Migration Entra ID : quel impact sur les GPO, strategies locales et scripts de logon ?

Quand un poste Windows quitte le domaine Active Directory pour rejoindre Microsoft Entra ID, il perd l'acces aux Group Policy Objects (GPO). Les scripts de logon AD ne s'executent plus. Les strategies locales restent en place mais peuvent entrer en conflit avec les nouvelles politiques Intune. Cet article explique ce qui se passe concretement pour chaque type de parametre et comment preparer la transition.

Que deviennent les GPO apres la disjonction AD ?

Les GPO sont un mecanisme Active Directory. Elles sont telechargees depuis le partage SYSVOL du controleur de domaine et appliquees au demarrage de la machine (Computer Configuration) et a l'ouverture de session (User Configuration).

Apres la disjonction du domaine :

• Le poste ne contacte plus le DC
• Les nouvelles GPO ne sont plus telechargees
• Les GPO deja appliquees restent dans le registre — elles ne sont pas supprimees automatiquement
• Les parametres persisteront jusqu'a ce qu'ils soient explicitement ecrases ou supprimes

Cela signifie que des parametres potentiellement obsoletes ou conflictuels restent actifs sur le poste. Un proxy configure par GPO continue de forcer le trafic vers un serveur qui n'est peut-etre plus joignable. Un parametre de securite restrictif empeche peut-etre une fonctionnalite Intune de s'appliquer.

Comment inventorier les GPO avant la migration ?

L'inventaire est une etape indispensable. Sans lui, vous ne savez pas quels parametres vont persister et lesquels doivent etre remplaces par des politiques Intune.

Utiliser Group Policy Analytics dans Intune

Group Policy Analytics est un outil integre a Intune qui analyse vos GPO existantes et indique leur compatibilite avec les Configuration Profiles Intune.

1. Exportez vos GPO au format XML depuis la GPMC (Group Policy Management Console) :

# Exporter toutes les GPO d'un domaine
Get-GPO -All | ForEach-Object {
    $name = $_.DisplayName -replace '[^\w\-]', '_'
    Get-GPOReport -Guid $_.Id -ReportType XML -Path "C:\GPO-Export\$name.xml"
}

2. Dans le portail Intune > Devices > Group Policy Analytics, importez les fichiers XML
3. L'outil classe chaque parametre :
   • Supported : un equivalent Intune existe (Configuration Profile ou Settings Catalog)
   • Not supported : pas d'equivalent direct dans Intune — necessite un script ou une solution de contournement
   • Deprecated : le parametre est obsolete et peut etre ignore

Lister les GPO appliquees sur un poste specifique

# Resultat detaille des GPO appliquees
gpresult /h C:\Temp\gpo-report.html /f
# Ouvrir le rapport
Start-Process C:\Temp\gpo-report.html

Le rapport HTML affiche les GPO Computer et User avec chaque parametre et sa valeur.

Comment remplacer les GPO par des politiques Intune ?

Le tableau ci-dessous mappe les categories de GPO les plus courantes vers leurs equivalents Intune.

Categorie GPO	Equivalent Intune	Methode
Securite (mot de passe, verrouillage)	Compliance Policies + Security Baselines	Devices > Configuration > Security baselines
Configuration Windows	Settings Catalog	Devices > Configuration > Create > Settings catalog
Deploiement logiciel	Apps (Win32, MSI, Store)	Apps > Windows > Add
Scripts de demarrage/logon	Intune Scripts (PowerShell)	Devices > Scripts and remediations
Lecteurs reseau mappes	Intune Script ou OneDrive KFM	Script PowerShell deploye par Intune
Imprimantes	Universal Print	Universal Print dans Microsoft 365
Proxy	Settings Catalog (Proxy settings)	Configuration profile > Settings catalog > Proxy
BitLocker	Endpoint Security > Disk encryption	Endpoint Security > Disk encryption
Windows Update / WSUS	Update Rings for Windows 10+	Devices > Update rings
Firewall	Endpoint Security > Firewall	Endpoint Security > Firewall rules
Restrictions USB	Settings Catalog (Device Installation)	Configuration profile > Settings catalog

Pour les parametres classes "Not supported" par Group Policy Analytics, trois options :

1. Script PowerShell deploye via Intune (Devices > Scripts and remediations) — couvre la grande majorite des cas
2. Configuration personnalisee via OMA-URI — pour les parametres CSP (Configuration Service Provider) qui n'ont pas d'interface graphique dans Intune
3. Accepter la perte — certaines GPO sont obsoletes ou ne s'appliquent plus dans un contexte cloud-native

Que deviennent les scripts de logon AD ?

Les scripts de logon configures dans une GPO (User Configuration > Policies > Windows Settings > Scripts > Logon) ne s'executent plus apres la disjonction du domaine. Le poste ne contacte plus le DC et ne telecharge plus les scripts depuis SYSVOL.

Migrer les scripts vers Intune

Intune permet de deployer des scripts PowerShell qui s'executent au logon ou a intervalle regulier :

1. Dans le portail Intune > Devices > Scripts and remediations > Platform scripts
2. Ajoutez votre script PowerShell
3. Configurez le contexte d'execution (System ou User)
4. Assignez au groupe de machines cible

Differences cles entre les scripts GPO et les scripts Intune :

Aspect	Scripts GPO	Scripts Intune
Declenchement	A chaque logon	Selon la politique Intune (une fois, ou a chaque check-in)
Contexte	User ou System	Configurable (User ou System)
Stockage	SYSVOL (DC)	Cloud Intune
Dependencies reseau	DC joignable	Internet (services Intune)
Taille max	Pas de limite pratique	200 Ko par script

Cas frequent : lecteurs reseau mappes

Le remplacement le plus frequent concerne les lecteurs reseau mappes par script de logon (net use Z: \\serveur\partage). Deux approches :

1. Script Intune : deployez un script PowerShell equivalent via Intune
2. OneDrive Known Folder Move : migrez les donnees du partage vers SharePoint/OneDrive et supprimez le besoin du lecteur mappe

Comment nettoyer les parametres GPO residuels ?

Apres la migration, les parametres GPO persitent dans le registre. Si vous ne les nettoyez pas et qu'une politique Intune configure le meme parametre differemment, le comportement depend de la priorite : en general, Intune ecrase la valeur, mais certains parametres peuvent creer des conflits.

Nettoyage cible des cles GPO

Les GPO ecrivent principalement dans ces cles de registre :

HKLM\SOFTWARE\Policies\Microsoft\...
HKCU\SOFTWARE\Policies\Microsoft\...
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\...

Un nettoyage apres migration peut supprimer ces cles :

# Nettoyage des parametres GPO machine (a executer en tant que SYSTEM)
Remove-Item -Path "HKLM:\SOFTWARE\Policies" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies" -Recurse -Force -ErrorAction SilentlyContinue

Attention : ne supprimez ces cles qu'apres avoir confirme que toutes les politiques Intune equivalentes sont en place. Si vous supprimez les GPO residuelles sans avoir deploye les politiques Intune correspondantes, le poste se retrouve sans aucune configuration de securite.

FAQ

Les strategies locales (Local Group Policy) persistent-elles apres la migration ?

Oui. Les strategies locales (gpedit.msc) sont stockees dans C:\Windows\System32\GroupPolicy et ne dependent pas du domaine AD. Elles persistent apres la disjonction. Si elles entrent en conflit avec les politiques Intune, Intune a en general la priorite (CSP > Local Policy).

Les preferences GPO (Group Policy Preferences) persistent-elles ?

Partiellement. Les preferences qui modifient le registre, les fichiers ou les raccourcis sont appliquees une seule fois et persistent. Les preferences "tattoo-free" (qui se desappliquent quand la GPO est retiree) ne se desappliqueront pas car le poste ne detecte plus la GPO. Le resultat est imprevisible — l'inventaire prealable est essentiel.

Combien de temps faut-il pour migrer 100 GPO vers Intune ?

La duree depend de la complexite des GPO. Les parametres de securite standards (mot de passe, verrouillage, BitLocker) se migrent en quelques heures via les Security Baselines Intune. Les scripts personnalises et les preferences complexes demandent plus de temps. Comptez 2 a 5 jours de travail pour un inventaire complet de 100 GPO et la creation des politiques Intune equivalentes.

---

Avant de migrer avec EntraLift, l'inventaire des GPO et la preparation des politiques Intune sont a realiser en amont. EntraLift gere la disjonction AD et la jonction Entra, mais la substitution des GPO par des politiques Intune reste une etape de planification a mener cote administrateur.