Microsoft a annoncé la disponibilité générale de la fonctionnalité d’authentification multifactorielle (MFA) externe dans Entra ID, le 24 mars 2026. Cette fonctionnalité permet d’intégrer des solutions d’authentification MFA tierces tout en conservant l’accès conditionnel et les stratégies basées sur les risques. Passons en revue cette annonce.
Intégrer un service MFA tiers simplement et conforme à OpenID Connect
Cette annonce de Microsoft va permettre aux organisations utilisant Entra ID comme fournisseur d’identité de faire évoluer leur politique d’accès. En effet, les deux méthodes d’intégration, disponibles jusqu’à présent, imposaient des limitations :
Les Custom Controls : configurables au travers des stratégies d’accès conditionnel, mais cette méthode ne reposait pas sur le protocole OpenID Connect.
Utiliser AD FS : déléguer l’authentification au service de fédération d’identités en y intégrant la solution MFA tierce, nécessitant une adhérence On-premise.
Pour en savoir plus, je vous recommande cet article de Sébastien MIRO qui explique plus en détail le mécanisme protocolaire.
OIDC (OpenID Connect) est un protocole d’authentification d’identité basé sur OAuth 2.0. Il permet de vérifier l’identité des utilisateurs lors de leur connexion à des services en ligne. OIDC fournit une authentification unique, permettant aux utilisateurs de se connecter à plusieurs applications avec un seul ensemble d’identifiants. Il est largement utilisé par des entreprises comme Google et Microsoft pour sécuriser l’accès via des API et des applications.
Pourquoi utiliser External MFA dans Entra ID ?
La fonctionnalité d’authentification multifactorielle disponible dans Entra ID peut être utilisée pour plusieurs besoins :
Utiliser un service MFA tiers par contrainte réglementaire
Assurer une transition fluide pour les organisations réalisant des fusions ou acquisitions
Harmoniser l’expérience d’authentification avec un autre service MFA que celui disponible nativement dans Entra ID
Cela répond aussi au contexte où les organisations françaises cherchent à limiter leur adhérence à Microsoft. Au-delà de ça, l’utilisation d’un service de MFA externe permet d’assurer une continuité d’activité en cas d’indisponibilité de celui natif à Entra ID.
Enfin, cette fonctionnalité permet de renforcer la sécurité du processus d’authentification, en respectant la norme OIDC.
Désormais, regardons comment fonctionner l’ajout d’un service MFA tiers dans Microsoft Entra.
1. Se rendre dans le centre d’administration d’Entra ID.
2. Se connecter avec un compte d’administrateur adapté.
3. Naviguer jusqu’à Méthodes d’authentification > Ajouter une authentification multifacteur externe.
Capture d’écran du centre d’administration Entra ID
4. Renseignez les informations du service MFA tiers :
Nom : saisir le nom d’affichage
ID Client : identifiant permettant d’identifier Entra ID comme demandeur d’authentification. Peut être identique à l’Application ID selon le service utilisé.
Point de terminaison de découverte :pPoint de terminaison HTTPS du fournisseur de service MFA tiers, permettant de traiter la demande d’authentification.
ID d’application : ID de l’application multitenant du service MFA tiers utilisé, pour lequel un administrateur a accordé son consentement pour permettre d’accéder aux informations de l’utilisateur pendant le processus d’authentification.
Capture d’écran de l’assistant d’ajout d’un service d’authentification multifactorielle externe dans Entra ID
5. Activer le service d’authentification MFA tiers en précisant sa portée : un groupe d’utilisateurs, tous les utilisateurs du tenant, quelques utilisateurs, etc.
6. Cliquer sur Enregistrer pour ajouter le service MFA tiers.
Il sera ensuite possible de la gérer avec les autres méthodes d’authentification disponibles dans Entra ID.
L’expérience utilisateur reste fluide
Une fois le service d’authentification MFA tiers ajouté et affecté, les utilisateurs pourront le sélectionner après avoir saisi leur identifiant et mot de passe, sur le portail d’authentification Microsoft Online. Dans la capture d’écran ci-dessous, nous pouvons utiliser le service MFA tiers “Adatum”, au lieu de Microsoft Authenticator.
Source : Microsoft
Sources & références :
Avec 7 années d’expérience en ESN, j’ai construit un parcours solide autour des technologies Microsoft, aussi bien On‑Premise que Cloud. J’interviens en tant que Consultant Freelance Microsoft, sur des projets Microsoft 365, Azure, Intune et Identity & Security.