Cet assistant va vous guider pour configurer la migration de vos postes Hybrid AD vers Entra ID.
Creer le Provisioning Package (PPKG)
Configurer les parametres de migration
Deployer l'agent sur vos postes via Intune
Duree estimee : 5 minutes
Provisioning Package (PPKG)
Le PPKG contient le jeton d'enrollment qui permet aux postes de rejoindre Entra ID automatiquement.
Glissez votre fichier .ppkg ici ou cliquez pour parcourir
✅
1. Installer Windows Configuration Designer
Disponible sur le Microsoft Store ou dans le Windows ADK.
2. Creer le package
Ouvrez WCD et cliquez "Provision desktop devices"
Passez "Set up network"
Dans "Account Management", selectionnez "Enroll in Azure AD" puis "Get Bulk Token"
Connectez-vous avec un compte Intune Enrollment Manager
⚠️ MFA — Important
Si le MFA est actif sur l'inscription des appareils, le token echouera. Excluez le MFA pour l'action "Inscription des appareils Microsoft Intune" dans l'acces conditionnel Entra ID.
3. Exporter et uploader
Dans WCD, cliquez "Create" puis uploadez le .ppkg ci-dessous :
Glissez votre fichier .ppkg ici ou cliquez pour parcourir
✅
Parametres de migration
Ces parametres s'appliqueront a tous les postes de votre tenant.
Mot de passe genere automatiquement par poste, consultable dans le dashboard.
Affiche une fenetre de compte a rebours avant le redemarrage.
Disjonction Active Directory
Un compte AD est necessaire pour retirer les machines du domaine. Pour des raisons de securite, ne pas utiliser un compte Domain Admin — creez un compte de service dedie avec le moindre privilege.
🔒 Creation du compte de service (une seule fois)
Executez ces commandes sur un controleur de domaine :
# 1. Creer le compte de service New-ADUser -Name "svc_migration" `
-SamAccountName "svc_migration" `
-AccountPassword (Read-Host -AsSecureString) `
-Enabled $true -PasswordNeverExpires $true
# 2. Deleguer le droit de disjonction sur l'OU des postes $ou = "OU=Postes,DC=domaine,DC=local" $user = Get-ADUser "svc_migration" $acl = Get-Acl "AD:$ou" $ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule(
$user.SID, "WriteProperty", "Allow",
[GUID]"bf967a00-0de6-11d0-a285-00aa003049e2", # userAccountControl "Descendents",
[GUID]"bf967a86-0de6-11d0-a285-00aa003049e2" # Computer objects
)
$acl.AddAccessRule($ace)
Set-Acl "AD:$ou" $acl
Ce compte peut uniquement desactiver les objets ordinateur dans l'OU ciblee — aucun autre droit.
Transmis uniquement via HTTPS. Stocke chiffre cote serveur.
Deployer l'agent via Intune
L'agent EntraLift s'installera silencieusement et n'effectue aucune migration tant que vous ne le declenchez pas.
Les groupes Entra de votre tenant s'afficheront ici.
✅
Agent deploye avec succes !
Les machines apparaitront automatiquement dans le dashboard au fur et a mesure de l'installation.
Les machines s'enregistrent (quelques minutes)
Verifiez les pre-checks dans le dashboard
Selectionnez des machines → "Migrer"
Suivez la progression en temps reel
Vue d'ensemble
Machines
Configuration
Derniere mise a jour : 0s
Total
0
En cours
0
Terminees
0
Erreurs
0
0%
Repartition par statut
Hostname
Statut
Pre-checks
Groupe
Utilisateur
Derniere activite
Duree
Parametres de migration
Mot de passe genere automatiquement par poste.
Disjonction Active Directory
Compte AD avec le droit de disjoindre les ordinateurs du domaine. Creez un compte de service dedie avec le moindre privilege (Write userAccountControl sur les objets Computer).
Stocke chiffre. Transmis via HTTPS uniquement.
Provisioning Package
Aucun PPKG uploade.
Glissez votre .ppkg ici ou cliquez
—
Details
Logs
Ecran
Informations
Pre-checks
Compte de secours
••••••••••••
Actions
Historique
Aucun log disponible.
🖥 Aucune capture disponible
La capture d'ecran necessite qu'un utilisateur soit connecte sur le poste.