Microsoft Entra ID (anciennement Azure AD) est l’élément central de la gestion des identités au sein des services cloud de Microsoft. Il permet de gérer les utilisateurs, les groupes, les politiques d’accès aux ressources cloud et On-Prem, ou encore les rôles à privilèges. Ce service est omniprésent dans les environnements Microsoft 365 et Azure. Dans cet article, nous allons passer en revue les différents plans de licence disponibles, la gestion des licences et, enfin, comment optimiser ses coûts.

Comme beaucoup de services Microsoft, Entra ID est décliné en plusieurs niveaux de licences : Free, P1, P2, ainsi qu’Entra Suite. Chaque niveau débloque des fonctionnalités supplémentaires, des groupes dynamiques au Privileged Identity Management (PIM) en passant par la détection de risques en temps réel avec Identity Protection. Mais entre ce qui est déjà inclus dans votre abonnement Microsoft 365, ce qui nécessite un add-on, et les règles précises d’affectation par utilisateur, il est facile de s’y perdre. Cet article fait le point sur les règles en vigueur en 2026 pour licencier correctement vos utilisateurs et optimiser vos coûts.

Les licences et fonctionnalités Entra ID

Il existe trois niveaux de licence pour Entra ID (Free, Premium P1 et Premium P2) auxquels s’ajoute l’Entra Suite, que nous détaillons plus loin. Chaque niveau débloque des fonctionnalités supplémentaires, des groupes dynamiques au Privileged Identity Management (PIM), en passant par la détection de risques en temps réel avec Identity Protection. Passons en revue les fonctionnalités disponibles pour chacun d’entre eux.

Entra ID Free permet uniquement la modification de mot de passe en libre-service par l’utilisateur, lorsqu’il connait son mot de passe. La réinitialisation de mot de passe en cas d’oubli est disponible à partir d’Entra ID P1. Bien que ces fonctionnalités soient rattachées aux fonctionnalités du SSPR, il est important de distinguer cette nuance.

Et Entra Suite dans tout ça ?

Entra Suite étend les fonctionnalités d’Entra ID avec des fonctionnalités de gouvernance avancée, du contrôle d’accès réseau, de la protection en temps réel et de la vérification d’identité. Elle permet la mise en œuvre d’une politique Zero Trust au-delà de l’identité. Ce plan prend la forme d’un module complémentaire aux licences Entra ID P1 et P2, en ajoutant 5 briques :

• Entra ID Gouvernance : gérer et automatiser le cycle de vie des identités et des accès, appliquer le moindre privilège et faciliter les audits.
• Entra ID Protection : détecter et bloquer les compromissions d’identité en temps réel grâce à l’analyse des signaux d’identité et de réseau. Cette brique est déjà disponible avec Entra ID P2, elle permet donc d’en bénéficier avec une base Entra ID P1.
• Entra Private Access : solution ZTNA (Zero Trust Network Access) en remplacement du VPN. Elle sécurise l’accès aux applications privées depuis n’importe où, avec des contrôles d’accès basés sur l’identité et le contexte de connexion.
• Entra Internet Access : passerelle sécurisée Web et SaaS (SWG). Applique des contrôles basés sur l’identité au trafic Internet, aux applications SaaS et, désormais, aux usages liés à l’IA.
• Entra Verified ID (Face Check) : le Verified ID de base est disponible dès la licence Entra ID Free. Entra Suite permet de débloquer la vérification d’identité via reconnaissance faciale avec protection contre les attaques d’usurpation, y compris les deepfakes, en intégrant des preuves d’identité vérifiables dans les parcours d’accès.

Combien coûtent les licences Entra ID ?

Voici les prix publics des plans Entra ID avec une approche optimisée des coûts de chaque brique. Les prix publics HT sont en euros, par mois et avec un engagement annuel – hors remises CSP/EA.

Pour optimiser vos coûts de licences, l’approche gagnante est le licensing segmenté par profil utilisateur, plutôt que l’achat d’un plan complet pour chacun des utilisateurs d’une organisation. L’erreur la plus fréquente générant une perte significative de budget est d’affecter une licence Entra ID P2 à tous les utilisateurs, alors que seuls 20 à 30 % des comptes utilisent des fonctionnalités dépendantes d’Entra ID P2 (Identity Protection PIM, révisions d’accès…).

En pratique, vous pouvez partir sur du P1 (accès conditionnel, groupes dynamiques, SSPR…) pour tous vos utilisateurs, puis utiliser P2 uniquement sur vos comptes privilégiés, administrateurs et profils critiques qui en ont l’usage. J’ai l’habitude de recommander un inventaire des profils, des fonctionnalités qu’ils utilisent et des risques avant tout achat ou renouvellement de parc de licences. Enfin, il ne faut pas oublier une revue régulière des affectations.

Ce qui change en 2026 : hausse tarifaire et Microsoft 365 E7

Hausse tarifaire du 1er juillet 2026 : Microsoft a annoncé une augmentation mondiale des prix. Cela concerne principalement Microsoft 365 et les plans autonomes, tels que ceux d’Entra ID. Entra ID P1 augmente d’environ 16 % ; Entra ID P2 est également concerné.

Les clients dont le renouvellement de leurs licences intervient avant cette date peuvent verrouiller leur prix jusqu’au prochain renouvellement. Profitez-en pour passer en revue vos besoins et identifier le sur-licensing au sein de votre tenant avant de vous réengager avec le nouveau tarif.

Microsoft 365 E7 est disponible depuis le 1er 2026 au tarif de 91,90 € HT / utilisateur / mois. C’est le premier plan à intégrer l’ensemble de l’Entra Suite. Les plans antérieurs se limitaient à Entra ID P1 et P2. En somme, Microsoft 365 E7 inclut toutes les fonctionnalités du plan E5 et Entra Suite. Ce plan est destiné aux organisations souhaitant mettre en œuvre une stratégie Zero-Trust complète en tenant compte de l’usage de l’IA.

La conformité du licensing d’Entra ID

Les licences Entra ID Premium ont un historique assez simple, mais avec un enjeu de conformité et de coût très important.

À l’arrivée d’Azure AD Premium, beaucoup d’entreprises pensaient qu’une seule licence à l’échelle du tenant suffisait à couvrir tous les utilisateurs. Il m’est arrivé de réaliser des audits de conformité et de sécurité Microsoft 365 où l’accès conditionnel était déployé, sur plusieurs centaines d’utilisateurs, avec une seule licence Entra ID P1 / Azure AD P1.

Techniquement, cela débloquait bien la fonctionnalité à l’échelle du tenant. Cependant, l’organisation n’est pas en conformité avec les conditions de licence Microsoft. Il faut dire qu’au début, Microsoft a eu du mal à communiquer sur le fonctionnement du licensing. Le principe d’une licence par salarié a longtemps été évoqué par Microsoft, sans figurer dans les conditions contractuelles.

Aujourd’hui, c’est plus clair et écrit par Microsoft : un salarié utilisant l’une des fonctionnalités Entra ID Premium doit disposer d’une licence.

Plus précisément, on parle du salarié, et pas du nombre de comptes qu’il possède.

Prenons le cas d’un salarié, recruté en tant qu’administrateur informatique par son entreprise, qui dispose de l’accès conditionnel dans Entra ID.
Selon les bonnes pratiques, le salarié disposera de deux comptes d’utilisateur dans Entra ID :

• Un compte utilisateur : compte standard permettant de se connecter à son ordinateur et d’accéder aux ressources et applications du quotidien. Ce compte dispose de privilèges limités aux besoins métier.
• Son compte d’administrateur : compte disposant de privilèges et de rôles élevés pour gérer, configurer et administrer l’environnement Microsoft 365 de l’entreprise. Ce compte doit être restreint aux tâches d’administration et dissocié du compte utilisateur du quotidien.

L’accès conditionnel nécessitant Entra ID P1, l’entreprise devra acquérir et affecter une licence pour le compte d’utilisateur du salarié. Son compte d’administrateur n’est pas à licencier car il s’agit du même salarié, déjà couvert.

Cette approche est valable pour les fonctionnalités ne s’activant pas par compte, comme l’accès conditionnel. Les fonctionnalités de gouvernance, elles, se comptent différemment. Par exemple, la révision d’accès nécessite une licence par compte dans le périmètre de la fonctionnalité (demandeurs, réviseurs, utilisateurs revus). Les invités relèvent d’un modèle de facturation distinct.

Conclusion

Le licensing Entra ID se résume à un principe simple : une licence par salarié, peu importe le nombre de comptes Entra ID qu’il possède, sauf pour les fonctionnalités de gouvernance, qui gèrent le cycle de vie des comptes et non du salarié dans l’entreprise. Sa mise en pratique peut réserver quelques pièges : activation à l’échelle du tenant non conforme, double licence inutile ou, à l’inverse, un manque de licence pour la gouvernance.

Profitez de l’augmentation tarifaire de 2026 pour vous mettre en conformité et vous faire accompagner afin d’optimiser vos coûts de licences Microsoft 365.