Azure AD B2C est mis à la retraite : que faire ensuite ?
Si votre entreprise s’appuie sur Azure AD B2C pour gérer les identités de ses clients, vous avez probablement entendu parler des projets de Microsoft. En résumé : Azure AD B2C ne disparaîtra pas du jour au lendemain, mais c’est effectivement une plateforme dans une impasse. Aucune nouvelle fonctionnalité ne sera ajoutée, et l’investissement stratégique de Microsoft s’est totalement déplacé ailleurs.
Cet article explique ce qui change réellement, d’ici quand, et — plus important encore — quelles sont vos options.
Que se passe-t-il réellement ?
Microsoft ne va pas débrancher Azure AD B2C demain. Mais la trajectoire est claire et le calendrier est concret.
1er mai 2025 — Fin de la vente. Les nouveaux clients ne peuvent plus acheter de licences Azure AD External Identities P1 et P2, et ne peuvent pas créer de nouveaux tenants B2C. Les clients existants ne sont pas affectés et peuvent continuer à créer de nouveaux tenants dans le cadre de leurs accords actuels.
15 mars 2026 — Azure AD B2C Premium P2 (Identity Protection) est retiré pour tous les clients, y compris les clients existants. Si votre tenant s’appuie sur l’accès conditionnel basé sur le risque ou la détection avancée des menaces via P2, vous devez agir avant cette date.
Mai 2030 — Date de fin de support annoncée par Microsoft pour Azure AD B2C. Les correctifs de sécurité et les engagements de SLA sont maintenus jusqu’à cette date. Aucune nouvelle fonctionnalité ne sera livrée.
L’essentiel à retenir : Azure AD B2C est en mode maintenance. Il fonctionne toujours, mais il n’évolue plus. Pour toute organisation prévoyant de nouvelles fonctionnalités, améliorant l’expérience utilisateur d’authentification, adoptant les passkeys ou faisant évoluer sa base de clients, cela compte dès maintenant — pas en 2030.
Pourquoi Microsoft prend-il cette décision ?
Azure AD B2C a été construit de manière réactive, patché au fil des ans pour répondre aux demandes des clients pour lesquelles il n’avait jamais été conçu à l’origine. Le résultat est une plateforme portant une dette technique importante — puissante dans certains domaines, mais fragmentée et difficile à faire évoluer. Microsoft a besoin d’une base moderne pour rester compétitif sur le marché du CIAM.
Leur réponse est Microsoft Entra External ID, qui a atteint la disponibilité générale (GA) en mai 2024. L’ambition est d’unifier la collaboration B2B et le CIAM B2C dans une plateforme unique et cohérente, construite nativement sur la stack Entra — avec une meilleure expérience développeur, des primitives de sécurité modernes (passkeys, Continuous Access Evaluation) et une interface d’administration plus propre.
Option 1 : Migrer vers Microsoft Entra External ID
Le chemin de la moindre résistance est de suivre Microsoft et de migrer vers Entra External ID. C’est un choix raisonnable pour de nombreuses organisations, mais il mérite une évaluation honnête plutôt qu’une décision réflexe de “rester dans l’écosystème Microsoft”.
Ce qu’offre Entra External ID
- Plateforme unifiée : Scénarios B2B et CIAM gérés depuis le même centre d’administration Entra.
- Authentification moderne : Passkeys, FIDO2, Accès Conditionnel et Continuous Access Evaluation intégrés.
- Connexions sociales et fédérées : Google, Facebook, Apple, fournisseurs OIDC personnalisés et SAML/WS-Fed.
- Tarification basée sur les MAU : Gratuit pour les 50 000 premiers utilisateurs actifs mensuels, compétitif à grande échelle.
- Intégration native Microsoft 365 et Azure : Un choix naturel si votre stack est déjà fortement orientée Microsoft.
Limites actuelles à prendre en compte
Entra External ID est une plateforme jeune, et les exigences de CIAM d’entreprise peuvent rapidement révéler ses lacunes :
- Le MFA est limité à l’OTP — pas encore de notifications push ou de facteurs plus avancés.
- Le branding est uniquement au niveau du tenant — pas de personnalisation de l’interface utilisateur par application, ce qui est un obstacle pour les scénarios multi-marques ou en marque blanche.
- Les flux d’authentification personnalisés sont simplifiés — la puissance des politiques personnalisées de B2C (Identity Experience Framework) n’est pas encore totalement reproduite ; un chemin de migration pour les politiques personnalisées existantes a été promis mais n’a pas encore été livré.
- Les points d’extension sont encore en cours de maturation — l’orchestration de parcours utilisateurs complexes nécessite des solutions de contournement.
Qui devrait choisir cette voie ? Les organisations qui sont profondément investies dans l’écosystème Microsoft (Azure, M365, Entra ID pour les employés), qui ont des flux d’authentification relativement standards et qui peuvent se permettre d’attendre que la plateforme mûrisse. Si votre implémentation B2C est légère et que votre équipe est à l’aise avec Entra, c’est le choix avec le moins de friction.
Qui devrait y réfléchir à deux fois ? Les organisations ayant des parcours utilisateurs complexes, des exigences de branding fortes, des contraintes de résidence des données multi-régions, ou celles qui souhaitent éviter de continuer à dépendre de la stack d’identité d’un seul fournisseur de cloud.
Option 2 : Utiliser cette transition pour une revue stratégique du CIAM
Voici une perspective qui mérite réflexion : votre migration va nécessiter un effort important, peu importe l’option choisie. Passer d’Azure AD B2C à Entra External ID n’est pas une simple case à cocher — cela implique de repenser la structure du tenant, de migrer les annuaires d’utilisateurs, d’adapter le code de l’application et de retester chaque flux d’authentification.
Si vous allez investir ce temps et ce budget, il vaut la peine de se demander : la destination vers laquelle nous migrons est-elle réellement la meilleure plateforme pour les cinq prochaines années de notre activité ?
Le marché du CIAM est mature et compétitif. C’est exactement le moment de réaliser un véritable benchmark.
Les principales alternatives au CIAM
Voici un aperçu honnête des solutions leaders et des cas où chacune d’elles est pertinente.
Microsoft Entra External ID
Idéal pour : Les organisations centrées sur Microsoft avec des besoins d’authentification standards. Comme décrit ci-dessus. Le choix natif pour les équipes déjà sur Azure sans exigences d’identité complexes. Surveillez de près la roadmap avant de vous engager — la plateforme rattrape encore son retard par rapport à la profondeur fonctionnelle de B2C.
Auth0 (Okta Customer Identity Cloud)
Idéal pour : Les équipes produit qui veulent un CIAM orienté développeur avec une extensibilité maximale.
Auth0 est l’une des plateformes de CIAM les plus éprouvées du marché. Elle prend en charge OAuth 2.0, OIDC et SAML nativement, avec un riche écosystème de fournisseurs d’identité sociaux et d’entreprise. Son système de “Rules” et d‘“Actions” permet aux équipes de développement de personnaliser la logique d’authentification sans gérer l’infrastructure backend. L’Universal Login offre une expérience polie et personnalisable sur tous les points de contact.
Les compromis : le prix évolue avec le nombre de MAU et peut devenir élevé pour de gros volumes. La complexité de configuration augmente avec vos flux. Pour les organisations passant à des dizaines de millions d’utilisateurs avec des exigences sophistiquées, le rapport coût/complexité mérite d’être examiné de près.
Keycloak
Idéal pour : Les organisations qui ont besoin d’un contrôle total, qui ont de solides capacités DevOps et qui veulent éviter la tarification par MAU.
Keycloak est la plateforme d’identité open-source de référence, soutenue par Red Hat. Elle prend en charge OIDC, OAuth 2.0, SAML, la fédération LDAP et un système de flux hautement extensible. Pour les organisations disposant d’une large base d’utilisateurs, de strictes exigences de souveraineté des données ou de scénarios CIAM nécessitant une personnalisation poussée, le modèle auto-hébergé de Keycloak offre des avantages significatifs en termes de coût et de contrôle.
Les compromis : vous êtes responsable de l’infrastructure. La mise à l’échelle, le basculement, les correctifs et les mises à jour relèvent de votre responsabilité. La charge opérationnelle est réelle, et construire une expérience de connexion grand public moderne et polie au-dessus de Keycloak nécessite un investissement dédié. C’est un excellent choix lorsque vous avez la capacité d’ingénierie pour le maintenir.
Autres options notables
- PingOne for Customers — CIAM de classe entreprise avec une forte orchestration, un bon choix pour les industries réglementées.
- Frontegg — conçu spécifiquement pour le SaaS B2B, excellent pour le multi-tenant et les portails d’administration en libre-service.
- FusionAuth — orienté développeur, auto-hébergeable, prix compétitifs, en croissance rapide.
Comment choisir : un cadre de décision
Plutôt que de prescrire une réponse unique, voici les questions qui devraient guider votre évaluation :
1. Quelle est la complexité de vos flux d’authentification actuels ? Les politiques personnalisées dans Azure AD B2C peuvent encoder une logique métier importante. Si vous avez investi massivement dans l’Identity Experience Framework, votre effort de migration sera proportionnel. Évaluez quelles plateformes supportent nativement une extensibilité équivalente.
2. Quelles sont vos exigences en matière de branding et d’expérience utilisateur (UX) ? Si vos clients interagissent avec une expérience de connexion aux couleurs de votre marque, en marque blanche — ou si vous gérez plusieurs marques — votre plateforme a besoin, au minimum, de thèmes par application. Cela exclut Entra External ID aujourd’hui, et limite Cognito.
3. Quelles sont vos contraintes de résidence des données et de conformité ? Le RGPD, HIPAA, les réglementations sectorielles spécifiques ou les exigences contractuelles des clients concernant la localisation des données peuvent réduire considérablement les options. Des solutions auto-hébergées (Keycloak) ou des fournisseurs avec des garanties multi-régions et des DPA peuvent être nécessaires.
4. Quel est votre alignement avec l’écosystème cloud ? Si votre infrastructure est principalement sur Azure, Entra External ID présente de réels avantages d’intégration. Si elle est sur AWS, Cognito s’intègre naturellement. Si vous êtes multi-cloud ou agnostique, une plateforme CIAM autonome supprime totalement le risque de couplage à l’écosystème.
5. Quelle est l’échelle attendue de vos utilisateurs et à quoi ressemble la tarification à cette échelle ? Faites les calculs avec votre nombre de MAU actuel, puis avec une croissance de 3x et 10x. La tarification basée sur les MAU des fournisseurs de CIAM SaaS peut devenir significative à l’échelle grand public. Les solutions auto-hébergées n’ont aucun coût marginal par utilisateur mais un coût opérationnel non nul.
6. Quel niveau de contrôle souhaitez-vous avoir ? Il s’agit en fin de compte d’une décision “build-vs-buy” appliquée à l’infrastructure d’identité. Le SaaS managé (Auth0, Entra) minimise la charge opérationnelle mais introduit une dépendance vis-à-vis du fournisseur. L’auto-hébergé (Keycloak, FusionAuth) maximise le contrôle mais nécessite une appropriation technique continue.
Notre recommandation
Il n’y a pas de réponse universelle, et quiconque vous dit le contraire essaie de vous vendre quelque chose. La bonne plateforme dépend de votre implémentation actuelle, des capacités de votre équipe, de votre environnement réglementaire et de la direction que prend votre produit.
Ce que nous recommandons, c’est de traiter ce moment comme une décision stratégique plutôt que comme une migration tactique. L’effort est équivalent dans les deux cas — autant arriver à une solution mieux adaptée à vos cinq prochaines années.