Introduction
Microsoft a récemment publié une mise à jour majeure dans le Message Center sous l'identifiant MC1422061 : la fin des Custom Controls dans les politiques d'accès conditionnel de Microsoft Entra ID. Cette fonctionnalité sera remplacée par une approche moderne, basée sur les standards, baptisée External MFA. Cette évolution vise à améliorer l'intégration des solutions de MFA tierces dans Entra ID et nécessite une attention immédiate si votre organisation utilise ces contrôles personnalisés.
Dans cet article, nous détaillons les implications de ce changement, le calendrier clé et les actions à entreprendre pour migrer efficacement vos politiques.

Transition vers External MFA
Depuis 2018, les Custom Controls faisaient partie intégrante des politiques d'accès conditionnel, permettant aux entreprises de détourner les sessions MFA vers des fournisseurs externes. Cependant, ce mécanisme souffrait d'un manque d'intégration native avec les fonctionnalités d'Entra ID et n'était pas considéré comme une solution MFA standard par Microsoft.
Pourquoi External MFA ?
Microsoft remplace les Custom Controls par un modèle d'intégration moderne basé sur les standards, appelé External MFA. Avec ce modèle :
- Les fournisseurs de MFA tiers peuvent être directement intégrés à Microsoft Entra ID en tant que méthode d'authentification native.
- Les politiques utilisant "Exiger une authentification multifacteur" bénéficient d'une intégration fluide.
- L'expérience utilisateur est simplifiée, offrant une interface plus cohérente.
Bon Ă savoir
Dates clés pour la migration
Microsoft a défini un calendrier en deux phases pour la désactivation des Custom Controls dans les politiques d'accès conditionnel :
- Septembre 2026 : Dernière date pour effectuer des modifications de configuration. Les administrateurs ne pourront ni créer ni modifier de Custom Controls après cette date.
- Mai 2027 : Fin complète des Custom Controls. Toute dépendance restante à ces contrôles entraînera des échecs dans les politiques d'accès conditionnel, risquant de bloquer les utilisateurs ou de contourner les exigences de sécurité.
Limitation actuelle
Il est important de noter que les méthodes d'authentification externe ne prennent pas encore en charge les "Authentication Strengths" dans les politiques d'accès conditionnel. Microsoft travaille activement sur cette limitation.
Plan d’action pour les administrateurs
Les organisations qui n’utilisent pas les Custom Controls n’ont pas besoin d’intervenir. Cependant, si vos politiques en dépendent, voici un guide pour mettre en œuvre la transition :
Faire l'inventaire des politiques actuelles
Passez en revue vos politiques d’accès conditionnel existantes et identifiez celles qui utilisent des Custom Controls.
Configurer le MFA externe
Intégrez votre fournisseur MFA tiers en tant que méthode d'authentification externe via la section Authentication Methods du portail Microsoft Entra ID.
Mettre Ă jour les politiques existantes
Une fois l’intégration configurée, remplacez l'exigence des Custom Controls par l'option standard Exiger une authentification multifacteur dans vos politiques d'accès conditionnel.
Tester et surveiller
Testez minutieusement les politiques mises à jour pour vérifier l’expérience utilisateur et assurer le respect des exigences de sécurité.

Attention
Ressources supplémentaires
Pour des instructions détaillées sur la configuration d'un fournisseur MFA tiers tel que Duo Security, consultez cet article : Configure External Authentication Methods in Entra ID with Duo Security.
Microsoft fournit également des documents officiels à ce sujet :
Conclusion
Le remplacement des Custom Controls par External MFA modernise l’écosystème Microsoft Entra ID en offrant une intégration native, une meilleure expérience utilisateur et une gestion simplifiée. Les administrateurs doivent préparer dès maintenant cette transition pour éviter tout impact sur la sécurité et la disponibilité. Prenez les devants et migrez avant les échéances critiques !



