Activer le MFA Microsoft 365 est l’une des premières mesures de sécurité à mettre en place pour une PME de moins de 50 utilisateurs. Mais si l’authentification multifacteur est mal préparée, elle peut aussi bloquer des collaborateurs, des administrateurs ou certaines applications. L’objectif est donc de protéger les comptes utilisateurs avec une méthode simple, souvent Microsoft Authenticator, sans désorganiser le travail quotidien.
Le bon MFA n’est pas seulement une case à cocher. C’est un déploiement avec méthode : les bons comptes, les bonnes méthodes, les bons secours et les bonnes exceptions.
Réponse courte :
Pour activer le MFA Microsoft 365 en PME, commencez par protéger les administrateurs, préparez l’inscription des utilisateurs, privilégiez Microsoft Authenticator ou les passkeys, prévoyez des comptes d’urgence et vérifiez les applications anciennes. Le MFA doit couvrir tous les comptes, mais avec une méthode adaptée aux usages réels.
Votre PME utilise Microsoft 365 au quotidien et vous voulez activer le MFA sans bloquer vos utilisateurs ? Axorys peut vous aider à choisir les bonnes méthodes d’authentification, protéger les comptes administrateurs, traiter les cas particuliers, documenter les comptes d’urgence et sécuriser votre environnement Microsoft 365.
MFA signifie authentification multifacteur. L’utilisateur ne se connecte plus seulement avec son mot de passe. Il doit confirmer son identité avec un second facteur : application mobile, code, notification, biométrie, clé de sécurité ou passkey.
Microsoft définit le MFA comme une vérification supplémentaire pendant la connexion, par exemple un code sur téléphone ou une empreinte digitale. (Microsoft Learn)
Dans une PME, le MFA protège surtout contre les mots de passe volés, réutilisés ou hameçonnés. Si un mot de passe Microsoft 365 est compromis, l’attaquant doit encore passer une seconde vérification.
Mais le MFA ne règle pas tout. Il ne remplace pas la formation au phishing, la gestion des droits, la surveillance des connexions ou la protection des comptes administrateurs. Il réduit un risque important, mais il doit rester dans une démarche plus large de cybersécurité Microsoft 365.
Microsoft 365 propose plusieurs façons d’activer ou d’organiser le MFA. Dans une petite entreprise, la confusion est fréquente entre Security Defaults, MFA par utilisateur, accès conditionnel et méthodes d’authentification.
| Mécanisme | À quoi ça sert | Pour quelle PME | Limite |
|---|---|---|---|
| Security Defaults | Activer des protections de base Microsoft Entra | Petite structure qui veut un socle rapide | Peu personnalisable |
| MFA par utilisateur | Forcer MFA compte par compte | Cas ponctuels ou anciens tenants | Moins propre à long terme |
| Accès conditionnel | Adapter MFA selon contexte | PME avec Business Premium ou Entra P1 | À traiter dans l’article dédié |
| Méthodes d’authentification | Choisir Authenticator, SMS, FIDO2, passkeys | Toutes les PME | Demande un vrai cadrage |
| Authentication strengths | Imposer un niveau MFA plus fort | Comptes sensibles ou admins | Sujet plus avancé |
Les Security Defaults activent des protections de base dans Microsoft Entra, notamment l’inscription MFA et le blocage de certains protocoles d’authentification héritée. Microsoft précise que l’authentification héritée ne prend pas en charge le MFA. (Microsoft Learn)
Le MFA par utilisateur peut dépanner sur un ancien tenant, mais il devient vite difficile à maintenir. Il faut savoir quels comptes sont activés, lesquels ne le sont pas, et pourquoi.
L’accès conditionnel va plus loin. Il permet de décider quand demander le MFA selon le contexte : lieu, risque, appareil, application ou type de compte. C’est très utile, mais ce n’est pas le sujet principal de cet article. Pour cette partie, consultez le guide dédié à l’accès conditionnel Entra ID pour PME.
Toutes les méthodes MFA n’ont pas le même niveau de sécurité, ni le même niveau de confort utilisateur. Le SMS est mieux que rien, mais il ne doit pas être le seul objectif durable.
| Méthode | Niveau recommandé | Avantages | Limites |
|---|---|---|---|
| SMS | Minimum de secours | Simple à comprendre | Plus exposé au phishing, SIM swap, interception |
| Appel téléphonique | Minimum de secours | Facile pour certains profils | Moins recommandé, peu robuste |
| Code TOTP dans Authenticator | Correct | Fonctionne même sans push | Saisie manuelle, phishable |
| Notification Microsoft Authenticator | Bon | Simple pour l’utilisateur | Nécessite smartphone et vigilance |
| Number matching Authenticator | Bon à très bon | Réduit les validations par réflexe | Demande accompagnement utilisateur |
| Passkey / FIDO2 | Très fort | Résistant au phishing | Déploiement plus cadré |
| Windows Hello for Business | Très fort | Confort utilisateur sur poste géré | Dépend du parc et de la gestion des appareils |
Microsoft recommande les méthodes résistantes au phishing comme Windows Hello for Business, passkeys FIDO2, clés FIDO2 et certificats pour les usages plus sensibles. (Microsoft Learn)
Pour une PME, le choix réaliste est souvent progressif. Microsoft Authenticator peut être un bon premier niveau pour la majorité des utilisateurs. Les passkeys ou clés FIDO2 sont particulièrement intéressantes pour les administrateurs, dirigeants, comptes sensibles ou utilisateurs exposés. Microsoft explique que les passkeys FIDO2 apportent une authentification forte et résistante au phishing dans Microsoft Entra ID. (Microsoft Learn)
Si vous souhaitez traiter les clés de sécurité plus en détail, il vaut mieux renvoyer vers une page dédiée aux clés de sécurité FIDO2, sans transformer ce guide MFA en tutoriel complet FIDO2.
Dans une petite entreprise sans DSI interne, le bon déploiement MFA est celui que les utilisateurs comprennent et que le dirigeant peut faire maintenir sans dépendre d’une seule personne.
Voici un ordre simple :
Ce déploiement évite deux erreurs fréquentes : activer le MFA pour tout le monde sans préparation, ou l’activer seulement pour quelques comptes en pensant que le sujet est réglé.
Microsoft propose aussi une documentation de planification pour le déploiement de Microsoft Entra multifactor authentication, ce qui confirme qu’un déploiement MFA doit être préparé et accompagné, pas simplement activé au dernier moment. (Microsoft Learn)
Pour une structure de 10 à 20 postes, une consigne claire vaut mieux qu’un long document technique. Les utilisateurs doivent savoir quoi installer, quand le faire et qui appeler si le QR code ou l’application bloque.
Checklist de communication :
L’objectif n’est pas de faire peur. Il faut expliquer que le MFA protège les accès Microsoft 365, les emails, les fichiers SharePoint, les données OneDrive et les outils de travail quotidien.
Microsoft propose aussi une campagne d’inscription dans Microsoft Entra ID pour encourager les utilisateurs à configurer Microsoft Authenticator ou une passkey pendant la connexion. (Microsoft Learn)
Les comptes administrateurs sont plus sensibles que les comptes standards. Un compte administrateur Microsoft 365 peut modifier des utilisateurs, des droits, des paramètres de sécurité, des boîtes mail, des sites SharePoint ou des applications.
Il faut donc les traiter en priorité.
Bonnes pratiques PME :
Microsoft a lancé une exigence MFA progressive pour les comptes qui se connectent aux portails d’administration Azure, Entra, Intune et Microsoft 365. Depuis octobre 2024, le MFA est requis progressivement pour les portails Azure, Entra et Intune, puis le déploiement s’étend progressivement au centre d’administration Microsoft 365 depuis février 2025. (Microsoft Learn)
Le sujet du moindre privilège et des rôles administrateurs mérite un article séparé. Ici, le point clé est simple : aucun compte administrateur ne devrait dépendre d’un mot de passe seul.
Un compte d’urgence, souvent appelé break glass, sert à éviter le verrouillage total du tenant Microsoft 365 en cas de mauvaise configuration, perte d’accès MFA ou incident d’administration.
Ce compte ne doit pas devenir une porte dérobée. Il doit être prévu, documenté, surveillé et testé.
| Point de contrôle | Recommandation PME |
|---|---|
| Nombre | Prévoir au moins un compte d’urgence, souvent deux selon contexte |
| Usage | Jamais au quotidien |
| Mot de passe | Long, unique, stocké en coffre-fort |
| MFA | À cadrer selon stratégie et risques |
| Surveillance | Alerte si connexion |
| Documentation | Qui peut l’utiliser, quand, pourquoi |
| Test | Vérifier périodiquement que le compte fonctionne |
Le compte d’urgence doit rester exceptionnel. Il ne doit pas être partagé librement, utilisé par un prestataire au quotidien ou oublié pendant plusieurs années.
Une PME doit pouvoir répondre à trois questions : qui connaît l’existence du compte, où est stocké son accès, et que se passe-t-il si ce compte est utilisé ?
Certaines applications anciennes ne supportent pas bien le MFA. C’est souvent le point qui bloque les petites structures.
Exemples fréquents :
Le problème n’est pas seulement technique. Si vous bloquez brutalement l’authentification héritée sans inventaire, vous pouvez couper l’envoi d’emails d’un scanner, d’un logiciel de facturation ou d’un outil métier.
Microsoft explique que l’authentification héritée ne prend pas en charge le MFA. Les stratégies de blocage de l’authentification héritée doivent donc être préparées, souvent d’abord en mode observation ou avec un inventaire. (Microsoft Learn)
Cet article ne doit pas devenir un guide SMTP AUTH ou Exchange Online. Si le problème concerne surtout les emails qui ne partent plus ou n’arrivent pas, consultez plutôt l’article sur les emails Microsoft 365 qui n’arrivent pas.
Le MFA devient fragile quand l’entreprise n’a pas prévu les cas simples : téléphone perdu, nouvel appareil, départ salarié ou utilisateur sans smartphone.
| Situation | Risque | Action recommandée |
|---|---|---|
| Téléphone perdu | Utilisateur bloqué | Procédure de réinitialisation MFA |
| Changement de téléphone | Ancien Authenticator inutilisable | Prévoir une méthode secondaire |
| Nouveau salarié | MFA non inscrit | Inscription dès l’onboarding |
| Départ salarié | Méthode MFA encore liée | Désactiver le compte, retirer sessions et droits |
| Admin bloqué | Tenant difficile à administrer | Utiliser procédure d’urgence |
| Smartphone personnel refusé | Adoption difficile | Prévoir alternatives selon métier |
| Utilisateur sans smartphone | Blocage opérationnel | FIDO2, téléphone pro ou autre méthode validée |
Le bon réflexe consiste à prévoir ces cas avant activation. Une procédure MFA doit expliquer comment ajouter une méthode, remplacer un téléphone, vérifier l’identité de l’utilisateur et documenter l’action.
Pour les départs salariés, le MFA doit être relié à l’offboarding : désactivation du compte, retrait des sessions, suppression des accès, revue des groupes et vérification des boîtes ou fichiers partagés.
Dans une TPE/PME où l’informatique est souvent gérée à temps partiel, les problèmes MFA viennent rarement de la technologie elle-même. Ils viennent surtout d’un manque de préparation utilisateur et d’un manque de procédure.
Erreurs courantes :
Une petite entreprise n’a pas besoin d’une architecture lourde pour éviter ces erreurs. Elle a besoin d’un inventaire des comptes, d’un choix de méthodes, d’une procédure téléphone perdu, d’un pilote utilisateur et d’une preuve que les administrateurs sont protégés.
Lors de nos audits Microsoft 365, nous voyons souvent des tenants où le MFA est actif pour certains utilisateurs, mais pas pour tous les administrateurs.
Chez des petites structures, le problème n’est pas de comprendre l’intérêt du MFA. Le vrai sujet est de l’activer sans bloquer le dirigeant, l’office manager ou les utilisateurs qui changent de téléphone.
Nous rencontrons aussi des environnements où un scanner, un ancien logiciel métier ou un compte partagé empêche d’activer proprement le MFA.
Dans plusieurs reprises de tenant Microsoft 365, le MFA avait été activé dans l’urgence après une alerte, sans procédure pour les téléphones perdus ni compte d’urgence documenté.
Notre approche consiste à sécuriser les comptes par étapes : administrateurs, utilisateurs pilotes, généralisation, puis nettoyage des exceptions.
Pour une PME, le MFA ne doit pas être vécu comme une contrainte de plus, mais comme une règle simple et documentée pour protéger les accès Microsoft 365.
Preuves utiles :
Ces preuves sont importantes dans le cadre d’un support ou d’une infogérance Microsoft 365. Elles évitent les réponses floues comme “le MFA est activé quelque part” ou “normalement les admins sont protégés”.
La preuve doit être simple : quels comptes sont couverts, quelles méthodes sont autorisées, quelles exceptions existent, qui les a validées et quand la revue a été faite.
La PME valide le niveau de contrainte acceptable. Le prestataire prépare, configure, teste, documente et corrige les exceptions. Microsoft fournit la plateforme Microsoft Entra ID et les services d’authentification.
Cette répartition évite un malentendu classique : croire que l’activation MFA est terminée dès que le bouton est activé. En réalité, il faut aussi gérer les exceptions, les téléphones perdus et les anciens usages.
| Action | PME | Prestataire |
|---|---|---|
| Valider la date d’activation MFA | Responsable | Appui |
| Choisir les méthodes autorisées | Validation | Responsable si mandat |
| Identifier les comptes admin | Appui métier | Responsable |
| Préparer la communication utilisateurs | Responsable | Appui |
| Lancer le pilote | Appui | Responsable |
| Activer MFA pour tous | Validation | Responsable |
| Traiter les cas bloqués | Appui | Responsable |
| Documenter les exceptions | Validation | Responsable |
| Tester le compte d’urgence | Validation | Responsable |
| Revoir les méthodes MFA | Responsable | Appui |
Le MFA est le socle. L’accès conditionnel sert ensuite à décider quand et dans quelles conditions demander ce MFA.
Il devient utile si la PME veut :
Microsoft décrit les authentication strengths comme un contrôle d’accès conditionnel permettant de préciser quelles combinaisons de méthodes d’authentification peuvent être utilisées pour accéder à une ressource. (Microsoft Learn)
Cet article reste centré sur le socle MFA. Les règles avancées doivent être traitées dans le guide dédié à l’accès conditionnel Entra ID pour PME. Si le sujet devient lié aux appareils conformes, consultez aussi le guide sur Intune dans Microsoft 365 Business Premium.
Pour une entreprise qui utilise Microsoft 365 au quotidien sans administrateur dédié, le MFA doit être une mesure simple, stable et documentée. Un prestataire peut aider à choisir les méthodes, traiter les exceptions et éviter les blocages.
Faites-vous accompagner si :
Le sujet peut aussi s’inscrire dans un guide Microsoft 365 pour PME, avec les autres points de sécurité : comptes administrateurs, sauvegarde, SharePoint, OneDrive, Exchange Online et droits d’accès.
Vous pouvez aussi parcourir les guides Microsoft 365 pour PME pour relier ce sujet aux autres briques du tenant Microsoft 365.
Le MFA Microsoft 365 est une authentification multifacteur. L’utilisateur saisit son mot de passe, puis valide son identité avec un second facteur comme Microsoft Authenticator, un code, une notification, une clé FIDO2 ou une passkey.
Oui, dans la plupart des cas. Le SMS reste un niveau minimal, mais il est plus exposé aux attaques et erreurs. Microsoft recommande les méthodes plus résistantes au phishing, notamment passkeys FIDO2, Windows Hello for Business et certificats pour les usages plus sensibles. (Microsoft Learn)
Security Defaults peut fournir un socle de sécurité simple pour une petite structure. Il active des protections de base et bloque certains anciens protocoles. Une PME qui veut des règles plus fines devra ensuite étudier l’accès conditionnel, sans commencer par une architecture complexe. (Microsoft Learn)
Il faut prévoir une procédure de réinitialisation MFA. L’administrateur vérifie l’identité de l’utilisateur, retire l’ancienne méthode si nécessaire, ajoute une nouvelle méthode et documente l’action. Cette procédure doit exister avant l’incident.
Certaines anciennes applications ou protocoles ne supportent pas le MFA. Microsoft indique que les clients d’authentification héritée ne supportent pas le MFA. Il faut donc les identifier avant de bloquer ces accès. (Microsoft Learn)
Pas forcément. Une clé FIDO2 est très utile pour les administrateurs, dirigeants ou comptes sensibles. Pour tous les utilisateurs, Microsoft Authenticator peut être un bon premier niveau. Le choix dépend du risque, du budget, du parc et de la capacité d’accompagnement.
Contactez un prestataire si le MFA est partiellement activé, si les administrateurs ne sont pas bien protégés, si des utilisateurs sont bloqués, si les téléphones perdus ne sont pas gérés, ou si l’entreprise doit passer ensuite à l’accès conditionnel.
Le MFA Microsoft 365 est une mesure de sécurité essentielle pour une PME, mais il doit être déployé avec méthode. Le but n’est pas seulement d’activer une option : il faut choisir les bonnes méthodes, protéger les administrateurs, prévoir les téléphones perdus, traiter les anciens protocoles et documenter les exceptions.
Une PME n’a pas besoin d’une architecture grand compte pour bien démarrer. Elle a besoin d’un socle clair : MFA pour tous, Microsoft Authenticator ou passkeys quand c’est possible, compte d’urgence encadré, utilisateurs préparés et preuves conservées.
Votre PME utilise Microsoft 365 au quotidien et vous voulez activer le MFA sans bloquer vos utilisateurs ? Axorys peut vous aider à choisir les bonnes méthodes d’authentification, protéger les comptes administrateurs, traiter les cas particuliers, documenter les comptes d’urgence et sécuriser votre environnement Microsoft 365.