Introduction
Microsoft Entra ID ajuste la gestion des scopes de base (baseline scopes), affectant directement le fonctionnement des politiques d'accès conditionnel. À partir de juin 2026, les applications demandant ces scopes verront leurs accès évalués via ces politiques. Cela signifie un traitement uniforme pour toutes les ressources, quel que soit le scope demandé.
Les scopes baseline incluent des permissions OpenID Connect (OIDC) et des permissions de répertoire comme openid, email, profile, User.Read, People.Read et bien d'autres considérés comme à faible risque.
Pourquoi ce changement est important
Scopes baseline et leur rĂ´le
Les scopes baseline regroupent les permissions à faible risque, largement utilisées pour la connexion à Entra ID via des applications tierces. Avant ce changement, lorsque ces scopes étaient sollicités par une application, les politiques d'accès conditionnel avec exclusions de ressources n'étaient pas appliquées.
Désormais, Microsoft s'assure que les politiques sont uniformément applicables, même pour les applications demandant uniquement les scopes baseline. Cela inclut des scénarios populaires comme l'utilisation de Visual Studio Code, souvent limité à la permission User.Read.
Impact pour les administrateurs
Microsoft indique que la majorité des clients ne nécessitera aucun ajustement, car les applications demandent généralement des permissions plus larges, comme celles liées à Microsoft Graph. Cependant, les administrateurs doivent être vigilants face aux:
- Applications dépendant uniquement des scopes baseline.
- Scénarios où ces applications n'ont pas les moyens de satisfaire aux politiques (par exemple, MFA obligatoire).
Utilisez le rapport d'analyse des principaux services pour identifier les applications dans votre tenant qui pourraient être affectées par ce changement.
Configuration dans Entra ID
Nouvelle page pour la configuration des scopes baseline
Microsoft offre désormais une page dédiée dans le centre d'administration Entra, accessible via un lien spécifique. Ce nouvel outil aide les administrateurs à :
- Configurer les politiques d'application des scopes baseline.
- Activer l'option "Enforcement" recommandée pour une sécurité accrue.
- Surveiller les applications qui pourraient échouer après ce changement.
Étapes pour préparer votre tenant
Exécutez des analyses via Entra ID ou utilisez un rapport tiers pour répertorier les permissions demandées par chaque application.
Accédez à la page du centre d'administration Entra via le lien dédié: https://aka.ms/BaselineScopesSettingsUX.
Dans la section de gestion des scopes baseline, activez l'option "Enforcement" pour garantir la conformité des applications.
En attente du déploiement
Le déploiement progressif est en cours depuis le 15 juin 2026 et devrait être entièrement achevé d'ici août 2026. Les tenants recevront:
- Une première notification deux semaines avant l'application des nouvelles règles.
- Une confirmation finale une fois le déploiement terminé.
Microsoft utilise des télémétries pour détecter si votre tenant est affecté et envoie des messages via le centre de notifications Entra ID. Dans le cas où aucune notification n'est reçue, cela indique que vos politiques ne sont pas concernées.
Un suivi rigoureux des logs d'accès conditionnel est essentiel pour éviter des interruptions inattendues.
Conclusion
Ce changement marque une étape clé pour harmoniser la sécurité dans Microsoft 365. Entra ID garantit désormais une application universelle des politiques d'accès conditionnel, renforçant la sécurité des applications et de leurs interactions avec les tenants. Préparez votre environnement dès maintenant pour assurer une transition fluide.
