EntraLift

Deconnexion

Bienvenue sur EntraLift

Cet assistant va vous guider pour configurer la migration de vos postes Hybrid AD vers Entra ID.

Creer le Provisioning Package (PPKG)
Configurer les parametres de migration
Deployer l'agent sur vos postes via Intune

Duree estimee : 5 minutes

Provisioning Package (PPKG)

Le PPKG contient le jeton d'enrollment qui permet aux postes de rejoindre Entra ID automatiquement.

Parametres de migration

Ces parametres s'appliqueront a tous les postes de votre tenant.

Compte admin de secours

Mot de passe genere automatiquement par poste, consultable dans le dashboard.

Delai avant redemarrage : 5 min

Notifications utilisateur

Affiche une fenetre de compte a rebours avant le redemarrage.

Supprimer le compte admin apres migration

Tentatives max

Disjonction Active Directory

Un compte AD est necessaire pour retirer les machines du domaine. Pour des raisons de securite, ne pas utiliser un compte Domain Admin — creez un compte de service dedie avec le moindre privilege.

🔒 Creation du compte de service (une seule fois)

Executez ces commandes sur un controleur de domaine :

            # 1. Creer le compte de service

            New-ADUser -Name "svc_migration" `

              -SamAccountName "svc_migration" `

              -AccountPassword (Read-Host -AsSecureString) `

              -Enabled $true -PasswordNeverExpires $true

            # 2. Deleguer les droits de disjonction sur l'OU des postes

            $ou = "OU=Ordinateurs,DC=domaine,DC=local" # Adapter a votre OU

            $svc = (Get-ADUser "svc_migration").SID

            $computerGuid = [GUID]"bf967a86-0de6-11d0-a285-00aa003049e2"

            $acl = Get-Acl "AD:$ou"

            # Droits necessaires pour Remove-Computer :

            $guids = @(

              "bf967a00-0de6-11d0-a285-00aa003049e2", # userAccountControl

              "72e39547-7b18-11d1-adef-00c04fd8d5cd", # dNSHostName

              "f3a64788-5306-11d1-a9c5-0000f80367c1", # servicePrincipalName

              "4c164200-20c0-11d0-a768-00aa006e0529"  # Account Restrictions

            )

            foreach ($g in $guids) {

              $acl.AddAccessRule((New-Object System.DirectoryServices.ActiveDirectoryAccessRule(

                $svc, "WriteProperty", "Allow", [GUID]$g, "Descendents", $computerGuid)))

            }

            # Reset Password (extended right)

            $acl.AddAccessRule((New-Object System.DirectoryServices.ActiveDirectoryAccessRule(

              $svc, "ExtendedRight", "Allow",

              [GUID]"00299570-246d-11d0-a768-00aa006e0529",

              "Descendents", $computerGuid)))

            # Delete Computer objects

            $acl.AddAccessRule((New-Object System.DirectoryServices.ActiveDirectoryAccessRule(

              $svc, "DeleteChild", "Allow",

              $computerGuid, "All", [GUID]::Empty)))

            Set-Acl "AD:$ou" $acl

            Write-Host "Delegation OK"

Ce compte a les droits minimaux pour disjoindre les ordinateurs : modifier userAccountControl, DNS, SPN, restrictions, reset password et supprimer l'objet computer. Aucun autre droit.

Compte AD (DOMAIN\user)

Mot de passe

Transmis uniquement via HTTPS. Stocke chiffre cote serveur.

Deployer l'agent via Intune

L'agent EntraLift s'installera silencieusement et n'effectue aucune migration tant que vous ne le declenchez pas.

Tous les appareils — l'agent s'installera sur tous les postes geres par Intune Un groupe specifique

Les groupes Entra de votre tenant s'afficheront ici.

✅

Agent deploye avec succes !

Les machines apparaitront automatiquement dans le dashboard au fur et a mesure de l'installation.

Les machines s'enregistrent (quelques minutes)
Verifiez les pre-checks dans le dashboard
Selectionnez des machines → "Migrer"
Suivez la progression en temps reel

Vue d'ensemble

Machines

Configuration

Derniere mise a jour : 0s

Total

En cours

Terminees

Erreurs

Repartition par statut

	Hostname	Statut	Pre-checks	Groupe	Utilisateur	Derniere activite	Duree

🏢 Votre tenant

📦 Deploiement Intune

Non deploye.

⚙️ Parametres de migration

Compte admin de secours

Mot de passe genere automatiquement par poste, consultable dans le panneau machine.

Delai redemarrage (secondes)

Temps accorde a l'utilisateur pour sauvegarder avant le reboot.

Notifications utilisateur

Affiche un toast + fenetre countdown avant le redemarrage.

Supprimer compte admin apres migration

Tentatives max jonction Entra

🔒 Disjonction Active Directory

Compte AD autorise a retirer les ordinateurs du domaine. Creez un compte de service dedie avec le moindre privilege.

Compte AD (DOMAIN\user)

Mot de passe

Stocke chiffre cote serveur. Transmis uniquement via HTTPS.

💾 Provisioning Package

Aucun PPKG uploade.

Glissez votre .ppkg ici ou cliquez

Date d'expiration du token

Le Bulk Enrollment Token expire generalement apres 180 jours.

🔔 Notifications

Email administrateur

Recevez un email quand une migration echoue.

Webhook (Teams, Slack...)

URL du webhook pour les notifications temps reel.

⚠️ Zone de danger

Ces actions sont irreversibles. Les services installes sur les postes ne seront pas desinstalles automatiquement.

Bienvenue sur EntraLift

Provisioning Package (PPKG)

1. Installer Windows Configuration Designer

2. Creer le package

3. Exporter et uploader

Parametres de migration

Disjonction Active Directory

Deployer l'agent via Intune

Agent deploye avec succes !

Repartition par statut

🏢 Votre tenant

📦 Deploiement Intune

⚙️ Parametres de migration

🔒 Disjonction Active Directory

💾 Provisioning Package

🔔 Notifications

⚠️ Zone de danger

—

Informations

Pre-checks

Compte de secours

Actions

Historique