Entra ID

Entra Conditional Access : "All resources" change

3 min de lecture

Résumé

Microsoft va modifier Entra Conditional Access à partir du 27 mars 2026 pour que les stratégies visant « All resources » s’appliquent de façon cohérente, même lorsqu’elles comportent des exclusions de ressources et que l’application cliente ne demande que des scopes OIDC ou un nombre limité de scopes d’annuaire. Ce changement est important car il comble un angle mort pouvant laisser certaines connexions échapper aux contrôles de sécurité, et pourra entraîner l’apparition de nouveaux défis d’accès comme la MFA ou la vérification de conformité des appareils.

Besoin d'aide avec Entra ID ?Parler à un expert

Introduction : pourquoi c’est important

Conditional Access (CA) est un contrôle clé pour imposer MFA, la conformité des appareils et des restrictions de session. Microsoft renforce l’application de CA dans le cadre de sa Secure Future Initiative afin de réduire les scénarios où des connexions peuvent, involontairement, échapper à l’évaluation des stratégies — en particulier pour les applications clientes qui ne demandent qu’un ensemble limité de scopes.

Ce qui change

Aujourd’hui, un écart peut se produire lorsqu’une stratégie CA cible « All resources » mais inclut également des exclusions de ressources. Dans des cas spécifiques — lorsqu’un utilisateur se connecte via une application cliente qui ne demande que des scopes OIDC ou un ensemble limité de scopes d’annuaire — Microsoft indique que ces stratégies « All resources » peuvent ne pas être appliquées.

Avec cette mise à jour :

  • Les stratégies CA ciblant « All resources » seront appliquées même en présence d’exclusions de ressources pour ces connexions.
  • L’objectif est une application cohérente de CA, quel que soit l’ensemble de scopes demandé par l’application.
  • Les utilisateurs peuvent désormais recevoir des défis CA (par exemple : MFA, conformité de l’appareil, ou d’autres contrôles d’accès) lors de flux de connexion qui ne les déclenchaient pas auparavant.

Calendrier de déploiement

  • Début de l’application : 27 mars 2026
  • Modèle de déploiement : progressif sur l’ensemble des clouds
  • Fenêtre d’achèvement : sur plusieurs semaines jusqu’en juin 2026

Qui est concerné

Seuls les tenants ayant la configuration suivante sont impactés :

  • Au moins une stratégie Conditional Access ciblant All resources (All cloud apps)
  • La même stratégie comporte une ou plusieurs exclusions de ressources

Microsoft informera les tenants impactés via des publications dans le Microsoft 365 Message Center.

Impact pour les administrateurs et les utilisateurs finaux

Impact côté administrateur

  • Les résultats de connexion pour certaines applications clientes peuvent changer, en particulier lorsque les applications s’appuient sur des demandes de scopes minimales.
  • Les stratégies qui ciblent aussi explicitement Azure AD Graph (le cas échéant selon votre environnement/historique de stratégie) peuvent être impliquées dans les défis résultants en fonction des contrôles configurés.

Impact côté utilisateur final

  • Les utilisateurs peuvent voir de nouvelles invites (MFA, exigences d’appareil conforme, etc.) lors de l’authentification avec des applications concernées — là où, auparavant, l’accès pouvait se poursuivre sans application de CA.

Actions recommandées / prochaines étapes

  • La plupart des organisations : aucune action requise.
    • La plupart des applications demandent des scopes plus larges et sont déjà soumises à l’application de CA.
  • Si vous avez des applications personnalisées enregistrées dans votre tenant qui demandent volontairement uniquement des scopes limités : examinez et testez.
    • Vérifiez que ces applications peuvent gérer correctement les défis Conditional Access.
    • Si ce n’est pas le cas, mettez à jour l’application en suivant les recommandations Microsoft pour les développeurs sur Conditional Access, afin que les flux d’authentification (invites interactives, signaux d’appareil, etc.) soient correctement gérés.
  • Préparation opérationnelle :
    • Surveillez les notifications du Message Center.
    • Utilisez les journaux de connexion ainsi que le dépannage Conditional Access / les rapports d’audience pour identifier quelles applications et stratégies déclenchent de nouveaux défis pendant le déploiement.

Ce changement vise à combler une lacune de défense en profondeur et à rendre les stratégies Conditional Access « All resources » plus prévisibles — il est donc utile de valider de manière proactive toute application personnalisée à scopes minimaux avant que l’application n’atteigne votre tenant.

Besoin d'aide avec Entra ID ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Swaroop Krishnamurthy
Entra IDConditional AccessMFAOAuth scopesidentity security

Articles connexes

Entra ID

Microsoft Entra Backup and Recovery en preview

Microsoft a lancé Microsoft Entra Backup and Recovery en preview publique, offrant aux organisations un moyen géré par Microsoft de restaurer les objets d’identité et les configurations critiques vers un état connu et fiable. Le service aide les équipes IT à récupérer plus rapidement après des modifications administratives accidentelles, des erreurs de provisioning et des changements malveillants pouvant perturber l’accès et la sécurité.

Entra ID

Microsoft Entra MFA externe désormais disponible

Microsoft a annoncé la disponibilité générale de la MFA externe dans Microsoft Entra ID, permettant aux organisations d’intégrer des fournisseurs MFA tiers de confiance via OpenID Connect. Cette fonctionnalité permet aux équipes IT de conserver Microsoft Entra ID comme plan de contrôle central de l’identité tout en maintenant l’accès conditionnel, l’évaluation des risques et la gestion unifiée des méthodes d’authentification.

Entra ID

Microsoft Entra RSAC 2026 : sécurité IA et accès sans mot de passe

À la RSAC 2026, Microsoft a annoncé des évolutions majeures de Microsoft Entra pour mieux sécuriser les identités à l’ère de l’IA, en étendant la gouvernance et le contrôle d’accès aux agents IA, aux workloads et aux environnements multi-tenant. Ces nouveautés comptent car elles renforcent une approche Zero Trust centrée sur l’identité, avec évaluation continue du risque, détection du shadow AI et accès sans mot de passe pour aider les équipes IT et sécurité à mieux maîtriser de nouveaux vecteurs d’exposition.

Entra ID

Microsoft Entra 2026 : l’IA repense l’accès entreprise

Le rapport Microsoft Entra 2026 montre que l’essor de l’IA générative et des agents autonomes met sous pression les modèles classiques de gestion des identités et des accès : 97 % des organisations ont connu un incident lié à l’identité ou à l’accès, et 70 % signalent des incidents liés à l’IA. Cela compte car la multiplication des identités machine, des autorisations étendues et des outils fragmentés pousse les entreprises à consolider leurs solutions vers des plateformes IAM intégrées, afin de réduire la surface d’attaque et mieux sécuriser les environnements pilotés par l’IA.

Entra ID

Microsoft Entra Access Priorities : webinaires IA

Microsoft lance la série de webinaires « Entra Access Priorities », composée de quatre sessions pratiques pour aider les équipes IT à déployer une stratégie d’accès moderne autour de l’authentification résistante au phishing, de l’accès adaptatif, du Zero Trust et de l’Access Fabric. Cette initiative est importante car elle traduit la vision de Microsoft sur l’identité comme nouveau plan de contrôle de la sécurité — y compris pour les agents IA — en étapes concrètes, avec démos, checklists et bonnes pratiques directement actionnables.

Entra ID

Microsoft Entra : Secure Web & AI Gateway en preview

Microsoft met en preview un « Secure Web & AI Gateway » dans Entra Internet Access pour sécuriser l’usage des outils d’IA générative directement au niveau réseau, avec une approche centrée sur l’identité. Cette nouveauté aide les entreprises à détecter le Shadow AI, appliquer des politiques via Conditional Access et filtrer les fichiers avec l’intégration Purview, ce qui est crucial pour limiter les fuites de données et mieux gouverner l’accès aux services IA sans refondre les applications.