Entra ID, c'est l'annuaire central de tout tenant Microsoft 365. C'est là que vivent les comptes, les accès, les permissions. Et c'est là que se joue l'essentiel de la sécurité — parce que compromettre un compte Entra, c'est souvent compromettre tout le reste.
Voilà ce qu'il faut vérifier, dans l'ordre où ça compte.
MFA — pas seulement pour les admins
Le MFA sur les comptes admin, la plupart des gens y pensent. Le problème, c'est que les attaquants aussi. Ils ciblent les comptes utilisateurs ordinaires, pas les admins — justement parce qu'ils sont moins surveillés et souvent sans MFA.
- MFA actif sur tous les comptes — pas d'exception pour les "petits" comptes. Un utilisateur avec accès à Outlook et OneDrive représente déjà une surface d'attaque réelle.
- Méthodes autorisées — SMS et appel téléphonique sont les méthodes les plus faibles. Elles sont vulnérables au SIM swapping et à l'interception. Préférer l'application Authenticator avec push notification, ou mieux, les clés FIDO2.
- Comptes sans aucune méthode MFA enregistrée — un compte avec MFA "activé" mais aucune méthode configurée peut souvent contourner la vérification. À auditer séparément des comptes MFA actifs.
Comptes admins — moins c'est mieux
Un admin global a les clés du royaume. Il peut lire tous les emails, supprimer des comptes, modifier des politiques de sécurité, accéder à toutes les données. Ce rôle doit être traité comme une exception, pas comme la configuration par défaut.
- Nombre d'admins globaux — deux maximum, pour la redondance en cas d'urgence. Au-delà, c'est de la surface d'attaque inutile.
- Comptes dédiés à l'administration — un admin global ne devrait pas être le même compte que celui utilisé pour lire ses emails au quotidien. En pratique, c'est rarement respecté.
- Privileged Identity Management (PIM) — pour les tenants avec les bonnes licences, PIM permet d'activer les droits admin à la demande, pour une durée limitée. Le compte est admin zéro par défaut, admin temporaire sur demande justifiée.
- Rôles attribués de façon permanente — même les rôles moins puissants qu'Admin Global (Exchange Admin, SharePoint Admin) méritent une revue. Un compte avec Exchange Admin peut accéder à toutes les boîtes mail.
Authentification legacy — la porte dérobée oubliée
L'authentification dite "legacy" regroupe les protocoles anciens : IMAP, POP3, SMTP authentifié, Exchange ActiveSync en basic auth. Ces protocoles ont un défaut majeur : ils ne supportent pas le MFA. Un identifiant et un mot de passe suffisent.
La conséquence : même si vous avez activé le MFA sur tous vos comptes, un attaquant qui obtient un mot de passe peut toujours se connecter via IMAP et contourner complètement votre protection.
- Bloquer l'auth legacy via Conditional Access — c'est la façon propre de le faire. Une policy qui bloque les connexions avec legacy authentication clients s'applique à tous les comptes et tous les protocoles concernés.
- Vérifier les connexions actives — avant de bloquer, regarder les logs de connexion filtrés sur "Legacy authentication client". S'il y a des connexions récentes, il faut identifier qui utilise encore ces protocoles avant de couper.
Conditional Access — l'outil le plus sous-utilisé
C'est ici que la majorité des tenants PME décrochent. Le Conditional Access permet de définir des conditions précises pour autoriser ou bloquer une connexion : appareil géré, pays d'origine, niveau de risque, application ciblée. C'est le mécanisme le plus puissant d'Entra ID — et le moins souvent en place.
- Policy de base : exiger le MFA pour tous — si vous n'avez aucune policy CA, commencez là. Une règle simple : toutes les applications, tous les utilisateurs, exiger un MFA. C'est le filet de sécurité minimum.
- Bloquer les pays non utilisés — si vos utilisateurs travaillent en France, il n'y a aucune raison légitime qu'une connexion arrive de Russie ou du Nigeria. Une policy de blocage géographique réduit massivement le bruit des tentatives d'intrusion.
- Exiger un appareil conforme pour les apps sensibles — coupler Conditional Access avec Intune : seuls les appareils gérés et conformes peuvent accéder à Exchange, SharePoint ou Teams.
- Accès à risque élevé — Entra calcule un score de risque par connexion (impossible travel, IP anonymisée, credential leak). Une policy qui bloque ou force un MFA renforcé sur les connexions à risque élevé est une protection automatique.
Comptes inactifs — les cibles oubliées
Un ancien collaborateur parti il y a six mois dont le compte est toujours actif. Un compte de test créé pour une démonstration et jamais supprimé. Ces comptes ne se connectent plus, personne ne surveille leur activité, et ils restent des cibles valides pour un attaquant.
- Comptes sans connexion depuis 90 jours — la plupart des outils de gouvernance Entra permettent de générer cette liste en quelques clics. C'est le premier endroit à nettoyer.
- Comptes de service et comptes partagés — souvent pas de propriétaire identifié, mot de passe jamais renouvelé. Documenter qui utilise quoi et pourquoi.
AuditMS analyse automatiquement votre configuration Entra ID : MFA, admins globaux, auth legacy, Conditional Access, comptes inactifs — et génère un score de sécurité en moins de 2 minutes.
Lancer l'audit sur mon tenantPar où commencer si tout est à faire ?
Dans l'ordre : MFA sur tous les comptes d'abord, puis bloquer l'auth legacy. Ces deux actions ensemble éliminent la grande majorité des vecteurs d'attaque sur les identités.
Ensuite, réduire les admins globaux à deux comptes dédiés — c'est une action rapide avec un impact fort. Puis mettre en place une première policy Conditional Access minimaliste : MFA requis pour tous, blocage géographique si le périmètre le permet.
La revue des comptes inactifs et la mise en place de PIM peuvent attendre, mais ne doivent pas être oubliées dans un second temps.