Erreurs frequentes lors d'une migration Hybrid AD vers Entra ID : referentiel troubleshooting

La migration de postes Windows depuis Hybrid Azure AD vers Entra ID est un processus en plusieurs phases. Chaque phase peut echouer pour des raisons differentes. Cet article repertorie les erreurs les plus frequentes, leurs symptomes, leurs causes et la marche a suivre pour les resoudre. Utilisez-le comme referentiel de troubleshooting pendant et apres vos vagues de migration.

Erreurs en Phase 1 (disjonction AD)

Remove-Computer echoue avec "Access Denied"

Symptome : le script de migration echoue a la disjonction du domaine. Le message d'erreur contient "Access is denied" ou "Le compte n'a pas les autorisations necessaires".

Cause : le compte de service AD utilise pour la disjonction n'a pas les droits suffisants sur l'OU ou se trouve l'objet computer. Les droits necessaires sont WriteProperty sur userAccountControl, dNSHostName, servicePrincipalName, et DeleteChild sur l'OU.

Resolution :

1. Verifiez les droits du compte avec dsacls ou l'onglet Security de l'OU dans Active Directory Users and Computers
2. Ajoutez les delegations manquantes sur l'OU concernee
3. Verifiez que l'objet computer est bien dans l'OU ou le compte a les droits (pas dans un sous-OU non delegue)

Le controleur de domaine n'est pas joignable

Symptome : Remove-Computer echoue avec "The specified domain does not exist or could not be contacted".

Cause : le poste ne peut pas contacter un DC — probleme DNS, VPN deconnecte, ou DC hors ligne.

Resolution :

1. Testez avec nltest /dsgetdc:DOMAINE
2. Verifiez la resolution DNS du domaine : Resolve-DnsName domaine.local
3. Si le poste est en VPN, assurez-vous que le tunnel est actif avant de lancer la migration

Le poste est deja disjoint mais le script ne le detecte pas

Symptome : la Phase 1 est relancee sur un poste deja disjoint, provoquant une erreur.

Cause : le script de migration ne verifie pas l'etat actuel du poste avant d'executer Remove-Computer.

Resolution : verifiez l'etat de jonction avant la disjonction :

$dsreg = dsregcmd /status
$domainJoined = ($dsreg | Select-String "DomainJoined").ToString() -match "YES"
if (-not $domainJoined) {
    Write-Host "Poste deja disjoint, passage a la Phase 2"
}

Erreurs en Phase 2 (jonction Entra)

Le PPKG ne s'applique pas (token expire)

Symptome : Install-ProvisioningPackage ne retourne pas d'erreur explicite, mais le poste reste en etat Workgroup. dsregcmd /status affiche AzureAdJoined = NO.

Cause : le Bulk Enrollment Token contenu dans le PPKG a expire. La duree par defaut est de 180 jours.

Resolution :

1. Regenerez un token dans le portail Entra > Devices > Enroll devices > Provisioning Packages
2. Recreez le PPKG avec Windows Configuration Designer
3. Testez sur un poste pilote avant de reprendre les vagues
4. Voir Creer et deployer un PPKG pour Entra Join pour le guide complet

La jonction Entra echoue avec l'erreur 0x801c03ed

Symptome : dans l'Event Viewer, l'evenement indique le code d'erreur 0x801c03ed (DeviceNotFound ou similaire).

Cause : le scope d'inscription MDM dans Entra ID ne couvre pas l'utilisateur du Bulk Token, ou l'inscription automatique MDM est desactivee.

Resolution :

1. Dans le portail Entra > Mobility (MDM and MAM) > Microsoft Intune, verifiez que le scope est "All" ou inclut le groupe de l'utilisateur du token
2. Verifiez que les licences Intune sont attribuees

Le poste reste en "Pending" dans Entra apres l'application du PPKG

Symptome : le poste apparait dans Entra > Devices mais avec le statut "Pending" au lieu de "Joined".

Cause : la jonction n'est pas finalisee. Le poste n'a pas encore redemarre apres l'application du PPKG, ou la connectivite vers device.login.microsoftonline.com est bloquee.

Resolution :

1. Redemarrez le poste
2. Apres le reboot, verifiez dsregcmd /status
3. Testez la connectivite : Test-NetConnection device.login.microsoftonline.com -Port 443

Erreurs en Phase 3 (remapping profil)

L'utilisateur se retrouve avec un profil vide

Symptome : apres la migration, l'utilisateur se connecte et voit un bureau vide, aucun fichier dans Documents, parametres par defaut.

Cause : le remapping de SID n'a pas ete effectue (ou a ete effectue trop tard). Windows a cree un nouveau profil car le nouveau SID Entra n'avait pas d'entree dans ProfileList.

Resolution :

1. L'ancien profil est toujours dans C:\Users\nom — rien n'est perdu
2. Deconnectez l'utilisateur
3. Supprimez le profil temporaire (C:\Users\nom.000 ou similaire)
4. Effectuez le remapping : cle registre ProfileList + ACL NTFS
5. Reconnectez l'utilisateur
6. Voir Remapping du profil utilisateur pour la procedure complete

Les ACL NTFS ne se remappent pas sur certains fichiers

Symptome : le script de remapping des ACL echoue silencieusement sur certains fichiers. L'utilisateur a acces a son bureau mais pas a certains sous-dossiers.

Cause : certains fichiers sont verrouilles (NTUSER.DAT, pagefile, caches d'application) ou ont des protections speciales (fichiers systeme).

Resolution :

1. Effectuez le remapping en tant que SYSTEM (pas en tant qu'admin standard)
2. Assurez-vous que l'utilisateur n'est pas connecte pendant le remapping (aucune session active)
3. Pour NTUSER.DAT, forcez la prise de possession avec takeown /F NTUSER.DAT /A
4. Voir Gerer les ACL NTFS lors d'une migration pour le traitement detaille

Le profil se charge mais les applications ont perdu leur configuration

Symptome : le profil semble intact (bureau, fichiers) mais certaines applications redemandent une activation ou ont perdu leurs parametres.

Cause : certaines applications stockent leurs licences ou parametres en reference au SID dans le registre utilisateur (HKCU) ou dans AppData. Le remapping des ACL NTFS ne suffit pas — il faut aussi que les cles de registre utilisateur soient accessibles.

Resolution :

1. Verifiez que NTUSER.DAT a ete correctement remappe (ACL mises a jour avec le nouveau SID)
2. Si l'application utilise un identifiant machine (pas SID), la reconfiguration est inevitable
3. Pour les applications Microsoft 365 (Office), un simple re-logon avec le compte Entra suffit generalement

Erreurs post-migration

Le poste n'est pas conforme dans Intune

Symptome : le poste migre apparait comme "Not compliant" dans Intune, meme si tous les parametres sont corrects.

Cause : les compliance policies Intune evaluent des criteres qui peuvent ne pas etre remplis immediatement apres la migration — BitLocker pas encore active avec la nouvelle cle, antivirus pas encore reporte, ou Windows Update pas encore synchronise.

Resolution :

1. Attendez 30 minutes apres la migration pour que les politiques soient reevaluees
2. Forcez un sync Intune : Settings > Accounts > Access work or school > [compte Entra] > Info > Sync
3. Verifiez chaque critere de compliance individuellement dans le portail Intune

L'objet computer orphelin dans l'AD bloque Azure AD Connect

Symptome : Azure AD Connect continue de synchroniser l'ancien objet computer, creant un conflit avec le nouveau device Entra Joined.

Cause : l'objet computer dans l'AD on-prem n'a pas ete supprime apres la disjonction.

Resolution :

1. Supprimez l'objet computer orphelin dans Active Directory
2. Forcez un cycle de synchronisation Azure AD Connect : Start-ADSyncSyncCycle -PolicyType Delta
3. Verifiez dans le portail Entra que l'ancien device n'apparait plus

FAQ

Comment determiner la phase dans laquelle la migration a echoue ?

Verifiez dsregcmd /status. Si DomainJoined = YES, la Phase 1 n'a pas abouti. Si DomainJoined = NO et AzureAdJoined = NO, le poste est bloque entre les deux phases (Workgroup). Si AzureAdJoined = YES mais que le profil est vide, c'est un echec de Phase 3.

Peut-on reprendre une migration interrompue ?

Oui, si l'agent de migration detecte l'etat actuel du poste avant d'agir. Un agent bien concu verifie dsregcmd /status et la presence de la cle ProfileList pour determiner ou reprendre. Il ne repete pas les phases deja terminees.

Faut-il un outil de ticketing dedie pour le support migration ?

Pour une migration de plus de 50 postes, oui. Les tickets de support post-migration suivent des schemas repetitifs (profil vide, application non configuree, imprimante disparue). Un formulaire standardise accelere le diagnostic. Les categories les plus frequentes sont : profil, connectivite, applications, imprimantes, GPO.

---

EntraLift detecte automatiquement la phase d'echec et reprend la migration au bon endroit. Les logs detailles sont accessibles dans le dashboard, et les pre-checks automatiques eliminent la majorite des causes d'echec avant le lancement.