La 2FA Microsoft fonctionne-t-elle de la même façon pour les comptes personnels et professionnels ?

Non. Les comptes Microsoft personnels (MSA) — utilisés pour Outlook.com, Xbox, OneDrive personnel — sont gérés par l'utilisateur : vous choisissez votre second facteur sur account.microsoft.com dans la section Sécurité. Les comptes professionnels ou scolaires (Entra ID, anciennement Azure AD) sont gérés par le locataire : l'administrateur impose la politique 2FA via l'accès conditionnel, peut exiger la mise en correspondance de numéros dans Authenticator et peut bloquer le SMS ou la voix comme méthode. Les numéros SMS-Act ne peuvent finaliser que les flux MSA en libre-service ; un compte Entra ID provisionné par un administrateur est associé à un appareil d'entreprise et à un ensemble de facteurs contrôlés par le locataire.

Qu'est-ce que la mise en correspondance de numéros dans Microsoft Authenticator ?

La mise en correspondance de numéros est une fonctionnalité anti-hameçonnage que Microsoft a activée par défaut en mai 2023 pour toutes les notifications push Authenticator dans les locataires Entra ID. L'écran de connexion affiche un nombre à 2 chiffres que vous devez saisir dans l'application Authenticator pour approuver. Cela bloque les attaques par « fatigue MFA » où un attaquant envoie des demandes push en rafale en espérant que l'utilisateur appuie sur Approuver par réflexe. Elle est obligatoire depuis 2024 ; l'ancienne approbation simple est supprimée.

Peut-on utiliser un numéro SMS-Act pour la 2FA Microsoft ?

Uniquement pour l'inscription initiale d'un compte Microsoft personnel (MSA) où une vérification SMS est requise pour créer le compte. Après l'inscription, Microsoft recommande fortement de migrer hors de la 2FA SMS vers Microsoft Authenticator ou une clé de sécurité FIDO2, car la location du numéro virtuel expire et vous perdez l'accès à la récupération. Pour les comptes professionnels ou scolaires, le numéro de téléphone est provisionné par votre administrateur et ne peut pas être remplacé par une location virtuelle.

Pourquoi Microsoft privilégie-t-il Authenticator plutôt que le SMS pour la 2FA ?

Les propres données de veille sur les menaces de Microsoft montrent que la 2FA SMS bloque 99,2 % des attaques automatisées, mais Authenticator avec mise en correspondance de numéros en bloque 99,99 %, et les clés d'accès sont encore plus robustes. Le SMS est vulnérable aux attaques par échange de SIM (plus de 260 millions $ de pertes aux États-Unis selon le FBI en 2024), à l'interception SS7 et aux défaillances de routage opérateur dans certains pays. Authenticator stocke le secret dans l'enclave sécurisée de l'appareil (iOS Secure Enclave ou Android StrongBox) et fonctionne hors ligne, ce qui le rend beaucoup plus difficile à contourner.

Authentification à deux facteurs Microsoft 2026 : MSA vs Entra ID et hiérarchie des facteurs

Besoin de codes de vérification rapides ? Commencez votre parcours de vérification

Commencer maintenant

La 2FA Microsoft en 2026 n'est plus « activez-la et vous êtes en sécurité » — c'est une hiérarchie de facteurs aux garanties de sécurité très différentes, et le type de compte (MSA Personnel vs Entra ID professionnel ou scolaire) détermine quels facteurs sont disponibles, qui les contrôle et si les numéros virtuels SMS-Act conviennent. Ce guide démêle ces couches et vous indique ce qui est recommandé en 2026, ce qui est en cours de suppression et la place qui revient encore à la vérification SMS.

Le grand tournant 2026 : Microsoft supprime le SMS pour les comptes personnels

Microsoft a commencé à supprimer le SMS comme méthode de sécurité pour les comptes Microsoft personnels, déclarant sans détour que « l'authentification par SMS est désormais une principale source de fraude. » Selon les calendriers largement rapportés, les nouveaux comptes personnels ne peuvent plus ajouter le SMS comme méthode de sécurité depuis mai 2025, et les facteurs SMS existants sont supprimés après mai 2026 — remplacés par les clés d'accès et l'application Authenticator. Le SMS apparaît encore à la création du compte et lors des contrôles de risque (où un numéro d'opérateur réel SMS-Act fonctionne), mais il n'est plus un facteur à conserver à long terme. Configurez Authenticator ou une clé d'accès immédiatement après l'inscription. (source)

Les deux types de compte — et pourquoi ils comptent

Microsoft maintient deux systèmes d'identité parallèles :

Dimension	Compte Microsoft personnel (MSA)	Professionnel ou scolaire (Entra ID)
Exemple de domaine	`prenom@outlook.com`, `prenom@hotmail.com`	`prenom@votreentreprise.com`
Utilisé pour	Outlook.com, Xbox, OneDrive personnel, Skype, installation Windows liée au MSA	Microsoft 365 Business/E3/E5, Azure, Intune, Teams
Inscription en libre-service	Oui (toute personne avec e-mail + téléphone)	Non — provisionné par l'administrateur du locataire
Contrôle de la 2FA	L'utilisateur choisit sur `account.microsoft.com` dans Sécurité	L'administrateur impose via l'accès conditionnel
SMS-Act compatible pour l'inscription ?	Oui — le numéro virtuel reçoit le code OTP MSA	Non — le champ téléphone est provisionné par l'administrateur
Flux de récupération	Géré par l'utilisateur : e-mail + téléphone alternatif + code de récupération	Géré par le locataire : réinitialisation par le helpdesk ou politique SSPR
2FA par défaut en 2026	Optionnelle (fortement encouragée)	Obligatoire (Paramètres de sécurité activés pour l'ensemble du locataire)

C'est la source de confusion la plus fréquente. Les recherches sur « vérification SMS 2FA Microsoft » mélangent les flux MSA (où SMS-Act fonctionne) et les flux Entra ID (où il ne fonctionne pas). Vérifiez toujours le type de compte avant de chercher à résoudre un problème.

La hiérarchie 2FA Microsoft 2026

Microsoft classe désormais les facteurs par niveau de sécurité. La pile 2026, du plus fort au plus faible :

Niveau	Facteur	Résistance au hameçonnage	Remarques
1	Clés d'accès (WebAuthn, liées à l'appareil)	Élevée	Par défaut sur Windows Hello, iOS 17+, Android 14+ ; sans mot de passe
2	Clés de sécurité FIDO2 (YubiKey 5C, Feitian)	Élevée	USB-A / USB-C / NFC ; prend en charge la vérification de l'utilisateur
3	Microsoft Authenticator (push + mise en correspondance de numéros)	Élevée	Par défaut pour Entra ID depuis mai 2023
4	Windows Hello for Business (PIN + TPM)	Moyen-élevé	Lié à l'appareil ; fonctionne uniquement sur Windows géré
5	Jeton matériel OATH (Token2, Feitian)	Moyen	Codes basés sur le temps ; fonctionne hors ligne
6	TOTP (Google Authenticator, Authy, 1Password)	Moyen	Même protocole que OATH mais logiciel
7	Code OTP par e-mail	Moyen-faible	Vulnérable si l'e-mail est compromis
8	Code OTP par SMS	Faible	Acceptable pour les flux legacy ; exposé aux échanges de SIM
9	Code OTP par appel vocal	Faible	Même surface d'attaque que le SMS ; utilisé uniquement en solution de repli

Microsoft a supprimé les niveaux 7 à 9 dans Entra ID. L'annonce de mai 2023 a supprimé l'approbation simple par pression (un tapotement), forçant la mise en correspondance de numéros. L'annonce de septembre 2024 a permis aux administrateurs de désactiver entièrement le SMS/Voix comme facteurs principaux. En 2026, la plupart des locataires d'entreprise ont défini le SMS en « Secours uniquement », avec Authenticator + clé d'accès comme pile principale.

Pour les comptes MSA personnels, l'utilisateur a encore le plein choix, mais l'écran de création de compte suggère désormais Authenticator avant le SMS.

Pourquoi Microsoft privilégie Authenticator plutôt que le SMS

Microsoft Threat Intelligence a publié ces taux de blocage (données 2024, valables en 2026) :

Méthode	% des attaques automatisées bloquées
Mot de passe uniquement	0 %
2FA SMS	99,2 %
Push Authenticator (avec mise en correspondance de numéros)	99,99 %
FIDO2 / Clé d'accès	99,99 %+ (résistant au hameçonnage)

L'écart du SMS s'explique par :

Attaques par échange de SIM — le FBI a rapporté plus de 260 millions $ de pertes aux États-Unis en 2024 ; un attaquant convainc l'opérateur de transférer votre numéro.
Vulnérabilités du protocole SS7 — interception des SMS en transit, notamment sur les routes internationales.
Kits de hameçonnage — les frameworks AitM (Adversaire au milieu) modernes comme Evilginx2 capturent les codes SMS en temps réel.
Défaillances de livraison opérateur — certains pays ont des taux de livraison A2P SMS systématiquement inférieurs à 90 %, provoquant des blocages d'utilisateurs qui conduisent à affaiblir la politique 2FA.

Authenticator évite les quatre : le secret ne quitte jamais l'enclave sécurisée de l'appareil, l'approbation push est liée au matériel de l'appareil, la mise en correspondance de numéros casse l'approbation réflexe par tapotement, et il fonctionne hors ligne.

Pourquoi les numéros VoIP ne peuvent même pas s'inscrire

Même là où le SMS est encore accepté (création de compte, défis de risque), Microsoft n'accepte que des numéros rattachés à de vrais opérateurs mobiles. Sa documentation officielle l'indique clairement : « Les numéros VoIP ne peuvent pas être ajoutés comme méthode de connexion ou de réception de codes de vérification. Veuillez utiliser un numéro de téléphone mobile. » L'analyse antifraude téléphonique d'Entra ID signale les services VoIP (Google Voice, Twilio), les sites gratuits de réception de SMS et les numéros de datacentre, et abandonne silencieusement le code. Les numéros SMS-Act proviennent de vrais opérateurs et passent les vérifications HLR / authenticité du numéro, c'est pourquoi ils reçoivent le code à l'étape d'inscription là où un numéro VoIP échoue. Utilisez ce code pour créer le compte, puis migrez immédiatement vers Authenticator ou une clé d'accès. (source)

MSA Personnel : configuration pas à pas de la 2FA

C'est le flux géré par l'utilisateur. Les numéros virtuels SMS-Act peuvent finaliser l'étape initiale de vérification téléphonique.

Étape 1 — Créer ou accéder à votre MSA

Ouvrez account.microsoft.com et connectez-vous (ou créez un nouveau compte avec un e-mail + un téléphone — les numéros SMS-Act fonctionnent ici).
Cliquez sur Sécurité → Options de sécurité avancées.
Consultez la section « Méthodes pour prouver votre identité ».

Étape 2 — Ajouter Microsoft Authenticator (facteur principal recommandé)

Sur un téléphone, installez Microsoft Authenticator depuis l'App Store ou le Play Store.
Sur la page de sécurité account.microsoft.com, cliquez sur Ajouter une nouvelle méthode de connexion ou de vérification → Utiliser une application.
Cliquez sur Configurer une autre application d'authentification si vous ne souhaitez pas utiliser Microsoft Authenticator, ou suivez le flux de code QR.
Scannez le code QR avec Authenticator et saisissez le code à 6 chiffres affiché dans l'application.
Sauvegardez le code de récupération affiché à la fin — il n'est montré qu'une seule fois.

Remarque (changement 2025) : Microsoft Authenticator a cessé de fonctionner comme gestionnaire de mots de passe en 2025 — le remplissage automatique a été retiré vers juillet-août 2025 et les mots de passe enregistrés ont été migrés vers Microsoft Edge. Cela n'affecte pas la 2FA : Authenticator génère encore des codes TOTP, gère les approbations push et stocke les clés d'accès. Vous l'utilisez ici uniquement comme authentificateur, ce qui est inchangé.

Étape 3 — Activer la vérification en deux étapes

Sur la page de sécurité, faites défiler jusqu'à Vérification en deux étapes et cliquez sur Activer.
Confirmez via le code Authenticator.
Microsoft demandera désormais un second facteur à chaque connexion sur un appareil non approuvé.

Étape 4 — Ajouter un facteur de sauvegarde

Option de sauvegarde	Recommandé ?	Pourquoi
Clé de sécurité FIDO2	Oui	Sauvegarde la plus robuste ; fonctionne hors ligne
Code OTP vers une autre boîte e-mail	Oui	Simple, fonctionne sur n'importe quel appareil
Code OTP SMS vers votre vrai numéro personnel	Oui (mais pas un numéro virtuel)	Solution de dernier recours
Code OTP SMS vers un numéro virtuel	Non	La location expire ; vous ne pouvez pas récupérer le compte
Application TOTP (Google Authenticator)	Oui	Indépendante de Microsoft Authenticator

Étape 5 — Configurer une clé d'accès (bonne pratique 2026)

Cliquez sur Ajouter une nouvelle méthode de connexion ou de vérification → Utiliser une clé d'accès.
Suivez les instructions du système d'exploitation : Windows Hello sur Windows 11, Face ID sur iPhone, empreinte digitale sur Android, ou clé matérielle.
La clé d'accès remplace entièrement le mot de passe sur cet appareil — la connexion devient un seul facteur (l'appareil lui-même = « ce que vous avez » + le biométrique/PIN = « ce que vous êtes/savez », combinés en une seule accréditation résistante au hameçonnage).

Entra ID professionnel ou scolaire : perspective de l'administrateur

Pour Entra ID, c'est l'utilisateur qui ne choisit pas les facteurs — c'est l'administrateur. En tant qu'administrateur informatique en 2026, vous configurez généralement :

Politique des méthodes d'authentification

Dans le Centre d'administration Entra → Méthodes d'authentification → Politiques, vous activez :

Microsoft Authenticator (avec mise en correspondance de numéros + localisation GPS + affichage du nom de l'application)
Clés de sécurité FIDO2
Clés d'accès
Optionnel : Windows Hello, jetons matériels OATH
Désactiver ou passer en « Secondaire uniquement » : SMS, Voix, E-mail

Politiques d'accès conditionnel

Politiques de base courantes en 2026 :

Exiger la 2FA pour tous les utilisateurs — chaque connexion nécessite un second facteur.
Bloquer l'authentification héritée — supprime le contournement d'authentification IMAP/POP3 basique.
Exiger un appareil conforme — applique la conformité des appareils Intune avant la connexion.
2FA basée sur les risques de connexion — Identity Protection signale les voyages impossibles et les connexions inconnues, escalade vers une 2FA renforcée.
Exiger une 2FA résistante au hameçonnage pour les administrateurs — clé d'accès ou FIDO2 uniquement pour le rôle Administrateur général.

Réinitialisation de mot de passe en libre-service (SSPR)

L'administrateur définit les facteurs que les utilisateurs peuvent utiliser pour réinitialiser leur propre mot de passe. Généralement :

Authenticator + E-mail + Questions de sécurité (legacy)
Ou Authenticator + E-mail + Téléphone (où le téléphone est le mobile réel de l'utilisateur, provisionné par l'administrateur ou enregistré par l'utilisateur lors de l'intégration)

Les numéros virtuels SMS-Act ne peuvent pas être enregistrés comme téléphone SSPR pour un compte Entra ID — même si le champ téléphone accepte le format, la location expire et le flux SSPR échouera lorsque l'utilisateur aura besoin de récupérer son compte.

Problèmes fréquents et solutions

Symptôme	Cause	Solution
Code Authenticator « Incorrect » malgré une saisie correcte	Dérive de l'heure de l'appareil	Téléphone → Paramètres → Date et heure → régler en automatique
Notifications push arrêtées	Données en arrière-plan de l'application coupées	Autoriser l'activité en arrière-plan pour Authenticator + exception batterie
Boucle « Impossible de vérifier votre compte » sur MSA	Nouvel appareil + aucune récupération de confiance	Utilisez le code de récupération imprimé, ou déclenchez le formulaire de récupération de compte (30 jours)
Code SMS jamais reçu sur un vrai numéro US	Filtre opérateur sur le code court Microsoft	Passez à Authenticator ; si impossible, demandez le code OTP vocal
Perte de l'Authenticator + du téléphone	Ré-enregistrez depuis un appareil de confiance	Utilisez la clé FIDO2 ou le code de récupération ; sinon formulaire de récupération de compte (3 à 30 jours)
Compte Entra ID bloqué après 5 mauvais codes	Verrouillage intelligent (délai d'attente de 10 min par défaut)	Attendez 10 min ou contactez l'administrateur du locataire

Où SMS-Act s'inscrit dans la pile 2FA Microsoft

Il s'inscrit en exactement un endroit : la vérification téléphonique initiale lors de l'inscription au MSA.

Scénario	SMS-Act applicable ?
Création d'un nouveau MSA Outlook.com / Xbox from scratch	Oui
Vérification de la tranche d'âge pour un compte enfant Xbox	Non — la vérification d'âge nécessite un moyen de paiement
Ajout du SMS comme facteur 2FA à un MSA existant	Non — le numéro expire après la location de 15 minutes
Ajout du SMS comme 2FA principale pour Entra ID	Non — provisionné par l'administrateur uniquement
Téléphone pour la réinitialisation de mot de passe en libre-service (SSPR)	Non — nécessite un numéro permanent
Facteur de récupération pour un compte à enjeux élevés	Non — utilisez Authenticator + FIDO2 + code de récupération

Le principe : numéro virtuel = aide ponctuelle à l'inscription, pas un facteur 2FA à conserver. Après la création du MSA, configurez immédiatement Authenticator et une clé d'accès ; le SMS devient une solution de repli sur laquelle vous ne pouvez pas compter.

Pile 2FA recommandée pour 2026

Profil	Facteur principal recommandé	Facteur secondaire recommandé	Récupération
MSA personnel, usage courant	Authenticator	Code OTP par e-mail	Code de récupération imprimé et conservé
MSA personnel, usage avancé	Clé d'accès (Hello / Face ID)	Authenticator	Clé FIDO2 + code de récupération
MSA personnel, journaliste ou modèle de menace élevé	Clé d'accès	YubiKey	Deuxième YubiKey dans un coffre
Utilisateur standard Professionnel/Scolaire	Authenticator (mise en correspondance de numéros)	Jeton OATH	SSPR via Authenticator + e-mail secondaire
Administrateur général Professionnel/Scolaire	FIDO2 / Clé d'accès	Deuxième FIDO2	Compte d'administration break-glass dans un locataire distinct

Ce que SMS-Act ne peut pas faire

Ajouter un téléphone à votre MSA comme facteur 2FA — utilisez votre vrai mobile personnel, pas une location de 15 minutes.
Provisionnement téléphonique Entra ID — les administrateurs contrôlent cela.
Récupérer un compte verrouillé — le formulaire de récupération Microsoft de 30 jours exige des informations d'identité, pas un SMS.
Contourner l'accès conditionnel — les politiques imposées par le locataire ne peuvent pas être contournées.
Approbation parentale Xbox / contrôle d'âge — nécessite un moyen de paiement appartenant au parent.

Lectures liées

Avertissement

Ce service est conçu pour faciliter les tests de développement, la vérification professionnelle et les usages internationaux, en aidant les utilisateurs à accomplir leurs démarches de manière raisonnable et conforme aux règles applicables.

Les utilisateurs sont tenus de s'assurer que leur utilisation est conforme aux lois en vigueur et aux conditions des plateformes tierces. Ce service ne participe pas et ne contrôle pas les modalités d'utilisation par les utilisateurs.

En cas d'utilisation anormale ou inappropriée, des restrictions peuvent être appliquées conformément aux règles de la plateforme.

Les utilisateurs doivent être âgés d'au moins 18 ans et assument l'entière responsabilité de leur utilisation ainsi que de ses conséquences. Si vous n'acceptez pas ces conditions, veuillez cesser d'utiliser ce service.

Obtenez un numéro de vérification pour l'inscription Microsoft avec SMS-Act →

Retour à l'encyclopédie

Authentification à deux facteurs Microsoft 2026 : MSA vs Entra ID et hiérarchie des facteurs ​

Les deux types de compte — et pourquoi ils comptent ​

La hiérarchie 2FA Microsoft 2026 ​

Pourquoi Microsoft privilégie Authenticator plutôt que le SMS ​

MSA Personnel : configuration pas à pas de la 2FA ​

Étape 1 — Créer ou accéder à votre MSA ​

Étape 2 — Ajouter Microsoft Authenticator (facteur principal recommandé) ​

Étape 3 — Activer la vérification en deux étapes ​

Étape 4 — Ajouter un facteur de sauvegarde ​

Étape 5 — Configurer une clé d'accès (bonne pratique 2026) ​

Entra ID professionnel ou scolaire : perspective de l'administrateur ​

Politique des méthodes d'authentification ​

Politiques d'accès conditionnel ​

Réinitialisation de mot de passe en libre-service (SSPR) ​

Problèmes fréquents et solutions ​

Où SMS-Act s'inscrit dans la pile 2FA Microsoft ​

Pile 2FA recommandée pour 2026 ​

Ce que SMS-Act ne peut pas faire ​

Lectures liées ​