À compter du 1er juillet 2025, Microsoft appliquera l’authentification multifacteur (MFA) à toutes les applications d’entreprise propriétaires, y compris celles utilisées par Configuration Manager pour l’authentification du tenant. L’authentification via un compte de service ne permet pas de répondre à l’exigence MFA et sera donc prochainement obsolète et retirée du produit.
Qu’est-ce qui change ?
Pour améliorer la sécurité et prévenir les cyberattaques, Microsoft a annoncé que l’authentification aux portails Azure et aux applications propriétaires Microsoft exigerait la MFA obligatoire à partir du 1er juillet 2025. Par conséquent, toute méthode d’authentification ne satisfaisant pas à cette exigence MFA ne pourra plus être utilisée. Pour plus d’informations sur ce changement, consultez l’annonce de Microsoft ici.
Impact sur Configuration Manager
Lors de l’intégration d’un tenant, vous pouvez choisir entre plusieurs méthodes d’authentification, dont l’utilisation d’un compte de service. Les comptes de service sont des comptes utilisateur Entra ID qui permettent l’authentification du tenant via un nom d’utilisateur et un mot de passe. Puisque ces comptes sont non interactifs, la MFA ne peut pas être appliquée et les comptes de service ne peuvent pas satisfaire aux exigences MFA de Microsoft. Cela signifie que l’authentification basée sur un compte de service doit être dépréciée.
Calendrier de dépréciation
Vous verrez bientôt un badge “bientôt obsolète” à côté de l’option d’authentification par compte de service sur la page d’installation du tenant. Cela sert d’avertissement précoce concernant ce changement et vise à encourager les utilisateurs à sélectionner notre option par défaut, l’authentification déléguée.
À l’approche du 1er juillet, l’option d’authentification par compte de service sera entièrement retirée de l’application. Cela signifie que vous ne pourrez plus la sélectionner.
Actions requises
Si l’un de vos tenants utilise l’authentification par compte de service, vous devez agir avant le 1er juillet 2025. Les tenants installés avec l’authentification déléguée ou l’authentification par principal de service uniquement ne sont pas concernés par ce changement.
Tout tenant installé avec un compte de service doit être réinstallé avec une autre méthode d’authentification pour éviter toute interruption dans la Sync. Les utilisateurs ont deux options :
- Option 1 : réinstaller votre tenant pour utiliser l’authentification déléguée. L’authentification déléguée permet de capturer l’authentification utilisateur sous forme de jeton d’actualisation et prend en charge les comptes utilisant la MFA.
- Option 2 : réinstaller votre tenant pour désactiver l’authentification basée sur l’utilisateur et se reposer uniquement sur l’authentification par principal de service. Cette option ne nécessite pas de compte utilisateur mais réduit le nombre de configurations prises en charge.
Le fait de ne pas agir entraînera l’impossibilité de s’authentifier et d’exécuter les Syncs sur les tenants concernés.
Besoin d’aide ?
Si vous avez besoin d’aide pour migrer votre(vos) tenant(s) du compte de service vers l’authentification déléguée ou si vous avez des questions sur ce changement, veuillez contacter notre équipe support.