Lors d’une fusion, d’une scission ou d’une réorganisation d’entreprise, la coexistence de plusieurs annuaires Microsoft 365 soulève des enjeux complexes : conflits d’identités, doublons d’objets, perte d’accès aux ressources partagées. Pour y répondre, il convient de distinguer trois approches complémentaires — fédération, synchronisation d’identités multi-locataires et collaboration B2B Direct Connect — afin de choisir l’architecture d’accès croisé la plus adaptée au contexte. Une gouvernance claire des identités s’avère déterminante : sans elle, les risques d’accès non autorisés et de régression fonctionnelle se multiplient. Eliadis accompagne ses clients dans la conception de ces architectures, en s’appuyant sur une expertise approfondie de Microsoft Entra ID et d’Azure AD Connect pour structurer chaque phase de l’alignement d’annuaires entre tenants.
À retenir :
- La synchronisation cross-tenant de Microsoft Entra ID est essentielle pour une migration tenant to tenant sans interruption de service
- Différentes approches comme la fédération et la synchronisation multi-locataires aident à éviter les conflits d’identités et à gérer les accès
- Les mécanismes Entra Cloud Sync et Entra Connect permettent la réplication des identités, chacun ayant ses propres avantages selon le contexte
- Configurer les paramètres d’accès cross-tenant est crucial pour la gestion des identités inter-organisationnelles
- Une bonne gouvernance est clé pour prévenir les accès non autorisés et garantir la continuité des services
- Un audit continu et une supervision proactive assurent l’intégrité des identités après la migration
Comprendre les principes de la synchronisation Microsoft Entra ID cross-tenant
La synchronisation Microsoft Entra ID cross-tenant permet de répliquer des identités d’un annuaire Microsoft 365 source vers un annuaire cible, sans recréer manuellement chaque compte. Ce mécanisme constitue le socle technique de toute migration tenant to tenant maîtrisée.
Paramètres d’accès cross-tenant : fondation de la collaboration inter-organisations
Avant d’initier toute orchestration de la synchronisation des comptes, il est indispensable de configurer les paramètres d’accès cross-tenant dans le portail Microsoft Entra. Selon Microsoft, ces paramètres gèrent les relations B2B Collaboration et B2B Direct Connect avec les organisations Microsoft Entra externes. (Source : Microsoft — 2025-03-28). Ces deux modes de collaboration, regroupés sous Microsoft Entra External ID, définissent la manière dont les utilisateurs invités sont authentifiés et quelles ressources ils peuvent atteindre dans le tenant partenaire. La configuration multi-tenant repose ainsi sur une relation de confiance explicite, établie de chaque côté de la frontière organisationnelle.
Types de synchronisation disponibles : Entra Cloud Sync et Entra Connect
Deux mécanismes principaux permettent la réplication d’annuaires cloud dans un contexte de migration des identités. Microsoft Entra Cloud Sync est une solution entièrement managée dans le cloud, légère à déployer et particulièrement adaptée aux environnements distribués ou multi-forêts. Microsoft Entra Connect, en revanche, s’appuie sur un agent installé on-premises et offre davantage de granularité dans le filtrage et le mappage des attributs. Le choix entre ces deux options dépend de la complexité de l’infrastructure Active Directory existante, du volume d’utilisateurs à synchroniser et des exigences de transformation d’attributs. Pour les projets nécessitant une gestion fine du mappage UPN en migration tenant to tenant, Entra Connect offre généralement plus de flexibilité. Dans les deux cas, une licence Entra ID P1 est requise pour activer la synchronisation cross-tenant.
| Critère | Entra Cloud Sync | Entra Connect |
|---|---|---|
| Déploiement | 100 % cloud | Agent on-premises |
| Multi-forêts AD | Supporté nativement | Configuration avancée requise |
| Transformation d’attributs | Limitée | Étendue |
| Maintenance | Faible | Modérée |
Accès entrant et sortant : configurer le lien de confiance
La synchronisation Azure AD cross-tenant repose sur deux flux distincts : l’accès entrant (inbound), qui détermine ce que le tenant cible autorise depuis le tenant source, et l’accès sortant (outbound), qui contrôle ce que le tenant source permet à ses utilisateurs d’accéder chez le partenaire. Cette distinction est capitale lors de la configuration initiale : une mauvaise définition des politiques d’accès entrant peut bloquer la création automatique des comptes côté cible. L’orchestrateur de migration Microsoft 365 s’appuie précisément sur cette architecture pour séquencer les opérations de déplacement d’identités. La phase de configuration du lien de confiance précède systématiquement le démarrage de la réplication, ce qui conditionne la suite du projet de migration.
Mettre en œuvre la synchronisation et la gouvernance cross-tenant
Configurer une synchronisation cross-tenant dans Microsoft Entra ID requiert des prérequis précis : licences adaptées, rôles administratifs appropriés et choix d’outils cohérents avec l’architecture existante. Voici les étapes essentielles pour structurer ce provisionnement d’identités cross-tenant de manière maîtrisée.
Prérequis techniques et de licences
Avant d’initier un lien de synchronisation entre deux tenants, il convient de vérifier plusieurs conditions. Chaque tenant impliqué doit disposer d’au moins un abonnement Microsoft Entra ID P1 ou P2 (inclus dans Microsoft 365 E3/E5). La fonctionnalité de synchronisation cross-tenant s’appuie sur les paramètres d’accès external ID, qui doivent être activés des deux côtés — tenant source et tenant cible. Il est également nécessaire de définir au préalable les objets utilisateurs concernés (comptes, groupes) ainsi que les attributs à synchroniser, afin de garantir l’alignement des objets utilisateurs entre tenants sans créer de doublons ou de conflits d’identité.
| Prérequis | Détail | Tenant concerné |
|---|---|---|
| Licence Entra ID | P1 minimum (P2 recommandé pour la gouvernance) | Source et cible |
| Accès external ID activé | Paramètres d’accès cross-tenant configurés | Source et cible |
| Rôle administratif requis | Security Administrator Role ou rôle personnalisé | Source et cible |
| Inventaire des objets | Utilisateurs, groupes, attributs à projeter | Source |
Rôle des administrateurs et permissions dans Entra ID
La gestion des accès tenant to tenant repose sur une attribution rigoureuse des permissions. Selon Microsoft, la configuration des paramètres cross-tenant dans l’Azure Portal nécessite le Security Administrator Role ou un rôle personnalisé disposant des autorisations équivalentes (Source : Microsoft — 2025-03-28). Il est recommandé d’appliquer le principe du moindre privilège : créer des rôles personnalisés qui limitent l’accès aux seules opérations nécessaires à la synchronisation, sans exposer la gestion globale de l’annuaire. Cette approche renforce la stratégie de supervision Entra ID et réduit la surface d’attaque lors de migrations sensibles.
Outils disponibles : Entra Connect et Cloud Sync
Microsoft Entra Connect et Microsoft Entra Cloud Sync répondent à des besoins complémentaires dans une stratégie de synchronisation hybride. Entra Connect convient aux environnements avec un Active Directory on-premises existant, offrant un contrôle fin sur les règles de synchronisation et les attributs personnalisés. Cloud Sync, quant à lui, s’appuie intégralement sur le cloud et simplifie le déploiement multi-forêts avec une administration allégée via le portail Azure. Dans le cadre d’une migration tenant to tenant pure, Cloud Sync est souvent privilégié pour la synchronisation des groupes Microsoft 365 et des identités cloud-native, tandis qu’Entra Connect reste pertinent si des objets hybrides doivent être projetés depuis l’annuaire local. Pour orchestrer l’ensemble du processus, des outils tels que Migration Orchestrator pour Microsoft 365 permettent de coordonner les phases de migration et de réduire les risques opérationnels.
La combinaison de ces outils, associée à une gouvernance des identités rigoureuse, pose les fondations d’une migration tenant to tenant sécurisée. Le chapitre suivant examinera comment surveiller et valider la cohérence des identités synchronisées tout au long du processus.
Sécuriser et fiabiliser le modèle de synchronisation
Pour garantir l’intégrité des annuaires Microsoft 365 lors d’une migration tenant to tenant, trois piliers sont incontournables : la gestion rigoureuse des identifiants immuables, le respect des prérequis de licence et la supervision active de la synchronisation. Ces éléments conditionnent directement la coexistence d’identités pendant migration et la fiabilité des provisionnements cross-tenant.
Gestion du sourceAnchor et des GUID pendant la migration
L’attribut ms-DS-ConsistencyGuid joue un rôle central dans la résolution des conflits d’objets synchronisés. Il sert de sourceAnchor stable, permettant à Microsoft Entra ID de relier de manière déterministe un objet du répertoire source à son homologue dans le tenant cible, quels que soient les changements de nom principal ou d’adresse e-mail survenus en cours de migration. Lorsque le GUID n’est pas défini explicitement avant la synchronisation, le risque de création d’objets doublons — ou d’objet orphelins — augmente considérablement. Il est donc recommandé de pré-aligner la valeur de ms-DS-ConsistencyGuid sur l’ObjectGUID source avant d’activer tout cycle de provisionnement, afin d’assurer une continuité d’identité sans rupture.
| Attribut | Rôle | Risque si absent |
|---|---|---|
| ms-DS-ConsistencyGuid | Ancrage immuable cross-tenant | Doublons d’objets, conflits de synchronisation |
| ObjectGUID | Identifiant interne Active Directory | Incohérence lors de la fusion d’annuaires |
| UserPrincipalName | Identifiant de connexion | Collision si domaine non redirigé |
Contrainte de licence Microsoft Entra P1 pour la synchronisation mutuelle
La synchronisation des attributs de sécurité entre deux tenants via le B2B Direct Connect est soumise à une condition stricte en matière de licences. Selon Microsoft, le B2B Direct Connect requiert une licence Microsoft Entra P1 dans chacun des tenants pour la synchronisation mutuelle (Source : Microsoft — 2025-03-28). Cette exigence s’applique aussi bien au tenant source qu’au tenant cible : une licence manquante dans l’un des deux environnements suffit à bloquer le provisionnement bidirectionnel. Avant toute activation du modèle de synchronisation croisée, un audit des licences actives dans les deux tenants doit donc être intégré au plan de migration, sous peine d’interruptions silencieuses difficiles à diagnostiquer.
Supervision et gestion des incidents de synchronisation
Le monitoring Entra ID cross-tenant s’appuie principalement sur Azure AD Connect Health, qui expose les erreurs de provisionnement, les objets en échec et les latences anormales sous forme de tableaux de bord consolidés. Il est conseillé de configurer des alertes sur les codes d’erreur récurrents — notamment les conflits d’attribut et les échecs d’appairage — afin de réduire le temps moyen de détection. Pour les équipes qui orchestrent des migrations complexes, Migration Orchestrator Microsoft 365 offre une visibilité complémentaire sur l’avancement des lots d’utilisateurs. La combinaison de ces deux outils permet de passer d’une gestion réactive à une gestion proactive des incidents. L’étape suivante consistera à examiner comment gouverner les accès et les politiques de coexistence une fois le modèle de synchronisation stabilisé.
Orchestrer la migration et la coexistence des identités
Réussir une orchestration de migration tenant to tenant repose sur un séquençage rigoureux des identités, une phase pilote contrôlée et des mécanismes de rollback opérationnels. La coexistence d’annuaires entre le tenant source et le tenant cible n’est pas un état définitif, mais une étape transitoire à piloter activement.
Créer une application de migration dans le tenant cible et gérer les identités provisoires
La première action consiste à enregistrer une application dédiée dans le tenant cible au sein de Microsoft Entra ID. Cette application porte les permissions de provisionnement entrant et devient le point de contrôle de la synchronisation cross-tenant durant la migration. Les utilisateurs synchronisés apparaissent d’abord comme membres externes (B2B Provisioning) dans le répertoire cible. Selon Practical365, la synchronisation cross-tenant provisionne les utilisateurs en tant que comptes membres externes, avec une fonctionnalité en préversion permettant de les convertir en membres internes tout en conservant leur Object ID (Source : Practical365 — 2025-07-29). Cette distinction est fondamentale pour planifier la bascule d’identités Entra ID sans rupture d’accès aux services Microsoft 365.
Durant cette phase, il est recommandé de configurer des règles de filtrage précises dans l’Azure AD Connect Sync Rules Editor afin de limiter le périmètre des objets synchronisés aux seuls comptes pilotes. Cela évite une prolifération d’identités provisoires qui compliquerait la gouvernance.
Mettre en place une phase pilote pour valider le mappage des UPN et attributs
Avant toute bascule de masse, une phase pilote s’impose. Elle porte sur un groupe restreint d’utilisateurs représentatifs (différents profils métiers, différentes licences) et permet de vérifier le mappage des UPN ainsi que la cohérence des attributs critiques : mail, displayName, jobTitle, groupes d’appartenance. Le Microsoft 365 Migration Orchestrator peut être mobilisé pour coordonner les jobs de synchronisation et tracer chaque événement de provisionnement.
| Étape pilote | Objectif | Critère de validation |
|---|---|---|
| Sélection du groupe pilote | Limiter le risque initial | 10 à 20 utilisateurs représentatifs |
| Vérification des UPN | Éviter les conflits d’adresses | Zéro doublon dans le tenant cible |
| Contrôle des attributs | Garantir la continuité des droits | Attributs conformes au schéma cible |
| Test d’accès applicatif | Valider l’authentification SSO | Connexion réussie sans re-provisionnement |
Prévoir le rollback et la surveillance post-migration
Toute planification des jobs de synchronisation doit intégrer un scénario de rollback documenté. En pratique, cela signifie conserver le tenant source actif pendant une durée déterminée (généralement trente jours) et maintenir les règles de synchronisation bidirectionnelle dans l’Azure AD Connect Sync Rules Editor. Des alertes doivent être configurées dans Microsoft Entra ID pour détecter les échecs de provisionnement, les conflits d’attributs et les comptes orphelins. La coexistence d’annuaires se termine officiellement lorsque l’ensemble des utilisateurs sont convertis en membres internes et que les licences du tenant source sont désactivées. Pour approfondir les capacités natives de coordination de flux, la documentation officielle du Microsoft 365 Migration Orchestrator détaille les prérequis et les étapes de configuration. Le chapitre suivant examinera comment sécuriser et gouverner ces identités synchronisées sur le long terme.
Conclusion
Une synchronisation Microsoft Entra ID cross-tenant bien configurée est le socle d’une migration tenant to tenant réussie : elle garantit la continuité des identités, la sécurité des accès et la scalabilité du dispositif. Les bonnes pratiques identifiées tout au long de cet article reposent sur trois piliers indissociables : une gouvernance cross-tenant rigoureuse, une supervision proactive et un plan de rollback testé avant tout basculement en production.
La sécurisation de la migration tenant to tenant ne s’arrête pas au jour J. Un audit continu de la synchronisation des identités Microsoft 365 entre tenants, s’appuyant sur les journaux du Centre d’administration Microsoft 365, permet de détecter rapidement toute dérive de configuration ou rupture de flux. Selon Microsoft, l’activation de la synchronisation cross-tenant requiert d’autoriser explicitement, côté tenant cible, la synchronisation des utilisateurs et des groupes (Source : Microsoft — 2025-03-28). Ce paramétrage précis illustre pourquoi le pilotage du multi-tenant exige une expertise technique et stratégique de haut niveau.
Pour renforcer l’optimisation de la synchronisation Entra ID sur le long terme, s’appuyer sur un partenaire expert comme Eliadis permet de structurer chaque phase du projet avec méthode et de sécuriser la gouvernance post-migration dans la durée.
