Microsoft 365 donne accès à beaucoup de données critiques dans une PME : mails Outlook, fichiers SharePoint, documents OneDrive, équipes Teams, boîtes partagées et informations clients.
Un simple compte Microsoft 365 peut donc ouvrir beaucoup de portes.
Le MFA, ou authentification multifacteur, est une première protection importante. Mais il ne répond pas à toutes les situations.
Un utilisateur se connecte-t-il depuis un pays inhabituel ? Depuis un appareil personnel ? Depuis un poste non protégé ? Depuis un réseau inconnu ? Avec un compte administrateur ?
C’est là que l’accès conditionnel Entra ID devient utile.
Il permet de décider qui peut accéder à Microsoft 365, depuis quel appareil, avec quel niveau de vérification et dans quelles conditions.
L’objectif n’est pas de bloquer les équipes. L’objectif est de renforcer la cybersécurité Microsoft 365 là où le risque est réel, avec des règles testées, documentées et suivies.
Cet article est dédié aux PME de 10 à 50 utilisateurs et va vous montrer l’intérêt de Intune dans une entreprise comme la vôtre. Vous apprendrez également les éléments et preuves nécessaires à demander à un prestataire potentiel en charge de son implémentation.
Votre PME utilise Microsoft 365, mais vous ne savez pas si les accès sont réellement protégés selon les bons contextes ? Axorys peut auditer, cadrer et suivre vos règles d’accès conditionnel Entra ID.
Entra ID est le service Microsoft qui gère les identités et les accès.
Dit plus simplement : il aide à savoir qui se connecte, vers quelle application, depuis quel appareil et dans quel contexte.
L’accès conditionnel ajoute une logique de décision.
Il ne dit pas seulement : “mot de passe correct, accès autorisé”.
Il regarde le contexte.
L’accès conditionnel Entra ID applique des règles d’accès à Microsoft 365 selon le contexte réel de connexion : utilisateur, appareil, lieu, application et niveau de risque.
Exemples simples :
Microsoft décrit l’accès conditionnel comme le moteur de stratégie Zero Trust de Microsoft. Il rassemble des signaux, prend des décisions et applique des règles d’accès.
Source : Microsoft Entra Conditional Access overview
Zero Trust signifie “ne jamais faire confiance automatiquement”. Chaque accès doit être vérifié selon le contexte.
Pour replacer ce sujet dans une vision plus large, consultez le guide Microsoft 365 pour PME .
Une PME n’a pas toujours une DSI interne.
Pourtant, elle utilise souvent Microsoft 365 comme un socle complet : Outlook, Exchange Online, SharePoint, OneDrive, Teams, comptes utilisateurs, accès externes et données sensibles.
Le risque ne vient pas seulement du mot de passe.
Il vient du contexte.
Exemples concrets :
Dans ces cas, une règle unique ne suffit pas.
Une PME doit pouvoir adapter l’accès selon :
L’accès conditionnel est particulièrement utile pour protéger :
Un audit Microsoft 365 PME permet de vérifier si ces règles existent déjà, si elles sont cohérentes et si elles ont été testées avant activation.
Ces trois notions sont souvent mélangées.
Elles ne jouent pas exactement le même rôle.
| Mécanisme | Objectif | Ce que cela permet | Limite | Page Axorys liée |
|---|---|---|---|---|
| MFA | Ajouter une vérification après le mot de passe | Réduire le risque lié au vol d’identifiants | Ne tient pas toujours compte du contexte complet | MFA Microsoft 365 PME |
| Security Defaults | Activer des protections Microsoft de base | Appliquer rapidement un socle de sécurité | Peu personnalisable | Audit Microsoft 365 PME |
| Accès conditionnel | Appliquer des règles selon le contexte | Adapter l’accès selon utilisateur, lieu, appareil, risque ou application | Doit être bien testé pour éviter les blocages | Administration tenant Microsoft 365 |
| Accès conditionnel + Intune | Tenir compte de l’état de l’appareil | Exiger un appareil conforme pour certains accès | Demande une gestion des appareils | Intune Microsoft 365 Business Premium PME |
| Accès conditionnel basé sur le risque | Adapter l’accès selon un risque détecté | Renforcer les règles si une connexion semble suspecte | Dépend des signaux disponibles et des licences | Cybersécurité Microsoft 365 |
Le MFA signifie authentification multifacteur. Il demande une preuve supplémentaire : application mobile, notification, code ou méthode plus forte.
Microsoft explique que le MFA augmente la sécurité en demandant une forme d’identification supplémentaire, et que les stratégies d’accès conditionnel peuvent demander le MFA pour des événements de connexion précis.
Source : Microsoft Entra multifactor authentication
Security Defaults correspond à des protections Microsoft de base. C’est utile quand une entreprise ne dispose pas encore de politiques d’accès conditionnel. Microsoft indique que l’accès conditionnel nécessite une licence Microsoft Entra ID P1 ou P2, tandis que Security Defaults peut être utilisé quand Conditional Access n’est pas disponible.
Source : Mandatory Microsoft Entra MFA
L’accès conditionnel va plus loin : il applique des règles selon le contexte.
Exemple : demander le MFA uniquement pour les administrateurs, les connexions hors pays habituel ou l’accès à certaines applications sensibles.
Un signal est une information utilisée pour prendre une décision.
Un signal seul ne bloque pas forcément l’accès. C’est la politique qui combine plusieurs signaux et décide quoi faire.
| Signal | Exemple PME | Décision possible | Risque réduit |
|---|---|---|---|
| Utilisateur | Salarié, dirigeant, prestataire | Autoriser, bloquer, demander MFA | Accès non maîtrisé |
| Groupe | Service comptable, commerciaux, direction | Appliquer une règle à une population | Règles trop générales |
| Rôle administrateur | Administrateur global ou sécurité | Exiger MFA fort ou appareil conforme | Compte admin compromis |
| Application cible | Outlook, SharePoint, OneDrive, Teams | Renforcer l’accès aux services sensibles | Données exposées |
| Adresse IP ou localisation | Connexion hors France ou hors réseau habituel | Bloquer ou demander MFA | Connexion inhabituelle |
| Appareil conforme | Poste géré par Intune | Autoriser seulement les appareils conformes | Appareil non maîtrisé |
| Plateforme | Windows, macOS, iOS, Android | Adapter selon le type d’appareil | Accès depuis équipement risqué |
| Client utilisé | Navigateur, application mobile, client lourd | Limiter ou contrôler la session | Accès non sécurisé |
| Niveau de risque | Connexion suspecte | Exiger MFA ou bloquer | Compromission probable |
| Session | Session web SharePoint ou OneDrive | Limiter le téléchargement ou la durée | Fuite de données |
Microsoft liste plusieurs signaux utilisés par l’accès conditionnel : utilisateurs, groupes, applications cloud, plateformes d’appareils, emplacements, applications clientes, risques de connexion et appareils conformes.
Source : Microsoft Entra Conditional Access overview
Le point important est celui-ci : une politique mal construite peut bloquer trop large.
Exemple : bloquer tous les accès hors France peut gêner un dirigeant en déplacement. Exiger un appareil conforme peut bloquer des utilisateurs si les appareils ne sont pas encore gérés.
Les signaux doivent donc être testés avant activation.
Une PME n’a pas besoin de créer vingt règles dès le départ.
Elle doit commencer par les règles qui réduisent les risques les plus concrets.
| Règle | Pourquoi la mettre en place | Population concernée | Précaution avant activation | Preuve à conserver |
|---|---|---|---|---|
| Exiger MFA pour les administrateurs | Protéger les comptes les plus puissants | Administrateurs Microsoft 365 | Vérifier les comptes d’urgence | Capture ou export de la politique |
| Exiger MFA hors réseau ou localisation habituelle | Renforcer les connexions inhabituelles | Utilisateurs internes | Tester les déplacements et télétravail | Résultat du mode rapport |
| Bloquer les pays non utilisés par l’entreprise | Réduire les connexions suspectes | Tous les utilisateurs | Prévoir les cas de voyage | Liste des pays bloqués |
| Exiger un appareil conforme pour les données sensibles | Limiter l’accès depuis postes non maîtrisés | Direction, finance, RH, fichiers sensibles | Vérifier Intune et les appareils gérés | Liste des groupes ciblés |
| Limiter les appareils personnels | Réduire l’accès depuis équipements non contrôlés | Utilisateurs avec données critiques | Prévoir BYOD ou exceptions | Décision client documentée |
| Protéger Exchange Online, SharePoint, OneDrive et Teams | Sécuriser mails et fichiers | Tous ou groupes sensibles | Ne pas activer partout sans test | Applications ciblées |
| Exiger MFA pour les connexions à risque | Réagir aux signaux suspects | Utilisateurs exposés | Vérifier les licences et signaux disponibles | Journaux analysés |
| Exclure les comptes d’urgence | Éviter un verrouillage complet | Comptes break-glass | Tester et surveiller ces comptes | Liste des exclusions validée |
| Tester en mode rapport | Comprendre l’impact avant blocage | Groupe pilote ou toute l’entreprise | Lire les journaux avant activation | Rapport du mode report-only |
| Revoir les politiques régulièrement | Garder des règles adaptées | Tenant Microsoft 365 | Revue trimestrielle ou après changement | Compte rendu de revue |
Les comptes d’urgence, aussi appelés break-glass, servent à conserver un accès de secours si une règle bloque les administrateurs. Microsoft recommande d’exclure ces comptes des politiques d’accès conditionnel pour éviter un verrouillage en cas de mauvaise configuration.
Source : Require MFA for all users with Conditional Access
Le mode rapport, ou report-only mode, permet de configurer une stratégie sans l’appliquer immédiatement. Il sert à comprendre ce qui se passerait avant d’activer réellement la règle.
Source : Conditional Access insights and reporting workbook
Pour les comptes sensibles, consultez aussi la page sur les comptes administrateurs Microsoft 365.
L’accès conditionnel est puissant.
C’est justement pour cela qu’il faut le déployer avec méthode.
L’accès conditionnel ne doit pas être activé brutalement sur toute l’entreprise sans test, sans exclusion et sans procédure de retour arrière.
La bonne approche est progressive.
Commencez par un périmètre restreint. Par exemple : les comptes administrateurs ou un groupe pilote.
Activez ensuite le mode rapport.
Analysez les journaux de connexion.
Utilisez l’outil What If.
Puis activez la règle, si les résultats sont cohérents.
Microsoft précise que l’outil What If permet de simuler l’évaluation des politiques, activées ou en mode rapport, pour voir quelles règles s’appliqueraient à une connexion donnée.
Source : Conditional Access What If tool
Microsoft indique aussi que le mode report-only aide à comprendre l’impact d’une stratégie avant application.
Source : Conditional Access insights and reporting workbook
En pratique, une PME doit prévoir :
Exemple de communication utile :
“À partir de telle date, une vérification MFA pourra être demandée lors d’une connexion hors du bureau ou depuis un appareil non reconnu.”
Simple. Clair. Sans surprise.
Ce déploiement doit être relié à l’administration tenant Microsoft 365, car une règle d’accès ne doit pas vivre seule. Elle doit être suivie dans le temps.
L’accès conditionnel devient plus puissant quand il tient compte de l’appareil.
Un mot de passe peut être correct. Le MFA peut être validé. Mais l’appareil utilisé peut être risqué.
Exemples :
Intune est le service Microsoft qui permet de gérer les appareils et leur conformité.
Un appareil conforme peut par exemple respecter certaines règles :
Pour une PME, l’accès conditionnel devient plus puissant quand il tient compte de l’état réel de l’appareil.
Microsoft explique qu’Intune envoie les informations de conformité à Microsoft Entra ID afin que l’accès conditionnel décide d’accorder ou de bloquer l’accès aux ressources.
Source : Conditional Access grant controls
Concrètement, une PME peut décider :
Attention : ce type de règle doit être préparé.
Si les appareils ne sont pas encore enregistrés ou conformes, la règle peut bloquer trop largement.
Pour approfondir ce sujet sans en faire une page Intune complète, consultez Intune Microsoft 365 Business Premium PME.
Les comptes administrateurs doivent être traités à part.
Ils peuvent modifier le tenant Microsoft 365, créer des comptes, changer des droits, désactiver des protections ou accéder à des paramètres sensibles.
Les comptes administrateurs doivent avoir des règles plus strictes que les utilisateurs standards, car ils peuvent modifier tout le tenant Microsoft 365.
Dans une PME, il faut vérifier :
L’administrateur global est le rôle le plus puissant.
Il ne doit pas être utilisé pour les tâches du quotidien.
Une règle simple : un compte admin ne doit pas servir à lire ses mails, ouvrir des pièces jointes ou naviguer comme un compte normal.
Il doit être réservé à l’administration.
Pour approfondir : moindre privilège Microsoft 365 et sécurité Microsoft 365.
Les accès ne concernent pas seulement les comptes.
Ils concernent aussi les données.
Dans une PME, SharePoint et OneDrive contiennent souvent :
L’accès conditionnel peut aider à contrôler qui accède à ces fichiers et dans quelles conditions.
Exemples :
Mais l’accès conditionnel ne remplace pas la DLP.
DLP signifie Data Loss Prevention, ou prévention des fuites de données.
L’accès conditionnel contrôle qui peut accéder. La DLP contrôle ce qui peut être partagé ou transmis. Les deux sujets se complètent, mais ne se remplacent pas.
Exemple simple :
Pour structurer les droits et les partages, consultez l’administration SharePoint Microsoft 365 et la page sur les droits SharePoint et OneDrive.
Pour la protection des données sensibles, consultez la page DLP Microsoft 365.
Une politique d’accès conditionnel ne doit pas être une boîte noire.
Elle doit être compréhensible, testée, documentée et suivie.
Un prestataire doit pouvoir fournir :
Exemple de preuve utile :
“Politique CA-ADMIN-MFA activée le 12/04. Cible : administrateurs. Exclusions : comptes break-glass. Test report-only du 01/04 au 10/04. Aucun blocage métier détecté. Validation client : 11/04.”
C’est simple, traçable et exploitable.
Ces preuves doivent s’intégrer dans une infogérance Microsoft 365, au même titre que les comptes, licences, alertes, sauvegardes et incidents.
L’accès conditionnel repose sur une responsabilité partagée.
Microsoft fournit la plateforme.
Le client valide les règles et les risques acceptés.
Le prestataire peut cadrer, configurer, tester, documenter et suivre les politiques.
| Sujet | Client | Prestataire | Microsoft |
|---|---|---|---|
| Disponibilité de la plateforme | Suit l’impact métier | Informe et accompagne | Fournit Entra ID et les services cloud |
| Licences nécessaires | Valide les choix budgétaires | Conseille selon les besoins | Définit les prérequis produits |
| Décision des règles à appliquer | Valide les risques acceptés | Propose les règles adaptées | Fournit les capacités techniques |
| Configuration des politiques | Valide le périmètre | Configure et documente | Fournit la console et les contrôles |
| Validation des exclusions | Approuve les exceptions | Liste et justifie les exclusions | Fournit les mécanismes |
| Comptes d’urgence | Valide leur existence | Configure, teste, surveille | Recommande des bonnes pratiques |
| Analyse des journaux | Décide des suites à donner | Analyse et alerte | Fournit les journaux disponibles |
| Communication utilisateur | Valide le message | Prépare ou accompagne | Ne gère pas la communication interne |
| Support en cas de blocage | Remonte l’impact métier | Diagnostique et corrige | Fournit les services cloud |
| Reporting | Lit, décide, priorise | Produit les preuves et rapports | Fournit certains états |
| Revue périodique | Valide les changements | Révise et ajuste | Fait évoluer la plateforme |
Ce partage évite les malentendus.
Une règle d’accès conditionnel peut bloquer un utilisateur. Elle peut aussi protéger un compte critique.
Il faut donc savoir qui décide, qui configure, qui teste, qui communique et qui corrige.
Pour une entreprise locale, un prestataire d’infogérance à Paris peut aider à cadrer ces responsabilités dans un suivi régulier.
L’accès conditionnel ne doit pas être une configuration faite une fois puis oubliée.
Les usages changent.
Les salariés partent. Les appareils évoluent. Les sites SharePoint se multiplient. Les règles de sécurité doivent être revues.
Il devient pertinent d’intégrer l’accès conditionnel dans l’infogérance Microsoft 365 quand :
Dans ce cas, l’accès conditionnel doit entrer dans le pilotage régulier :
Avant de modifier les règles, il peut être utile de vérifier l’accès conditionnel dans un audit Microsoft 365.
L’accès conditionnel Entra ID est un mécanisme Microsoft qui applique des règles d’accès selon le contexte de connexion : utilisateur, appareil, localisation, application, rôle ou niveau de risque. Il peut autoriser, bloquer, demander le MFA ou exiger un appareil conforme.
Le MFA ajoute une vérification supplémentaire après le mot de passe. L’accès conditionnel décide quand cette vérification est nécessaire, selon le contexte. Par exemple, il peut exiger le MFA pour les administrateurs, les connexions hors réseau habituel ou les accès à des données sensibles.
Pas toujours. L’accès conditionnel peut fonctionner sans Intune pour certaines règles, comme demander le MFA ou bloquer des localisations. Intune devient utile si l’entreprise veut exiger un appareil conforme avant d’autoriser l’accès à certaines données.
Il faut tester les politiques avant activation. Une PME doit utiliser un groupe pilote, le mode rapport, les journaux de connexion, l’outil What If, des comptes d’urgence et une procédure de retour arrière.
Les règles prioritaires sont : MFA obligatoire pour les administrateurs, MFA hors localisation habituelle, blocage des pays non utilisés, protection des accès SharePoint et OneDrive, limitation des appareils personnels, comptes d’urgence exclus et test en mode rapport.
Ce n’est pas obligatoire, mais c’est souvent utile si personne ne maîtrise Entra ID en interne. Un prestataire peut cadrer les règles, éviter les blocages, documenter les exclusions, tester en mode rapport et fournir des preuves.
L’accès conditionnel Entra ID est une brique clé de la sécurité Microsoft 365.
Il permet à une PME de mieux protéger ses comptes, ses mails, ses fichiers SharePoint, ses documents OneDrive et ses accès Teams.
Mais il ne doit pas être activé à l’aveugle.
Les règles doivent être pensées selon les usages réels : MFA, comptes administrateurs, appareils conformes, localisation, applications sensibles, exclusions et comptes d’urgence.
Elles doivent aussi être testées.
Le mode rapport, les journaux de connexion, l’outil What If et les preuves de configuration sont indispensables pour éviter les blocages et garder une trace des décisions.
Pour une PME, le bon objectif n’est pas de créer une architecture complexe.
Le bon objectif est de sécuriser les accès Microsoft 365 sans casser le quotidien des équipes.
Votre PME utilise Microsoft 365, mais vous ne savez pas si les accès sont réellement protégés selon les bons contextes ? Axorys peut auditer, cadrer et suivre vos règles d’accès conditionnel Entra ID.