Dans un contexte de migration, les stratégies de conservation des données Microsoft 365 ne peuvent pas être traitées comme un ajustement post-migration. Elles doivent être intégrées dès la phase de conception du projet, en lien direct avec les exigences du RGPD et les cycles d’audit internes. C’est précisément ce que permet la sécurité et conformité Microsoft 365 en migration tenant to tenant, en structurant une gouvernance cohérente entre les deux environnements Azure AD.
Cet article détaille comment concevoir des stratégies de conservation et suppression des données solides via Microsoft Purview Data Lifecycle Management, depuis l’inventaire des contenus jusqu’au paramétrage des politiques de rétention dans Microsoft Purview, pour assurer la continuité d’accès et la conformité tout au long du projet.
À retenir :
- Les politiques de rétention sont essentielles lors d’une migration tenant to tenant pour garantir la conformité réglementaire.
- Un cadre de gouvernance structuré doit être établi avant la migration, impliquant DSI, DPO et responsables métiers.
- Les stratégies de rétention doivent être différenciées entre environnement source et cible pour minimiser les risques de conflits.
- Tester les politiques de rétention avant déploiement en production est crucial pour éviter des erreurs.
- Les règles doivent être appliquées et vérifiées sur le tenant cible immédiatement après la migration pour assurer la continuité opérationnelle.
- Un processus d’amélioration continue pour les politiques de rétention garantit la conformité dans le temps.
Concevoir un cadre de gouvernance pour les politiques de rétention tenant to tenant
Avant toute migration Microsoft 365 tenant to tenant, la définition d’un cadre de gouvernance structuré pour les politiques de rétention conditionne directement la continuité juridique et réglementaire. Sans ce socle, les données migrent sans garantie de conformité, exposant l’organisation à des risques légaux et à des pertes d’information critiques.
Aligner DSI, DPO et métiers sur les durées de conservation
La gouvernance M365 et la classification des informations ne peuvent reposer sur une seule direction. L’alignement entre la DSI, le DPO et les responsables métiers constitue la première étape structurante. Chaque type de données — emails contractuels, données RH, échanges Teams, fichiers SharePoint — répond à des durées de conservation différentes, dictées tantôt par le RGPD, tantôt par des obligations sectorielles ou des politiques internes. Un atelier de cadrage réunissant ces parties prenantes permet de produire une matrice de conservation opposable, qui servira de référentiel tout au long du projet.
Selon Microsoft, les politiques de rétention Microsoft 365 constituent des mécanismes permettant de conserver ou de supprimer proactivement le contenu des boîtes aux lettres dans une logique de gouvernance de l’information. (Source : Microsoft — 2024-06-25). Ce point est d’autant plus stratégique dans un contexte de migration, où les règles appliquées sur le tenant source doivent être soigneusement revues avant d’être reproduites ou redéfinies sur le tenant cible.
Définir des stratégies différenciées entre environnement source et cible
Une migration tenant to tenant n’est pas une simple copie de configuration. Le cadre de rétention et la disposition des données doivent être pensés de manière différenciée : le tenant source peut maintenir des politiques de conservation légale et de destruction sécurisée pour les données résiduelles non migrées, tandis que le tenant cible accueille de nouvelles politiques, alignées sur la feuille de route de gouvernance cible. Dans le contrôle qualité et l’intégrité des données lors d’une migration tenant to tenant, cette distinction évite les conflits de règles et les lacunes de couverture. Les rôles Disposition Management et Records Management au sein du Microsoft Purview Compliance Portal doivent être attribués explicitement pour chaque environnement, avec des périmètres d’action clairement délimités.
Mettre en place des espaces de pré-production pour tester les règles de rétention
Aucune politique de rétention ne devrait être déployée en production sans validation préalable. La mise en place d’environnements de pré-production, répliquant fidèlement les structures de données des tenants source et cible, permet de simuler l’impact des règles configurées dans le Microsoft Purview Compliance Portal. Ces tests révèlent les conflits de priorité entre politiques, les contenus mal classifiés ou les lacunes dans l’alignement DSI / DAF / métier sur les durées de conservation. Ils constituent également une opportunité de former les équipes aux workflows de validation avant la bascule définitive.
Ce cadre de gouvernance posé, il devient possible d’aborder la configuration technique des politiques de rétention dans Microsoft Purview avec une base documentée, des responsabilités clarifiées et des objectifs mesurables.
Configuration et application des politiques de rétention dans Microsoft Purview
Pour paramétrer les politiques de rétention dans Microsoft Purview, l’administrateur se connecte au portail de conformité Microsoft Purview Data Lifecycle Management et suit un processus structuré en quelques étapes clés. Cette approche garantit une couverture cohérente des contenus critiques avant et pendant une migration tenant to tenant.
Créer une politique de rétention depuis le portail Purview
La création d’une politique débute dans la section Gestion du cycle de vie des données du portail Microsoft Purview. L’administrateur sélectionne « Stratégies de rétention », puis « Nouvelle stratégie ». Il renseigne un nom explicite, décrit l’objectif de la règle (archivage, purge ou conservation légale) et choisit si la politique s’applique de manière statique ou adaptative selon des requêtes de portée. Cette distinction est particulièrement importante dans un projet de migration : une portée adaptative permet d’inclure automatiquement les boîtes aux lettres des utilisateurs migrés au fur et à mesure, sans retouche manuelle des règles de gestion du cycle de vie des documents.
Choisir les emplacements couverts
Microsoft Purview propose une sélection granulaire des emplacements. Les principaux à considérer dans une migration tenant to tenant sont les suivants :
- Exchange Online mailbox retention : boîtes aux lettres actives, boîtes aux lettres partagées et boîtes aux lettres inactives.
- SharePoint Online : bibliothèques de documents et sites d’équipe.
- OneDrive for Business retention : comptes individuels, notamment en cas de départ collaborateur.
- Microsoft Teams retention policies : messages de canaux et conversations privées.
Chaque emplacement peut être inclus ou exclu individuellement, ce qui permet de segmenter les stratégies de purge et d’archivage des contenus selon le périmètre du projet.
Configurer les durées de conservation adaptées
Le choix des durées conditionne directement la conformité réglementaire et l’intégrité des données migrées. Le tableau ci-dessous présente des exemples de paramétrage courants :
| Emplacement | Durée recommandée | Action à l’échéance |
|---|---|---|
| Éléments récupérables (Exchange) | 14 jours | Suppression définitive |
| Boîtes aux lettres actives | 3 à 7 ans (selon secteur) | Conservation puis purge |
| OneDrive – départ collaborateur | 365 jours minimum | Conservation puis suppression |
| Messages Teams – canaux | 1 à 3 ans | Suppression ou archivage |
Concernant la rétention des emails Exchange Online après migration, il est utile de noter que, selon Microsoft, la politique MRM par défaut inclut une étiquette qui déplace le contenu de la boîte aux lettres vers l’archive après 730 jours. (Source : Microsoft — 2024-06-25). Ce comportement doit être pris en compte lors de la conception des politiques personnalisées pour éviter des conflits avec les règles en place sur le tenant source.
Pour approfondir les mécanismes de rétention natifs à la plateforme, la documentation officielle Microsoft sur les stratégies de rétention offre un référentiel technique complet. La prochaine étape consiste à examiner comment intégrer ces politiques dans le planning opérationnel d’une migration tenant to tenant sans interrompre la continuité de service.
Gérer les cas spécifiques et exceptions de rétention pendant la migration
Certains scénarios de migration tenant to tenant échappent aux règles générales de rétention et nécessitent un traitement distinct : boîtes aux lettres inactives, étiquettes orphelines, conflits de politique entre locataires source et cible. Identifier ces cas en amont est indispensable pour garantir la conformité du programme de gestion des archives et des suppressions.
Différences d’application entre locataire source et cible pour Exchange et Teams
Lors d’une migration tenant to tenant, les politiques de rétention configurées dans Microsoft Purview Records Management ne se transfèrent pas automatiquement d’un locataire à l’autre. Chaque environnement possède ses propres paramètres de rétention Microsoft 365, ses étiquettes et ses délais d’application. Pour Exchange Online, les règles MRM (Messaging Records Management) héritées coexistent parfois avec les politiques Purview, ce qui peut créer des conflits silencieux au moment du basculement. Pour Microsoft Teams, la rétention s’applique au niveau des messages de conversation stockés dans les boîtes Exchange sous-jacentes : si le locataire cible n’a pas encore déployé des politiques équivalentes avant la migration des comptes, une fenêtre de non-couverture apparaît. Il convient donc de déployer les politiques de stockage et d’effacement des données sur le tenant cible avant de procéder aux opérations de basculement, puis de vérifier leur applicabilité effective via les rapports de conformité Purview.
| Service | Risque principal en migration | Action préventive recommandée |
|---|---|---|
| Exchange Online | Conflit entre politiques MRM source et Purview cible | Supprimer les règles MRM héritées avant migration |
| Microsoft Teams | Fenêtre sans couverture de rétention des conversations | Déployer la politique Purview cible avant le basculement |
| SharePoint Online | Étiquettes de rétention non réappliquées sur le site migré | Planifier une réapplication des étiquettes post-migration |
Gestion des boîtes aux lettres inactives après suppression de compte
La suppression d’un compte utilisateur en fin de projet ne signifie pas la perte des données soumises à rétention légale et litiges (legal hold). Selon Microsoft, les messages de conversation soumis à rétention sont conservés dans une boîte aux lettres inactive et restent soumis à la politique en place (Source : Microsoft — 2025-10-20). Cette mécanique est pilotée par le Litigation Hold ou le Legal Hold activé avant la suppression du compte. En contexte de migration, il est impératif de recenser toutes les boîtes sous Litigation Hold côté source avant de procéder à toute désactivation de compte, puis de vérifier que le Preservation Lock est bien maintenu sur le locataire cible pour les données rapatriées. La suppression sécurisée des données dans Microsoft 365 ne peut intervenir qu’à l’expiration effective de la période de rétention définie, même pour des comptes désactivés.
Maintien des étiquettes de rétention entre collections SharePoint
La rétention des sites SharePoint et bibliothèques de documents repose sur des étiquettes appliquées au niveau des éléments ou des bibliothèques. Lors d’une migration de collection de sites entre deux tenants, ces étiquettes ne sont pas systématiquement portées par les outils de migration tiers ou natifs. Le recours à Microsoft Purview Records Management permet de définir des politiques de SharePoint Online site retention qui s’appliquent automatiquement à l’échelle du site, réduisant ainsi la dépendance aux étiquettes individuelles. Un inventaire des bibliothèques étiquetées manuellement doit être produit avant la migration afin de planifier une réapplication ciblée post-basculement. Ce travail de cartographie conditionne directement la robustesse de votre politique de stockage et d’effacement des données sur le tenant cible. La section suivante abordera la gouvernance globale et les mécanismes de validation de conformité après migration.
Assurer la continuité et la conformité post-migration
Une fois la migration tenant to tenant achevée, les règles de gestion du cycle de vie des données doivent être réappliquées sur le tenant cible et vérifiées sans délai. Négliger cette étape expose l’organisation à des lacunes de conformité réglementaire pouvant affecter l’intégrité des données.
Appliquer les politiques sur les boîtes de destination
Les boîtes Exchange Online mailbox retention du tenant cible ne conservent pas automatiquement les paramètres du tenant source après migration. Chaque boîte de destination doit faire l’objet d’une politique de conservation des contenus Microsoft 365 explicitement assignée, qu’il s’agisse de politiques de rétention globales ou de règles individuelles issues du portail Microsoft Purview. D’après Quest, lors d’une migration Exchange Online tenant-to-tenant, il convient d’appliquer les politiques de rétention aux boîtes cibles pour maintenir les exigences de conformité (Source : Quest — 2025-01-01). Cette vérification doit être conduite boîte par boîte ou via des scripts PowerShell d’inventaire, en priorisant les comptes à forts enjeux réglementaires tels que les dirigeants, les équipes juridiques ou financières.
Vérifier la cohérence des règles via les journaux d’audit unifiés
Les Journaux d’audit unifiés (Unified Audit Log) constituent l’outil de référence pour la journalisation et audit des opérations de suppression après migration. En interrogeant ces journaux depuis le portail de conformité Microsoft 365, les administrateurs peuvent confirmer que les actions de rétention — conservation, suppression automatique, déplacement vers la boîte de conservation — s’exécutent conformément aux règles définies. Il est recommandé de planifier des requêtes d’audit hebdomadaires durant les deux premiers mois suivant la migration, puis de basculer vers un rythme mensuel une fois la stabilité constatée. Les règles Data Loss Prevention (DLP) Microsoft 365 doivent également être vérifiées en parallèle, car certaines configurations DLP interagissent avec les politiques de rétention et peuvent générer des comportements inattendus si elles ne sont pas répliquées sur le tenant cible.
| Action | Outil | Fréquence |
|---|---|---|
| Vérification des politiques assignées aux boîtes | PowerShell / Portail Purview | J+1, J+7, J+30 |
| Audit des opérations de suppression | Journaux d’audit unifiés | Hebdomadaire (2 mois), puis mensuelle |
| Revue des règles DLP en interaction | Microsoft Purview DLP | Mensuelle |
| Revue du processus de disposition des contenus obsolètes | Portail de conformité / Disposition review | Trimestrielle |
Définir un processus d’amélioration continue des politiques
Les meilleures pratiques de rétention tenant to tenant exigent de formaliser un processus de révision périodique, et non de traiter la conformité comme un état définitif. Ce processus doit inclure une revue trimestrielle des politiques actives, l’intégration des nouvelles exigences réglementaires, et une mise à jour documentée des règles obsolètes via le processus de disposition des contenus obsolètes. Pour approfondir les fondements documentaires de ces mécanismes, la documentation officielle Microsoft sur la rétention offre un cadre de référence actualisé. La gouvernance post-migration constitue ainsi le prolongement naturel de la stratégie de migration, ce que le chapitre suivant illustre à travers des scénarios concrets de pilotage.
Conclusion
Concevoir une politique de rétention Microsoft 365 robuste dans un projet de migration tenant to tenant exige une gouvernance M365 structurée, auditable et maintenue dans le temps. La réussite repose sur trois leviers complémentaires : un plan documenté, des outils adaptés et un pilotage partagé.
Microsoft Purview constitue le socle opérationnel de cette démarche. Selon Microsoft, pour créer et configurer des politiques de rétention dans Microsoft 365, il convient de se connecter au portail Purview, puis de naviguer vers Solutions > Data Lifecycle Management, où les règles de conservation et suppression des données sont centralisées et activables (Source : Microsoft — 2025-10-03). La revue périodique des politiques de rétention, alignée sur le RGPD et les évolutions réglementaires, garantit la conformité sur la durée.
Enfin, impliquer les décideurs métier et IT dans l’amélioration continue de la politique de gouvernance Microsoft 365 transforme chaque migration en opportunité de maturité organisationnelle. Des experts comme Eliadis, partenaire Microsoft spécialisé en sécurité et conformité des données Microsoft 365, peuvent accompagner cette montée en compétences pour pérenniser vos acquis bien au-delà du projet de migration.
