MENU
  1. Accueil
  2. Microsoft 365
  3. Microsoft Authenticator obligatoire en juillet ? MFA SMS, Security Defaults et Entra ID : ce qu’il faut vraiment faire

Microsoft Authenticator obligatoire en juillet ? MFA SMS, Security Defaults et Entra ID : ce qu’il faut vraiment faire

Microsoft 365

Vous avez reçu des courriels alarmistes évoquant “juillet”, Microsoft Authenticator et des licences payantes ? Voici, de manière claire et actionnable, ce qui change vraiment, ce qui ne change pas, et les chemins possibles si votre équipe utilise aujourd’hui la MFA par SMS.

Sommaire

Obligation d’adopter Microsoft Authenticator en juillet ?

Ce que disent réellement les annonces

Il n’existe pas d’obligation universelle d’utiliser uniquement Microsoft Authenticator pour tous les utilisateurs interactifs à partir de “juillet”. Plusieurs communications récentes ont toutefois pu semer la confusion :

  • Security Defaults (paramètres de sécurité par défaut) : quand elles sont activées, elles imposent l’enregistrement et l’usage de l’application Microsoft Authenticator (notifications push) pour la MFA. Les codes TOTP (y compris depuis des apps tierces) restent possibles, mais pas l’SMS ou l’appel vocal sous Security Defaults. Ce comportement peut être activé/renforcé par Microsoft dans certains locataires, d’où la perception d’un “forçage”. :contentReference[oaicite:0]{index=0}
  • Flux non interactifs Azure : Microsoft a annoncé l’application d’exigences MFA pour des flux non interactifs (ex. ROPC, automatisations) avec une échéance au 17 juillet 2025. Cela ne concerne pas l’utilisateur qui tape son mot de passe au quotidien ; c’est un autre sujet lié aux automatisations à mettre en conformité. :contentReference[oaicite:1]{index=1}
  • Changement dans Microsoft Authenticator : en juillet 2025, Microsoft a supprimé la partie gestion / remplissage de mots de passe de l’app Authenticator. Ce point a été largement relayé et a parfois été mal interprété comme un changement MFA. Il ne modifie pas les méthodes MFA disponibles. :contentReference[oaicite:2]{index=2}

Conclusion courte : si votre locataire est en Security Defaults, oui l’app Authenticator devient de fait nécessaire. Sinon, la MFA par SMS/voix reste prise en charge dans Entra ID, sous réserve de vos politiques (idéalement via Accès conditionnel). :contentReference[oaicite:3]{index=3}

Panorama des méthodes MFA réellement disponibles

Microsoft Entra ID prend en charge plusieurs méthodes. Certaines sont résistantes au phishing (préférables), d’autres sont plus exposées (SMS/voix). :contentReference[oaicite:4]{index=4}

MéthodeRésistance au phishingUsage typiqueHors ligneCommentaire / Remarques
Microsoft Authenticator (push)ÉlevéeMFA ou sans mot de passe (numéro à saisir)NonRecommandée par Microsoft ; peut être rendue prioritaire via “System‑preferred MFA”. :contentReference[oaicite:5]{index=5}
Microsoft Authenticator (TOTP)Moyenne à élevéeCode à 6 chiffresOuiAutorisé même sous Security Defaults (après enregistrement par notifications). :contentReference[oaicite:6]{index=6}
Authenticator Lite (dans Outlook mobile)ÉlevéePush/TOTP intégrés à OutlookPartielPermet d’éviter l’installation d’une app dédiée ; Microsoft peut l’activer “géré par Microsoft”. :contentReference[oaicite:7]{index=7}
Passkeys / clés FIDO2 (WebAuthn)Très élevéeClé matérielle ou passkey de l’appareilOui (selon scénario)Véritable MFA sans mot de passe, recommandé pour comptes sensibles. :contentReference[oaicite:8]{index=8}
SMS (code)Faible à moyenneMFA secondairePartielSupporté dans Entra ID, mais non disponible sous Security Defaults ; à autoriser via votre politique de méthodes et vos stratégies. :contentReference[oaicite:9]{index=9}
Appel vocalFaible à moyenneMFA secondairePartielSimilaire à SMS ; non disponible sous Security Defaults. :contentReference[oaicite:10]{index=10}
Jetons matériels OATH TOTPMoyenneCode matériel 30/60sOuiSupport en cours (Public Preview pour matériels) ; utile en environnements sans smartphone. :contentReference[oaicite:11]{index=11}
Certificat (CBA)ÉlevéeCertificat utilisateurOuiPeut compter pour une force d’authentification spécifique via Accès conditionnel. :contentReference[oaicite:12]{index=12}

Security Defaults versus licences Entra

Security Defaults : ce que cela implique concrètement

Les Security Defaults sont proposées gratuitement pour renforcer la sécurité de base. Quand elles sont activées, tous les utilisateurs doivent s’enregistrer et utiliser Microsoft Authenticator via notifications. Les codes TOTP (dont ceux générés dans des apps tierces) peuvent être utilisés lors de la connexion, mais l’SMS et l’appel vocal ne sont pas disponibles dans ce mode. Depuis le 29 juillet 2024, la période de grâce d’enregistrement de 14 jours a été supprimée, ce qui rend la bascule plus rapide et plus visible pour les utilisateurs. :contentReference[oaicite:13]{index=13}

Quand une licence payante devient utile (P1/P2)

  • Entra ID P1 : requise pour Accès conditionnel (qui décide qui/quand/où/quoi) et pour imposer une force d’authentification (ex. “résistante au phishing”= FIDO2, passkeys, passless). C’est le moyen de permettre SMS/voix tout en gardant la main sur les scénarios et en évoluant vers plus sûr. :contentReference[oaicite:14]{index=14}
  • Entra ID P2 : nécessaire si vous voulez du pilotage au risque (Identity Protection : sign‑in/user risk) et des politiques plus avancées. :contentReference[oaicite:15]{index=15}

Autrement dit, vous n’avez pas besoin d’un abonnement payant pour “avoir la MFA”. En revanche, si vous souhaitez choisir vos méthodes (ex. conserver le SMS) et cibler finement l’application de la MFA, le passage à P1 est la voie recommandée. :contentReference[oaicite:16]{index=16}

Pourquoi parle‑t‑on autant de “juillet” ?

  • 17 juillet 2025 : renforcement MFA sur des flux non interactifs (sécurité accrue côté applications/scripts). Pas un basculement Authenticator‑obligatoire pour les humains derrière un clavier. :contentReference[oaicite:17]{index=17}
  • Juillet 2025 : suppression d’Autofill (gestion/remplissage de mots de passe) dans l’app Authenticator ; aucune incidence directe sur vos choix MFA. :contentReference[oaicite:18]{index=18}

Chemin de décision en un coup d’œil

Votre situationCe qui se passe si vous ne changez rienOptions recommandées
Security Defaults activées, MFA par SMS aujourd’huiLes utilisateurs seront poussés vers Authenticator ; SMS/voix non disponibles sous Security Defaults.Désactiver Security Defaults et passer à Accès conditionnel (P1) pour autoriser SMS/voix tout en préparant une transition vers FIDO2/Authenticator. :contentReference[oaicite:19]{index=19}
Security Defaults désactivées, per‑user MFA “legacy”Ce mode de gestion “legacy” est déprécié et ne sera plus géré après 30 septembre 2025.Migrer vers la “Authentication methods policy” + Accès conditionnel (P1). Conservez temporairement SMS si nécessaire, mais planifiez le passage à des méthodes résistantes au phishing. :contentReference[oaicite:20]{index=20}
Accès conditionnel déjà en place (P1)Rien de cassant en “juillet” pour vos utilisateurs interactifs.Profitez‑en pour imposer des authentification strengths selon les risques (ex. FIDO2 pour admins), et activer “System‑preferred MFA”. :contentReference[oaicite:21]{index=21}

Actions concrètes à réaliser sans attendre

Vérifier votre posture

  1. Dans le centre d’administration Entra : Entra ID > Présentation > Propriétés > Gérer les Security Defaults → notez l’état (Activé/Désactivé). Si “Activé”, l’app Authenticator est exigée. :contentReference[oaicite:22]{index=22}
  2. Allez dans Entra ID > Méthodes d’authentification > Politiques → contrôlez quelles méthodes sont autorisées (SMS, Voix, Authenticator, OATH…). :contentReference[oaicite:23]{index=23}
  3. Si vous utilisez des automatisations (PowerShell/ROPC/CLI), vérifiez la conformité MFA des flux non interactifs avant la date butoir. :contentReference[oaicite:24]{index=24}

Tester les méthodes dans votre environnement

  • Tester : SMS/voix (si autorisés hors Security Defaults), Authenticator push/TOTP, FIDO2/passkeys, OATH matériel. Documenter les cas limites (hors ligne, appareil perdu, BYOD). :contentReference[oaicite:25]{index=25}
  • Activer “System‑preferred MFA” pour décourager automatiquement SMS/voix au profit d’Authenticator/FIDO2. :contentReference[oaicite:26]{index=26}

Décider de votre trajectoire

  • Garder Security Defaults (gratuit) → adoptez Authenticator (push/TOTP). Préparez les utilisateurs et profitez d’Authenticator Lite si utile. :contentReference[oaicite:27]{index=27}
  • Passer à Entra ID P1 → gardez/contrôlez SMS/voix au besoin, puis pilotez une montée en gamme vers FIDO2/passkeys et Authenticator sans mot de passe. :contentReference[oaicite:28]{index=28}

Bonnes pratiques que nous recommandons

  • Aller vers des méthodes résistantes au phishing (FIDO2/passkeys, Authenticator sans mot de passe) et réserver SMS/voix comme solution d’appoint/fallback. :contentReference[oaicite:29]{index=29}
  • Former et accompagner : guides pas‑à‑pas pour l’app Authenticator, procédure de récupération d’appareil, communication claire sur la suppression de la période de grâce MFA. :contentReference[oaicite:30]{index=30}
  • Nettoyer les flux non interactifs : remplacez ROPC et autres par des identités gérées ou la fédération d’identité des workloads. :contentReference[oaicite:31]{index=31}
  • Campagne d’enregistrement : utilisez la “Registration campaign” pour nudger vos utilisateurs vers l’app sans rupture. :contentReference[oaicite:32]{index=32}

FAQ express

Faut‑il payer une licence Entra pour faire de la MFA ?
Non. La MFA existe pour tous via Security Defaults. Mais Security Defaults impose l’app Authenticator (pas de SMS/voix). Pour autoriser/contrôler d’autres méthodes (ex. SMS) et cibler précisément qui y est soumis, l’Accès conditionnel (licence P1) est recommandé. :contentReference[oaicite:33]{index=33}

Le courriel parlant de “juillet” dit que l’app doit être “activée sinon des blocages” : est‑ce vrai ?
Le message fait généralement référence à l’exigence MFA sur des flux non interactifs au 17 juillet 2025. Ce n’est pas une obligation d’abandonner le SMS pour les connexions interactives, mais un durcissement côté applications/services. :contentReference[oaicite:34]{index=34}

Nous voulons garder le SMS à court terme ; que faire ?
Désactivez Security Defaults, migrez la gestion des méthodes vers la Authentication methods policy et pilotez la MFA via Accès conditionnel (P1). Prévoyez dès maintenant la transition vers des méthodes résistantes au phishing. :contentReference[oaicite:35]{index=35}

Per‑user MFA “legacy” : peut‑on rester comme ça ?
Non : la gestion “legacy” des méthodes MFA/SSPR est dépréciée et ne sera plus gérable après le 30 septembre 2025. Migrez vers la “Authentication methods policy” avant cette date. :contentReference[oaicite:36]{index=36}

Authenticator a “changé en juillet” ; cela casse la MFA ?
Non. Microsoft a retiré Autofill (gestion/remplissage de mots de passe) en juillet/août 2025. Les fonctions MFA/passkeys restent intactes. :contentReference[oaicite:37]{index=37}

Plan d’action recommandé

  1. Faites l’inventaire : état des Security Defaults, méthodes autorisées, groupes/conditions d’Accès conditionnel, flux non interactifs. :contentReference[oaicite:38]{index=38}
  2. Décidez :
    • Rester en Security Defaults → adoptez Authenticator (et Authenticator Lite le cas échéant).
    • Basculer en P1 → conservez provisoirement SMS/voix, activez System‑preferred MFA, préparez FIDO2. :contentReference[oaicite:39]{index=39}
  3. Communiquez : mode opératoire, périmètre, dates, assistance, récupération en cas de perte d’appareil.
  4. Exécutez une campagne d’enregistrement pour migrer en douceur vers l’app Authenticator. :contentReference[oaicite:40]{index=40}
  5. Validez les automatisations pour la conformité MFA des scripts/services avant les jalons Azure. :contentReference[oaicite:41]{index=41}

À retenir

En l’état, Microsoft n’impose pas “uniquement Authenticator” pour tous en juillet. Si votre locataire fonctionne avec Security Defaults, l’app devient effectivement la méthode attendue ; le SMS/voix n’y sont pas disponibles. Si vous avez besoin d’un contrôle fin (garder temporairement le SMS, n’imposer que des méthodes résistantes au phishing, cibler selon le risque), passez à Entra ID P1 et pilotez via Accès conditionnel et Authentication strengths. Anticipez la bascule vers FIDO2/passkeys et sensibilisez vos utilisateurs dès maintenant. :contentReference[oaicite:42]{index=42}

Mise à jour : informations vérifiées au 15 octobre 2025 (échéances Azure MFA non interactif, retrait d’Autofill Authenticator, dépréciation de la gestion legacy MFA/SSPR). Pensez à contrôler les annonces officielles susceptibles d’ajuster le calendrier. :contentReference[oaicite:43]{index=43}

Microsoft 365
Microsoft Authenticator Conditional Access MFA Entra ID FIDO2 Security Defaults
Sommaire