Conditional Access sans licence Premium : ce que vous pouvez vraiment faire

Le Conditional Access est souvent présenté comme la fonctionnalité de sécurité centrale de Microsoft 365. Et c'est vrai — c'est l'outil le plus puissant pour contrôler qui accède à quoi, depuis où, et dans quelles conditions. Problème : il est réservé aux licences Azure AD P1, c'est-à-dire Microsoft 365 Business Premium ou E3 minimum.

Beaucoup de PME sont sur Business Basic ou Business Standard. Elles n'ont pas accès au Conditional Access. Alors que font-elles ?

C'est quoi le Conditional Access ?

Le Conditional Access, c'est un système de règles conditionnelles appliquées à chaque tentative de connexion. Exemples concrets :

Exiger le MFA uniquement quand l'utilisateur se connecte depuis l'extérieur du réseau d'entreprise
Bloquer les connexions depuis certains pays
Autoriser l'accès à Teams seulement depuis un appareil géré par Intune
Forcer une session courte sur les appareils non conformes

C'est flexible, précis, et puissant. C'est aussi réservé aux licences avec Azure AD P1 inclus.

Sans licence Premium : ce qui est disponible

Sans Azure AD P1, vous avez deux options natives :

Security Defaults — activé gratuitement sur tous les tenants Microsoft 365. C'est un ensemble de règles de sécurité préconfigurées par Microsoft, non modifiables :

MFA obligatoire pour tous les comptes
MFA obligatoire pour les administrateurs à chaque connexion
Blocage des protocoles d'authentification legacy (IMAP, POP3, SMTP basic)

MFA par utilisateur (legacy) — l'ancienne méthode d'activation du MFA, compte par compte. Toujours disponible, mais moins intégrée avec les mécanismes modernes d'Entra ID. À éviter sur les nouveaux déploiements.

Ce qu'on voit souvent : des tenants avec Security Defaults désactivés "parce que ça bloquait quelque chose" — et rien d'autre à la place. Résultat : aucune protection MFA, authentification legacy ouverte, comptes exposés.

Security Defaults — le filet de base

Pour une PME sans Business Premium, Security Defaults activés c'est le minimum non négociable. En une action, vous couvrez les trois vecteurs d'attaque les plus courants sur M365 : absence de MFA, MFA trop faible sur les admins, authentification legacy.

La limite : vous ne pouvez rien configurer. Pas d'exception pour un compte de service, pas de règle géographique, pas de condition sur l'appareil. C'est tout ou rien.

Entra admin center → Propriétés → Gérer les paramètres de sécurité par défaut

Un point important : Security Defaults et Conditional Access sont mutuellement exclusifs. Si vous activez vos propres politiques CA, les Security Defaults se désactivent — et inversement. Dès que vous passez à Business Premium, il faut reconfigurer explicitement ce que les Security Defaults faisaient automatiquement.

Où est la limite ?

Ce que vous ne pouvez pas faire sans Azure AD P1 :

Pas d'exception par utilisateur ou groupe — les Security Defaults s'appliquent à tout le monde ou à personne
Pas de condition sur la localisation — impossible de bloquer les connexions depuis l'étranger
Pas de condition sur l'appareil — impossible d'exiger un appareil Intune-compliant
Pas de gestion du risque de connexion — les connexions suspectes (impossible travel, IP anonymisée) ne déclenchent aucune règle automatique
Pas de session conditionnelle — impossible de forcer une déconnexion après X heures selon le contexte

Ce qu'on voit souvent : une PME qui a activé le MFA via Security Defaults pense être protégée — et elle l'est, partiellement. Mais un ancien employé dont le compte n'a pas été désactivé peut toujours se connecter depuis n'importe où dans le monde. Sans CA, il n'y a aucun moyen d'y remédier automatiquement.

Ça vaut quoi, l'upgrade ?

Microsoft 365 Business Premium coûte environ 22€/utilisateur/mois contre 12€ pour Business Standard — soit 10€ de différence. Pour 10 utilisateurs, c'est 100€/mois supplémentaires.

Ce que vous gagnez en plus du Conditional Access : Intune (gestion des appareils), Defender for Business (EDR), Azure AD P1 complet (PIM, Identity Protection basique). C'est un saut significatif en termes de surface de protection.

Pour une PME qui manipule des données sensibles ou qui a des obligations réglementaires, la question ne devrait pas être "est-ce qu'on peut se passer de Business Premium ?" mais "est-ce qu'on peut se permettre de ne pas l'avoir ?"

AuditMS détecte si votre tenant tourne avec Security Defaults ou des politiques Conditional Access, identifie les gaps de protection et vous indique ce qui est couvrable avec votre licence actuelle.

Lancer l'audit sur mon tenant