 — le coût marginal est faible (~3 €/u/mois supplémentaires) et la valeur très élevée. Une stratégie courante : P2 pour les administrateurs et utilisateurs sensibles, P1 pour le reste de l'organisation.

Quelle méthode MFA recommander en 2026 ?

Phishing-resistant only : FIDO2 / passkey ou Windows Hello for Business en priorité. Microsoft Authenticator avec number matching reste acceptable comme méthode de transition. Le SMS et l'appel vocal doivent être désactivés (vulnérables au SIM swap, AiTM, SS7). Configurer une Authentication Strength "Phishing-resistant MFA" en Conditional Access pour tous les rôles privilégiés est la baseline 2026.

B2B vs B2C : quelle différence ?

B2B (workforce tenant) : collaboration avec des partenaires professionnels invités dans votre tenant (Guest accounts), authentifiés sur leur IdP d'origine. Adapté aux fournisseurs, sous-traitants, consultants. B2C (External Identities for customers) : tenant dédié pour des millions d'utilisateurs grand public d'une application SaaS ou e-commerce, avec self-registration, MFA et social login. Facturation différente (par MAU pour B2C, par invité actif pour B2B). Microsoft recommande aujourd'hui External ID for customers (le successeur d'Azure AD B2C) pour tous les nouveaux scénarios clients.

Entra ID Free suffit-il pour une PME ?

Non, sauf cas marginaux. Sans Conditional Access (P1), il est impossible d'imposer la MFA conditionnellement, de bloquer les pays à risque ou d'exiger un appareil conforme. Le pack Microsoft 365 Business Premium (~25 €/u/mois) inclut Entra ID P1, Defender for Business et Intune, et constitue la baseline sécurité minimale pour une PME française en 2026. Pour les rôles sensibles (DSI, comptabilité, direction), basculer en M365 E5 ou ajouter l'add-on Entra ID P2.

Comment auditer un tenant Entra ID ?

L'audit standard couvre : politiques Conditional Access (couverture, mode rapport, exclusions), méthodes MFA actives par utilisateur, rôles privilégiés permanents (à basculer en PIM Eligible), Service Principals avec secrets / API permissions larges, Application Registrations sans propriétaire, Guests inactifs, Identity Secure Score, alertes Identity Protection 90 jours. Microsoft fournit un outil gratuit, Microsoft Entra ID Configuration Analyzer, et plusieurs partenaires (dont nous via notre offre audit Microsoft 365) réalisent ce travail sur 5-10 jours.

Pour aller plus loin

• Entra ID : sécurité et configuration baseline
• Attaque Syncjacking sur Entra Connect : analyse et mitigation
• Fin de service annoncée des Service Principals legacy
• Jailbreak Microsoft Authenticator : analyse de vulnérabilité
• Migration DigiCert G2 et impact certificats Entra ID
• Active Directory : annuaire Microsoft et sécurité
• Microsoft 365 : suite cloud, sécurité et conformité
• Audit Microsoft 365 et Entra ID par Ayinedjimi Consultants
• Portail Microsoft Entra (entra.microsoft.com)
• Documentation officielle Microsoft Entra
• Page produit Microsoft Entra