Comment migrer Active Directory sur site vers Microsoft Entra ID

Commencez par évaluer votre infrastructure Active Directory existante et déterminer le chemin de migration optimal. À partir de 2026, Microsoft recommande Entra ID Join natif avec Intune plutôt que Hybrid Join pour les déploiements à long terme.

Exécutez cette commande PowerShell sur votre contrôleur de domaine pour vérifier le niveau fonctionnel de la forêt :

Get-ADForest | Select-Object Name, ForestMode

Documentez vos méthodes d'authentification actuelles et vos applications. Critique : L'authentification de base pour Exchange Online a été retirée le 31 mars 2026, assurez-vous donc que toutes les applications utilisent une authentification moderne.

Créez une feuille de calcul d'évaluation avec ces colonnes :

• Nom de l'application
• Méthode d'authentification (Kerberos, NTLM, Auth de base)
• Dépendances sur AD sur site
• Priorité de migration (Critique/Élevée/Moyenne/Basse)

Vérification : Exécutez Get-ADDomain | Select-Object DomainMode pour confirmer que le niveau fonctionnel du domaine répond aux exigences (2003 ou supérieur).

Sélectionnez votre outil de synchronisation en fonction de la complexité de votre environnement. Pour les nouveaux déploiements en 2026, Microsoft Entra Cloud Sync est recommandé pour son approche légère basée sur un agent.

Pour Microsoft Entra Connect (approche traditionnelle) :

Préparez votre machine Windows Server 2016+ avec ces prérequis :

# Vérifier la version de .NET (nécessite 4.6.2+)
Get-ItemProperty "HKLM:SOFTWARE\Microsoft\NET Framework Setup\NDP\v4\Full\" -Name Release | ForEach-Object {$_.Release -ge 394802}

# Définir la politique d'exécution de PowerShell
Set-ExecutionPolicy RemoteSigned -Scope LocalMachine

# Activer TLS 1.2
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Pour Microsoft Entra Cloud Sync (recommandé) :

Téléchargez l'agent de provisionnement (version 1.1.1370.0 ou ultérieure) depuis le centre d'administration Microsoft Entra. Installez d'abord le runtime .NET 4.7.1+ :

# Vérifier que .NET 4.7.1+ est installé
Get-ItemProperty "HKLM:SOFTWARE\Microsoft\NET Framework Setup\NDP\v4\Full\" -Name Release | ForEach-Object {$_.Release -ge 461808}

# Définir la politique d'exécution pour Cloud Sync
Set-ExecutionPolicy RemoteSigned -Scope LocalMachine

Vérification : Après l'installation, vérifiez l'état du service avec Get-Service -Name "Microsoft Azure AD Connect*" pour Connect ou Get-Service -Name "Microsoft Azure AD Connect Provisioning Agent" pour Cloud Sync.

Configurez votre outil de synchronisation choisi pour établir la connexion entre AD sur site et Microsoft Entra ID.

Pour Microsoft Entra Connect :

Exécutez l'assistant d'installation et sélectionnez Paramètres Express pour une configuration de base, ou Personnalisé pour un contrôle granulaire :

# Lancer l'assistant de configuration
Start-Process "C:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe"

Lors de la configuration :

• Entrez vos identifiants d'administrateur global Microsoft Entra ID
• Fournissez les identifiants d'administrateur d'entreprise pour AD sur site
• Sélectionnez Synchronisation de hachage de mot de passe comme méthode de connexion (recommandé pour la configuration initiale)
• Choisissez les UO à synchroniser (commencez par un groupe pilote)

Pour Microsoft Entra Cloud Sync :

Créez un compte de service géré de groupe (gMSA) pour une sécurité renforcée :

# Créer un compte gMSA (exécuter sur le contrôleur de domaine)
New-ADServiceAccount -Name "AADCloudSyncGMSA" -DNSHostName "yourdomain.com" -PrincipalsAllowedToRetrieveManagedPassword "Domain Controllers"

Configurez l'agent de provisionnement via le centre d'administration Microsoft Entra en sélectionnant les UO et les groupes à synchroniser.

Vérification : Vérifiez l'état de la synchronisation dans le centre d'administration Microsoft Entra sous Identité > Identité hybride > Microsoft Entra Connect. Recherchez le statut "Sain" et l'horodatage de synchronisation récent.

Configurez les contrôles de sécurité obligatoires requis pour la conformité 2026. L'application de l'authentification multifacteur pour l'accès au portail Azure devient obligatoire le 1er octobre 2026.

Activez les paramètres de sécurité par défaut pour les nouveaux locataires (activés automatiquement après le 30 juin 2026) :

# Connectez-vous à Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Policy.ReadWrite.ConditionalAccess"

# Vérifiez le statut des paramètres de sécurité par défaut
Get-MgPolicyIdentitySecurityDefaultEnforcementPolicy

Configurez des politiques d'accès conditionnel pour une sécurité renforcée :

1. Accédez au centre d'administration Microsoft Entra > Protection > Accès conditionnel
2. Créez une nouvelle politique nommée "Bloquer l'authentification héritée"
3. Définissez les conditions : Tous les utilisateurs, Toutes les applications cloud
4. Définissez les applications clientes : Clients Exchange ActiveSync, Autres clients
5. Accorder : Bloquer l'accès

Activez l'authentification multifacteur pour tous les utilisateurs :

# Activez l'authentification multifacteur pour tous les utilisateurs en utilisant PowerShell
$users = Get-MgUser -All
foreach ($user in $users) {
    Update-MgUser -UserId $user.Id -AccountEnabled $true
    # Configurez les exigences MFA via l'accès conditionnel
}

Configurez des politiques de force d'authentification pour une MFA résistante au phishing :

• Allez à Protection > Méthodes d'authentification > Forces d'authentification
• Créez une force personnalisée nécessitant une authentification FIDO2 ou basée sur un certificat
• Appliquez aux applications sensibles et aux rôles administratifs

Vérification : Testez l'authentification moderne en tentant d'accéder à Exchange Online avec un client hérité - il devrait être bloqué. Vérifiez l'inscription MFA à Identité > Utilisateurs > MFA par utilisateur.

Mettre en œuvre la gestion des appareils conformément à la recommandation de Microsoft pour 2026 d'utiliser l'adhésion native Entra ID avec Intune plutôt que l'adhésion hybride.

Pour les appareils déjà en adhésion hybride, planifiez la transition vers l'adhésion native Entra ID :

# Vérifier l'état actuel de l'adhésion de l'appareil
dsregcmd /status

# Recherchez "AzureAdJoined : YES" et "DomainJoined : YES" (Hybride)
# État cible : "AzureAdJoined : YES" et "DomainJoined : NO" (Natif)

Configurer l'inscription automatique dans Intune :

1. Accédez au centre d'administration Microsoft Entra > Appareils > Inscrire des appareils
2. Sélectionnez "Inscription Windows"
3. Configurer la portée des utilisateurs MDM sur "Tous" ou des groupes spécifiques
4. Définir les URL MDM sur les points de terminaison Microsoft Intune

Créer des stratégies de conformité des appareils dans Microsoft Intune :

• Exiger le chiffrement des appareils
• Définir la version minimale de l'OS (Windows 11 22H2 recommandé)
• Exiger un logiciel antivirus
• Configurer les exigences de complexité des mots de passe

Pour les nouveaux déploiements d'appareils, utilisez Windows Autopilot :

# Installer le module PowerShell Windows Autopilot
Install-Module -Name WindowsAutopilotIntune -Force

# Importer les empreintes matérielles des appareils
Import-AutopilotDevice -csvFile "C:\devices.csv"

Vérification : Vérifiez la conformité des appareils dans le centre d'administration Microsoft Intune > Appareils > Stratégies de conformité. Vérifiez que les appareils affichent le statut "Conforme".

Transitionner les utilisateurs de l'authentification sur site vers des méthodes basées sur le cloud tout en maintenant la sécurité et l'expérience utilisateur.

Configurer la Synchronisation de Hachage de Mot de Passe (PHS) comme méthode d'authentification principale :

# Activer PHS en utilisant Microsoft Entra Connect PowerShell
Import-Module ADSync
Set-ADSyncScheduler -SyncCycleEnabled $true
Start-ADSyncSyncCycle -PolicyType Delta

Pour les organisations nécessitant une authentification unique, configurer Seamless SSO :

# Activer Seamless SSO (exécuter sur le serveur Entra Connect)
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AzureADSSO.psd1"
New-AzureADSSOForest -OnPremCredentials (Get-Credential)

Passer de l'Authentification par Pass-through (PTA) à PHS pour une meilleure résilience :

1. Dans Microsoft Entra Connect, changer la méthode de connexion en Synchronisation de Hachage de Mot de Passe
2. Exécuter un cycle de synchronisation complet
3. Tester l'authentification utilisateur avec des identifiants cloud
4. Désactiver les agents PTA après des tests réussis

Configurer la Réinitialisation de Mot de Passe en Libre-Service (SSPR) :

• Accéder au centre d'administration Microsoft Entra > Utilisateurs > Réinitialisation de mot de passe
• Activer SSPR pour "Tous" les utilisateurs
• Exiger 2 méthodes : Téléphone mobile et Email
• Activer la réécriture de mot de passe vers l'AD sur site

Vérification : Tester l'authentification utilisateur en demandant aux utilisateurs pilotes de se connecter à Office 365. Vérifier les journaux d'authentification dans le centre d'administration Microsoft Entra > Journaux de connexion pour les événements d'authentification cloud réussis.

Migrer systématiquement les applications de l'authentification AD sur site vers Microsoft Entra ID, en priorisant les services critiques pour l'entreprise.

Identifier les applications utilisant l'authentification héritée :

# Interroger les journaux de connexion pour l'utilisation de l'authentification héritée
Connect-MgGraph -Scopes "AuditLog.Read.All"
Get-MgAuditLogSignIn -Filter "clientAppUsed eq 'Exchange ActiveSync'" -Top 100

Configurer les applications d'entreprise dans Microsoft Entra ID :

1. Accédez au centre d'administration Microsoft Entra > Applications d'entreprise
2. Sélectionnez "Nouvelle application" et choisissez dans la galerie ou créez une application personnalisée
3. Configurez SAML SSO ou OIDC selon la prise en charge de l'application
4. Attribuez des utilisateurs et des groupes à l'application

Pour les applications personnalisées de ligne de métier, implémentez une authentification moderne :

// Exemple : Mettre à jour une application .NET pour utiliser Microsoft Authentication Library (MSAL)
using Microsoft.Identity.Client;

public async Task AcquireTokenAsync()
{
    var app = PublicClientApplicationBuilder
        .Create("your-client-id")
        .WithAuthority("https://login.microsoftonline.com/your-tenant-id")
        .Build();
    
    var result = await app.AcquireTokenInteractive(scopes)
        .ExecuteAsync();
    return result;
}

Configurer le proxy d'application pour les applications qui ne peuvent pas être modernisées :

• Installer le connecteur de proxy d'application sur le serveur sur site
• Publier l'application via le centre d'administration Microsoft Entra
• Configurer l'authentification préalable avec Microsoft Entra ID
• Tester l'accès externe via myapps.microsoft.com

Mettre à jour les enregistrements DNS pour les domaines fédérés :

# Convertir le domaine fédéré en domaine géré
Connect-MsolService
Convert-MsolDomainToStandard -DomainName "yourdomain.com" -PasswordFile "C:\password.txt"

Vérification : Surveillez les connexions aux applications dans le centre d'administration Microsoft Entra > Applications d'entreprise > Journaux de connexion. Assurez-vous de l'authentification réussie et de l'absence d'utilisation de protocoles hérités.

Établir des contrôles de gouvernance d'identité nécessaires pour la conformité et la sécurité de l'entreprise dans un environnement axé sur le cloud.

Configurer la Gestion des Identités Privilégiées (PIM) pour les rôles administratifs :

# Connecter au module PowerShell PIM
Install-Module -Name Microsoft.Graph.Identity.Governance
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

# Lister les affectations de rôles actuelles
Get-MgRoleManagementDirectoryRoleAssignment

Configurer des Revues d'Accès pour un audit régulier des permissions :

1. Accéder au centre d'administration Microsoft Entra > Gouvernance d'identité > Revues d'accès
2. Créer une nouvelle revue d'accès pour "Teams + Groupes" ou "Applications"
3. Définir la fréquence de révision à trimestrielle
4. Assigner des réviseurs (gestionnaires ou propriétaires de groupes)
5. Configurer l'application automatique des résultats pour l'efficacité

Mettre en œuvre la Gestion des Droits pour les packages d'accès :

• Aller à Gouvernance d'identité > Gestion des droits
• Créer des packages d'accès combinant des groupes, des applications et des sites SharePoint
• Définir des flux de travail d'approbation et la durée d'accès
• Activer les demandes d'accès en libre-service

Configurer les politiques de Protection d'Identité :

# Activer les politiques de risque de Protection d'Identité
$riskPolicy = @{
    "displayName" = "Politique Utilisateur à Haut Risque"
    "state" = "enabled"
    "conditions" = @{
        "userRiskLevels" = @("high")
    }
    "grantControls" = @{
        "operator" = "OR"
        "builtInControls" = @("passwordChange")
    }
}

New-MgIdentityConditionalAccessPolicy -BodyParameter $riskPolicy

Configurer des flux de travail de cycle de vie pour le provisionnement et le déprovisionnement automatisés des utilisateurs :

• Accéder à Gouvernance d'identité > Flux de travail de cycle de vie
• Créer des flux de travail pour les scénarios "Nouveau", "Mutation" et "Départ"
• Configurer des affectations de groupe automatiques et le provisionnement d'applications
• Mettre en place des processus d'approbation pour les accès sensibles

Vérification : Tester l'activation de PIM en demandant une élévation temporaire au rôle d'Administrateur Global. Vérifier que les Revues d'Accès sont générées et complétées avec succès. Surveiller le tableau de bord de Protection d'Identité pour les détections de risque.

Déployez la migration par phases contrôlées, en commençant par des groupes pilotes et en élargissant progressivement à l'ensemble de l'organisation.

Créez des groupes pilotes pour un déploiement par phases :

# Créer des groupes de sécurité pilotes
Connect-MgGraph -Scopes "Group.ReadWrite.All"

$pilotGroup = @{
    "displayName" = "Entra ID Migration Pilot"
    "groupTypes" = @()
    "mailEnabled" = $false
    "securityEnabled" = $true
    "description" = "Groupe pilote pour les tests de migration Entra ID"
}

New-MgGroup -BodyParameter $pilotGroup

Configurez le déploiement par étapes pour l'authentification gérée :

1. Accédez au centre d'administration Microsoft Entra > Identité hybride > Microsoft Entra Connect
2. Sélectionnez "Déploiement par étapes de l'authentification cloud"
3. Activez "Synchronisation du hachage de mot de passe" pour les groupes pilotes
4. Ajoutez votre groupe de sécurité pilote au déploiement
5. Surveillez les taux de réussite de l'authentification

Testez les scénarios critiques avec les utilisateurs pilotes :

• Accès aux applications Office 365 (Outlook, Teams, SharePoint)
• Connectivité VPN avec authentification moderne
• Inscription et conformité des appareils mobiles
• Fonctionnalité de réinitialisation de mot de passe en libre-service
• Inscription et utilisation de l'authentification multi-facteurs

Surveillez la progression et la santé de la migration :

# Vérifier la santé de la synchronisation
Connect-MgGraph -Scopes "Directory.Read.All"
Get-MgDirectoryOnPremisesSynchronization | Select-Object -ExpandProperty Features

# Surveiller les événements d'authentification
Get-MgAuditLogSignIn -Filter "createdDateTime ge 2026-03-26T00:00:00Z" -Top 50

Élargissez le déploiement par phases :

• Phase 1 : Département IT et premiers utilisateurs (Semaine 1-2)
• Phase 2 : Département par département (Semaine 3-8)
• Phase 3 : Utilisateurs restants et comptes de service (Semaine 9-12)
• Phase 4 : Désactivation de l'infrastructure sur site (Semaine 13+)

Vérification : Surveillez le tableau de bord de santé des services du centre d'administration Microsoft 365 et les journaux de connexion du centre d'administration Microsoft Entra pour des taux de réussite d'authentification supérieurs à 99,5 % avant de passer à la phase suivante.

Mettre hors service en toute sécurité l'infrastructure Active Directory sur site après avoir confirmé la migration réussie et des opérations stables.

Valider la migration complète avant la mise hors service :

# Vérifier que tous les utilisateurs sont synchronisés et actifs dans Entra ID
Connect-MgGraph -Scopes "User.Read.All"
$cloudUsers = Get-MgUser -All | Where-Object {$_.OnPremisesSyncEnabled -eq $true}
Write-Output "Utilisateurs synchronisés : $($cloudUsers.Count)"

# Vérifier les dépendances restantes sur site
Get-MgApplication -All | Where-Object {$_.OnPremisesPublishing -ne $null}

Désactiver la synchronisation de l'annuaire (étape finale) :

# Se connecter aux services en ligne Microsoft
Connect-MsolService

# Désactiver la synchronisation de l'annuaire (action irréversible)
Set-MsolDirSyncEnabled -EnableDirSync $false

# Confirmer que la synchronisation est désactivée
Get-MsolCompanyInformation | Select-Object DirectorySynchronizationEnabled

Nettoyer l'infrastructure sur site :

1. Désinstaller Microsoft Entra Connect ou les agents Cloud Sync
2. Supprimer les comptes de service créés pour la synchronisation
3. Mettre à jour les enregistrements DNS pour supprimer les références sur site
4. Archiver la base de données Active Directory pour la rétention de conformité
5. Mettre hors service les contrôleurs de domaine (en garder un pendant 90 jours en tant que sauvegarde)

Mettre à jour la documentation et les runbooks :

• Mettre à jour les diagrammes réseau pour refléter l'architecture uniquement cloud
• Modifier les procédures de réponse aux incidents pour l'identité basée sur le cloud
• Former le personnel du helpdesk à l'administration de Microsoft Entra ID
• Mettre à jour les procédures de sauvegarde et de reprise après sinistre

Configurer les processus administratifs uniquement cloud :

# Configurer le flux de travail de provisionnement d'utilisateurs uniquement cloud
$workflow = @{
    "displayName" = "Intégration de nouveaux utilisateurs"
    "description" = "Provisionnement automatisé des utilisateurs pour les nouveaux employés"
    "isEnabled" = $true
    "category" = "joiner"
}

# Créer un flux de travail de cycle de vie (nécessite une licence Entra ID Governance)
New-MgIdentityGovernanceLifecycleWorkflow -BodyParameter $workflow

Vérification : Confirmer que la synchronisation de l'annuaire est indiquée comme "Désactivée" dans le centre d'administration Microsoft Entra > Identité hybride. Tester que toutes les applications métier critiques et les scénarios utilisateur fonctionnent sans dépendance à AD sur site.