Les migrations inter-tenants s’imposent fréquemment dans les contextes de fusions, d’acquisitions ou de réorganisations d’entreprises. Elles impliquent le déplacement coordonné de données et d’identités entre Exchange, SharePoint, Teams et OneDrive, tout en maintenant une migration Microsoft 365 tenant to tenant sans interruption de service. La stratégie de licensing pour migration de tenant Microsoft 365 doit être définie en amont : attribuer ou révoquer des licences Microsoft 365 E3 ou E5 sans plan préétabli génère des doublons de coûts ou des pertes d’accès.
Une approche structurée, intégrant l’optimisation des licences Microsoft 365 pendant une migration tenant to tenant, le respect du RGPD lors d’une migration Microsoft 365 inter-tenant et la gouvernance des droits via Microsoft Entra ID et Microsoft Purview, constitue le socle d’une migration sécurisée et maîtrisée. Eliadis accompagne les organisations dans cette démarche depuis plus de vingt ans.
À retenir :
- La gestion des licences Microsoft 365 et la conformité RGPD sont cruciales pour les migrations tenant to tenant
- Identifier et cartographier les licences Microsoft 365 avant la migration évite des interruptions et des coûts imprévus
- L’optimisation des licences doit aligner chaque utilisateur sur ses besoins réels dans le nouvel environnement
- Garantir la conformité RGPD nécessite une validation de chaque étape par le DPO et le RSSI avant et après la migration
- La période de coexistence doit être planifiée pour assurer la continuité des services et prévenir les interruptions
- La traçabilité et la supervision post-migration garantissent le respect des standards de conformité et de sécurité des données
Cartographier les licences Microsoft 365 avant la migration
Avant d’engager toute migration tenant to tenant, un inventaire précis des licences Microsoft 365 actives est indispensable pour éviter les interruptions de service et maîtriser les coûts. Cette cartographie constitue le socle de toute stratégie de migration tenant to tenant Microsoft 365 réussie.
Catégories de licences à identifier
Le pilotage des licences Office 365 en contexte cross-tenant impose de distinguer trois grandes catégories d’objets licensiés. Les utilisateurs finaux représentent la majorité du parc : ils portent généralement des plans Microsoft 365 Business Premium, Office 365 E3 ou des licences Enterprise Agreement selon la taille et le secteur de l’organisation. Les comptes de service, souvent négligés lors des audits, nécessitent une attention particulière car ils peuvent être associés à des automatisations critiques. Enfin, les boîtes partagées requièrent, dans certaines configurations, une licence dédiée dès lors qu’elles dépassent les limites de stockage standard ou activent des fonctionnalités avancées comme Microsoft Defender for Office 365.
D’après Microsoft Learn, les migrations interlocataires nécessitent une licence par utilisateur assignée sur l’objet source ou cible, ce qui implique de prévoir cette attribution dès la phase de planification (Source : Microsoft Learn — 2025-02-28).
Sélectionner les licences cibles adaptées aux besoins réels
L’optimisation du licensing Microsoft 365 pour un projet de fusion-acquisition passe par une analyse fonctionnelle rigoureuse. Il ne s’agit pas de reproduire à l’identique le plan de licences existant, mais d’aligner chaque profil utilisateur sur ses besoins réels dans le tenant cible. Un collaborateur migré depuis un environnement E3 peut, selon ses usages, être repositionné sur un plan Business Premium ou nécessiter le maintien d’une licence E5 pour des raisons de conformité ou de sécurité avancée. Cette décision influence directement les coûts contractuels, qu’il s’agisse d’un accord CSP ou d’un Enterprise Agreement.
| Type de licence | Cas d’usage typique | Points de vigilance migration |
|---|---|---|
| Microsoft 365 Business Premium | PME, jusqu’à 300 utilisateurs | Plafond utilisateurs, pas d’eDiscovery avancé |
| Office 365 E3 | Grandes organisations, conformité standard | Absence de protection avancée sans add-on |
| Microsoft 365 E5 | Environnements réglementés, sécurité renforcée | Coût élevé, vérifier les doublons avec add-ons |
| Licences add-on | Archivage, Defender, Voice | Compatibilité avec le plan de base cible |
Licences temporaires et add-ons spécifiques à la migration
La période de coexistence entre les deux tenants génère une phase de double attribution inévitable. Le plan de licences Microsoft 365 E3/E5 pour le projet de migration doit intégrer des stratégies de licences temporaires pour migration Office 365, notamment via des abonnements courts ou des licences d’essai encadrées par le partenaire CSP. Des add-ons spécifiques, comme les licences de migration fournies par des outils tiers, peuvent également s’avérer nécessaires ; Une fois la cartographie des licences établie, il est possible d’aborder la gestion de la conformité et des politiques de sécurité qui s’appliquent spécifiquement à chacun des tenants impliqués dans la migration.
Garantir la conformité RGPD et la gouvernance des données
Une migration inter-tenant Microsoft 365 engage directement la responsabilité juridique de l’organisation sur le traitement des données personnelles. Avant le moindre transfert, le DPO et le RSSI doivent valider que chaque étape respecte les exigences du RGPD, de la base légale au contrôle post-migration.
Les exigences RGPD incontournables avant la migration
Toute migration tenant to tenant implique un déplacement massif de données à caractère personnel : boîtes mail, fichiers SharePoint, conversations Teams. Le RGPD impose d’identifier la base légale du traitement (intérêt légitime, obligation contractuelle ou consentement), d’appliquer le principe de minimisation des données en n’important que ce qui est strictement nécessaire, et de respecter les durées de conservation définies dans votre politique de gouvernance. C’est également l’occasion de supprimer les données obsolètes avant la migration plutôt qu’après, réduisant ainsi la surface de risque. Le DPO doit être impliqué dès la phase de cadrage, et un registre de traitement mis à jour doit documenter l’opération dans son intégralité. Pour structurer cette démarche, la définition d’une stratégie de migration tenant to tenant Microsoft 365 solide constitue le socle indispensable à toute conformité réglementaire et sécurité lors d’une migration Office 365.
Microsoft Purview : l’outil central de conformité et gouvernance
Microsoft Purview centralise les principaux contrôles de conformité réglementaire et gouvernance Microsoft 365 nécessaires pendant une migration. Il permet de configurer des politiques de rétention et de suppression automatique des données, d’appliquer des labels de confidentialité via Azure Information Protection pour classifier les contenus sensibles, et d’activer la journalisation des audits afin de tracer chaque action utilisateur et administrateur. Le Microsoft 365 Security & Compliance Center offre une visibilité unifiée sur les alertes et les incidents de sécurité durant toute la durée de la migration. Il est recommandé de configurer ces contrôles sur le tenant cible avant le début du transfert, afin que les politiques s’appliquent immédiatement aux données migrées.
Politiques de rétentionDurée de conservation conformeHaute
| Contrôle | Objectif RGPD | Priorité |
|---|---|---|
| Labels de confidentialité (AIP) | Classification et protection des données sensibles | Haute |
| Journalisation d’audit | Traçabilité des accès et traitements | Haute |
| DLP (Data Loss Prevention) | Prévention des fuites de données | Moyenne |
| eDiscovery | Réponse aux demandes d’accès ou contentieux | Moyenne |
Data residency et audits post-migration
La data residency et la localisation des données dans Microsoft 365 représentent un point de vigilance majeur dans un contexte de fusion ou d’acquisition internationale. Microsoft permet de sélectionner la géographie de stockage des données au niveau du tenant, mais ce paramètre doit être vérifié et documenté sur le tenant cible avant toute migration. D’après Microsoft Learn, les licences appropriées doivent être attribuées à chaque utilisateur sur le tenant source ou cible, sans double attribution nécessaire (Source : Microsoft Learn — 2025-11-05). Une fois la migration terminée, un audit de conformité Microsoft 365 avant et après migration doit être réalisé : vérification des politiques actives, contrôle des accès résiduels sur le tenant source et validation des labels appliqués aux données transférées. Cette étape garantit l’encadrement contractuel et légal du projet et prépare la désactivation sécurisée de l’ancien environnement.
La maîtrise de ces obligations réglementaires étant posée, il convient maintenant d’examiner comment piloter les licences Microsoft 365 pendant et après la migration pour éviter tout doublon ou rupture de service.
Minimiser les interruptions grâce à une stratégie de coexistence maîtrisée
Une migration tenant to tenant réussie repose sur une période de coexistence structurée, durant laquelle les deux tenants restent opérationnels en parallèle. Le pilotage des licences Microsoft 365 pour continuité de service est la clé pour éviter toute coupure applicative ou perte d’accès pour les utilisateurs.
Planifier le chevauchement des licences pour garantir la disponibilité continue
La première règle de la coexistence est de ne jamais désaffecter une licence sur le tenant source avant que l’utilisateur concerné soit pleinement opérationnel sur le tenant cible. Cela implique de maintenir temporairement des licences actives sur les deux environnements, ce qui représente un surcoût budgétaire à anticiper dès la phase de cadrage. Cette double attribution doit être planifiée avec précision : trop courte, elle expose les utilisateurs à des interruptions ; trop longue, elle génère des dépenses injustifiées.
Selon Microsoft Learn, aucune réaffectation de licences ni perte de données n’a lieu si les mêmes offres sont disponibles et en nombre suffisant dans le tenant de destination. (Source : Microsoft Learn — 2025-04-10). Cette assurance technique conditionne cependant une préparation rigoureuse : le catalogue de licences du tenant cible doit être configuré en amont, avec les mêmes références SKU que celles attribuées sur le tenant source.
Gérer les accès invités et les comptes techniques pendant la phase de transfert
La gestion des droits d’accès et des abonnements pendant la bascule de tenant ne se limite pas aux utilisateurs nominatifs. Les comptes de service, les boîtes partagées Exchange Online et les comptes techniques constituent une catégorie critique souvent négligée. Ces identités doivent être provisionnées dans Microsoft Entra ID du tenant cible avec des licences adaptées, sans interrompre les flux automatisés qui en dépendent.
Les accès invités jouent également un rôle central : les collaborateurs déjà migrés peuvent être invités dans le tenant source pour maintenir l’accès à Microsoft Teams et aux canaux partagés encore actifs. Cette approche limite la fragmentation des communications et préserve la continuité des projets en cours. Il convient de définir des règles de gouvernance claires pour ces accès temporaires, en fixant une date d’expiration et en les traçant via les journaux d’audit de Microsoft Entra ID.
Outils et mécanismes pour maintenir la conformité pendant la coexistence
L’impact des licences sur la continuité de service et la sécurité se manifeste également dans la capacité à maintenir les politiques de conformité actives sur les deux tenants simultanément. OneDrive for Business et Exchange Online doivent rester soumis aux mêmes règles de rétention et de protection des données pendant toute la durée de la coexistence.
| Service | Risque en coexistence | Mécanisme recommandé |
|---|---|---|
| Exchange Online | Perte de règles de rétention | Synchroniser les politiques de conformité sur les deux tenants |
| Microsoft Teams | Fragmentation des canaux | Accès invité temporaire + archivage des conversations |
| OneDrive for Business | Rupture des partages externes | Remappage des permissions avant désaffectation |
| Microsoft Entra ID | Comptes orphelins | Revue d’accès planifiée et expiration automatique |
Assurer la traçabilité et la supervision post-migration
Après une migration tenant to tenant, la traçabilité des licences et la conformité réglementaire doivent être vérifiées méthodiquement avant toute clôture de projet. Un dispositif de supervision structuré permet d’identifier rapidement les écarts, de répondre aux exigences légales et de sécuriser durablement le nouvel environnement Microsoft 365.
Checklist post-migration : quotas, eDiscovery et Legal Hold
La première étape du suivi de la conformité après migration Microsoft 365 consiste à dérouler une checklist structurée. Celle-ci doit couvrir la vérification des quotas de boîtes aux lettres et d’espaces SharePoint, la disponibilité des politiques de rétention, l’activation des fonctions eDiscovery et la mise en place des Legal Hold sur les comptes sensibles. Chaque point doit être documenté et signé par un responsable identifié, qu’il s’agisse de l’équipe technique ou des représentants métier. Cette checklist conformité et sécurité pour migration tenant à tenant constitue la preuve formelle que l’environnement cible répond aux obligations contractuelles et réglementaires héritées du tenant source. Selon Microsoft Learn, le mappage d’identité interlocataire établit des relations d’objet un-à-un, ce qui signifie que toute anomalie dans ce mappage peut générer des incohérences dans les droits d’accès et les politiques appliquées (Source : Microsoft Learn — 2024-04-13). La vérification post-migration des licences et de la sécurité doit donc inclure un contrôle explicite des identités migrées et de leurs attributions de licences.
Outils d’audit pour une supervision continue
Plusieurs outils Microsoft permettent d’assurer un audit de conformité Microsoft 365 après migration de manière continue et automatisée. Microsoft Sentinel agrège les journaux de sécurité issus de l’ensemble du tenant et permet de détecter des comportements anormaux ou des tentatives d’accès non autorisées dans les jours suivant la bascule. Le Microsoft Purview Compliance Portal offre une visibilité centralisée sur les politiques de rétention, les alertes DLP et l’état des investigations eDiscovery. Enfin, Azure Log Analytics consolide les logs d’activité pour constituer une piste d’audit exhaustive, exploitable aussi bien par les équipes techniques que par les directions juridiques.
| Outil | Périmètre de supervision | Usage principal post-migration |
|---|---|---|
| Microsoft Sentinel | Sécurité & détection des menaces | Alertes sur anomalies d’accès et comportements suspects |
| Microsoft Purview Compliance Portal | Conformité & gouvernance des données | Contrôle des politiques de rétention, DLP, eDiscovery |
| Azure Log Analytics | Journaux d’activité & traçabilité | Consolidation des logs pour audit réglementaire |
Validation par le comité de pilotage : RSSI et DPO en première ligne
La gouvernance post-migration ne peut se limiter à une revue technique. Le comité de pilotage doit intégrer le RSSI et le DPO, qui valident formellement la conformité du dispositif au regard des exigences RGPD, des politiques de sécurité internes et des engagements contractuels. Cette validation officialise la clôture du projet et engage la responsabilité des parties prenantes. Les rapports issus de Microsoft Purview et d’Azure Log Analytics constituent les pièces justificatives présentées lors de cette réunion de clôture. La mise en place de revues périodiques — mensuelles ou trimestrielles — prolonge cette vigilance au-delà de la phase de migration et ancre durablement le suivi de la conformité après migration Microsoft 365 dans les pratiques opérationnelles de l’organisation.
Conclusion
Gérer les licences Microsoft 365 et la conformité RGPD lors d’une migration tenant to tenant exige une approche structurée, documentée et pilotée à chaque étape. Une préparation rigoureuse — cartographie des licences, audit des identités via Microsoft Entra ID, paramétrage des politiques de rétention dans Microsoft Purview — conditionne directement la réussite opérationnelle et juridique du projet. Le suivi post-migration reste tout aussi déterminant : vérifier l’alignement contrat Microsoft / CSP avec le projet de migration, contrôler les affectations de licences Microsoft 365 E5 et valider la continuité du pilotage post-migration et conformité RGPD permettent d’éviter des écarts coûteux. À noter que, selon Microsoft Learn, le consentement administrateur doit être accordé à l’application de migration dans Microsoft Entra ID pour autoriser les opérations concernées (Source : Microsoft Learn — 2025-02-28). Pour ancrer les meilleures pratiques de gouvernance des licences Microsoft 365 dans la durée, s’appuyer sur un partenaire expert tel qu’Eliadis offre la garantie d’une conformité RGPD après migration Microsoft 365 maîtrisée et d’une gouvernance des identités pérenne.
