Checklist pre-migration Hybrid AD vers Entra ID : 30 points de controle

Avant de lancer la migration d'un poste Windows depuis Hybrid Azure AD Join vers Microsoft Entra ID Join, chaque machine doit passer une serie de verifications. Un seul prerequis manque peut faire echouer la migration ou laisser l'utilisateur avec un poste inaccessible. Cette checklist regroupe 30 points de controle classes par categorie, a valider systematiquement avant chaque vague de migration.

Pour le contexte technique complet de la migration, consultez le guide de migration Hybrid AD vers Entra ID.

Etat du poste

• 1. Le poste est en etat Hybrid Azure AD Joined. Verifiez avec dsregcmd /status : AzureAdJoined = YES et DomainJoined = YES. Si le poste est uniquement Domain Joined (sans Azure AD), il faut d'abord resoudre la synchronisation Azure AD Connect.

• 2. Le systeme d'exploitation est Windows 10 21H2 ou ulterieur, ou Windows 11. Les versions anterieures ne supportent pas correctement la jonction Entra ID via Provisioning Package. Verifiez avec winver ou (Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion').DisplayVersion.

• 3. Le poste a redemarre recemment. Un poste qui n'a pas redemarre depuis des semaines peut avoir des mises a jour en attente, des processus bloques ou un etat de jonction AD obsolete. Planifiez un redemarrage avant la migration.

• 4. Le disque systeme a au moins 5 Go d'espace libre. La migration cree des sauvegardes temporaires et manipule les profils. Un disque plein peut provoquer des echecs silencieux.

• 5. Aucune mise a jour Windows n'est en attente de redemarrage. Une mise a jour pendante peut interferer avec les redemarrages de la migration. Verifiez dans Settings > Windows Update ou via PowerShell :

Get-WindowsUpdate -IsInstalled:$false | Where-Object { $_.RebootRequired }

Connectivite reseau

• 6. Le poste resout login.microsoftonline.com. Testez avec Resolve-DnsName login.microsoftonline.com. Si la resolution echoue, la jonction Entra sera impossible.

• 7. Le poste atteint device.login.microsoftonline.com sur le port 443. C'est l'endpoint de jonction Entra ID. Testez avec Test-NetConnection device.login.microsoftonline.com -Port 443.

• 8. Le poste atteint enterpriseregistration.windows.net sur le port 443. Endpoint d'inscription MDM.

• 9. Le poste atteint enterpriseenrollment.manage.microsoft.com sur le port 443. Endpoint de decouverte MDM Intune.

• 10. Le proxy ou le firewall ne bloque pas les URLs Microsoft Entra. Consultez la liste complete des URLs et plages IP requises pour la jonction Entra. Les proxies avec inspection SSL peuvent interferer avec la negotiation du certificat de device.

Active Directory

• 11. Le compte de service AD est operationnel. Le compte utilise pour la disjonction (Remove-Computer) doit pouvoir s'authentifier aupres du domaine. Testez ses credentials avant la migration.

• 12. Le compte de service a les droits de disjonction sur l'OU du poste. Les droits necessaires sont : WriteProperty sur userAccountControl, dNSHostName, servicePrincipalName, et DeleteChild sur l'OU. Voir la documentation sur la delegation AD.

• 13. Un controleur de domaine est joignable depuis le poste. La disjonction du domaine necessite un DC accessible. Verifiez avec nltest /dsgetdc:DOMAINE.

• 14. L'objet computer existe dans l'AD et est synchronise dans Entra. Verifiez dans le portail Entra > Devices que le poste apparait bien en etat Hybrid Azure AD Joined.

Provisioning Package (PPKG)

• 15. Le PPKG est disponible sur le poste ou accessible en reseau. Le fichier .ppkg doit etre copie localement ou accessible via un chemin UNC avant la Phase 2.

• 16. Le Bulk Enrollment Token du PPKG n'est pas expire. Le token a une duree de vie par defaut de 180 jours. Verifiez la date de creation dans le portail Entra > Devices > Enroll devices. Si le token expire dans moins de 2 semaines, regenerez le PPKG. Voir Creer et deployer un Provisioning Package pour Entra Join.

• 17. Le PPKG a ete teste sur au moins un poste pilote. Ne deployez jamais un PPKG en production sans l'avoir valide sur une machine de test. Verifiez que la jonction Entra aboutit et que l'inscription Intune se fait dans la foulee.

Profil utilisateur

• 18. L'utilisateur principal du poste est identifie. Relevez le SID de l'utilisateur connecte pour le remapping post-migration. Vous pouvez l'obtenir avec whoami /user ou Get-WmiObject Win32_UserProfile | Select LocalPath, SID.

• 19. Le profil utilisateur n'est pas un profil temporaire. Un profil temporaire (visible dans l'Event Log) ne sera pas remappe correctement. Resolvez le probleme de profil avant de migrer.

• 20. La taille du profil est connue. Le remapping des ACL est proportionnel au nombre de fichiers. Un profil de 200 000 fichiers prendra plus de temps qu'un profil de 5 000. Estimez la duree avec (Get-ChildItem C:\Users\nom -Recurse -File | Measure-Object).Count.

• 21. L'utilisateur a ete prevenu et a sauvegarde son travail. La migration necessite des redemarrages. L'utilisateur doit fermer ses applications et sauvegarder ses documents en cours. Un delai de grace de 5 minutes avant le premier redemarrage est une bonne pratique.

Compte de secours

• 22. Un compte administrateur local de secours sera cree automatiquement. Verifiez que le script de migration cree un compte admin local avant la disjonction. Ce compte est le filet de securite en cas d'echec de la jonction Entra. Voir Securiser une migration d'identite.

• 23. Le mot de passe du compte de secours est stocke de maniere securisee. Le mot de passe doit etre genere aleatoirement et stocke de facon chiffree sur le serveur de pilotage — pas en clair dans un fichier ou un tableur.

Microsoft Intune

• 24. Le tenant est configure pour l'inscription MDM automatique. Verifiez dans Entra > Mobility (MDM and MAM) > Microsoft Intune que le scope d'inscription couvre les utilisateurs concernes. Voir la documentation Intune enrollment.

• 25. Les politiques Intune de base sont pretes. Avant la migration, les Configuration Profiles et Compliance Policies doivent etre configures dans Intune pour prendre le relais des GPO. Ne migrez pas un poste si les politiques Intune ne sont pas en place.

• 26. Les applications critiques sont deployees via Intune. Si l'utilisateur a besoin d'applications specifiques (VPN, antivirus, outils metier), elles doivent etre disponibles dans Intune avant la migration.

Rollback

• 27. La procedure de rollback est documentee. En cas d'echec, vous devez pouvoir re-joindre le poste au domaine AD. Documentez les etapes : connexion avec le compte admin local, re-jonction au domaine, restauration du profil.

• 28. Un snapshot ou un point de restauration existe. Si le poste est une VM, prenez un snapshot avant la migration. Sur une machine physique, creez un point de restauration systeme.

Validation finale

• 29. Toutes les cases ci-dessus sont cochees. Ne lancez pas la migration si un seul point est rouge. Chaque prerequis manquant est un risque d'echec.

• 30. La migration a ete validee sur un poste pilote du meme profil. Le poste pilote doit avoir le meme OS, les memes applications, et le meme type de profil utilisateur que les postes de la vague en cours.

FAQ

Combien de temps prend la verification de cette checklist par poste ?

Pour un poste standard, la verification prend 5 a 10 minutes. Les points les plus longs sont le test de connectivite reseau (points 6-10) et l'estimation de la taille du profil (point 20). Si vous utilisez un agent de migration avec pre-checks automatiques, la plupart de ces verifications sont effectuees automatiquement.

Faut-il verifier chaque poste individuellement ?

Pour un parc homogene (meme OS, meme image, meme OU), certains points ne varient pas d'un poste a l'autre (version OS, droits du compte de service, PPKG). Les points specifiques a chaque poste sont : etat de jonction, espace disque, profil utilisateur, mises a jour pendantes.

Que faire si un poste echoue a un point de la checklist ?

Ne migrez pas le poste. Resolvez le probleme d'abord. Les causes les plus frequentes sont : mise a jour en attente de redemarrage, connectivite reseau bloquee par un proxy, profil utilisateur temporaire, ou PPKG avec token expire.

Cette checklist s'applique-t-elle a Windows Autopilot ?

Non. Cette checklist concerne la migration de postes existants de Hybrid Azure AD Join vers Entra Join. Windows Autopilot provisionne des postes neufs (ou reinitialises) directement en Entra Join. Les prerequis sont differents.

---

Pour automatiser ces verifications, EntraLift execute des pre-checks automatiques sur chaque poste avant la migration et affiche le resultat dans un dashboard centralise. Les points bloquants sont signales avant le lancement.