Comment migrer ses postes de Hybrid Azure AD vers Microsoft Entra ID ?

18 avril 202612 min de lectureBenjamin Testart
entra-idmigrationhybrid-adintuneguide

Comment migrer ses postes de Hybrid Azure AD vers Microsoft Entra ID ?

La migration de postes Windows depuis Hybrid Azure AD Join vers Microsoft Entra ID Join consiste a retirer les machines du domaine Active Directory local, puis a les joindre directement au tenant Entra ID via un Provisioning Package. L'operation preserve le profil utilisateur existant — fichiers, bureau, parametres — a condition de remapper le SID (Security Identifier) de l'ancien compte AD vers le nouveau compte Entra. Ce guide couvre les prerequis, le deroulement phase par phase, les risques courants et les verifications post-migration.

Qu'est-ce qu'une migration Hybrid Azure AD vers Entra ID ?

Un poste en etat Hybrid Azure AD Joined est enregistre simultanement dans l'Active Directory local (on-premises) et dans Azure AD (desormais Microsoft Entra ID). Ce mode hybride a ete concu comme une etape transitoire pour les organisations qui souhaitaient conserver leurs GPO et leur infrastructure AD tout en beneficiant des fonctionnalites cloud de Microsoft 365.

Microsoft pousse desormais les organisations vers un modele cloud-native ou les postes sont directement joints a Entra ID (anciennement "Azure AD Joined"), geres exclusivement par Microsoft Intune, sans dependance au domaine Active Directory. Cette direction est documentee dans la feuille de route Microsoft Entra.

La migration consiste donc a faire passer chaque poste de l'etat Hybrid Azure AD Joined a l'etat Entra Joined. Ce n'est pas une reinstallation Windows : le systeme d'exploitation, les applications et le profil utilisateur restent en place. L'operation porte sur l'identite de la machine et de l'utilisateur.

Pour une comparaison detaillee des deux modes de jonction et les criteres de decision, consultez Hybrid Azure AD Join vs Entra Join : differences et strategie de migration.

Quels sont les prerequis techniques ?

Avant de lancer une migration, plusieurs conditions doivent etre reunies cote infrastructure et cote securite.

Cote infrastructure

Prerequis Detail
Systeme d'exploitation Windows 10 version 21H2 ou ulterieure, ou Windows 11. Les versions anterieures ne supportent pas correctement la jonction Entra via PPKG.
Etat de jonction actuel Le poste doit etre en etat Hybrid Azure AD Joined. Verifiable avec dsregcmd /status : AzureAdJoined = YES et DomainJoined = YES.
Microsoft Intune Le poste doit etre inscrit dans Intune (co-management ou MDM pur). C'est par Intune que l'agent de migration et les politiques post-migration seront deployes.
Azure AD Connect La synchronisation entre l'AD local et Entra ID doit etre operationnelle. Les objets utilisateur et computer doivent exister dans Entra avant la migration.
Connectivite reseau Le poste doit pouvoir atteindre login.microsoftonline.com, device.login.microsoftonline.com et enterpriseregistration.windows.net pendant la phase de jonction.

Pour verifier l'etat d'un poste, ouvrez une invite de commande administrateur et executez :

dsregcmd /status

Les lignes cles a verifier :

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
               Device Name : PC-NOMPOSTE

Si DomainJoined = YES et AzureAdJoined = YES, le poste est bien en Hybrid Azure AD Join et eligible a la migration.

Cote securite

Comment se deroule la migration etape par etape ?

La migration se decompose en trois phases distinctes, separees par des redemarrages.

Phase 1 — Disjonction du domaine Active Directory

La premiere phase retire le poste du domaine AD local. Concretement :

  1. Sauvegarde de l'etat actuel : le script de migration enregistre le SID du compte utilisateur courant, le nom de domaine, et les informations de profil.
  2. Creation du compte admin local : un compte administrateur local de secours est cree avec un mot de passe genere aleatoirement, stocke de maniere chiffree sur le serveur de pilotage.
  3. Disjonction : la commande PowerShell Remove-Computer retire le poste du domaine. Le parametre -Force est necessaire pour eviter les prompts interactifs.
# Disjonction du domaine AD (executee en tant que SYSTEM)
Remove-Computer -Force -PassThru
  1. Nettoyage : les artefacts Active Directory residuels sont nettoyes dans le registre (profils caches, SPN, configuration du domaine).
  2. Redemarrage : le poste redemarre. Au prochain boot, il n'est plus membre du domaine.

A ce stade, le poste est en etat "Workgroup". Le profil utilisateur existe toujours localement, mais le SID de l'ancien compte de domaine n'est plus resolvable.

Phase 2 — Jonction a Microsoft Entra ID

Apres le redemarrage, la deuxieme phase joint le poste a Entra ID :

  1. Application du Provisioning Package : le PPKG contenant le Bulk Enrollment Token est applique. Cette operation inscrit le poste directement dans le tenant Entra ID.
# Application du PPKG (executee en tant que SYSTEM)
Install-ProvisioningPackage -PackagePath "C:\path\to\enrollment.ppkg" -QuietInstall -ForceInstall
  1. Jonction Entra ID : Windows negocie la jonction avec device.login.microsoftonline.com. Le poste obtient un PRT (Primary Refresh Token) et un certificat de device.
  2. Inscription MDM : si le tenant est configure pour l'inscription automatique Intune (enrollment MDM automatique), le poste s'inscrit dans Intune dans la foulee.
  3. Redemarrage : un second redemarrage finalise la jonction.

Apres cette phase, dsregcmd /status affiche :

             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : NO

Le poste est desormais Entra Joined et gere par Intune.

Phase 3 — Remapping du profil utilisateur

C'est la phase la plus delicate. L'utilisateur avait un profil Windows associe a son SID Active Directory (ex: S-1-5-21-xxxxxxxx-yyyyyyyy-zzzzzzzz-1234). Apres la jonction Entra, il se connecte avec un nouveau SID Entra ID (ex: S-1-12-1-xxxxxxxx-yyyyyyyy-zzzzzzzz-wwwwwwww).

Sans remapping, Windows cree un nouveau profil vide. L'ancien profil existe toujours sur le disque mais n'est plus associe a l'utilisateur connecte.

Le remapping consiste a :

  1. Identifier l'ancien SID et le nouveau SID de l'utilisateur.
  2. Mettre a jour la cle de registre ProfileList : dans HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList, renommer la sous-cle de l'ancien SID vers le nouveau SID.
  3. Reconstruire les ACL NTFS sur le dossier du profil utilisateur (C:\Users\nom) : remplacer l'ancien SID par le nouveau dans toutes les entrees de controle d'acces.
# Exemple : remplacement du SID dans les ACL d'un dossier de profil
$oldSid = New-Object System.Security.Principal.SecurityIdentifier("S-1-5-21-xxx-yyy-zzz-1234")
$newSid = New-Object System.Security.Principal.SecurityIdentifier("S-1-12-1-xxx-yyy-zzz-www")

$profilePath = "C:\Users\jean.dupont"
$acl = Get-Acl $profilePath
$newAcl = New-Object System.Security.AccessControl.DirectorySecurity

foreach ($ace in $acl.Access) {
    if ($ace.IdentityReference.Value -eq $oldSid.Value) {
        $newAce = New-Object System.Security.AccessControl.FileSystemAccessRule(
            $newSid, $ace.FileSystemRights, $ace.InheritanceFlags,
            $ace.PropagationFlags, $ace.AccessControlType)
        $newAcl.AddAccessRule($newAce)
    } else {
        $newAcl.AddAccessRule($ace)
    }
}
Set-Acl -Path $profilePath -AclObject $newAcl
  1. Appliquer recursivement : les ACL doivent etre mises a jour non seulement sur le dossier racine mais sur l'ensemble des fichiers et sous-dossiers du profil. Cette operation peut prendre plusieurs minutes selon la taille du profil.

Pour un traitement detaille du remapping de SID et des ACL, consultez Remapping du profil utilisateur apres jonction Entra : SID, registre, ACL et Gerer les ACL NTFS lors d'une migration d'identite Windows.

Comment creer et deployer le Provisioning Package ?

Le Provisioning Package (PPKG) est le mecanisme officiel Microsoft pour joindre un poste a Entra ID en masse sans intervention utilisateur. Il est cree avec Windows Configuration Designer (WCD), disponible dans le Microsoft Store ou le Windows ADK.

Les parametres essentiels du PPKG :

Parametre Valeur
Path Runtime > Workplace > Enrollments
UPN L'adresse email d'un compte autorise a inscrire des devices
AuthPolicy OnPremise pour un Bulk Token
DiscoveryServiceFullUrl https://enterpriseenrollment.manage.microsoft.com/EnrollmentServer/Discovery.svc
Secret (Bulk Token) Genere depuis le portail Entra > Devices > Enroll devices > Windows enrollment > Provisioning Packages

Le Bulk Token a une duree de vie limitee — par defaut 180 jours selon la documentation Microsoft sur les Bulk Enrollment Tokens. Pensez a surveiller la date d'expiration et a regenerer le PPKG avant echeance.

Pour un guide detaille de creation du PPKG, consultez Creer et deployer un Provisioning Package pour Entra Join.

Comment piloter la migration a distance via Intune ?

Pour un parc de plus de quelques postes, la migration manuelle poste par poste est irrealiste. L'approche recommandee est de deployer un agent de migration sur les postes via Microsoft Intune, puis de declencher la migration a distance.

Le flux typique :

  1. Packager l'agent : l'agent de migration (script PowerShell ou executable) est empaquete en tant qu'application Win32 dans Intune (deploiement d'apps Win32 via Intune).
  2. Cibler un groupe : assignez l'application a un groupe Entra contenant les machines a migrer.
  3. Deployer par vagues : ne migrez pas l'ensemble du parc en une seule fois. Commencez par un pilote de 5 a 10 machines, validez, puis elargissez par vagues de taille croissante.
  4. Suivre la progression : utilisez un dashboard centralise pour suivre l'etat de chaque machine en temps reel (enregistree, en cours de migration, terminee, en erreur).

Pour l'orchestration detaillee d'une migration de parc, consultez Orchestrer une migration de parc Windows via Microsoft Intune.

Quels sont les risques et erreurs courantes ?

Risque Impact Prevention
SID non remappe L'utilisateur perd l'acces a son ancien profil et se retrouve avec un profil vide Toujours remapper le SID avant la premiere connexion post-migration
Token PPKG expire La jonction Entra echoue silencieusement Surveiller la date d'expiration, regenerer le PPKG 2 semaines avant echeance
Poste hors ligne La phase de jonction Entra ne peut pas aboutir Verifier la connectivite reseau avant de lancer la migration
GPO residuelles Des parametres AD persistent dans le registre et entrent en conflit avec les politiques Intune Nettoyer les cles de registre des GPO apres la disjonction — voir Impact sur les GPO, strategies locales et scripts de logon
Pas de compte de secours Si la jonction echoue, aucun moyen de se connecter au poste Creer un compte admin local avant la Phase 1 — voir Securiser une migration d'identite
Profil NTUSER.DAT verrouille Le remapping des ACL echoue sur le fichier de registre utilisateur Effectuer le remapping hors session (en tant que SYSTEM, avant le logon utilisateur)

Pour un referentiel complet de troubleshooting, consultez Erreurs frequentes lors d'une migration Hybrid AD vers Entra ID.

Que verifier apres la migration ?

Une fois la migration terminee et l'utilisateur connecte, effectuez ces verifications :

Etat de jonction :

dsregcmd /status
# Attendu : AzureAdJoined = YES, DomainJoined = NO

Profil utilisateur :

Gestion Intune :

Nettoyage Active Directory :

Test de connectivite :

# Verifier le PRT (Primary Refresh Token)
dsregcmd /status | Select-String "PRT"
# Attendu : AzureAdPrt = YES

FAQ

La migration necessite-t-elle une reinstallation de Windows ?

Non. La migration modifie l'identite de la machine (domaine AD vers Entra ID) et le SID de l'utilisateur, mais le systeme d'exploitation, les applications installees et les donnees utilisateur restent en place. C'est un remapping d'identite, pas une reinstallation.

Combien de temps dure la migration d'un poste ?

La migration complete prend generalement entre 8 et 15 minutes par poste, incluant les redemarrages. La duree depend principalement de la taille du profil utilisateur (nombre de fichiers a remapper pour les ACL) et de la vitesse de connexion reseau pour la jonction Entra.

Peut-on migrer un parc entier a distance ?

Oui. L'agent de migration est deploye via Microsoft Intune et la migration est declenchee a distance depuis un dashboard centralise. Aucune intervention physique sur site n'est necessaire, a condition que les postes aient une connectivite reseau vers les services Microsoft (Entra ID, Intune).

Le profil utilisateur est-il preserve ?

Oui, a condition que le remapping de SID soit correctement effectue. Le profil utilisateur (C:\Users\nom), les fichiers, le bureau, les parametres d'applications et les cles de registre utilisateur sont preserves. Les ACL NTFS sont mises a jour pour refleter le nouveau SID Entra ID.

Que se passe-t-il si la migration echoue en cours de route ?

Le comportement depend de la phase d'echec. Si la disjonction AD a reussi mais que la jonction Entra echoue, le poste se retrouve en etat "Workgroup" sans domaine. C'est pour cette raison qu'un compte administrateur local de secours est cree avant la Phase 1. Ce compte permet de se connecter au poste, diagnostiquer le probleme et relancer la jonction manuellement ou re-joindre le domaine AD.

Si vous gerez un parc de postes Hybrid Azure AD et souhaitez automatiser ce processus de migration — de la disjonction AD au remapping du profil en passant par le deploiement du PPKG — consultez EntraLift, qui pilote l'ensemble de ces etapes depuis un dashboard web avec suivi temps reel.

Commentaires (0)

Laisser un commentaire

Restez informe

Recevez les nouveaux articles sur la migration Entra ID directement dans votre boite mail.