EntraLift

Deconnexion

Bienvenue sur EntraLift

Cet assistant va vous guider pour configurer la migration de vos postes Hybrid AD vers Entra ID.

Creer le Provisioning Package (PPKG)
Configurer les parametres de migration
Deployer l'agent sur vos postes via Intune

Duree estimee : 5 minutes

Provisioning Package (PPKG)

Le PPKG contient le jeton d'enrollment qui permet aux postes de rejoindre Entra ID automatiquement.

Parametres de migration

Ces parametres s'appliqueront a tous les postes de votre tenant.

Compte admin de secours

Mot de passe genere automatiquement par poste, consultable dans le dashboard.

Delai avant redemarrage : 5 min

Notifications utilisateur

Supprimer le compte admin apres migration

Tentatives max

Disjonction Active Directory

Un compte AD est necessaire pour retirer les machines du domaine. Pour des raisons de securite, ne pas utiliser un compte Domain Admin — creez un compte de service dedie avec le moindre privilege.

🔒 Creation du compte de service (une seule fois)

Executez ces commandes sur un controleur de domaine :

            # 1. Creer le compte de service

            New-ADUser -Name "svc_migration" `

              -SamAccountName "svc_migration" `

              -AccountPassword (Read-Host -AsSecureString) `

              -Enabled $true -PasswordNeverExpires $true

            # 2. Deleguer les droits de disjonction sur l'OU des postes

            $ou = "OU=Ordinateurs,DC=domaine,DC=local" # Adapter a votre OU

            $svc = (Get-ADUser "svc_migration").SID

            $computerGuid = [GUID]"bf967a86-0de6-11d0-a285-00aa003049e2"

            $acl = Get-Acl "AD:$ou"

            # Droits necessaires pour Remove-Computer :

            $guids = @(

              "bf967a00-0de6-11d0-a285-00aa003049e2", # userAccountControl

              "72e39547-7b18-11d1-adef-00c04fd8d5cd", # dNSHostName

              "f3a64788-5306-11d1-a9c5-0000f80367c1", # servicePrincipalName

              "4c164200-20c0-11d0-a768-00aa006e0529"  # Account Restrictions

            )

            foreach ($g in $guids) {

              $acl.AddAccessRule((New-Object System.DirectoryServices.ActiveDirectoryAccessRule(

                $svc, "WriteProperty", "Allow", [GUID]$g, "Descendents", $computerGuid)))

            }

            # Reset Password (extended right)

            $acl.AddAccessRule((New-Object System.DirectoryServices.ActiveDirectoryAccessRule(

              $svc, "ExtendedRight", "Allow",

              [GUID]"00299570-246d-11d0-a768-00aa006e0529",

              "Descendents", $computerGuid)))

            # Delete Computer objects

            $acl.AddAccessRule((New-Object System.DirectoryServices.ActiveDirectoryAccessRule(

              $svc, "DeleteChild", "Allow",

              $computerGuid, "All", [GUID]::Empty)))

            Set-Acl "AD:$ou" $acl

            Write-Host "Delegation OK"

Ce compte a les droits minimaux pour disjoindre les ordinateurs : modifier userAccountControl, DNS, SPN, restrictions, reset password et supprimer l'objet computer. Aucun autre droit.

Compte AD (DOMAIN\user) *

Mot de passe *

Transmis uniquement via HTTPS. Stocke chiffre cote serveur.

Deployer l'agent

L'agent EntraLift s'installe silencieusement sur les postes et n'effectue aucune migration tant que vous ne le declenchez pas depuis le dashboard.

☁

Via Microsoft Intune

Deploiement automatique via un script Intune. Recommande pour les parcs geres.

📥

Telechargement manuel

Telechargez l'installeur et deployez-le manuellement ou via GPO/SCCM.

Un script PowerShell sera cree dans Microsoft Intune et assigne au groupe que vous selectionnez. A la prochaine synchronisation Intune, l'agent sera telecharge et installe silencieusement sur chaque poste du groupe.

Tous les appareils — l'agent s'installera sur tous les postes geres par Intune Un groupe specifique

Les groupes Entra de votre tenant s'afficheront ici.

✅

Agent deploye avec succes !

Les machines apparaitront automatiquement dans le dashboard au fur et a mesure de l'installation.

Les machines s'enregistrent (quelques minutes)
Verifiez les pre-checks dans le dashboard
Selectionnez des machines → "Migrer"
Suivez la progression en temps reel

Vue d'ensemble

Machines

Configuration

Documentation

Mise a jour dans : 10s

Total

En cours

Terminees

Erreurs

Repartition par statut

	Hostname	Statut	Pre-checks	Groupe	Utilisateur	Derniere activite	Duree

🏢 Votre tenant

📦 Deploiement Intune

Non deploye.

⚙️ Parametres de migration

Compte admin de secours

Delai redemarrage (secondes)

Notifications utilisateur

Supprimer compte admin apres migration

Pre-remplir le domaine sur l'ecran de connexion

Tentatives max jonction Entra

🔒 Disjonction Active Directory

Compte AD autorise a retirer les ordinateurs du domaine. Creez un compte de service dedie avec le moindre privilege.

Compte AD (DOMAIN\user)

Mot de passe

Stocke chiffre cote serveur. Transmis uniquement via HTTPS.

💾 Provisioning Package

Aucun PPKG uploade.

Glissez votre .ppkg ici ou cliquez

Date d'expiration du token

Le Bulk Enrollment Token expire generalement apres 180 jours.

🔔 Notifications

Email administrateur

Recevez un email quand une migration echoue.

Webhook (Teams, Slack...)

URL du webhook pour les notifications temps reel.

💳 Licence

⚠️ Zone de danger

Ces actions sont irreversibles. Les services installes sur les postes ne seront pas desinstalles automatiquement.

📑 Sommaire

Démarrage rapide Prérequis Compatibilité Créer le PPKG Compte AD Déroulement Rollback Agent Problèmes FAQ

01 🚀 Démarrage rapide

Connectez-vous au dashboard avec votre compte Microsoft 365.
Rôle requis : Administrateur Intune ou Administrateur global.
Uploadez votre PPKG (Provisioning Package) généré depuis Windows Configuration Designer.
Voir la section Créer le PPKG.
Configurez les paramètres : compte AD de disjonction, délai de redémarrage, notifications.
Voir la section Compte AD.
Déployez l'agent via Intune sur le groupe d'appareils cible.
L'agent se met à jour automatiquement par la suite.
Lancez la migration depuis l'onglet Machines — individuellement, en masse ou par vagues.

02 🌐 Prérequis

Rôles Microsoft requis

Administrateur Intune — pour déployer l'agent via les scripts de gestion des appareils
Administrateur Entra ID (ou Global Admin) — pour créer le Bulk Enrollment Token (PPKG)
Accès en lecture aux groupes — pour sélectionner le groupe cible dans le wizard

Endpoints réseau (ports 443 HTTPS)

Les postes à migrer doivent pouvoir atteindre ces URLs. Si un proxy ou un firewall est en place, ajoutez-les en liste blanche :

dashboard.entralift.io
login.microsoftonline.com
graph.microsoft.com
device.login.microsoftonline.com
enterpriseregistration.windows.net
enterpriseenrollment.manage.microsoft.com

Active Directory

Un compte de service dédié avec les permissions de disjonction (voir section dédiée)
Azure AD Connect configuré et fonctionnel (les machines doivent être Hybrid Joined)
Les machines dans l'OU où la délégation est configurée (pas dans CN=Computers)

03 ✅ Compatibilité

Système d'exploitation	Windows 10 (21H2+) et Windows 11 — éditions Pro et Enterprise
Architecture	x64 uniquement
État de jonction requis	Hybrid Azure AD Joined (DomainJoined=YES + AzureAdJoined=YES)
BitLocker	Supporté. Les clés de récupération sont sauvegardées automatiquement avant la migration.
Espace disque	1 Go minimum libre sur C:
Déploiement agent	Microsoft Intune (scripts de gestion des appareils)

04 📦 Créer le Provisioning Package (PPKG)

Installez Windows Configuration Designer depuis le Microsoft Store
Cliquez Provision desktop devices
Dans Account Management > Enroll in Azure AD, sélectionnez Bulk Token
Cliquez Get Bulk Token et connectez-vous avec un compte Entra ID administrateur
Finalisez l'assistant et exportez le fichier .ppkg
Uploadez-le dans l'onglet Configuration du dashboard

Le Bulk Enrollment Token expire après 180 jours. Renseignez la date d'expiration dans la configuration pour recevoir une alerte avant échéance.

05 🔒 Configurer le compte AD de disjonction

Créez un compte de service dédié (ex : svc_migration) et déléguez-lui ces 6 permissions sur l'OU contenant les machines :

1. Write userAccountControl
2. Write dNSHostName
3. Write servicePrincipalName
4. Write Account Restrictions (property set)
5. Reset Password (extended right)
6. Delete Computer objects (DeleteChild)

Attention : les machines doivent être dans l'OU où la délégation est configurée. Si une machine est dans CN=Computers (conteneur par défaut), déplacez-la avant de lancer la migration.

06 🔄 Déroulement de la migration

PHASE 1 Disjonction (avant redémarrage)

Pré-vérifications (Hybrid Joined, réseau, espace disque, BitLocker)
Création du compte admin local de secours
Notification utilisateur (toast informatif)
Remove-Computer — quitte le domaine AD
dsregcmd /leave — quitte Azure AD
Countdown + redémarrage automatique

PHASE 2 Jonction Entra ID (après redémarrage)

Installation du PPKG (Bulk Enrollment Token)
Redémarrage pour finaliser la jonction Entra
Attente de la première session utilisateur Entra
Remapping du profil (SID, ACL, registre)
Nettoyage et restauration du bureau

L'utilisateur est guidé tout au long du processus : notification avant redémarrage, message sur l'écran de connexion, fenêtre de progression pendant le remapping.

07 ↩️ Rollback et récupération

PHASE 1 Échec avant le redémarrage

La machine reste intacte (Hybrid Joined). Corrigez le problème (permissions AD, réseau...) et relancez la migration depuis le dashboard. Vous pouvez relancer sans risque, le script reprend là où il s'est arrêté.

PHASE 2 Échec après le redémarrage

La machine a quitté le domaine mais la jonction Entra a échoué. Actions possibles :

Le PPKG n'a pas fonctionné : connectez-vous avec le compte admin de secours (mot de passe dans le dashboard), vérifiez la connectivité réseau et relancez manuellement le PPKG.
Le profil n'a pas été remappé : relancez la migration depuis le dashboard. La Phase 2 reprend automatiquement au remapping.
Retour au domaine AD : en dernier recours, connectez-vous en admin local et rejoingnez le domaine manuellement (Add-Computer).

Le mot de passe du compte admin de secours est toujours consultable dans le panneau de détails de chaque machine, même en cas d'échec.

08 🛠️ Agent EntraLift

L'agent est un service Windows (EntraLiftService.exe) déployé via Intune :

S'enregistre auprès du serveur au démarrage
Interroge le serveur toutes les 60 secondes pour recevoir des commandes
Exécute les migrations (Phase 1 et Phase 2)
Remonte l'état, les logs et la progression en temps réel
Se met à jour automatiquement quand une nouvelle version est disponible (~10 min)
Se désinstalle automatiquement 7 jours après une migration réussie

Chemins utiles

Dossier de travail : C:\ProgramData\HybridToEntraJoin\
Logs migration : C:\ProgramData\HybridToEntraJoin\Logs\
Logs service : C:\ProgramData\HybridToEntraJoin\Logs\service.log
État migration : C:\ProgramData\HybridToEntraJoin\state.json

Commandes utiles

sc query EntraLift # Vérifier le service
Get-Content C:\ProgramData\HybridToEntraJoin\Logs\service.log -Tail 20 # Derniers logs
dsregcmd /status # État de jonction

09 ⚠️ Résolution de problèmes

FAILED_PHASE1 Accès refusé (Remove-Computer)

Le compte AD de disjonction n'a pas les permissions nécessaires sur l'objet ordinateur.
Solutions :

Vérifiez que les 6 ACEs sont configurées sur l'OU (voir section dédiée)
Vérifiez que la machine est dans la bonne OU, pas dans CN=Computers
Relancez la migration — le script reprend sans tout recommencer

FAILED_PHASE1 Machine pas en état Hybrid Joined

La machine doit être Domain Joined et Azure AD Joined. Vérifiez avec :

dsregcmd /status

Solutions :

Si AzureAdJoined = NO : forcez un sync Azure AD Connect puis attendez ~5 min
Si c'est un retry après un premier échec, le script accepte automatiquement DomainJoined=YES seul

ENTRA_JOINED_WAITING_LOGON Machine en attente

Ce n'est pas une erreur. La machine a rejoint Entra ID et attend que l'utilisateur ouvre une session avec son compte Microsoft 365.
Action requise : sur l'écran de connexion, cliquer sur Autre utilisateur et se connecter avec l'adresse email Microsoft 365. La Phase 2 reprend automatiquement.

FAILED_PHASE2 Échec du remapping de profil

Le remapping SID/ACL a échoué. Vérifiez les logs détaillés dans le panneau de la machine.
Solutions :

Relancez la migration depuis le dashboard — la Phase 2 reprend au remapping
Connectez-vous en admin local pour vérifier l'état du profil
Consultez les logs dans C:\ProgramData\HybridToEntraJoin\Logs\

L'agent ne se connecte pas au serveur

Vérifiez la connectivité réseau du poste :

Test-NetConnection -ComputerName dashboard.entralift.io -Port 443

Si le résultat est TcpTestSucceeded: False, vérifiez le proxy, le firewall ou le DNS. Consultez aussi service.log pour le détail de l'erreur.

10 ❓ Questions fréquentes

L'utilisateur perd-il ses fichiers ?

Non. Le profil utilisateur (documents, bureau, paramètres, applications) est entièrement conservé. EntraLift remplace les identifiants de sécurité (SID) et les permissions (ACL) pour que le nouveau compte Entra ID retrouve exactement le même environnement.

Combien de temps dure une migration ?

Entre 10 et 20 minutes selon la taille du profil et le nombre de fichiers. L'utilisateur est informé et guidé tout au long du processus (notification, countdown, fenêtre de progression).

Que se passe-t-il si la migration échoue ?

Si la Phase 1 échoue avant le redémarrage, la machine reste intacte (Hybrid Joined). Vous pouvez corriger le problème et relancer sans risque. Voir la section Rollback pour les détails.

Le service se désinstalle-t-il automatiquement ?

Oui, 7 jours après une migration réussie (statut COMPLETED). Vous pouvez aussi le désinstaller manuellement à tout moment depuis le dashboard.

Quelles licences Microsoft sont nécessaires ?

Les postes doivent disposer d'une licence incluant Microsoft Intune (Microsoft 365 Business Premium, E3 ou E5). Aucune licence supplémentaire n'est requise côté Entra ID (le plan Free suffit pour la jonction).

L'agent se met-il à jour tout seul ?

Oui. L'agent vérifie automatiquement toutes les ~10 minutes s'il existe une version plus récente sur le serveur. Si c'est le cas, il télécharge la mise à jour et redémarre sans intervention.

EntraLift

Bienvenue sur EntraLift

Provisioning Package (PPKG)

1. Installer Windows Configuration Designer

2. Creer le package

3. Exporter et uploader

Parametres de migration

Disjonction Active Directory

Deployer l'agent

Installation silencieuse

Agent deploye avec succes !

Repartition par statut

🏢 Votre tenant

📦 Deploiement Intune

⚙️ Parametres de migration

🔒 Disjonction Active Directory

💾 Provisioning Package

🔔 Notifications

💳 Licence

⚠️ Zone de danger

📑 Sommaire

01 🚀 Démarrage rapide

02 🌐 Prérequis

Rôles Microsoft requis

Endpoints réseau (ports 443 HTTPS)

Active Directory

03 ✅ Compatibilité

04 📦 Créer le Provisioning Package (PPKG)

05 🔒 Configurer le compte AD de disjonction

06 🔄 Déroulement de la migration

PHASE 1 Disjonction (avant redémarrage)

PHASE 2 Jonction Entra ID (après redémarrage)

07 ↩️ Rollback et récupération

PHASE 1 Échec avant le redémarrage

PHASE 2 Échec après le redémarrage

08 🛠️ Agent EntraLift

Chemins utiles

Commandes utiles

09 ⚠️ Résolution de problèmes

10 ❓ Questions fréquentes

—

Informations

Pre-checks ↻

Compte de secours

Actions

Historique